Ihre
Suche

    04.12.2024

    Cyberangriff: Wer kommt für den Schaden auf?


    In der heutigen digitalisierten Welt sind Unternehmen zunehmend Ziel von Cyberangriffen. Die Folgen eines solchen Cyberangriffs sind meist gravierend und mit erheblichen finanziellen Schäden verbunden. Während der Cyberangriff meist nach wenigen Tagen vorbei ist, dauert die Aufarbeitung des Vorfalles meist Jahre. Sicherheitslücken werden analysiert und erlittene Schäden bei Versicherern und Verantwortlichen regressiert. Das ist ein oft mühsamer und arbeitsintensiver Prozess für alle Beteiligten.

    Cyberangriffe ähneln häufig einem Krimi. Unbekannte Täter verschaffen sich Zugriff auf das IT-System des Unternehmens. Meist beginnt der Cyberangriff am späten Freitagnachmittag, wenn die Mitarbeiter das Büro verlassen. Erste schadhafte Software-Programme installieren sich. Der Cyberangriff nimmt langsam an Fahrt auf. Über Phishing werden vertrauliche Daten gestohlen. Über Ransomware und DDoS-Angriffe werden die IT-Strukturen des Unternehmens lahmgelegt. 

    Was dann folgt, wird von betroffenen Unternehmen und deren Geschäftsleitern meist als die größte Herausforderung und Krise der Unternehmensgeschichte beschrieben. Mangels funktionierender IT-Strukturen kommt der Geschäftsbetrieb des Unternehmens häufig zum Erliegen. Während die IT-Abteilung unter Hochdruck gegen den Hackerangriff kämpft, versuchen die operativen Einheiten, den Geschäftsbetrieb unter widrigsten Umständen aufrecht zu erhalten. Kommunikation erfolgt vorübergehend nur noch über private Handys und E-Mail-Adressen. 

    Ein geordneter Geschäftsbetrieb ist unter diesen Umständen meist nicht mehr möglich. Die Geschäftsleitung hat in dieser Zeit beinahe im Sekundentakt Entscheidungen mit weitreichenden Folgen zu treffen. Fristgerechte Meldungen gegenüber Datenschutzbehörden sind zu erledigen. Das Unternehmen steht in engem Austausch mit den Behörden, zum Beispiel dem Bundeskriminalamt. Externe Berater müssen kurzfristig beauftragt und koordiniert werden. An allen Stellen sind – meist sehr kurzfristig – Brandherde zu löschen. Sowohl Geschäftsleiter als auch Mitarbeiter agieren am Limit des Leistbaren. 

    Aufarbeitung des Cyberangriffs – eine Zerreißprobe

    Ist der Hackerangriff vorbei, beginnen die Aufräumarbeiten. Während der Angriff selbst meist nur wenige Stunden oder Tage dauert, benötigt die Wiederherstellung der IT-Systeme meist Wochen. Erste Ursachenanalysen erfolgen und Sicherheitslücken werden geschlossen. Die juristische Aufarbeitung des Cyberangriffes und dessen Folgen dauert hingegen meist Jahre. Sie wird aufgrund der finanziellen Belastung und wegen interner Schuldzuweisungen oftmals zur Zerreißprobe für das Unternehmen.

    Die Suche nach Kompensation – Wer kommt für die Schäden auf?

    Mit dem Cyberangriff gehen meist erhebliche finanzielle Schäden in Form von Umsatzverlusten und Kosten für die Systemwiederherstellung sowie die Krisenberatung einher. Die Angriffe führen auch häufig zu Betriebsunterbrechungen, aus welchen nicht nur eigene Umsatzverluste, sondern regelmäßig auch hohe Schadenersatzforderungen von Kunden resultieren. Schäden im zweistelligen Millionenbetrag sind nicht selten, sondern eher der Regelfall. 

    Angesichts der hohen Schadenssummen steht für das geschädigte Unternehmen im Rahmen der Aufarbeitung vor allem die Kompensation der erlittenen Schäden im Vordergrund. Das Unternehmen beschäftigt sich intensiv mit der Frage, wer für diese Schäden aufzukommen hat. Nachdem die Täter in aller Regel nicht greifbar sind, wird der Schaden zunächst beim eigenen Cyberversicherer geltend gemacht – soweit überhaupt vorhanden. Häufig ist die Versicherungssumme der Cyberversicherung nicht ausreichend, sodass weitere Regressmöglichen gesucht werden. 

    Sicherheitslücken und Organisationsdefizite werden identifiziert. Innerhalb des Unternehmens stellt man sich die typischen Fragen: Wie konnte es zu dem Vorfall kommen? Wer ist hierfür verantwortlich? War die IT-Infrastruktur ausreichend? Gibt es Organisationsdefizite? Der Cyberversicherungsfall weitet sich plötzlich zu weiteren Haftungs- und Versicherungsfällen aus. 

    Verträge mit externen IT-Dienstleistern werden auf etwaige Pflichtverletzungen geprüft. Bei der Geschäftsleitung wird kritisch hinterfragt, ob das Unternehmen im Hinblick auf Cybersicherheit ordentlich organisiert und ausgestattet war. Der Cyberversicherungsfall ist plötzlich auch ein D&O-Versicherungsfall. Ähnliche Fragen stellen sich auch die beteiligten Versicherer, wobei dort der Fokus der Prüfung vor allem auf der Einhaltung von versicherungsrechtlichen Obliegenheiten und häufig gesondert vereinbarten IT-Sicherheitsmaßnahmen liegt. 

    Juristisches Tauziehen mit ungewissem Ausgang

    Ein juristisches Tauziehen sämtlicher Beteiligter beginnt. Das Unternehmen tritt in – oftmals sehr langwierige – Regulierungsgespräche mit den Versicherern ein. Gegenüber potenziellen Haftungsschuldnern werden – auch zur Sicherung etwaiger Regressansprüche nach Paragraf 86 Versicherungsvertragsgesetz – Schadenersatzansprüche geltend gemacht. 

    Parallel hierzu hat das Unternehmen meist Schadenersatzforderungen von Kunden auf deren Berechtigung zu prüfen und sich hiergegen zu verteidigen. Das Unternehmen schlittert in Gerichtsverfahren mit häufig ungewissem Ausgang. Ursächlich ist hierfür unter anderem die bislang kaum existierende Rechtsprechung. Gerade das Zusammenspiel der verschiedenen Versicherungsarten und Regressgegner macht Cyberschäden in der Abwicklung sehr herausfordernd. 

    Fazit

    Cyberangriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe. Sie können aufgrund der finanziellen Folgen und aufgrund interner Schuldzuweisung für das betroffene Unternehmen eine echte Bestandsprüfung darstellen, insbesondere, wenn das Unternehmen nicht über ausreichenden Versicherungsschutz verfügt. Zu einer Verbesserung der Cybersicherheitsstandards innerhalb der EU soll die NIS2-Richtlinie beitragen. Es bleibt nur zu hoffen, dass die Umsetzung dieser Richtlinie den gewünschten präventiven Effekt entfaltet und nicht nur zu einer verschärften Geschäftsleiterhaftung führt.

    Florian Weichselgärtner

    Dieser Beitrag ist erstmals am 04. November 2024 im Versicherungsmonitor erschienen. Hier gelangen Sie zum Originalbeitrag.

    O du Fröhliche - Haftung unter dem Weihnachtsbaum
    Für den Anwalt „Business as usual“, für den Geschäftsführer eine hochemotionale …
    Weiterlesen
    Goodbye OS-Plattform: Was (nicht mehr) zu tun ist
    Vor gut einem Jahr hat die Europäische Kommission eine Reform zur alternativen S…
    Weiterlesen
    Tattoos in Videospielen - und was das Fototapeten-Urteil des BGH damit zu tun haben könnte
    Die Abbildung von Tätowierungen realer Personen, zumeist Sportlern, in Videospie…
    Weiterlesen
    Orientierungshilfe der DSK zum neuen Onlinezugangsgesetz
    Mit dem 2017 in Kraft getretenen Onlinezugangsgesetz („OZG“) wurden alle Behörde…
    Weiterlesen
    Einführung des Leistungsempfängerortsprinzips für das Streaming von Veranstaltungen im B2C- und B2B-Bereich
    Die zunehmende Bedeutung digitaler Dienstleistungen macht auch vor dem Umsatzste…
    Weiterlesen
    ADVANT Beiten berät Mainova bei Kapitalerhöhung über EUR 400 Mio.
    Frankfurt, 19. November 2024 – Die internationale Wirtschaftskanzlei ADVANT Beit…
    Weiterlesen
    BGH gewährt immateriellen Schadensersatz bei Kontrollverlust über Daten (Facebook-Scraping)
    Seit geraumer Zeit ziehen sich datenschutzrechtliche Schadensersatzansprüche inf…
    Weiterlesen
    EU regelt Recht auf Zugang zu Maschinendaten – die Gewinner und die Verlierer
    Mit dem neuen Data Act schafft die EU erstmals gesetzliche Rahmenbedingungen für…
    Weiterlesen
    Cyberangriffe und die Haftungsfrage: Wer trägt die Kosten?
    In einer zunehmend vernetzten Welt sind Unternehmen mehr denn je Bedrohungen dur…
    Weiterlesen