Cybersecurity: Warum eine Verschärfung der Vorschriften notwendig ist
Ein Gastbeitrag von Mona Wrobel, Senior Associate bei Taylor Wessing
Mona Wrobel ist Mitglied unserer Practice Area Technology, Media & Telecoms (TMT). Ihre Beratungsschwerpunkte liegen im IT-Vertragsrecht, Datenschutzrecht und E-Commerce.
In den letzten Jahren haben Cyberangriffe deutlich zugenommen. Die organisierte Kriminalität breitet sich schleichend über das Internet aus. Seit 2009 ist die Internetkriminalität angeblich lukrativer als der Drogenhandel. Auch Deutschland erlebt eine Professionalisierung, Industrialisierung und Internationalisierung von Cyberangriffen. Bereits im Zuge der Corona-Pandemie wurde in Deutschland eine erhöhte Bedrohung für die Cybersicherheit in Unternehmen festgestellt. Das wachsende Risiko von Cyberangriffen wird insbesondere durch die Unerfahrenheit vieler Unternehmen und Mitarbeiter im Umgang mit neuen Technologien in Zeiten von vermehrter Heimarbeit, erhöhtem Zeitdruck und der fehlenden oder langsamen Implementierung von Sicherheitslösungen verursacht. Zurzeit mehren sich Berichte über russische Hacker-Angriffe im Zusammenhang mit den aktuellen Geschehnissen rund um die Krieg in der Ukraine.
Jeder mit Laptop und Internetzugang stellt heute eine potenzielle Bedrohung dar
Eine zunehmend angewendete Angriffsmethode sind die sogenannten "Ransomware-Angriffe", bei denen Angreifer in die Systeme eindringen, Dateien auf dem Server verschlüsseln und anschließend ein Lösegeld fordern. Das betroffene Unternehmen kann daraufhin nicht mehr auf seine Daten zugreifen und ist in vielen Fällen handlungsunfähig. Unternehmen, die über Sicherungskopien ihrer Daten verfügen, können sich in solchen Momenten glücklich schätzen. In der Regel drohen die Angreifer mit der Veröffentlichung sensibler Informationen, zu denen sowohl Betriebsgeheimnisse als auch Kundendaten gehören können.
Zunächst brauchen die Angreifer Zugang zu den Systemen, die sie angreifen wollen. Dieser Zugang wird häufig von legitimen Nutzern gewährt, die sich ihrer wesentlichen Rolle bei diesen Angriffen nicht bewusst sind: Jeder zweite Haushalt besitzt ein Tablet und 94 Prozent aller Haushalte haben Zugang zum Internet. Jedes dieser Geräte stellt ein potenzielles Sicherheitsrisiko dar, z.B. wenn es für die Fernarbeit genutzt wird. Wenn bspw. Phishing-E-Mails verwendet werden und Mitarbeiter auf einen Link klicken, installieren sie versehentlich Schadsoftware, ohne sich des Ausmaßes ihrer Aktion bewusst zu sein. In der Regel sind sich auch die Unternehmen nicht bewusst, dass sich die Schadsoftware auf ihrem Server befindet, während die Hacker die eingebaute Sicherheitslücke bereits ausnutzen. In vielen Fällen werden die Angreifer erst einige Monate später, nach einer Untersuchung der IT-Umgebung, der relevanten Personen und der Kommunikationsgewohnheiten aktiv.
Wenn Cyber-Angriffe auf das Gesetz treffen
Cyber-Angriffe führen in der Regel dazu, dass Systeme beschädigt oder Informationen gestohlen werden. In vielen Fällen führen sie zu Systemausfällen, zum Verlust von Daten und zu hohen Kosten für die Beseitigung der Folgen des Angriffs. Um das Problem zu beheben, müssen Unternehmen oft die IT-Infrastruktur vom Netz nehmen, um weitere Bedrohungen abzuwehren. Cyber-Angriffe lösen Meldepflichten gegenüber Behörden, Interessengruppen oder natürlichen Personen aus.
Trotz der wachsenden Bedrohung durch Cyber-Kriminalität gibt es in Deutschland kein explizites Cyber-Sicherheitsgesetz, das spezifische Regelungen zu Cyber-Angriffen trifft. Stattdessen gibt es eine Vielzahl unterschiedlicher gesetzlicher Regelungen zur Cybersicherheit, z.B. für Banken oder Versicherungen, sowie Anforderungen an Betreiber kritischer Infrastrukturen, oder Regelungen, die aus dem Kartell- oder Datenschutzrecht kommen. Das übergeordnete Ziel dieser cyberbezogenen Vorschriften ist es, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen durch die Implementierung von Sicherheitsmaßnahmen nach dem Stand der Technik unter Berücksichtigung der Kosten zu vermeiden. Unternehmen haben damit einen Ermessensspielraum – und die Herausforderung – das angemessene Schutzniveau für ein sich ständig änderndes Ziel zu bestimmen. Diese Flexibilität ist auch notwendig. Bedrohungen durch Cyberkriminalität entwickeln sich ständig weiter und die Vorfälle variieren in ihrer Art und Schwere.
Im Fokus des öffentlichen IT-Sicherheitsrechts steht die Absicherung kritischer Infrastrukturen (KRITIS-Sektoren), wie z.B. Energieversorger, Telekommunikationsanbieter, Transport- und Verkehrsanbieter oder Unternehmen, die Dienstleistungen von bestimmter Bedeutung in den Bereichen Gesundheit, Wasser, Ernährung, Finanzen und Versicherungen erbringen. Zu diesem Zweck sind Betreiber aus KRITIS-Sektoren verpflichtet, geeignete – und in einigen Fällen speziell vorgeschriebene – Maßnahmen zur Sicherung ihrer IT-Infrastruktur zu ergreifen.
Mit dem im Mai 2021 in Kraft getretenen IT-Sicherheitsgesetz 2.0 überarbeitet der deutsche Gesetzgeber zahlreiche Gesetze zur Verbesserung der IT-Sicherheit. Das Gesetz soll die rechtliche Grundlage für die Cyber-Sicherheitsstrategie der Bundesregierung schaffen und die IT-Sicherheit in Deutschland verbessern. Im Kern soll das IT-Sicherheitsgesetz 2.0 insbesondere die Rolle des Bundesamt für Sicherheit in der Informationstechnik (BSI) stärken, die Pflichten für Betreiber kritischer Infrastrukturen und anderer Unternehmen im besonderen öffentlichen Interesse erweitern, ein einheitliches IT-Sicherheitszertifikat zum Schutz der Verbraucher einführen und die Schutzfunktion des Staates stärken. Für die Durchsetzung wurde der Bußgeldkatalog komplett überarbeitet und insbesondere die Bußgelder erhöht.
Eine der wichtigsten Änderungen ist die Ausweitung des Geltungsbereichs des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Bestimmte Verpflichtungen werden nun nicht nur Unternehmen auferlegt, die kritische Dienstleistungen erbringen, sondern auch deren Zulieferern, das heißt Herstellern von kritischen Komponenten, um die gesamte Lieferkette zu sichern. Neu eingeführt wird neben den "kritischen Infrastrukturen" die Kategorie "Unternehmen im besonderen öffentlichen Interesse". Darunter fallen Unternehmen, die zwar keine Betreiber kritischer Infrastrukturen sind, aber bestimmte Güter herstellen (z.B. Rüstungshersteller und Hersteller von IT-Produkten zur Verarbeitung von staatlichen Verschlusssachen), oder die zu den größten Unternehmen in Deutschland gehören und damit von erheblicher wirtschaftlicher Bedeutung für Deutschland sind, oder die aufgrund ihrer Alleinstellungsmerkmale als Zulieferer für diese Unternehmen von wesentlicher Bedeutung sind.
Auf die Betreiber kritischer Infrastrukturen kommen darüber hinaus erweiterte Meldepflichten bei Behörden zu. Ab 2023 müssen Betreiber kritischer Infrastrukturen Systeme zur Angriffserkennung installiert haben. Diese müssen kontinuierlich automatisch geeignete Parameter und Merkmale aus dem laufenden Betrieb erfassen und auswerten, um Bedrohungen laufend zu erkennen und zu verhindern sowie bei eingetretenen Störungen geeignete Abhilfemaßnahmen zu ergreifen.
Datensicherheitsgesetz – wenn Cybersicherheit und Datenschutz aufeinandertreffen
Bei Vorfällen im Bereich der Cybersicherheit sind die Auswirkungen auf den Datenschutz meist nicht weit entfernt. In den meisten Fällen führen Cyberangriffe auch zu einer Verletzung personenbezogener Daten. Der bloße Zugriff auf personenbezogene Daten von Kunden oder Mitarbeitern durch eine dritte Person (d.h. den Hacker) gilt bereits als Datenschutzverletzung, selbst wenn der Hacker die personenbezogenen Daten, auf die er zugreift, nicht für bestimmte Zwecke nutzt.
Am häufigsten treten Datenschutzverletzungen im Zuge von Ransomware-Angriffen auf, wenn personenbezogene Daten gesperrt werden und/oder Gegenstand von Aktionen im Dark Net sind. Dabei kann es sich um personenbezogene Daten von Mitarbeitern, aber auch von Lieferanten und Kunden handeln. Eine solche Verletzung des Schutzes personenbezogener Daten löst Benachrichtigungs-, Informations- und Dokumentationspflichten für das betroffene Unternehmen aus. Sobald ein Unternehmen von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, sollte es die Aufsichtsbehörde unverzüglich und innerhalb der 72-Stunden-Frist der Datenschutz-Grundverordnung (DSGVO) über die Verletzung des Schutzes personenbezogener Daten informieren. Kann eine solche Meldung nicht innerhalb von 72 Stunden erfolgen, sollten der Meldung die Gründe für die Verzögerung beigefügt werden. Manchmal ist ein Unternehmen, das von einem Cyberangriff betroffen ist, nicht in der Lage, sofort zu erkennen, ob beispielsweise gesperrte Daten möglicherweise personenbezogene Daten enthalten. Dennoch wird eine Benachrichtigung "für den Fall der Fälle" empfohlen, und es können weitere Informationen nachgereicht werden.
Im Nachhinein betrachtet hätten einige der Risiken, die sich aus Cyber-Angriffen ergeben, von den Unternehmen verhindert werden können, wenn vorsorgliche Maßnahmen zum Datenschutz ergriffen worden wären. Zu diesen Aspekten der Datensicherheit gehören z.B. die Implementierung datenschutzfreundlicher Voreinstellungen oder die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen.
Ausblick
Die Bedrohungen für die IT-Sicherheit in Deutschland nehmen zu. Deutschland hat darauf mit einer weiteren Verschärfung der Vorschriften zur IT-Sicherheit für Betreiber kritischer Infrastrukturen und andere besondere Unternehmen reagiert. Darüber hinaus plant die neue Bundesregierung in Deutschland, Hersteller für Schäden haftbar zu machen, die fahrlässig durch IT-Sicherheitslücken ihrer Produkte verursacht wurden, und ein neues Verschlüsselungsrecht für die verschlüsselte Kommunikation mit Behörden einzuführen. All dies soll die Abwehrmaßnahmen gegen die Cyber-Kriminalität stärken, die die Nemesis des Digitalisierungsprozesses zu sein scheint.