Wenn die Hacker angreifen

IT-Si­cher­heit als neue Her­aus­for­de­rung für Vor­stand und Auf­sichts­rat

30. Mai 2018

Gastbeitrag von Dr. Natalie Daghles

IT-Si­cher­heit ist ein zen­tra­les Ri­si­ko für vie­le Ge­schäfts­mo­del­le. Bei­spie­le für spek­ta­ku­lä­re Ha­cker­an­grif­fe gibt es vie­le. Ne­ben po­li­tisch mo­ti­vier­ten An­grif­fen wie jüngst auf das Da­ten­netz­werk des Bun­des, sind im wirt­schaft­li­chen Be­reich eben­falls im­mer häu­fi­ger emp­find­li­che At­ta­cken zu ver­zeich­nen. Vor ei­nem Jahr wur­den über 230000 Rech­ner in 150 Län­dern durch Wan­na­Cry in­fi­ziert, ei­ner Schad­soft­ware zur di­gi­ta­len Er­pres­sung. Der­ar­ti­ge Schad­soft­ware sperrt den Zu­griff oder ver­schlüs­selt Da­ten, so dass die Zah­lung ei­nes Lö­se­gelds – in Form ei­ner In­ter­net­wäh­rung wie zum Bei­spiel Bit­co­ins – er­presst wer­den kann. Ha­cker­an­grif­fe tref­fen Dax-Kon­zer­ne eben­so wie mit­tel­stän­di­sche oder klei­ne Un­ter­neh­men. Der Ge­samt­scha­den für die deut­sche Wirt­schaft durch der­ar­ti­ge An­grif­fe wird auf jähr­lich 50 Mil­li­ar­den Eu­ro ge­schätzt.

Was be­deu­tet die­se Ri­si­ko­land­schaft für Vor­stand und Auf­sichts­rat? Ak­ti­en­recht­lich sind Vor­stän­de ver­pflich­tet, die Sorg­falt ei­nes or­dent­li­chen und ge­wis­sen­haf­ten Ge­schäfts­lei­ters an­zu­wen­den. Sie sind ver­ant­wort­lich für die Ri­si­ko­er­fas­sung und ha­ben ge­eig­ne­te Ri­si­ko­kon­troll­sys­te­me im Un­ter­neh­men zu eta­blie­ren. Ver­let­zen sie ih­re Pflich­ten, sind sie dem Un­ter­neh­men per­sön­lich zum Er­satz des dar­aus ent­ste­hen­den Scha­dens ver­pflich­tet. Der Auf­sichts­rat muss die­se Pflicht­er­fül­lung über­wa­chen. Dem­zu­fol­ge kann ei­ne per­sön­li­che Haf­tung dro­hen, wenn der Vor­stand Ri­si­ken nicht an­ge­mes­sen be­geg­net und dem Un­ter­neh­men ein Scha­den ent­steht. Es ist rat­sam, Sys­te­me zur IT-Si­cher­heit im Un­ter­neh­men auch vor dem Hin­ter­grund des Pflich­ten­ka­ta­logs ent­spre­chend zu va­li­die­ren.

Ein Ha­cker­an­griff kann auf die Aus­spä­hung von im Un­ter­neh­men be­find­li­chen Da­ten ge­rich­tet sein. Die Si­che­rung der per­so­nen­be­zo­ge­nen Da­ten im Un­ter­neh­men ist so­mit erst recht nach In­kraft­tre­ten der Da­ten­schutz­grund­ver­ord­nung ent­schei­dend. Ver­stö­ße ge­gen die neu­en Vor­ga­ben zum Schutz von per­so­nen­be­zo­ge­nen Da­ten kön­nen emp­find­lich sank­tio­niert wer­den. Es dro­hen Geld­bu­ßen bis zu 20 Mil­lio­nen Eu­ro be­zie­hungs­wei­se vier Pro­zent des ge­sam­ten welt­weit er­ziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Ge­schäfts­jah­res, je nach­dem, wel­cher der Be­trä­ge hö­her ist. Vor dem Hin­ter­grund der vor­an­schrei­ten­den Di­gi­ta­li­sie­rung er­ge­ben sich au­ßer­dem neue Ge­fah­ren und Ein­falls­to­re für Ha­cker­an­grif­fe. Die Di­gi­ta­li­sie­rung wird in Un­ter­neh­men zur Ef­fi­zi­enz­stei­ge­rung ein­ge­setzt oder Grund­la­ge völ­lig neu­er Ge­schäfts­mo­del­le. Es er­folgt da­bei re­gel­mä­ßig ei­ne Ver­la­ge­rung der Wert­schöp­fung in den vir­tu­el­len Raum. In der Welt ei­nes In­ter­net of Things, in der di­gi­ta­le Tech­no­lo­gi­en ent­lang der ge­sam­ten Wert­schöp­fungs­ket­te ver­knüpft sind, dro­hen so­mit di­rek­te Fremd­ein­grif­fe in die Pro­zes­se und Pro­duk­ti­ons­ab­läu­fe.

Vor­stand und Auf­sichts­rat sind da­her ge­hal­ten, sich mit den Kom­ple­xi­tä­ten der IT-Si­cher­heit in ih­rem Un­ter­neh­men im De­tail ver­traut zu ma­chen. Sie müs­sen Maß­nah­men ver­an­las­sen, die ein an­ge­mes­se­nes Schutz­ni­veau ge­währ­leis­ten. Im Kon­text von Di­gi­ta­li­sie­rungs­pro­zes­sen im Un­ter­neh­men ist die Si­cher­heits­stra­te­gie fort­lau­fend zu über­prü­fen und ge­ge­be­nen­falls an­zu­pas­sen. Die Be­stim­mung der je­weils er­for­der­li­chen Maß­nah­men be­darf ei­ner in­di­vi­du­el­len Ri­si­ko­ana­ly­se. Das meint ei­ne Über­prü­fung, zu­ge­schnit­ten auf das Un­ter­neh­men mit sei­nen An­for­de­run­gen an IT-Si­cher­heit, sei­ne Bran­che, sei­ne Grö­ße, die an­fal­len­de Da­ten­men­ge. Zu den Ein­zel­hei­ten gibt es kei­ne all­ge­mein­gül­ti­gen ge­setz­li­chen Vor­ga­ben. Klei­ne­re und mitt­le­re Un­ter­neh­men kön­nen den IT-Grund­schutz-Ka­ta­log des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik als Aus­gangs­punkt ei­ge­ner Maß­nah­men­ka­ta­lo­ge her­an­zie­hen. Der Vor­stand muss zu­dem Pro­zes­se ein­füh­ren, die im Fall ei­nes Ha­cker­an­griffs et­wai­ge Schä­den mög­lichst ein­gren­zen.

Um po­ten­ti­el­le Schä­den auf­zu­fan­gen, bie­ten ver­schie­de­ne Ver­si­che­run­gen Cy­ber-Po­li­cen für Un­ter­neh­men an. Eben­so gibt es Ma­na­ger­ver­si­che­run­gen, die po­ten­ti­el­le Vor­stands- oder Auf­sichts­rats­haf­tung im Zu­sam­men­hang mit IT-Si­cher­heits­as­pek­ten ab­de­cken sol­len. Ei­nes ist da­her an­ge­sichts der dy­na­mi­schen IT-Ent­wick­lung si­cher: Mit der vor­an­schrei­ten­den Di­gi­ta­li­sie­rung wird das The­ma wei­ter er­heb­lich an Be­deu­tung ge­win­nen.
 

 

 
 
Hinweis: Wir freuen uns über Ihr Interesse an Latham& Watkins. Falls sich dieses auf eine Rechtssache bezieht und Sie nicht bereits ein gegenwärtiger Mandant der Kanzlei sind, bitten wir darum, uns noch keine vertraulichen Informationen zu übermitteln. Bevor wir ein Mandat annehmen können, müssen wir prüfen, ob die Mandatsübernahme zulässig ist, und die dafür geltenden Bedingungen vereinbaren. Bevor dies nicht geschehen ist, wird keine Mandatsbeziehung begründet und es besteht daher auch keine Vertraulichkeitsverpflichtung hinsichtlich der von Ihnen möglicherweise übermittelten Informationen. Wir bedanken uns für Ihr Verständnis.