Cybersecurity und die Notwendigkeit von IT-Compliance
Eine sichere Dateninfrastruktur ist ohne IT-Compliance nicht mehr denkbar und sollte in den Fokus jedes Unternehmens rücken.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert in seinem jüngsten Lagebericht eine weitere Verschärfung der Sicherheitslage im Cyberraum. DMB-Rechtsexperte Dr. Vincent Burgert über die wichtigsten Erkenntnisse des Berichts, die derzeitige Hauptbedrohung für Unternehmen und warum IT-Compliance-Maßnahmen in allen Unternehmen notwendig sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 25. Oktober 2022 seinen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht. Die bisweilen hohe Bedrohungslage Opfer von Cyberkriminalität oder von Cyberattacken zu werden, habe sich – auch im Kontext des russischen Angriffs auf die Ukraine – weiter verschärft. Als Reaktion auf die Zuspitzung der Bedrohungslage sieht die Bundesinnenministerin Nancy Faeser eine „strategische Neuaufstellung und deutliche Investitionen in Cybersicherheit“ für erforderlich. Hiervon sind nicht nur die Betreiber von Kritischen Infrastrukturen betroffen, sondern alle am Markt agierenden Unternehmen haben ein nicht unerhebliches Interesse am Schutz ihrer IT-Infrastruktur. Dazu sind geeignete IT-Compliance-Maßnahmen zu implementieren.
Zahlen und Fakten des Sicherheitsberichts
Das Lagebild konnte eine Zunahme der Schwachstellen in verwendeten Softwareprodukten in Höhe von 10% zum Vorjahr feststellen. Insgesamt verzeichneten die Behörden 15 Millionen Meldungen zu Schadprogramminfektionen in Deutschland. Durchschnittlich wurden 34.000 Mails mittels Schadprogrammen im Monat versendet. 69% aller Spam-Mails stellten im Berichtszeitraum Cyberangriffe in Form von zumindest versuchten Phishing-Attacken oder Mail-Erpressung dar. Durch das technische Risiko aber auch die Zunahme der Angriffe resultiert ein erhöhtes Risiko Opfer von Cyberkriminalität zu werden.
Tattypologien
Cyberangriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen stellen eine zunehmende Bedrohung dar. Dabei konnte festgestellt werden, dass der Einsatz von Ransomware die aktuelle Hauptbedrohung für Unternehmen darstelle.
Bei Ransomware handelt es sich um schadhafte Daten (oft in Form von maliziösen Spam- oder Phishing-Mails), die ein System infiltrieren und den Zugang der Berechtigten durch Verschlüsselung verhindern. Gleichzeitig werden durch die Infiltration sensible Daten wie z.B. Geschäftsgeheimnisse oder sensible private Daten abgeschöpft. Daraufhin wird der Betroffene unter Nutzung eines Pop-Ups oder eines Sperrbildschirms aufgefordert, einen Geldbetrag (bspw. in Form von Bitcoins auf ein Wallet) zu überweisen, um sowohl den Zugriff auf das System zurückzuerhalten (Lösegeld) als auch die Veröffentlichung der abgeschöpften Informationen zu verhindern (Schweigegeld).
Diese doppelte Erpressung nennt man „Double Extortion“. Besonders interessant ist aus Sicht von Cyberkriminellen die Erpressung von umsatzstarken Unternehmen (sog. Big Game Hunting). Die Analyse ergab, dass sowohl die Anzahl der erpressten Unternehmen, die Höhe der Löse- und Schweigegelder als auch die Anzahl von Leaks wegen ausbleibender Zahlungen im Berichtsraum gestiegen sind.
Weiterhin konnten im Kontext des aktuellen Kriegsgeschehens verstärkt Cyber-Sabotageangriffe in Form von DDoS-Attacken festgestellt werden. Der Anstieg der DDoS-Attacken belief sich hierbei auf insgesamt 41% im Vergleich zum Vorjahr, wobei in den ersten neun Monaten des Jahres ein Anstieg von 75% verzeichnet wurde. Der Distributed-Denial-of-Service (DDoS) Angriff führt dazu, dass durch herbeigeführte Überlastung der IT-Infrastruktur ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auch in diesem Kontext werden regelmäßig Lösegelder erpresst.
Außerdem wurde im Zuge des Kriegsgeschehens das Phänomen des sog. Hacktivismus offensichtlich. Dabei handelt es sich um Aktivisten, die für eine der beiden Seiten Partei ergriffen und durch Hacking die andere Seite benachteiligt haben. Beispielsweise wurde ein russischer Ölkonzern durch einen Angriff des Hackerkollektivs Anonymous zur zeitweisen Einstellung seiner Dienstleistungen gezwungen. Zukünftig wird hier aus strafrechtlicher Perspektive spannend sein, ob und inwiefern Rechtfertigungsgründe für die Angriffe zugunsten der einen oder der jeweils anderen Seite angewendet werden können.
Erforderliche Maßnahmen für Unternehmen
Aus der sich verstärkenden Bedrohungslage werden zusätzliche Schutzmaßnahmen gegenüber Cyberangriffen und technischen Störungen erforderlich.
Betreiber kritischer Strukturen müssen zur Umsetzung ihrer rechtlichen Verpflichtung aus § 8a Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen zur Vermeidung treffen. Das erfolgt regelmäßig durch die Implementierung von IT-Compliance-Maßnahmen. Die Tauglichkeit einer Maßnahme ist hier – je nach Einzelfall – unter Berücksichtigung des sektorspezifischen Risikos festzustellen.
Als taugliche Maßnahmen kommen zum beispielsweise Schulungen der MitarbeiterInnen, die Aufstellung von Verhaltenskodizes oder die Implementierung von technischen Schutz- und Früherkennungssystem in Betracht.
Das IT-Sicherheitsgesetz 2.0 vom 28. Mai 2021 hat die erforderlichen IT-Compliance-Maßnahmen nunmehr erweitert. Mit Wirkung zum 1. Mai 2023 ist auch der Einsatz von Systemen zur Angriffserkennung für Betreiber Kritischer Infrastrukturen verpflichtend (vgl. § 8a Abs. 1a BSIG). Insgesamt konnte der Bericht IT-Compliance-Mängel in den Kritis-Sektoren der Ernährung, der Energie, des Finanz- und Versicherungswesens, der Gesundheit sowie der Informationstechnik und der Telekommunikation feststellen.
Gleichzeitig haben Unternehmen ein erhebliches Interesse daran, dass ihre IT-Infrastruktur möglichst sicher ausgestaltet wird. Denn es können nicht nur mit den erpressten Lösegeldern existenzgefährdende Liquiditätslagen verursacht werden. Es besteht das Risiko, dass besonders sensible Kerngeschäftsgeheimnisse abgeschöpft und weiterverwertet werden.
Das marktseitige Problembewusstsein für Cyberattacken und Cybercrime ist ausweislich der Erkenntnisse des BSI und einer Studie des BMWI (Bundesministeriums für Wirtschaft und Energie – jetzt Kilmaschutz) nur gering ausgeprägt. Dadurch wird das potentielle Risiko, Opfer von Cyberattacken zu werden, stark unterschätzt.
Deshalb ist zu empfehlen, dass grundsätzlich jedes Unternehmen – sei es KMU, Start-Ups oder Konzerne – das eigene Risiko untersuchen lässt und anhand dieser Risikoanalyse geeignete IT-Compliance-Maßnahmen implementiert werden. Mangelhafte Compliance-Maßnahmen können unter anderem dazu führen, dass die Qualifikation als schützenswertes Geschäftsgeheimnis entfällt (vgl. § 2 Nr. 1 lit. b GeschGehG).
Gleichzeitig sollte im Ernstfall die Rechtsabteilung oder externe rechtliche Berater hinzugezogen werden, um den unternehmensseitigen Schaden durch den Cyberangriff zu minimieren. Hierbei befindet sich das Unternehmen – je nach Sachverhaltskonstellation – in einer Dilemmasituation der zwischen Zahlung des Lösegeldes und mitschwingender Sanktionsrisiken und der Einschaltung von Strafverfolgungsbehörden samt möglicher Risiken durch eine Veröffentlichung sensibler Geschäftsgeheimnisse. Ein sorgfältig geplantes Vorgehen ist in diesen Fällen unerlässlich.
Somit wird deutlich, dass die Thematik IT-Compliance längst nicht mehr zum Randbereich zählt, sondern in den Fokus jeden Unternehmens rücken muss.
Dieser Artikel ist Teil des Themenschwerpunkts "Cybersecurity"