Hackerangriff + Schadensersatz: Unternehmen gehackt, was tun?

0

Ein Hackerangriff und Schadensersatz als Folge daraus sind die Horrorvorstellung eines jeden Unternehmens. Alle Daten sind bloßgelegt, der Vorfall lähmt den Betrieb völlig. Dabei gilt in diesem Falle besonders: Vorbeugung wäre besser gewesen, denn wenn Dritte nun Schadensersatz fordern, wird es richtig teuer!

Der Hackerangriff und seine Folgen

Auf dem Computer werden in einem Handelsunternehmen alle Vorgänge gespeichert: Orders bei Lieferanten, Warenbewegungen, Kassendaten, Kontobuchungen, Personalangelegenheiten und Steuerunterlagen, alles für den Betrieb Notwendige ist hier gespeichert. Nach einem Hackerangriff kann womöglich nichts mehr davon verwendet werden. Eventuell wurde auch der Onlineshop getroffen und lahmgelegt. Keine Einnahmen mehr für viele Tage, dafür ein riesiger Schaden, der teilweise in die Millionen gehen kann!

Welche Probleme birgt der Hackerangriff?

Bedingt durch einen Hackerangriff kommt es nicht selten zur völligen Betriebsschließung. Doch auch wenn diese nur übergangsweise erfolgen soll, verursacht sie doch enorme finanzielle Einbußen. Darüber hinaus ist das Vertrauen der Kunden und Geschäftspartner erschüttert, die sich nun ihrerseits Sorgen über die Sicherheit der eigenen Daten machen.

Nun drängt sich die Frage nach der Schuld sowie nach der Haftung auf. Muss das Unternehmen nun die Konsequenzen tragen und Schadensersatz leisten? Generell gilt: Diese Situation hätte sich vermeiden lassen. Eine Einzelhandel-Versicherung umfasst alle wichtigen Module zur Absicherung gegen einen Cyberangriff übernimmt als „Cyber- und Datenrisiken“ die Kosten für die Wiederherstellung der Betriebsfähigkeit sowie für die Bereinigung des Systems.

Neben den oben bereits genannten Problemen kann der Cyberangriff sogar die Insolvenz des bestohlenen Unternehmens nach sich ziehen.  ( Foto: Shutterstock-_Alexander Geiger )

Neben den oben bereits genannten Problemen kann der Cyberangriff sogar die Insolvenz des bestohlenen Unternehmens nach sich ziehen. ( Foto: Shutterstock-_Alexander Geiger )

Wie ist bei einem Cyberangriff zu reagieren?

Niemand sollte versuchen, einen Hackerangriff zu vertuschen. Vielmehr müssen sofort Mitarbeiter, Kunden und Geschäftspartner sowie natürlich die Polizei informiert werden. Außerdem ist direkt eine Überprüfung der IT-Sicherheit anzuordnen, um herauszufinden, ob und wenn ja, welche Daten auch weiterhin nach außen fließen.

Wichtig:
Jeder Unternehmer ist dafür verantwortlich, Daten zu schützen und entsprechend der DSGVO zu behandeln. Eine angemessene IT-Sicherheit ist wichtig, ein Datenschutzbeauftragter muss im Unternehmen benannt worden sein. Das Gesetz verpflichtet Unternehmer sogar, eine möglichst umfassende Prävention zu betreiben.

Tritt trotz aller Sicherheitsvorkehrungen ein Hackerangriff auf, trägt das Unternehmen keine Schuld. Wer es allerdings versäumt hat, rechtzeitig Vorkehrungen zu treffen, muss die Verantwortung für den Diebstahl und den unlauteren Umgang mit sensiblen Daten tragen. So kann der Hackerangriff Schadensersatz-Forderungen nach sich ziehen, die teilweise in die Millionen gehen.

Video: Hacker in Deutschland Doku 2018 Deutsch in HD

Welche Folgen kann der Hackerangriff haben?

Neben den oben bereits genannten Problemen kann der Cyberangriff sogar die Insolvenz des bestohlenen Unternehmens nach sich ziehen. Es ist zum Beispiel möglich, dass ein Geschäftspartner Klage einreicht und der Unternehmer zu Entschädigungsleistungen verurteilt wird.

Außerdem ist nicht nur das Unternehmen selbst in Gefahr, sondern auch die Existenz der Mitarbeiter: Muss das Unternehmen Insolvenz anmelden, wird die wirtschaftliche Existenz der Angestellten bedroht. Außerdem kann es sein, dass der Hacker die Daten zur Erpressung gegen den Unternehmer verwendet und dadurch ein enormer Schaden auf diesen zukommt.

Eine Gefahr für Unternehmen: Hacker lauern überall

Die Gefahr wird nur allzu häufig unterschätzt: Hacker lauern in unseren Tagen überall und sind präsenter, als angenommen wird. Mit der richtigen Prävention und dem Abschluss einer entsprechenden Versicherung für den Schadensfall stellt sich das Problem des Schadensersatz als weitaus weniger beängstigend dar.

Hackerangriff aktuell: 17-Jähriger aus Florida erpresst Barack Obama, Bill Gates und Elon Musk

Im Juli 2020 wurden mehrere Prominente, darunter die in der Überschrift genannten, Opfer einer Cyberattacke auf Twitter. Der Vorfall hat wieder einmal gezeigt, wie präsent Hackerangriffe in unserem täglichen Leben sind. Dabei war der Hacker ein erst 17 Jahre alter Jugendlicher, der inzwischen auch festgenommen wurde.

Er gilt als Kopf der Hacker, die auf die wahnwitzige Idee kamen, Bitcoins erpressen zu wollen. Die Konten der Prominenten wurden dafür gekapert und es erschien die Aufforderung, innerhalb einer halben Stunde 1000 Bitcoins zu zahlen.

Bisher waren die Jugendlichen damit schon recht erfolgreich und hatten mehr als 100.000 Dollar auf diese Weise eingenommen. Die Ermittlungen sind noch nicht abgeschlossen, mehrere Staatsanwaltschaften aus den USA sind daran beteiligt. Die drei festgenommenen Jugendlichen aber stehen bereits vor Gericht und wurden wegen vielfältiger Vergehen angeklagt.

Twitter gab sich zerknirscht und bestätigte, dass bei dem Hackerangriff insgesamt 130 Konten von Nutzern angegriffen worden waren. Bei 45 Konten hätten die Hacker sogar die Kontrolle übernehmen und Passwörter abändern können. Die Hacker waren über die „Ausnutzung von menschlichen Schwächen“ in das System eingedrungen. Sie hatten sich an Twitter-Mitarbeiter gewandt und diese zur Preisgabe vertraulicher Daten veranlasst.

Dieses Beispiel zeigt, dass auch ein renommiertes Unternehmen, das sich rundum zu schützen versucht, nicht gänzlich gegen jeden Cyberangriff abgesichert werden kann. Wo der Faktor Mensch ins Spiel kommt, wird die Sicherheitslage in jedem Unternehmen deutlich getrübt. Spätestens bei der Frage nach dem Schadensersatz erkennt der Einzelhändler Handlungsbedarf.

Ist ein Hackerangriff vorgekommen, muss schnell gehandelt werden.  ( Foto: Shutterstock-   Iconic Bestiary )

Ist ein Hackerangriff vorgekommen, muss schnell gehandelt werden. ( Foto: Shutterstock- Iconic Bestiary )

Unternehmen gehackt: Was tun?

Je nach Situation und Schadenslage kommen unterschiedliche Maßnahmen zur Anwendung:

  • Gerät vom Netzwerk trennen und ausschalten
  • Passwörter ändern, ggf. über Anbieter des jeweiligen Dienstes
  • Konten sperren lassen
  • wichtige Daten sichern
  • Festplatte löschen und formatieren
  • System neu installieren
  • Sicherung der Daten aus der Cloud
  • Prüfung von Geräten und Accounts auf Veränderungen und veränderte Daten
  • Neuanmeldungen und angebliche Verkäufe löschen
  • Anzeige erstatten
  • Datenschutzbeauftragten einbeziehen
  • Meldepflichten überprüfen
  • evtl. betroffene Dritte warnen

Ist ein Hackerangriff vorgekommen, muss schnell gehandelt werden. Dazu gibt es eine Reihe von Handlungsempfehlungen, die einen möglichen Schadensersatz bzw. Schaden begrenzen sollen.

Was passiert bei einem Hackerangriff?

Kann ein Unternehmen aus einem Cyberangriff gestärkt hervorgehen? Die im Oktober 2019 als Opfer eines Hackerangriffs bekannt gewordene Pilz GmbH und Co. KG ist genau dieser Meinung und präsentiert sich nach dem Angriff als stärker als zuvor.

Bei dem Angriff registrierten die Monitoring-Systeme der unternehmenseigenen Webserver verdächtige Aktivitäten und stellten einen Hackerangriff fest. Sofort wurden seitens der Firma sämtliche Netzwerke sowie der Server abgeschaltet. Dennoch: Die Hacker hatten für ihren Angriff eine Ransomware benutzt, eine Verschlüsselungssoftware, die als Trojaner im Netzwerk aktiv war und einen Teil der Daten bereits verschlüsselt hatte.

Die Pilz GmbH und Co. KG erstattet umgehend Anzeige gegen Unbekannt. Wichtige Kunden- oder Lieferantendaten wurden aber nicht gestohlen, so viel war bereits wenige Stunden nach dem Hackerangriff sicher.

Das Unternehmen hatte schnell reagiert und man ordnete sich rasch neu. Whiteboards und sichere Messenger kamen zum Einsatz, es wurden Arbeits- und Abstimmungsrunden gebildet. Parallel dazu wurde überprüft, welche Bereiche des Netzwerkes überhaupt betroffen waren und welche Daten gesäubert werden mussten.

Die IT-Infrastruktur wurde nur Stück für Stück wieder in den Dienst genommen, alle Mitarbeiter mussten ihre Internettätigkeiten erst einmal zurückfahren. Doch letzten Endes bleibt das Fazit: Der Hackerangriff wurde gemeistert, weil jeder wusste, welche Maßnahme nun zwingend ergriffen werden musste.

Auch bei Nutzung der Cloud ist es möglich, dass eine andere Person Daten einsieht, die sie nichts angehen.  ( Foto: Shutterstock- Gorodenkoff )

Auch bei Nutzung der Cloud ist es möglich, dass eine andere Person Daten einsieht, die sie nichts angehen. ( Foto: Shutterstock- Gorodenkoff )

Hackerangriff auf die Firma: Wer haftet?

Wie die PwC-Studie zeigte, sind Familienunternehmen und mittelständische Unternehmen in jüngster Zeit vermehrt Opfer von Hackerangriffen geworden. Dabei stellt sich bei jedem dieser Angriffe die Frage, wer die Konsequenzen zu tragen hat.

Natürlich ist das in erster Linie das Unternehmen selbst, das ohnehin bereits geschädigt wurde. Konkrete rechtliche Regelungen gibt es diesbezüglich noch nicht, die Schadensregulierung nach einem Hackerangriff ist eine Grauzone. Letzten Endes wird es aber immer der Unternehmer sein, der als Verlierer aus dieser Situation hervorgeht.

Kann er nachweisen, dass alle sicherheitsrelevanten Aspekte eingehalten wurden und jegliche Vorkehrungen getroffen worden sind, um Daten zu schützen, muss der Unternehmer dennoch mit dem Vertrauensverlust gegenüber seinen Kunden und Geschäftspartnern kämpfen. Viele Firmen versuchen daher, die Sache zu vertuschen und melden einen Hackerangriff nicht. Kommt das im Nachhinein heraus, steht der Unternehmer freilich noch schlechter dar.

Wichtig ist es in jedem Fall, mögliche Schäden durch Vorbeugung zu vermeiden. Das heißt, dass ein Datenschutzbeauftragter benannt werden muss, außerdem muss das eigene IT-System immer auf dem neuesten Sicherheitsstandard sein.

Video: Hackerangriff auf Twitter

Datenschutz und Hackerangriff: Was gibt die DSGVO vor?

Angriffe mit Ransomware und Computerviren gelten nach der DSGVO als schwerwiegende Verstöße, wobei es häufig die Mitarbeiter sind, die Hackern Tür und Tor öffnen. Diese müssen daher entsprechend geschult sein, was die DSGVO in Artikel 39 darstellt. Hier ist von der Beauftragung eines Datenschutzbeauftragten die Rede, dieser muss die übrigen Mitarbeiter im Sinne des Datenschutzes unterrichten und sie über mögliche Konsequenzen aufklären.

Des Weiteren sieht die Verordnung vor, dass die Verletzung des Datenschutzes einer Aufsichtbehörde zu melden ist. Dies muss innerhalb von 72 Stunden nach Bekanntwerden des Problems erfolgen. Genannt werden müssen bei der Meldung die Art der Datenschutzverletzung, der Name und die Kontaktdaten des Datenschutzbeauftragten sowie mögliche Folgen aus der Datenschutzverletzung.

Unbefugte Offenlegung: DSGVO und Datenpannen

Eine unbefugte Offenlegung von Daten kann bereits beim Entsorgen eines alten Rechners entstehen. Wurden die Daten auf der Festplatte zuvor nicht gelöscht, können sich Dritte daran Zugang verschaffen. Das gilt nicht bei verschlüsselten Daten, hier wird nicht auf einer Löschung der Daten bestanden.

Auch bei Nutzung der Cloud ist es möglich, dass eine andere Person Daten einsieht, die sie nichts angehen. Wer bemerkt, dass eine Datenpanne vorkommen ist (auch selbst verschuldet und ohne Cyberattacke), muss die Meldung gegenüber der Datenschutzbehörde innerhalb von 72 Stunden nach dem Vorfall vornehmen.

Das gilt aber nur dann, wenn die Datenpanne wirklich relevant ist. Betroffene Dritte hingegen müssen umgehend informiert werden, was wiederum heißt, dass es hier keine Stunden- oder Tagespauschale als Wartezeit gibt. Diese Meldung muss sofort geschehen, wenn der Betroffene dadurch zum Beispiel in seinen Rechten oder seiner Freiheit eingeschränkt werden könnte. Auch hier können auf den Hackerangriff Schadensersatz-Forderungen entstehen.

Artikel 33 der DSGVO: die Datenpanne melden

Für viele Unternehmen ist es ein Problem: Nicht nur, dass sie eine Datenpanne verzeichnen müssen, sollen sie nun auch noch alles öffentlich machen.

Wichtig:
Nicht jede Panne muss gemeldet werden. Wann dies vorgeschrieben ist, regelt Artikel 33 der DSGVO. Muss eine Meldung gemacht werden, muss diese die Art der Datenschutzverletzung ebenso beinhalten wie die Kategorie der Betroffenen. Sind also Mitarbeiter oder Kunden betroffen?

Außerdem sollte deren genaue Zahl angegeben oder wenigstens realistisch geschätzt werden. Der Datenschutzbeauftragte ist mit Namen und Adresse zu nennen, zudem muss bereits jetzt auf mögliche finanzielle Nachteile oder andere Folgen der Schutzverletzung hingewiesen werden. Ebenfalls Bestandteil der Meldung müssen mögliche Gegenmaßnahmen sein bzw. Schutzmaßnahmen, die bereits getroffen wurden.

Lassen Sie eine Antwort hier