Bis zu 10 Mio. Euro Strafe für Zögern nach Cyberattacke

Wien. Die ersten 72 Stunden nach einem Cyber-Angriff können für die Rechtsverfolgung entscheidend sein, so Wolf Theiss–Experten: Eine bevorstehende Gesetzesverschärfung bedroht noch dazu Firmen, die zu langsam auf die Attacken reagieren, mit Strafen bis zu 10 Millionen Euro oder 2% des Konzernumsatzes.

„Zeit ist das bedeutendste Element“, so Angelika Hellweger, Counsel Wolf Theiss, Praxisgruppe Dispute Resolution: „Lässt man sich zu lange Zeit, würde man bald nicht mehr Herr der Lage sein. Auch die Rückholung überwiesener Gelder könne eher erfolgen, wenn zeitgerecht reagiert würde.“

Laut Schätzungen des FBI liegt der durch Cyber-Delikte verursachte Schaden jenseits der 3 Milliarden US-Dollar-Grenze. Zu den klassischen Hacker-Angriffen gesellen sich in der jüngeren Vergangenheit auch Social Engineering-Attacken.

Schritt Nummer eins nach einer Cyber-Attacke sei jedenfalls die Kontaktaufnahme mit einem Anwalt und die Aufstellung eines Notfall-Teams. Die Rechtsprofis versuchen im Gegenzug möglichst rasch erreichbar zu sein: So hat beispielsweise auch Anwaltssozietät Freshfields für den Fall des Falles Notfall-Telefonnummern hinterlegt.

Rechtliche und technische Sofortmaßnahmen

Bei zu langsamer Reaktion drohen drastische Strafen, warnen die Experten:

• Mit der neuen Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft treten wird, wird auch eine Verpflichtung von Meldungen an die Datenschutzbehörde eingeführt und dafür eine Frist von besagten 72 Stunden eingeräumt („unverzüglich und möglichst binnen 72 Stunden“).
• Die Strafen für Verstöße gegen die Verständigungspflicht werden aber von nunmehr 10.000 Euro auf dann bis zu 10 Millionen Euro oder 2% des weltweiten Konzernumsatzes drastisch erhöht.

Roland Marko, Partner Wolf Theiss, Praxisgruppe IP/IT: „Die 72 Stunden sind dann eine ‚harte‘ Deadline, wenn von der Cyberattacke auch personenbezogene Daten betroffen sind.“

Schon nach dem heute anwendbaren Datenschutzgesetz 2000 hätten Unternehmen, wenn ihnen bekannt wird, dass Daten aus einer ihrer Datenanwendungen (i) „systematisch und schwerwiegend unrechtmäßig verwendet wurden“ und (ii) den Betroffenen Schaden droht, darüber unverzüglich die Betroffenen in geeigneter Form zu informieren, so der Datenschutz-Experte von Wolf Theiss.  Durch den neuen Strafrahmen nach der DSGVO erhält die Frist von 72 Stunden aber völlig neue Dimension.

Was sofort zu tun ist

Wenn entdeckt wird, dass durch eine Cyber-Attacke Gelder transferiert wurden, sind laut Wolf Theiss folgende Schritte zu setzen:

• Schadensermittlung und Beurteilung der Lage: Es ist zu klären, welche Systeme betroffen waren, ob Gelder entwendet und/oder Daten ausgelesen wurden und worin das Risiko besteht. Diese Beurteilung ist für das weitere Vorgehen essentiell und muss daher mit großer Sorgfalt durchgeführt werden.
• Wenn Gelder entwendet wurden: Sofortige Rückholmaßnahmen bei den Banken starten. Wenn möglich, Überweisungen stoppen lassen bzw. Bemühungen setzen, dass Gelder rücküberwiesen werden. Dies sollte aber aus Sicherheitsgründen nicht durch Personen erfolgen, die selbst vom Angriff betroffen waren, da zu diesem Zeitpunkt auch eine mögliche Mittäterschaft noch nicht wird ausgeschlossen werden können.
• Sobald klar ist, wohin Gelder überwiesen wurden (meistens außerhalb des Landes): geeignete „Asset Tracer“ vorab informieren, das sind Dienstleister, die beim Nachverfolgen und Auffinden der Gelder behilflich sind.
• Sofortige Einbindung der Behörden und Anzeige, insbesondere wenn das Geld ins Ausland überwiesen wurde, auch ein Ersuchen, dass Interpol eingeschaltet wird. Ebenso etwaige ausländische Botschaften.
• Technische Sofort-Sicherungsmaßnahmen setzen und neben der Wiederherstellung der IT-Sicherheit auch darauf achten, dass „elektronische Spuren“ nicht verwischt, sondern für eine spätere Beweisführung konserviert werden.
• Betroffene Personen sofort befragen
• Arbeitsrechtliche Sofortmaßnahmen setzen: Betroffene Mitarbeiter sollten sofort dienstfrei gestellt und vom Arbeitsplatz abgezogen werden. Diese sollten auch nicht eher wieder ihre Arbeit aufnehmen, solange nicht geklärt ist, was passiert ist und ob der Mitarbeiter möglicherweise selbst involviert ist.
• Wenn personenbezogene Daten vom Angriff kompromittiert wurden und den betroffenen Kunden, Lieferanten etc.  daraus Schaden droht, sind betroffene Nutzer zu informieren.
• Gibt es eine Cyber-Versicherung, die das Risiko eventuell abdeckt?
• Regulatorische Maßnahmen setzen.
• Geeignete Rechtshilfe im Ausland suchen

Laut aktueller Cyber-Crime-Studie von KPMG ist fast jedes zweite österreichische Unternehmen bereits Ziel von Cyber-Crime Angriffen gewesen. Angreifer sind Konkurrenten, ehemalige Mitarbeiter oder Berufsverbrecher.

Cyber-Crime ist zum „Business“ geworden und erfordert von potentiell betroffenen Unternehmen daher auch business-getriebene Antworten, heißt es: Cybersicherheit muss daher als wesentlicher Bestandteil des Risikomanagements begriffen werden, und zwar auch in Branchen, die für sich genommen kein „E-Business“ im eigentlichen Sinne betreiben, das zeigen prominente Beispiele:

• „Fake President“ Fraud cases: Im Zusammenhang mit Business Email Compromise Scams hat das FBI jüngst neueste Zahlen veröffentlicht. Diese Betrugsart kam in 79 Ländern vor, es gibt derzeit über 22,000 Opfer und der geschätzte Verlust beträgt 3,1 Milliarden Dollar. Die weitaus überwiegende Anzahl der Gelder wird auf Bankkonten asiatischer Banken in China und Hongkong transferiert. Derzeit ist nicht klar, nach welchen Kriterien die „Opfer“ ausgewählt werden, es sei aber davon auszugehen, dass diese in den meisten Fällen ausspioniert werden.
• Angriffe über SWIFT (internationales Zahlungsverkehrssystem): Hacker haben die Datenbank modifiziert, die die Aktivität der Bank über das SWIFT-Netzwerk protokolliert. In weiterer Folge war es möglich, Transaktionen zu überwachen und auch abzufangen. So konnten Überweisungen, die die Hacker angefordert hatten, direkt freigegeben werden. Es gab seit Anfang 2015 mehre Angriffe auf Banken: u.a.  in Vietnam, Ecuador und Bangladesch.

Malware, Betriebsspionage, Wirtschaftsspionage

Aus Sicht der Praxis stehen momentan vor allem Attacken „von innen“ (Mitarbeiter und ehemalige Mitarbeiter) und Attacken durch Wettbewerber auf der Agenda ganz oben:

• Mitarbeiter bemächtigten sich vor Austritt Geschäfts- und Betriebsgeheimnisse und nehmen diese zur Konkurrenz mit
• Konkurrenzunternehmen nutzen gezielt Lücken in der IT-Sicherheit von Unternehmen aus, um an Geschäfts- und Betriebsgeheimnisse heranzukommen.
• Ferner sei die Zahl an Erpressungsversuchen gestiegen: IT-Systeme werden gekapert und lahmgelegt  oder Daten verschlüsselt und nur gegen Zahlung eines Lösegeldes wieder freigegeben.
• Privatpersonen werden zu verfänglichen Handlungen aufgefordert, gefilmt und erpresst. Das kann auch unternehmensbezogen werden, wenn es Teil einer „Social Engineering“ Strategie gegen ein letztlich unternehmerisches Opfer wird, warnt Wolf Theiss.

Link: Wolf Theiss