Digitale Erpressung und Ransomware nicht nur Gefahr für den Datenschutz

NETZKriminalität _ Digitale Erpressung durch Ransomware-Attacken sind für Unternehmen eine zunehmende Gefahr. Die Cyberattacke auf die Universitätsklinik in Düsseldorf, infolge derer eine Patientin verstarb und wo nun auch wegen fahrlässiger Tötung ermittelt wird, hat dies unlängst erneut deutlich gemacht. „Gerade in Zeiten coronabedingt wachsender Digitalisierung haben Erpressungsversuche per Verschlüsselungssoftware extrem zugenommen“, berichtet Matthias Orthwein, Partner bei SKW Schwarz Rechtsanwälte.

„Wir stellen vermehrt fest, dass es nicht genügt, den Blick allein auf den offensichtlich tangierten Datenschutz zu richten. Wichtiger ist es oft, sich den Schaden durch Betriebsunterbrechungen und gegebenenfalls Schadensersatzforderungen durch Kunden und Geschäftspartner wegen der Offenlegung von Geschäftsgeheimnissen anzusehen.“

Ein Unternehmen, dessen IT-Infrastruktur durch Verschlüsselung lahmgelegt ist, ist in der Regel nicht mehr handlungsfähig. „Wenn die Belegschaft ihrer regulären Tätigkeit nicht nachgehen kann, aber weiter Löhne und Gehälter zu zahlen sind, liegt der Gedanke nahe, den Schaden für das Unternehmen über Kurzarbeit und Kurzarbeitergeld abzufedern“, sagt IT-Rechtler Orthwein. Auch wenn zu solchen Anträgen bisher keine gefestigte Entscheidungspraxis der Bundesagentur für Arbeit bekannt sei, stehe die Möglichkeit nach den Buchstaben des Gesetzes zumindest dann offen, wenn das Unternehmen nachweisen kann, dass es sich bei der Verschlüsselungsattacke um ein unabwendbares Ereignis handelt. „Ähnlich wie im Datenschutz wird es darauf ankommen aufzuzeigen, dass die implementierten Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprachen – und dennoch den Cyberangriff nicht verhindern konnten“, so Orthwein.

Darüber hinaus haben viele Unternehmen mit ihren Kunden und Lieferanten Vertraulichkeitsvereinbarungen getroffen oder tauschen mit ihnen Informationen aus, die ein schützenswertes Geschäftsgeheimnis von zum Teil beträchtlichem Wert darstellen. „Während sich die digitalen Erpresser in der Vergangenheit oftmals mit einer Verschlüsselung der Dateien begnügt haben, kommt es aktuell immer mehr zu Attacken, bei denen der Druck auf das Unternehmen zur Zahlung des Lösegeldes dadurch erhöht werden soll, dass paketweise vertrauliche und persönliche Daten im Darknet veröffentlicht werden“, schildert Orthwein. Dann liege es nahe, dass Geschäftspartner kritisch nachfragen, ob das Unternehmen tatsächlich alle vorgeschriebenen IT-Sicherheitsmaßnahmen eingehalten hat. „Lässt sich dies nicht einwandfrei dokumentieren, drohen erhebliche Schadensersatzansprüche“, betont der Leiter des IT- und Datenschutzrechts-Teams von SKW Schwarz.

Zwar lassen sich einige der Schadensrisiken durch eine Cyberversicherung absichern. Das setzt allerdings voraus, dass die Versicherungspolice genau diese Fälle auch abdeckt. Ohnehin greift der Versicherungsschutz nur, wenn sich ein grobes Verschulden des Unternehmens bei der Implementierung seiner IT-Sicherheitsmaßnahmen ausschließen lässt.

Matthias Orthwein rät Unternehmen deshalb dazu, sich um den Stand ihrer IT-Sicherheit verstärkt zu kümmern und dies zu dokumentieren: „IT-Sicherheit gehört als Aufgabe des Risikomanagements und der Compliance zu den unmittelbaren Verantwortlichkeiten der Geschäftsleitung. Nicht nur der Datenschutz, sondern auch die Sorge um die Aufrechterhaltung des Betriebs und die Geheimhaltung von anvertrauten Geschäftsgeheimnissen sollten eine ausreichende Motivation für ein verstärktes Engagement sein.“