Kategorien

„Präventive Maßnahmen gegen Ransomware-Attacken sind unerlässlich“

Nadine Neumeier
„Die Reaktion des Unternehmens im Fall einer Ransomware-Attacke sollte juristisch eng begleitet werden.“ | Nadine Neumeier

Hacker haben hunderte Unternehmen mit Erpressungssoftware angegriffen. Weltweit ist es zu IT-Störungen gekommen. Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen sind Opfer von Verschlüsselungstrojanern, sogenannter Ransomware, geworden – auch in Deutschland. Was Unternehmen in rechtlicher Hinsicht bei Ransomware-Attacken wissen müssen, erklärt Rechtsanwältin Nadine Neumeier, LL.M., Expertin für Informationstechnologierecht bei Dentons, Frankfurt am Main.

DB: Frau Neumeier, worum handelt es sich bei Ransomware-Attacken eigentlich?

Neumeier: Ransomware-Attacken erfolgen durch Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Entschlüsselung bzw. Freigabe der Daten und Systeme wird dann ein Lösegeld (englisch: Ransom) verlangt. Betroffen sind insbesondere Unternehmen, Regierungen und öffentliche Einrichtungen, aber auch Privatpersonen können Opfer werden. Ransomware ist mittlerweile als Open Source-Programm und auch als „Ransomware as a Service“ verfügbar.

DB: Das klingt bedrohlich. Können Sie uns von einigen prominenten Beispielen in der Vergangenheit berichten? Was ist passiert?

Neumeier: Spätestens seit der Ransomware-Attacke auf die amerikanische Colonial Pipeline – der größten Benzin-Pipeline der USA – ist Ransomware den meisten Menschen ein Begriff. Der Betrieb der Pipeline musste in Folge der Attacke zeitweise komplett eingestellt werden. Dies hatte unter anderem Benzin-Versorgungsengpässe im Osten der USA und Hamsterkäufe an Tankstellen zur Folge.

Erst kürzlich hatte eine Ransomware-Attacke auf einen amerikanischen IT-Dienstleister weltweite Auswirkungen. Unmittelbar wendete sich die Attacke der Hackergruppe „REvil“ gegen den IT-Dienstleister „Kaseya“. REvil verschlüsselte Daten von Kaseyas Kunden. Zu diesen gehören z.T. weltweit operierende IT-Unternehmen. Neben den Kunden von Kaseya waren auch die Kunden der Kunden betroffen. Kaseya stoppte daraufhin vorläufig seinen Cloud-Service und warnte seine Kunden.

Anfang Juli 2021 führte ein Hackerangriff in Anhalt-Bitterfeld dazu, dass Teile der Verwaltung lahmgelegt wurden. Auch hier wird ein Erpressungsversuch vermutet. Der Vorfall hat den ersten Cyber-Katastrophenfall in Deutschland ausgelöst.

DB: Ihre Auflistung zeigt, dass solche Attacken wirklich jedes Unternehmen und jede Branchen treffen können. Welche Möglichkeiten haben Unternehmen, sich aus rechtlicher Sicht auf Ransomware-Attacken vorzubereiten?

Neumeier: Aufgrund der erheblichen Geschäftsausfalls- und Haftungsrisiken sind präventive Maßnahmen gegen Ransomware-Attacken unerlässlich. Maßnahmen beinhalten insbesondere technische und organisatorische Cyber-Sicherheitsmaßnahmen. Die Wahl und Implementierung dieser Sicherheitsmaßnahmen, insbesondere in die Cyber-Sicherheits-Richtlinien und Abläufe, erfolgt jedoch auch auf Basis der rechtlichen Anforderungen und Pflichten.

Das Recht der Cyber-Sicherheit ist nicht zentral geregelt ist. Die Anforderungen ergeben sich vielmehr aus unterschiedlichen Regelwerken.

Zentrale Anforderungen finden sich in Deutschland im kürzlich aktualisierten IT-Sicherheitsgesetz (2.0), welches durch Leitlinien, Vorgaben etc., ergänzt wird. Die Anforderungen des deutschen IT-Sicherheitsgesetzes 2.0 sind insbesondere im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geregelt. Das BSIG enthält eine erste Regelung in Bezug auf anwendbare präventive Maßnahmen. Der Anwendungsbereich des Gesetzes bestimmt sich durch die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG und ist sektorial aufgebaut. Bisherige KRITIS-Sektoren beinhalteten Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Neue Sektoren umfassen z. B. Hersteller von IT-Produkten, die in kritischen Infrastrukturen eingesetzt werden oder sogenannte Unternehmen im besonderen öffentlichen Interesse.

Neben dem BSIG finden jedoch eine Vielzahl an anderen rechtlichen Normen Anwendung. Insbesondere in Bezug auf Präventivmaßnahmen gegen Ransomware-Attacken sind die datenschutzrechtlichen Anforderungen zu beachten. Darüber hinaus können Sektor-spezifische Regelwerke zur Anwendung gelangen, beispielsweise das Energiewirtschaftsgesetz, das Atomgesetz, das Telekommunikationsgesetz oder die zweite Zahlungsdienste-Richtlinie (PSD II).

Hilfestellungen in Form von Übersichten und Handreichungen stellt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung.

DB: Gibt es auch arbeitsrechtliche Aspekte?

Neumeier: Ja, auch das Arbeitsrecht spielt im Bereich Cyber-Sicherheit und damit bei der Vermeidung und Bekämpfung von Ransomware-Attacken eine Rolle. Dies betrifft sowohl das individuelle Arbeitsverhältnis als auch die Vorgaben der betrieblichen Mitbestimmung. Im Arbeitsverhältnis sind beispielsweise Handlungspflichten des Arbeitnehmers zur Einhaltung der Cyber-Sicherheits-Richtlinien zu verankern. Bei der Einführung von verpflichtenden Online-Schulungen zu Cyber-Sicherheits-Richtlinien oder dem Einsatz von technischen Abwehrmaßnahmen können sich Fragen der Mitbestimmung des Betriebsrats ergeben.

DB: Was ist aus rechtlicher Sicht zu tun, wenn eine Ransomware-Attacke das Unternehmen trifft?

Neumeier: Die Reaktion des Unternehmens im Fall einer Ransomware-Attacke sollte juristisch eng begleitet werden. So ist etwa die Wahl der Schadensbegrenzungsmaßnahmen – also Lösegeldzahlung, Entschlüsselung oder System- bzw. Datenwiederherstellung – vorab rechtlich zu bewerten. Weiter sollte das Unternehmen die einzelnen Schritte jeweils mit Begründung dokumentieren, um die spätere potentielle Rechtsverfolgung zu ermöglichen.

Zudem können Benachrichtigungspflichten und/oder Meldepflichten bestehen. Nach deutschem Recht können das beispielsweise Informationspflichten nach dem BSIG oder der EU Datenschutzgrundverordnung sein. Auch können Informationspflichten gegenüber Versicherungen und Geschäftspartnern, beispielsweise aus vertraglichen Pflichten, bestehen. Die zuständigen Strafverfolgungsbehörden sollten laut Empfehlung des BSI informiert werden. Dies wird teilweise unterlassen, da die Täter bei Ransomware-Attacken häufig nicht ermittelt werden können.

DB: Bei dem von Ihnen erwähnten Vorfall verlangte die Hackergruppe REvil 70 Millionen US-Dollar für einen Generalschlüssel zu allen betroffenen Computern. Einfach die Lösegeldzahlung zu erfüllen ist keine Option?

Neumeier: Dies ist aus verschiedenen Gesichtspunkten keine zielführende Option, wenngleich dies aus Sicht des betroffenen Unternehmens, dem durch die Blockierung seiner IT-Systeme häufig ein immenser Schaden entsteht, naheliegend sein mag. Insbesondere dann, wenn der Wiederaufbau der Systeme und die Wiederherstellung der Daten unmöglich oder unverhältnismäßig teurer als die Lösegeldzahlung ist, sind Unternehmen geneigt, der Lösegeldforderung nachzukommen.

Dagegen spricht jedoch, dass die Lösegeldzahlung keine Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme ist. Umfragen zufolge werden in nur ungefähr 51 % aller Fälle, in denen Unternehmen das Lösegeld zahlen, die Daten auch tatsächlich wieder erfolgreich entschlüsselt. Weiter spricht dagegen, dass die Lösegeldzahlung im Einzelfall rechtswidrig oder strafbewehrt sein kann. Geldwäschetatbestände, die bei Lösegeldzahlungen über das Darknet virulent werden können, sind zum Beispiel zu vermeiden. Auch können sich Lösegeldzahlungen aufgrund von vertraglichen Verpflichtungen gegenüber Zulieferern oder Kunden verbieten. Die Unternehmensführung sollte diese Aspekte in jedem Fall rechtlich bewerten lassen bevor das Lösegeld gezahlt wird.

DB: Vielen Dank für das spannende Interview!

Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.


Top