Cyberangriff: Wer kommt für den Schaden auf? | Recht

Dr. Florian Weichselgärtner
Rechtsanwalt, ADVANT Beiten München

Cyberangriff: Wer kommt für den Schaden auf? — Bild: MEV Agency UG

Unternehmen sind zunehmend Ziel von Cyberangriffen. Die Folgen sind gravierend. Während der Cyberangriff nach wenigen Tagen vorbei ist, dauert die Aufarbeitung meist Jahre. Sicherheitslücken werden analysiert, Schäden bei Versicherern und Verantwortlichen regressiert – ein oft mühsamer Prozess.

Cyberangriffe ähneln häufig einem Krimi. Unbekannte Täter verschaffen sich Zugriff auf das IT-System des Unternehmens. Meist beginnt der Cyberangriff am späten Freitagnachmittag, wenn die Mitarbeiter das Büro verlassen. Erste schadhafte Software-Programme installieren sich. Der Cyberangriff nimmt langsam an Fahrt auf. Über Phishing werden vertrauliche Daten gestohlen. Über Ransomware und DDoS-Angriffe werden die IT-Strukturen des Unternehmens lahmgelegt.

Was dann folgt, wird von betroffenen Unternehmen und deren Geschäftsleitern meist als die größte Herausforderung und Krise der Unternehmensgeschichte beschrieben. Mangels funktionierender IT-Strukturen kommt der Geschäftsbetrieb des Unternehmens häufig zum Erliegen. Während die IT-Abteilung unter Hochdruck gegen den Hackerangriff kämpft, versuchen die operativen Einheiten, den Geschäftsbetrieb unter widrigsten Umständen aufrechtzuerhalten. Kommunikation erfolgt vorübergehend nur noch über private Handys und E-Mail-Adressen.

Ein geordneter Geschäftsbetrieb ist unter diesen Umständen größtenteils nicht mehr möglich. Die Geschäftsleitung hat in dieser Zeit beinahe im Sekundentakt Entscheidungen mit weitreichenden Folgen zu treffen. Fristgerechte Meldungen gegenüber Datenschutzbehörden sind zu erledigen. Das Unternehmen steht in engem Austausch mit den Behörden, zum Beispiel dem Bundeskriminalamt. Externe Berater müssen kurzfristig beauftragt und koordiniert werden. An allen Stellen sind – meist sehr kurzfristig – Brandherde zu löschen. Sowohl Geschäftsleiter als auch Mitarbeiter agieren am Limit des Leistbaren.

Aufarbeitung des Cyberangriffs – eine Zerreißprobe

Ist der Hackerangriff vorbei, beginnen die Aufräumarbeiten. Während der Angriff selbst meist nur wenige Stunden oder Tage dauert, benötigt die Wiederherstellung der IT-Systeme meist Wochen. Erste Ursachenanalysen erfolgen und Sicherheitslücken werden geschlossen. Die juristische Aufarbeitung des Cyberangriffes und dessen Folgen dauert hingegen meist Jahre. Sie wird aufgrund der finanziellen Belastung und wegen interner Schuldzuweisungen oftmals zur Zerreißprobe für das Unternehmen.

Die Suche nach Kompensation – Wer kommt für die Schäden auf?

Mit dem Cyberangriff gehen meist erhebliche finanzielle Schäden in Form von Umsatzverlusten und Kosten für die Systemwiederherstellung sowie die Krisenberatung einher. Die Angriffe führen auch häufig zu Betriebsunterbrechungen, aus welchen nicht nur eigene Umsatzverluste, sondern regelmäßig auch hohe Schadenersatzforderungen von Kunden resultieren. Schäden im zweistelligen Millionenbetrag sind nicht selten, sondern eher der Regelfall.

Angesichts der hohen Schadenssummen steht für das geschädigte Unternehmen im Rahmen der Aufarbeitung vor allem die Kompensation der erlittenen Schäden im Vordergrund. Das Unternehmen beschäftigt sich intensiv mit der Frage, wer für diese Schäden aufzukommen hat. Nachdem die Täter in aller Regel nicht greifbar sind, wird der Schaden zunächst beim eigenen Cyberversicherer geltend gemacht – soweit überhaupt vorhanden. Häufig ist die Versicherungssumme der Cyberversicherung nicht ausreichend, sodass weitere Regressmöglichen gesucht werden.

Sicherheitslücken und Organisationsdefizite werden identifiziert. Innerhalb des Unternehmens stellt man sich die typischen Fragen: Wie konnte es zu dem Vorfall kommen? Wer ist hierfür verantwortlich? War die IT-Infrastruktur ausreichend? Gibt es Organisationsdefizite? Der Cyberversicherungsfall weitet sich plötzlich zu weiteren Haftungs- und Versicherungsfällen aus.

Verträge mit externen IT-Dienstleistern werden auf etwaige Pflichtverletzungen geprüft. Bei der Geschäftsleitung wird kritisch hinterfragt, ob das Unternehmen im Hinblick auf Cybersicherheit ordentlich organisiert und ausgestattet war. Der Cyberversicherungsfall ist plötzlich auch ein D&O-Versicherungsfall. Ähnliche Fragen stellen sich auch die beteiligten Versicherer, wobei dort der Fokus der Prüfung vor allem auf der Einhaltung von versicherungsrechtlichen Obliegenheiten und häufig gesondert vereinbarten IT-Sicherheitsmaßnahmen liegt.

Juristisches Tauziehen mit ungewissem Ausgang

Ein juristisches Tauziehen sämtlicher Beteiligter beginnt. Das Unternehmen tritt in – oftmals sehr langwierige – Regulierungsgespräche mit den Versicherern ein. Gegenüber potenziellen Haftungsschuldnern werden – auch zur Sicherung etwaiger Regressansprüche nach Paragraf 86 Versicherungsvertragsgesetz – Schadenersatzansprüche geltend gemacht.

Parallel hierzu hat das Unternehmen meist Schadenersatzforderungen von Kunden auf deren Berechtigung zu prüfen und sich hiergegen zu verteidigen. Das Unternehmen schlittert in Gerichtsverfahren mit häufig ungewissem Ausgang. Ursächlich ist hierfür unter anderem die bislang kaum existierende Rechtsprechung. Gerade das Zusammenspiel der verschiedenen Versicherungsarten und Regressgegner macht Cyberschäden in der Abwicklung sehr herausfordernd.

Fazit

Cyberangriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe. Sie können aufgrund der finanziellen Folgen und aufgrund interner Schuldzuweisung für das betroffene Unternehmen eine echte Bestandsprüfung darstellen, insbesondere, wenn das Unternehmen nicht über ausreichenden Versicherungsschutz verfügt. Zu einer Verbesserung der Cybersicherheitsstandards innerhalb der EU soll die NIS2-Richtlinie beitragen. Es bleibt nur zu hoffen, dass die Umsetzung dieser Richtlinie den gewünschten präventiven Effekt entfaltet und nicht nur zu einer verschärften Geschäftsleiterhaftung führt.