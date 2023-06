Düsseldorf Rund 40 Terabyte Daten des Dax-Konzerns Continental fielen im Sommer 2022 in die Hände von Cyberkriminellen. Einen Monat lang hielt sich die Erpressergruppe Lockbit unentdeckt im internen Netz des Automobilzulieferers auf und erbeutete vertrauliche Informationen von vielen Tausend aktiver sowie ehemaliger Mitarbeiter und Kunden des Autozulieferers.

Bis heute arbeitet der Konzern den Datenklau auf. Mehr als 300 Beschäftigte und ein Team der Wirtschaftsprüfungsgesellschaft KPMG sind mit dem Fall beschäftigt.

Der Fall Conti ist der wohl größte Datendiebstahl in der deutschen Wirtschaftsgeschichte. Doch wie dem Konzern erging es zuletzt zahlreichen namhaften Adressen der deutschen Wirtschaft: Evotec, Rheinmetall, Thyssen-Krupp, T-Mobile, Hipp oder Metro traf es allein in den vergangenen zwölf Monaten.

„Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie,“ fasste Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Situation im Lagebericht für das Jahr 2022 zusammen.

Bei den auf IT-Recht und Datenschutz spezialisierten Anwälten sorgt diese Entwicklung für eine Sonderkonjunktur. „Cyberkriminalität hat vor allem in den vergangenen knapp zwei, drei Jahren extrem zugenommen“, berichtet Eren Basar, auf IT- und Datenschutzstrafrecht spezialisierter Partner in der Düsseldorfer Kanzlei Wessing & Partner. „Die Coronapandemie hat dabei wie ein Brandbeschleuniger gewirkt“, so Basar.

Sie habe in der globalisierten Arbeitswelt für einen Schub in der Digitalisierung gesorgt und Hackern immer mehr Einfallstore geöffnet, nicht zuletzt über schlecht geschützte Homeoffice-Netzwerke. „Unternehmen sind verletzlicher geworden, denn das Management von Sicherheit ist nicht in gleichem Maße mitgewachsen“, meint Basar, der für einen ausgebildeten Cyber-Vorstand im Management plädiert.

Kriminelle Energie nimmt zu

Denn die Angreifer agieren immer professioneller. „Es hat sich eine regelrechte Industrie gebildet, mit Kriminellen, die ihre Schadsoftware zur Nutzung für Cyberangriffe durch Dritte im Internet anbieten“, beobachtet der Datenschutzexperte Flemming Moos, Partner im Hamburger Büro der Kanzlei Osborne Clarke. „Sie operieren weltweit, die Mehrzahl solcher Angriffe kommen aus Russland oder China“, sagt Moos.

Für die Cyber-Verbrecher ist der Datendiebstahl oft lukrativ. Wie im Fall Continental drohen sie damit, die Daten zum Schaden des Unternehmens zu veröffentlichen – wenn nicht eine Millionensumme überwiesen wird. Eine andere Variante ist es, das Firmennetzwerk so lange lahmzulegen, bis eine bestimmte Summe überwiesen wird. Die Geschäfte des Unternehmens sind dann tage- oder wochenlang beeinträchtigt.

Viele Firmen geben schließlich den Forderungen der Erpresser nach, weil sie sonst in existenzielle Not gerieten. Die Dunkelziffer ist hoch, meist erfährt die Öffentlichkeit nichts. Die Zahlungen fließen oft in Form von Kryptowährungen ins Ausland.

Eine andere Variante von Cyberkriminalität ist der CEO-Betrug, auch als „Präsidenten-Betrug“ oder „Business E-Mail Compromise“ bekannt. Die Masche: Betrüger geben vor, der CEO oder ein hochrangiger Manager eines Unternehmens zu sein, um Mitarbeiter dazu zu bringen, etwa für einen kurzfristigen Unternehmenskauf Geld zu überweisen.

Die Täter verwenden häufig gefälschte E-Mails oder gefälschte Identitäten, um glaubwürdig zu erscheinen und die Opfer zu täuschen. Sie spielen auf die Autorität und das Vertrauen der Mitarbeiter, insbesondere in finanziellen Angelegenheiten, und nutzen diese aus, um ihre Ziele zu erreichen. Die Schäden gehen nach Schätzungen der US-Bundespolizei FBI weltweit in die Milliarden.

Bekannte europäische Opfer sind der bayerische Autozulieferer Leoni und der österreichische Flugzeugteilebauer FACC. Sie wurden jeweils um rund 40 Millionen Euro geprellt. Und durch den Einsatz Künstlicher Intelligenz (KI) droht künftig noch mehr Gefahr. Die E-Mail-Attacken dürften noch personalisierter und damit schwerer durchschaubar werden.

Die Chancen der Unternehmen, die Gelder zurückzubekommen, sind gering. „Unternehmen bleibt meist nur noch der Versuch, die Gelder einfrieren zu lassen“, sagt der Düsseldorfer Compliance- und Strafrechtsexperte André Szesny, Partner bei Heuking Kühn Lüer Wojtek. „Die Möglichkeiten dazu gibt es durchaus, oft ist das bei Cyberattacken erpresste Geld aber unwiederbringlich weg“, so Szesny, der regelmäßig mit den Folgen von Cyberattacken befasst ist.

Osborne-Clarke-Anwalt Moos berät nicht nur zahlreiche Unternehmen, bei denen Angriffe stattgefunden haben, sondern auch solche, die sich wappnen wollen. „Vielen ist bewusst, wie groß die Risiken geworden sind. Sie wollen Schwachstellen ausmerzen und für den Fall der Fälle vorbereitet sein“, sagt Moos. Das schwächste Glied in der Sicherheitskette ist dabei das Personal: 82 Prozent der Sicherheitsverletzungen sind laut dem Data Breach Investigations Report 2022 des US-Konzerns Verizon auf einen menschlichen Faktor zurückzuführen.

Vermehrt wollen Mandanten mit sogenannten Table Top Exercises den Ernstfall simulieren. Dabei werden die potenziellen Auswirkungen eines gezielten Cybersecurity-Angriffs demonstriert und Schwachstellen verschiedener Reaktionsmöglichkeiten aufgezeigt. „Es hilft sehr, Mitarbeiterinnen und Mitarbeiter zu sensibilisieren und Abläufe einzustudieren“, sagt Moos.

Strengere rechtliche Vorgaben

Nicht nur die Angriffe werden zahlreicher und heftiger, auch die rechtlichen Vorgaben für Unternehmen haben sich in den letzten Jahren sehr verändert. Vor allem die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor neue Herausforderungen.

Der Gesetzgeber hat Unternehmen verpflichtet, viele Daten ihrer Kunden und Geschäftspartner sorgfältiger zu schützen. Bei Verstößen drohen hohe Bußgelder. Sind sie gravierend, beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.

Datenschutzrechtler Tim Wybitul kommt regelmäßig nach einem Cyberangriff ins Spiel. Der Jurist ist Partner bei Latham & Watkins in Frankfurt und steht Unternehmen bei Datenschutzstreitigkeiten mit Behörden oder vor Gericht bei. Bekannt ist etwa Wybituls Arbeit für den Immobilienkonzern Deutsche Wohnen, für den er 2021 das höchste Bußgeld abwehrte, das Behörden in Deutschland bis dato verhängt hatten.

„Auch nach Cyberangriffen kann noch viel schiefgehen“, weiß er. „Rechtliche Sanktionen drohen nicht nur, wenn die Daten unzureichend geschützt wurden, sondern auch, wenn das Unternehmen anschließend darüber nicht richtig kommuniziert“, so Wybitul. Erfahren Unternehmen von Verletzungen des Schutzes personenbezogener Daten, müssen sie dies den Datenschutzaufsichtsbehörden melden – es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen.

„Das Unternehmen muss die zuständige Behörde unverzüglich und möglichst innerhalb von 72 Stunden informieren“, erläutert Wybitul. Hält sich ein Unternehmen nicht daran, drohen auch dafür hohe Bußgelder.

Höhere Anforderungen an Anwälte

Daher sollte es detaillierte Pläne für die Reaktion auf den Ernstfall geben. „Die Notfallpläne sollten dabei konkrete Aufgaben- und Rollenverteilungen zur Aufklärung und Dokumentation des Vorfalls und zur Schadenminimierung vorsehen, aber auch zur Kommunikation gegenüber Behörden, Betroffenen, Geschäftspartnern und Beschäftigten“, so Wybitul. Verantwortlich für den Datenschutz und die Meldung von Verstößen sind der Geschäftsführer oder Vorstand und nicht der Datenschutzbeauftragte.

Die Kanzleien haben auf die Entwicklungen reagiert. Sie stehen den Unternehmen in Fragen von Cyberkriminalität mit Teams zur Seite, die verschiedene Qualifikationen mitbringen. „Neben IT-und Datenschutzexperten sowie Strafrechtlern binden wir auch Gesellschaftsrechtler ein, denn die Haftungsrisiken für Vorstände sind gestiegen“, sagt Heuking-Partner Szesny.

Wer im IT- und Datenschutz beraten wolle, müsse nicht nur juristisches, sondern auch technisches Know-how mitbringen, sagt Wessing-Partner Eren Basar: „Die Beratung zu Cyberthemen erfordert viel mehr als das die Beherrschung des rechtlichen Handwerks. Anwälte müssen sich laufend mit den IT-Tool und deren Optimierung zum Nutzen des Mandanten beschäftigen.“

Ein Risiko für Unternehmen sind auch zivilrechtliche Klagen von Privatpersonen oder Unternehmen, deren Daten nicht ausreichend geschützt wurden. Durch ein Leck beim Onlinebroker Scalable Capital etwa gelangten Unbefugte an hochsensible persönliche Daten. Ende 2021 sprach das Landgericht München I einem Kunden 2500 Euro Schadenersatz zu.

„Hier entwickelt sich gerade eine Klageindustrie. Im Einzelfall geht es meist nur um einige Hundert Euro. Wenn aber viele Tausend Kunden betroffen sind, können insgesamt hohe Summen zusammenkommen“, erklärt Moos. Den Klägern kommt zugute, dass es neue Instrumente wie Massenklagen gibt, die den Aufwand für rechtliche Schritte verringern. Auch Legal-Tech-Firmen senken die Hürden für solche Klagen wegen Verletzungen der Privatsphäre.

Immer häufiger sichern Unternehmen Cyberrisiken durch spezielle Versicherungspolicen ab. Es gibt allerdings einen Haken: Die Deckung ist in aller Regel stark limitiert. Sehr schwerwiegende Cyberunfälle, die große Schäden verursachen, sind meist nur zum Teil abgesichert.

