Armin Hendrich ©DLA Piper / Cornelis Gollhardt
Gastbeitrag. Vier Cyber Security- und Rechtsprofis von DLA Piper und Frequentis beantworten in ihrem FAQ die wichtigsten Fragen zur Cyber-Sicherheit: Vorbeugung, Hackerangriffe, Phishing, DSGVO-Strafen, Schadenersatzklagen u.v.m.
Was bedeutet Cyber Security für Sie und welchen Stellenwert hat Cyber Security innerhalb Ihres Unternehmens?
DLA Piper: Die Digitalisierung schreitet im beruflichen und privaten Alltag ungebrochen voran. Der Trend zur globalen Vernetzung steht hierbei in klarer Korrelation zu den Gefahren eines Cyberangriffs. Der „Global Risk Report“ des World Economic Forums identifiziert jährlich die größten Risiken, gemessen an ihrer Eintrittswahrscheinlichkeit und führt „Cyberrisiko“ bereits an siebter Stelle der wahrscheinlichsten, an achter Stelle der auswirkungsreichsten Risiken und als zweithäufigstes Risiko für die weltweite Geschäftstätigkeit in den nächsten 10 Jahren.
Cyber Security geht alle etwas an
Wer Cyber Security als reines IT-Thema sieht, ist wohl verwundbarer als jene, die es als unternehmensweites Risiko behandeln. Außerhalb des „Kern-IT“ Bereichs befinden sich wesentliche Angriffspunkte, wie die Mitarbeiter, welche durch „Social Engineering“ instrumentalisiert werden, so auch beim sogenannte CEO Fraud. Das Eingreifen der Führungsetage zum umfassenden Schutz des Unternehmens und der Wahrnehmung der gesetzlichen Pflichten ist unerlässlich – und dient auch dem Selbstschutz, haftet diese doch letztendlich auch im Anlassfall.
Abseits unserer Kanzlei-internen Maßnahmen, um hoch sensible und vertrauliche Informationen zu schützen, ist das Thema Cyber Security für uns Juristen mit der zunehmenden Regulierung in den Fokus gerückt. Neben Datenverlust, Betriebsunterbrechungen und Reputationsschaden liegt es an Juristen, die Haftung des Unternehmens im Anlassfall nicht ausufern zu lassen. Dazu stellen wir in Zusammenarbeit mit unseren Mandaten sicher, dass diese alle regulatorischen Anforderungen erfüllen, aber auch in der Aufarbeitung eines Angriffs Maßnahmen und Kommunikation im rechtlichen Einklang setzen.
Frequentis: Schon der Firmenslogan „For a safer world“, der Frequentis seit mehr als 30 Jahren begleitet, zeigt auf, welch wesentlicher Erfolgsfaktor unsere sicherheitskritische DNA ist. Den Trends der zunehmenden Digitalisierung folgend, wurde der Begriff der „Sicherheit“ (Safety) nun auch um den Term der „Security“ erweitert. Dahinter steckt die Erkenntnis „There is no safety without security.“
Top-Management muss Cyber Security vorleben
Cyber Security muss von allen Mitarbeitern in ihren täglichen Arbeitsprozessen gelebt und integriert werden. Dies wird vom Frequentis Top Level Management vorgelebt und der wichtige Stellenwert von Cyber Security aktiv kommuniziert. Frequentis hat dazu eine breite Sicherheits-Kampagne für die Mitarbeiter über mehrere Monate rund um „You are the key to security“ gemacht.
Um im Unternehmen eine größtmögliche Awareness zu schaffen, nehmen seit rund zehn Jahren alle neu eingetretenen Personen am Standort Wien an einem Information Security Awareness Training teil. Zusätzlich wird seit 2015 gruppenweit eine web-basierte Variante dieses Trainings angeboten. Das Information Security Awareness Training ist eine Pflichtschulung, welche alle zwei Jahre wiederholend durchgeführt werden muss.
Testweise werden selbst Phishing-E-Mails versandt
Um das Bewusstsein der Mitarbeiter weiter zu schärfen, werden regelmäßig auch gruppenweit interne Phishing-Kampagnen durchgeführt. Dabei erhalten zufällig ausgewählte Personen im Unternehmen vermeintliche Phishing-E-Mails. Diese werden automatisiert sowie anonym ausgewertet.
Was sind Ihrer Erfahrung nach die derzeit häufigsten Themen, mit denen sich ein Unternehmen auf dem Weg zur Cyber Resilience konfrontiert sieht?
DLA Piper: Selbstverständlich sind „State of the art“-IT-Systeme ein Schlüssel zur „Cyber Resilience“, doch nicht der einzige. Statistisch gesehen ist die größte Gefahr der Mensch selbst. Während die Umsetzung einer sicheren IT-Strategie in Unternehmen nach wie vor oft unter dem Mangel des Zurverfügungstellens der notwendigen monetären Mittel leidet, ist dies doch leichter in den Griff zu bekommen als der unkontrollierbare Faktor Mensch. Die Prävention erfordert hier ein umfassendes Risikomanagement beziehungsweise Compliance Management System.
Armin Redl ©DLA Piper / Cornelis Gollhardt
Laut der Studie des weltweit agierendes Cybersicherheitsunternehmens Proofpoint, welches sich auf den Faktor Mensch spezialisiert hat, waren im Jahr 2019 mehr als 80 Prozent aller Angriffe sogenannte Social-Engineering-Angriffe.
Damit ist ein Verfahren gemeint, um sensible bzw. sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Daher sollte der Aufbau von „Cyber (Security) Awareness“ einen hohen Stellenwert in einem Unternehmen haben. Dabei fallen die Möglichkeiten, welche die IT zur Kontrolle des Faktor Mensch bietet und das dabei rechtlich Erlaubte doch deutlich auseinander.
Die Frage der Business Continuity
Cyber Resilience bedeutet aber auch, eine Antwort auf die Frage der „Business Continuity“ zu haben. Unternehmen, die diesen Aspekt technisch mit einbeziehen und vorbereitet sind, im Fall des Falles die gesetzlich geforderten Abläufe einzuhalten, wird es möglich sein, schnellstmöglich zu einem Normalbetrieb zurückzukehren.
Als internationaler Anbieter von Kommunikations- und Informationssystemen mit sicherheitskritischen Aufgaben spielt gerade in Ihrem Geschäftsfeld Cyber Security eine wichtige Rolle. Welche Maßnahmen ergreifen Sie, um Ihre Systeme zu schützen?
Frequentis: Spezifische Cyber Security-Aktivitäten für Frequentis-Produkte werden entlang der gesamten Wertschöpfungskette umgesetzt, angefangen beim Design eines Produktes bis zur Übergabe eines betriebsbereiten Systems an den Kunden und die anschließende Security-Zusammenarbeit in der Betriebsphase. Aus diesem Grund umfasst die Frequentis Cyber Security-Organisation explizite Cyber Security-Rollen, die in den operativen Einheiten verankert sind und mit den Governance- und Supportbereichen zusammenarbeiten.
Caroline Hütter ©Frequentis
Des Weiteren gibt es querschnittliche Teams wie das Frequentis Security Incident Response Team (SIRT), welches Cyber Security Vulnerabilities beobachtet und beim Handling von Information Security Incidents koordiniert. Der aktiven Teilnahme an nationalen und internationalen Security Communities (z.B. FIRST), Plattformen und Gremien wird ein hoher Stellenwert eingeräumt.
Vertrauenswürdige Experten unterstützen bei der Cyber Security
In diesen Plattformen werden zukünftige Risiken eingeschätzt, Strategien entwickelt und Erfahrungen ausgetauscht. So werden Gemeinschaften vertrauenswürdiger Experten aufgebaut, auf die im Anlassfall zurückgegriffen werden kann, z.B. wenn Infrastrukturen in großem Stil angegriffen werden.
Das oben erwähnte SIRT wird auch Falle eines Cyber-Angriffs, der sich auf Frequentis-Systeme oder -Dienste auswirkt, aktiv. Hier ist das SIRT die Anlaufstelle für das Management eines Events, einschließlich der Alarmierung der Mitgliedsgruppen und der Unterstützung der Frequentis-Teams, die für die Koordinierung der Aktivitäten im Zusammenhang mit der Reaktion, Schadensbegrenzung und Wiederherstellung verantwortlich sind.
Welche Pflichten treffen ein Unternehmen im Falle eines Cyber Incidents bzw. welche Timelines und welche Response Time sollte bei Cyber Incidents eingehalten werden?
DLA Piper: Unternehmen haben im Falle eines Cyberangriffes eine Reihe von technischen, rechtlichen sowie auch Kommunikations-Themen zu bedenken und entsprechende Schritte zu setzen. Rasches und richtiges Handeln ist nicht nur zur Schadensbegrenzung und -behebung notwendig, sondern vor allem, um eine ordnungsgemäße Betriebsfortführung zu gewährleisten.
Wird ein Angriff bemerkt, hat – meist über die Schnittstelle des „Chief Information Security Officers“ (CISO) – umgehend die Führungsetage eingebunden zu werden. Interne und externe Rechtsberater und – sofern vorhanden – die/der Datenschutzbeauftragte, sind ab der ersten Minute einzubinden. Es gibt gesetzliche Fristen zu beachten und eine Rechtsabteilung oder externe Ratgeber sollten auch in Kommunikation und HR-Maßnahmen eingebunden werden, um (juristische) Kollateralschäden zu vermeiden.
„Rechtliche Auseinandersetzungen nach dem Angriff bleiben selten aus“
Bei einem Angriff einer gewissen Größenordnung ist davon auszugehen, dass interne Kapazitäten nicht ausreichend vorhanden sind. Jede Handlung und Äußerung nach einer Cyber-Attacke ist für eventuelle spätere rechtliche Auseinandersetzungen relevant – und diese bleiben selten aus.
Eine besonders anschauliche Konsequenz im rechtlichen Sinn sind die enormen Strafen, welche die Datenschutz Grundverordnung (DSGVO) für deren Nicht-Einhaltung vorsieht. Schnellstmöglich zu evaluieren, ob ein Datenverlust eingetreten ist, ist nicht lediglich für die Verhinderung eines weiteren Verlustes von Daten relevant, sondern auch um gesetzliche Vorgaben wie Berichtspflichten zeitgerecht zu erfüllen.
So ist die Behörde von einer möglichen Verletzung des Schutzes personenbezogener Daten, sofern ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen droht, unverzüglich und höchstens binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu verständigen. Die Behörde kann hier eine Geldstrafe von bis zu EUR 10.000.000 oder von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes verhängen, je nachdem, welcher der Beträge höher ist. Ab dem Zeitpunkt, an dem eine solche Datenweitergabe ausreichend festgestellt wurde, sind auch die Betroffenen binnen genannter Frist zu informieren.
Ein Cyberangriff kann aber auch eine Reihe weiterer Meldepflichten auslösen, die bei Nichteinhaltung unter – teils hoher – Strafe stehen. Betreiber wesentlicher Dienste – im Sinne des Netz- und Informationssystemsicherheitsgesetzes – haben einen Sicherheitsvorfall, der einen von ihnen bereitgestellten wesentlichen Dienst betrifft, unverzüglich an die zuständige Behörde zu melden.
Weitere Pflichten ergeben sich für Kreditinstitute, Zahlungsdienstleister, Versicherungen und andere unter dem Zahlungsdienstegesetz erfassten Unternehmen. Börsennotierte Unternehmen trifft im Falle eines Cyberangriffes ferner auch eine Ad-hoc- Meldepflicht gemäß Marktmissbrauchsverordnung. Die Meldung ist gemäß Verordnungstext „so bald wie möglich“ in einer Art und Weise zu veröffentlichen, die es der Öffentlichkeit ermöglicht, schnell auf sie zuzugreifen und ist vollständig, korrekt und rechtzeitig zu bewerten.
Es wird schnell ersichtlich, dass diese – dank verstärkt vereinheitlichter Meldewege letztlich doch handhabbaren – Meldepflichten den Unvorbereiteten überfordern und Teil einer sehr unangenehmen und teuren Aufarbeitung eines Cyber-Angriffs werden können.
Wie schützen Sie sich angesichts der weltweiten Vernetzung sowie der zunehmenden Onlineanbindung gegenüber Cyberangriffen bei Lieferanten oder Kunden?
Frequentis: Bei der Auswahl von Lieferanten wird explizit deren Cyber Security-Kompetenz erhoben, beispielsweise ob bekannt gewordene Schwachstellen oder Information Security Incidents aktiv an uns kommuniziert werden. Auch wird nach einschlägigen Zertifizierungen gefragt, bspw. ISO27001.
Maximilian Riedl ©Frequentis / Rainer Mirau
Da eine Vielzahl von Angriffen per E-Mail erfolgen und hier auch oftmals versucht wird, eine bestehende Geschäftsbeziehung und Vertrauensbasis auszunutzen, legen wir bei Frequentis viel Wert auf Mitarbeiter-Awareness für besonders exponierte Gruppen (e.g. HR, Finance). Auch technisch werden viele Maßnahmen umgesetzt und seitens des IT Security Teams werden die Trends und größten Bedrohungen genauestens beobachtet.
Haftet ein Unternehmen innerhalb Ihrer Supply Chain für Fremdprodukte?
DLA Piper: Nur sehr wenige Unternehmen stellen ihre Produkte und Dienstleistungen gänzlich alleinstehend her, beziehungsweise zur Verfügung. Die letzten Jahre zeigen, dass Angriffe vermehrt nicht direkt auf das Unternehmen, das vielleicht auch für die Angreifer zu gut geschützt war, sondern auf ein Unternehmen in der Supply Chain stattfinden. Die Abgrenzung der Haftung muss proaktiv in Angriff genommen werden.
Es stellt sich dazu die Frage, wer wen aus welchem „Titel“ vor Gericht bringen kann – Gewährleistung und Garantie, sonstige vertragliche Rechte, hoffentlich nicht Produkthaftung? Die Möglichkeiten zu umreißen würde dieses Format deutlich sprengen, wie auch die Frage der direkten oder indirekten Inanspruchnahme. Wichtig für Unternehmen ist daher, sich angesichts dieses wachsenden Risikos in alle Richtungen abzusichern – sei es gegenüber den Zulieferern, aber auch den Kunden (im Rahmen der Verbraucherschutzbestimmungen).
Der Aufbau und die Integration eines Cyber Supply Chain Risk Management innerhalb des Unternehmens dient der Risiko- und generellen Lieferantenbewertung und kann hier – bedingt, als erster Schritt – Abhilfe schaffen. Das Cyber Supply Chain Risk Management soll die Risiken adressieren, die ein Unternehmen eingeht, wenn Systeme, Prozesse, Einrichtungen und Lieferungen von Waren oder Dienstleistungen an andere Unternehmen ausgelagert werden. Bestehende Standards und Best Practices können Unternehmen als Orientierungshilfe dienen. Es sollen dadurch klare Richtlinien und Verhaltensregeln im Umgang mit Zulieferern geschaffen werden, damit die Einhaltung der Sorgfaltspflichten objektiv überprüfbar ist.
Gibt es darüber hinaus die vertragliche Möglichkeit, sich vor Cyberangriffen bei Lieferanten und Kunden zu schützen?
DLA Piper: Zur Verbesserung der Cyber Security kann vertraglich vereinbart werden, dass gewisse unternehmensinterne Cyber Security-Richtlinien erstellt werden müssen. Diese sollten Präventionsmaßnahmen und Vorgehensweisen für den Fall eines Cyber-Angriffs enthalten, wobei die Einhaltung rechtlicher Vorgaben nur der Grundstein sind. Naturgemäß ist eines der größten Interessen der Vertragsparteien, die schnellstmögliche Benachrichtigung über einen erfolgten Cyber-Angriff. Die gesetzliche Pflicht zur Bekanntgabe der unrechtmäßigen Verwendung sensibler Daten kann dementsprechend vertraglich noch präzisiert und ausgeweitet werden.
Darüber hinaus können vertraglich Maßnahmen, die Cyber Awareness und Sicherheit fördern, wie etwa die Abhaltung von internen Compliance Schulungen und dergleichen, vereinbart werden.
Sogenannte Audit-Klauseln geben dem Unternehmen die Möglichkeit, Einsicht in die Unterlagen ihres Vertragspartners zu bekommen, um sich zu vergewissern, dass die oben genannten Richtlinien implementiert wurden, aber auch im Anlassfall zu helfen, die Schuldfrage zu klären.
Während eine einfache Haftungsabgrenzung immer Bestandteil eines Vertragsverhältnisses sein sollte, darf man aus Erfahrung nicht alle Hoffnung darin legen.
Die Autoren des FAQ „Cyber Security“
- Mag. Armin Hendrich MBA MSc, Partner bei DLA Piper in Wien
- Mag. Armin Redl, Associate bei DLA Piper in Wien
- Dr. Caroline Hütter, Legal & Special Project Purchasing (SPP), Legal / Senior Contract Manager Frequentis AG
- DI (FH) Mag. Maximilian Riedl, CISSP, Global Information Security / Manager SIRT Frequentis AG
Link: DLA Piper
Link: Frequentis
