Erpressung
„Wer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt und dadurch dem Vermögen des genötigten oder eines anderen Nachteil zufügt“, begeht gemäß § 253 StGB eine Erpressung. Bei diesem Tatbestand kommen einem unweigerlich Szenen aus Kriminalfilmen in den Sinn, in denen z.B. der Erpresser mit verzerrter Stimme am Telefon den Polizeibeamten Anweisungen für die Geldübergabe gibt. Oftmals erfolgt eine Erpressung im Rahmen einer Geiselnahme oder Entführung, wie im Fall Richard Oetkers 1976 oder wie in der wohl bekanntesten deutschen Erpressungsserie Arno Funkes („Dagobert“), der in den 1980er-90er Jahren Kaufhäuser mit Sprengsätzen erpresste. Die Taten Funkes ließen auf überdurchschnittliche Kreativität und Intelligenz und ein gewisses (elektro-)technisches Geschick schließen. Die Beschaffung der für die Sprengsätze erforderlichen (elektrotechnischen) Bauteile brachte die Ermittler schließlich auf Funkes Spur.
Der technische Fortschritt sowie die rasante Digitalisierung und zunehmende Vernetzung der Welt (Globalisierung), die sich seit diesen bereits etwas nostalgisch anmutenden Straftaten (Opfer waren z.B. „Hertie“ und „KaDeWe“) ereignet haben, machen es Tätern zunehmend einfacher, ihre Opfer zu erpressen. So reduziert Erpressung über das Internet vermeintlich das Risiko einer strafrechtlichen Verfolgung, zumal die Täter Ihre benötigten Utensilien „anonym“ im Darknet beschaffen können und ihre Angriffe „bequem von Zuhause“ von überall auf der Welt ausführen können. Dies unterscheidet sich deutlich von der Vorgehensweise eines Arno Funkes, der noch zur Platzierung seiner Sprengsätze physisch in dem entsprechenden Kaufhaus anwesend sein musste. Auch unterscheidet sich das Schadenpotential. Höhere Schadenvolumina und damit höhere Lösegeldforderungen sind durch das Internet deutlich einfacher zu erreichen – man denke nur daran, wie groß ein Serverraum ist und welcher Wert darin liegt bzw. gespeichert ist.
So ist es kaum verwunderlich, dass sogenannte Ransomware-Angriffe (vereinfacht dargestellt: Digitale Erpressung, vornehmlich von Unternehmen) seit Jahren stetig zunehmen. Aktuell vergeht kaum noch ein Tag, an welchem nicht über Unternehmen oder Institutionen berichtet wird, die Opfer von Cyber-Angriffen geworden sind. Auch die Corona-Pandemie hat für steigende Fallzahlen von Ransomware-Angriffen gesorgt. Ein Beispiel der jüngeren Vergangenheit ist die Uniklinik Düsseldorf, in deren Server 2019 Unbekannte eindrangen, sich Zugriff auf Daten verschafften und durch die Beeinflussung des Betriebes den Tod einer Patientin zu verantworten haben. Ransomware-Angriffe können aber auch dezentral erfolgen, wie im Fall von WannaCry 2017, einer Schadsoftware, die binnen weniger Tage mehr als 380.000 Computer weltweit infizierte, darunter Systeme namhafter Unternehmen wie der Deutschen Bahn, Renault, FedEx, Telefónica o.ä.. Dabei werden die zur Infiltration genutzten Programme (Viren, Trojaner, etc.) zunehmend wirksamer und komplexer.
Zwar ist die größte Schwachstelle im System noch immer der Mensch (ein Klick auf eine gefälschte E-Mail oder eine verseuchte Internetseite), jedoch werden auch Schnittstellen mit dem Internet (Clouds o.ä.) zunehmend angegriffen, um in das System eines Unternehmens zu gelangen. Mit zunehmender Globalisierung und Digitalisierung (Stichwort Industrie 4.0 und 5.0 oder 5G) eröffnen sich immer neue Potentiale für Kriminelle.
Ransomware-Angriff
Bei einem solchen Angriff infiltrieren Kriminelle ein IT-System, verschlüsseln dort Daten und fordern für die Entschlüsselung vom Eigentümer ein Lösegeld.
Hier sind verschiedene Formen der Ausgestaltung denkbar: Die einfachste Form ist ein sogenannter „screen locker“, bei dem „lediglich“ der Bildschirm gesperrt wird. Eine bereits komplexere Form ist, das Inhaltsverzeichnis der Festplatte zu verschlüsseln, sodass die gespeicherten Daten nicht mehr aufgefunden werden können. Filigraner – aber nicht weniger schädlich – ist die Verschlüsselung von Daten und Dokumenten. Hier drohen die Täter oftmals auch damit, dass bei Einschaltung der Polizei oder Verzögerungen bei der Lösegeldzahlung Daten unwiederbringlich gelöscht werden. Der kriminellen Kreativität sind hier beinahe keine Grenzen gesetzt und Anti-Viren-Programme können leider niemals einen 100-prozentigen Schutz gewährleisten.
Es werden grundsätzlich drei Stufen von Ransomware-Angriffen unterschieden:
- Die Täter fordern Lösegeld von dem Unternehmen für die Entschlüsselung der „als Geisel genommenen“ Daten
- Ergänzend zu Stufe 1 drohen die Täter dem Unternehmen, bei Nicht-/oder Spätzahlung die Daten zu veröffentlichen.
- (Ergänzend zu Stufe 1 und 2) werden auf Basis der „erbeuteten“ Daten andere Nutzer ausfindig gemacht (z.B. Kunden des Unternehmens) und diese ebenfalls angegriffen und beginnend mit Stufe 1 erpresst.
Insbesondere Stufe 3 ist eine brandaktuelle Entwicklung. Um die Folgen, die ein Angriff für Unternehmen hat überhaupt hinreichend beleuchten zu können, ist es notwendig, zwischen diesen Stufen zu unterscheiden. Hier sollen die haftungsrechtlichen Folgen Beachtung finden. Weitergehende Konsequenzen wie z.B. Verlust der Reputation, die unter Umständen noch höheres Schadenpotential haben, werden hier nicht vertieft beleuchtet. Bei den haftungsrechtlichen Folgen ist dann weitergehend zwischen zivil-, strafrechtlichen, öffentlich-rechtlichen und sonstigen Folgen zu unterscheiden.
Beispiel Stufe 1-3
Die Täter greifen exemplarisch die IT eines deutschen, mittelgroßen Wirtschaftsunternehmens mittels einer Phishing-Mail an. Durch Anklicken des darin enthaltenen Links wird eine Schadsoftware zunächst auf den Rechner des Mitarbeiters heruntergeladen, von dem aus sie sich in dem gesamten IT-System verbreitet und sodann sämtliche Daten verschlüsselt. Es erscheint eine Meldung oder es öffnet sich eine bestimmte Internetseite, auf der ein Lösegeld von z.B. 1 Mio. EUR, zu zahlen in Bitcoins bis zum folgenden Tag, gefordert wird.
Handelt es sich bei den erbeuteten Daten um solche, deren Veröffentlichung dem Unternehmen größeren Schaden zuführen würden, eignen sie sich für Stufe 2. Angenommen, unter den erbeuteten Daten befinden sich Baupläne oder Formeln des Unternehmens, die einen Vorsprung gegenüber Konkurrenzunternehmen gewährleisten, ist dem Unternehmen natürlich daran gelegen, die Veröffentlichung zu verhindern, um seinen wirtschaftlichen Vorteil am Markt nicht zu verlieren. Mindestens ebenso verheerend ist die Veröffentlichung von personenbezogenen Daten, beispielsweise von Kunden. Im Fall der o.g. Uniklinik könnten Erpresser z.B. damit drohen, die erbeuteten Kranken- und Patientenakten zu veröffentlichen.
Sind die erbeuteten Daten brisant genug, eignen sie sich für Stufe 3. Hier werden neben dem ursprünglich angegriffenen „datenverwaltenden-/verarbeitenden“ Unternehmen, auch die Inhaber dieser Daten direkt erpresst. So könnten die Erpresser z.B. an die einzelnen Patienten der Klinik herantreten und diesen mit der Veröffentlichung drohen, um von den Patienten zusätzlich Lösegeld zu erhalten.
Noch besser vorstellbar wird dies im industriellen Bereich: Angenommen ein Unternehmen X stellt Prozessorchips für die von Unternehmen Y damit produzierten Autos her. Bei einem Ransomware-Angriff wäre Unternehmen X natürlich daran gelegen, die Daten und Baupläne (o.ä.) schnellstmöglich wieder zu erlangen, da ohne diese die Produktion stillsteht und dem Unternehmen nun die volle Breitseite haftungsrechtlicher Konsequenzen droht. Noch einmal mehr, wenn die Erpresser mit der Veröffentlichung drohen. Nicht zuletzt eignet sich für diese aber nun auch Y als Erpressungs-Ziel, da auch Y daran gelegen ist, die Baupläne geheim zu halten. Den dadurch bei Y entstandenen Schaden hat X unter Umständen ebenfalls zu ersetzen.
Haftung
In Betracht kommt eine Haftung bei vertraglicher Leistungsstörung nach §§ 280 ff BGB. Voraussetzung hierfür ist ein Schuldverhältnis (z.B. zwischen dem angegriffenen Unternehmen und einem Kunden, der zu liefernde Ware weiterverarbeitet). Neben Verletzung einer Hauptleistungspflicht (z.B. Schlecht- oder Nichtleistung oder Verzug) kommt auch die Verletzung von Nebenleistungspflichten nach § 241 BGB in Betracht. Möglicherweise sind darüberhinaus Vertragsstrafen vereinbart oder vertragliche Vertraulichkeitsvereinbarungen getroffen.
Sind die Voraussetzungen 1.) Schuldverhältnis und 2.) Pflichtverletzung gegeben, wird das Unternehmen einen Schaden (3.) – der regelmäßig vorliegen wird – vertreten müssen (4.). Dazu wird zunächst geprüft werden müssen, ob im Verkehr erforderliche Sorgfaltspflichten außer Acht gelassen wurden, „Sicherheitsvorkehrungen, die ein verständiger, umsichtiger, vorsichtiger und gewissenhafter Angehöriger der betroffenen Verkehrskreise für ausreichend halten darf und die ihm zumutbar sind“ (BGH NJW 2018, 2956, Rn. 18; 2010, 1967, Rn.6). Allerdings beinhaltet § 280 I 2 BGB eine gesetzliche Vermutung des Vertretenmüssens, sodass es dem Unternehmen in diesem Beispiel obliegt, sich zu exkulpieren – und darzulegen, wieso die erforderliche Sorgfalt angewandt wurde. Dies kann z.B. durch technische und organisatorische Sicherheitsmaßnahmen („dem Stand der Technik“) gelingen (sprich z.B. Virenscanner, turnusmäßige Datensicherung etc.). Bei sog. zero-day-exploits, der Ausnutzung von technischen Sicherheitslücken, die dem Entwickler/Hersteller selber erst durch den Angriff bekannt werden, sollte die Exkulpation des Unternehmens, bei sonst fehlerfreiem Verhalten gelingen. Dies ist aber nicht zwingend der Fall, zumal viele Angriffe eben nicht auf zero-day-exploits beruhen.
Bereits zum Zeitpunkt der Vertragsanbahnung bestehen Haftungsrisiken (vgl. § 311 II BGB). So ist jeder Vertragspartner nach § 241 II BGB zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des jeweils anderen verpflichtet. Hier könnte beispielsweise ein Schaden entstehen, wenn ein Mitarbeiter von Unternehmen A eine befallene E-Mail an Unternehmen B weiterleitet.
Eine weitere Haftung ergibt sich aus dem in den letzten Jahren stark verschärften Datenschutz. So wurden nicht nur die Anforderungen an den Datenschutz höher, auch die Schadenvolumina wurden größer. Dies liegt nicht zuletzt in der Fassung von Art. 82 DSGVO begründet, demzufolge nicht nur (der i.d.R. schwer nachweisbare) materielle Schaden, der aus einer Datenschutzverletzung folgt, Schadenersatzansprüche begründet, sondern eben auch immaterieller Schaden. Anspruchsberechtigter kann damit (nahezu) „jeder“ sein. Angenommen bei den erbeuteten Daten handelt es sich um streng vertrauliche, personenbezogene Daten, die dem Schutzbereich des Art. 82 DSGVO unterfallen, sind 5.000 EUR Schadensersatz pro Person schnell gerechtfertigt. Im oben erwähnten Fall der Uniklinik könnte dies etwa bei der Erbeutung von 1.000 Patientenakten schnell eine Haftung i.H.v. z.B. 5 Mio. EUR nach sich ziehen. Diese Zahlen sind rein exemplarisch, es kommt natürlich immer auf den Einzelfall, die Art und Menge der erbeuteten Daten an, deren Aussagekraft und schließlich die Verwendung. Ersichtlich wird aber das hohe Schadenpotential, bei vergleichsweise wenig Aufwand des Täters (1.000 physische Patientenakten aus dem Archiv der Klinik zu stehlen würde einiges mehr an Aufwand mit sich bringen). Im Übrigen ist eine Exkulpation nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Natürlich sei in diesem Zusammenhang auch auf die Grundsätze der Datenverarbeitung (Art. 5 lit. f DSGVO), die Datensicherheit (Art. 32 DSGVO) sowie die Meldepflichten bei Verstößen (Art. 33, 34) verwiesen. In so einem Fall bleibt dem angegriffenen Unternehmen nur ein Hoffnungsschimmer: Dass kein materieller oder immaterieller Schaden durch den/die Geschädigten nachgewiesen werden kann. So hat das AG Bochum z.B. definiert, dass ein spürbarer Nachteil und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung persönlichkeitsbezogener Belange erforderlich sei (vgl. Urt. v. 11.03.2019 – 65 C 485/18). Allerdings gilt im Datenschutz immer der etwas zynische aber nicht ganz aus der Luft gegriffene Grundsatz: „Man kann es nicht richtig machen, nur versuchen, es so wenig wie möglich falsch zu machen“.
Weiter könnte das Unternehmen eine Haftung nach § 823 Abs. 1 BGB treffen, sofern – wie oben bereits angesprochen – Verkehrsicherungspflichten verletzt wurden. Der BGH definierte hierzu: „Die rechtlich gebotene Verkehrssicherung umfasst diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Mensch für notwendig und ausreichend hält, um andere vor Schäden zu bewahren“ (BGH Urt. v. 02.10.2012 – VI ZR 311/11 Rn.7). Auch liegt zwar die Beweislast beim Geschädigten, der Tatbestand ist aber unter Umständen schnell erfüllt. Eine Rechtsgutverletzung am Leben, Körper oder Gesundheit scheidet i.d.R. aus, in Betracht kommt aber Eigentum. Hier ist jedoch fraglich, ob Daten, die an sich keine Substanz haben, unter den Begriff des Eigentums gefasst werden können. Ebenfalls in Betracht kommt eine Subsumtion unter „Sonstige Rechte“ i.V.m. Art. 1, 2 I GG. Es bedarf haftungsbegründender Kausalität, Rechtswidrigkeit und Verschulden. Ein ersatzfähiger Schaden ergibt sich dann aus §§ 249 ff BGB. Befreiend kann aber ein geringer Grad des Mitverschulden wirken, wenn z.B. der Inhaber eines Servers nicht für die zuverlässige Sicherungsroutine sorgt (vgl. OLG Hamm, Urt. v. 01.12.2003 – 13 U 133/03).
Nach § 823 Abs. 2 BGB besteht auch Haftung bei Verletzung eines Schutzgesetzes (vgl. Art. 2 ESBGB „jede Rechtsnorm, die zumindest auch Individualinteressen schützt“). So z.B. die Vorschriften der DSGVO, § 8a BSIG, § 109a TKG a.F., §§ 4,8 GeschGehG, etc., §§ 202a-e, 303a, 303b StGB. Auch hier werden wieder Rechtswidrigkeit und Verschulden für den Schadensersatz nach §§ 249 ff BGB verlangt.
Das BKA und die Polizei raten entschieden davon ab, geforderte Lösegelder zu bezahlen. Zum einen (Mikrosichtweise) fühlen sich Kriminelle nicht verpflichtet, tatsächlich den versprochenen Teil der Abmachung (Entschlüsselung) zu erfüllen, sondern könnten unter Umständen sogar noch einmal Lösegeld nachfordern – da sie ja nun wissen, dass es funktioniert. Zum anderen (Makrosichtweise) ist diese Straftat nur daher attraktiv für Kriminelle, da sie funktioniert und „sich rechnet“. Denn wenn niemand auf Lösegeldforderungen eingeht, haben die Kriminellen nichts gewonnen und werden somit keine weiteren Angriffe starten (der Aufwand ist den Ertrag nicht Wert – einfache BWL).
Nicht zuletzt ist aber von der Zahlung des Lösegeldes abzusehen, da sich der Zahlende möglicherweise zusätzlich nach § 89c StGB strafbar macht. Auch wenn der Gedanke „zum Schutz der Kunden das Lösegeld zu bezahlen“ sicherlich in dieser Form nicht verwerflich ist, fließt das Geld an Kriminelle. Dem entgegenzuhalten ist natürlich, dass nicht sicher ist, ob die Kriminellen auch terroristische Anschläge verüben bzw. wofür sie das Geld letztlich verwenden. Allerdings kann das Lösegeld unter Umständen im Einzelfall unter die Straftatbestände subsumiert werden, wodurch sich damit der Zahlende also strafbar macht. Es wird auch dazu geraten, entgegen der Aufforderung der Täter zur Unterlassung, in jedem Fall Strafanzeige zu erstatten, nicht zuletzt da die IT-Forensik der Kriminaltechnik Daten gegebenenfalls rekonstruieren oder „aus der Geiselnahme befreien“ kann.
Resume
Zusammenfassend bleibt festzuhalten, dass für Unternehmen eine erhebliche Gefährdung von Cyber-Risiken ausgeht. Diese betrifft nicht nur den eigenen Betrieb/die eigene Infrastruktur, sondern auch eine daraus abzuleitende Gefährdung Dritter, die insgesamt eine Vielzahl von Haftungsverhältnissen zur Folge haben kann:
Eine deliktische Haftung nach § 823 Abs. 1 BGB scheitert wohl regelmäßig bereits an der Sacheigenschaft von Daten. Davon ausgegangen, dass elektronische Daten keine Sachen i.S.d. BGB sind, kommt § 823 Abs 1 BGB lediglich bei einem Personenschaden infolge der Datenbeeinträchtigung bzw. bei durch die Beeinträchtigung verursachter Gebrauchsunfähigkeit des Datenträgers (Eigentumsverletzung) in Betracht. Letztere Haftung ist jedoch bereits wieder abzulehnen, wenn die Daten nicht auf einem externen Datenträger, sondern in einer Cloud gespeichert sind.
Weiter in Betracht kommt eine deliktsrechtliche Haftung nach § 823 Abs. 2 BGB i.V.m. einem verletzten Schutzgesetz, denn im Gegensatz zu Abs. 1 reicht hier bereits ein reiner Vermögensschaden aus. Im Strafgesetz kommen insbesondere das Ausspähen und Abfangen von Daten (§§ 202 a,b StGB), der Computerbetrug (§ 263 StGB) und die Datenveränderung sowie die Computersabotage (§§ 303 a,b StGB) in Betracht. Weitere deliktische Haftungsverhältnisse ergeben sich aus § 824 BGB (Kreditgewährung), § 826 BGB (sittenwidrige vorsätzliche Schädigung) und § 831 BGB (Haftung für Verrichtungsgehilfen).
Datenschutzrechtliche Schadenersatzansprüche ergeben sich aus der seit 2018 gültigen DSGVO. Nach Art. 82 Abs. 1 steht jeder natürlichen Person (Art. 4 Nr. 1), die durch eine Datenschutzverletzung einen materiellen (schwierig zu beweisen) oder immateriellen (neu: Erleichtert den Schadensersatzanspruch für Geschädigte deutlich) Schaden erleidet, ein Schadenersatzanspruch zu. Weiter drohen bei Verstößen hohe Bußgelder i.H.v. 20 Mio. EUR bzw. 4,00 % des weltweit erzielten Vorjahresumsatzes eines Unternehmen (Art. 83). Die Höhe der Bußgelder zielt darauf, eine gewisse abschreckende Wirkung zu erzeugen.
Zuletzt können sich auch Ansprüche aus § 280 BGB ergeben. Führt der Cyber-Angriff zu Produktionsausfällen im eigenen Unternehmen, können sich hieraus bspw. schuldrechtliche Ansprüche der Abnehmer der eigenen Produktionsgüter ergeben. Daneben kommt vertragliche Mängelhaftung bei infolge von Cyber-Angriffen entstandenen Produktionsmängeln nach §§ 439, 635 BGB in Betracht. Regelmäßig stellt die Datenschutzverletzung einen Verstoß gegen Nebenabreden vertraglicher Haftungsverhältnisse nach §§ 280 Abs. 1, 241 Abs. 2 BGB dar. Aber auch Ansprüche aus vorvertraglicher Pflichtverletzung nach §§ 280, 241 Abs. 2, 311 Abs. 2 Nr. 2 BGB sind denkbar.
Die Haftungrisiken sind wie dargestellt vielschichtig und zahlreich.
Haftpflichtversicherung
Macht sich nun eine Person nach einem oder mehrerer der oben genannten Tatbestände haftbar, ist sie also dem Geschädigten gegenüber zum Ersatz des entstandenen Schadens verpflichtet. Hier liegt die Idee nahe, diese Verpflichtung dem privaten Haftpflichtversicherer zu melden und als Versicherungsfall ersetzt zu bekommen. Vereinfacht dargestellt, schützt die Haftpflichtversicherung den Versicherungsnehmer vor Verpflichtungen seinerseits bzw. Ansprüchen anderer gegen ihn, indem diese entweder auf Kosten des Versicherers abgewehrt oder von diesem getragen werden. Allerdings hat der Versicherungsnehmer nur Anspruch hierauf, wenn es sich um die Realisation eines versicherten Risikos handelt (vgl. AVB PHV).
Bestimmte Konstellationen von Cyber-Angriffen sind in der Haftpflichtversicherung gedeckt (vgl. A1-6.13 AVB BHV). So erfasst der Versicherungsschutz z.B. den Fall, dass der Versicherungsnehmer wegen Schäden in Anspruch genommen wird, die ausschließlich aus der Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten durch Computer-Viren und/oder sonstige Schadprogramme resultieren (vgl. A1-6.13.2.1a AVB BHV, AVB PHV A1-6.16.; vgl. Stockmeier (2019): Privathaftpflichtversicherung (1. Aufl.)).
Auch wenn hier die Folgen eines Angriffs auf Unternehmen beleuchtet werden, sei zumindest erwähnt, dass auch in der privaten Haftpflichtversicherung Deckung für bestimmte Konstellationen von Cyber-Angriffen besteht. So sind z.B. auch hier Ansprüche wegen Schäden aus der Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten durch Computer-Viren und/oder Schadprogramme versichert (A1-6.16.1a AVB PHV).
Cyberversicherung
Andere denkbare Konstellationen, wie z.B. Drittansprüche gegen Unternehmen (Versicherungsnehmer) auf Ersatz von Schäden, die daraus resultieren, dass Cyber-Kriminelle das IT-System des Unternehmens für den Versandt zahlreicher Ransomware-E-Mails an andere Unternehmen genutzt haben, sind hingegen in der Haftpflichtversicherung nicht erfasst, in der Cyber-Versicherung hingegen schon.
Eine marktübliche Cyber-Versicherung bietet neben einer umfänglichen Eigenschadendeckung u.a. auch Deckung für Betriebsunterbrechungsschäden, Sachverständigenkosten oder Reputations- und Krisenmanagementkosten sowie einen Cyber-Haftpflichtbaustein. Einige Versicherer haben hier weitgehende Drittschadendeckungen in ihre Bedingungswerke integriert. Als versichert gelten dabei i.d.R. alle Schadensersatzansprüche von Dritten auf Ersatz eines Vermögensschadens gegen den Versicherten, sofern der Schaden durch eine Informations-sicherheitsverletzung eingetreten ist. Der Begriff der Informationssicherheitsverletzung wird dabei von jedem Versicherer etwas anders definiert. Üblicherweise umfasst diese Netzwerksicherheitsverletzungen, Datenschutzverletzungen (Verletzung der Sicherheit nach dem Bundesdatenschutzgesetz, der Datenschutz-Grundverordnung oder entsprechender nationaler Regelungen) und Datenvertraulichkeitsverletzungen (Verletzungen der Vertraulichkeit von Daten). Netzwerksicherheitsverletzungen werden i.d.R. als eine Verletzung der Netzwerksicherheit, z.B. durch eine Übermittlung von Schadprogrammen durch Versicherte, einen Überlastungsangriff (DDos-Attacke) durch von Versicherten genutzte Computersysteme, eine Veröffentlichung von Daten durch Mitarbeiter oder eine nicht autorisierte Veränderung oder Löschung von Daten definiert.
Eine Cyber-Versicherung erweitert (abgesehen von einer Deckung für Eigenschäden) im Vergleich zu einer Betriebshaftpflichtversicherung also den Versicherungsschutz im Bezug auf Drittschäden, welche durch einen Ransomware-Vorfall entstehen können. Zu erwähnen ist hierbei noch, dass der Haftpflichtbaustein einer Cyber-Versicherung grundsätzlich nur subsidiär gilt. Besteht also für einen Drittschaden über die Betriebshaftpflichtversicherung Versicherungsschutz, tritt hier die Cyber-Versicherung nicht ein.
Ausblick
Im Hinblick auf den andauernden Krieg zwischen der Ukraine und Russland soll auf die gestiegene Gefährdung durch Cyber-Angriffe hingewiesen werden. Es ist nicht das erste Mal, dass neben „traditionellen“ militärischen Attacken auch Cyber-Attacken gegen den Gegner eingesetzt werden, aber es ist das aktuell wahrscheinlich präsenteste Beispiel. So griffen russische Hacker Unternehmen und Einrichtungen in der Ukraine an und nahmen z.B. die Internetseiten des Verteidigungsministeriums in Kiew und zweier Staatsbanken vom Netz. Deutsche Sicherheitsbehörden warnen vor weiteren Angriffen professioneller Hacker im Auftrag Moskaus, auch in Deutschland entsprechende Angriffe zu verüben. Ziel könnten dann z.B. Infrastruktur-relevante Unternehmen (z.B. aus dem IT-Sektor) sein. Ebenso könnten sich Angriffe auch gegen andere Unternehmen richten (von mittelständischen bis DAX-Unternehmen). Hier sind verschiedene Angriff-Szenarien möglich wie z.B. das Abschalten von Websites bis hin zur Verschlüsselung/Unbrauchbarmachung des gesamten IT-Systems. Auch Ransomware-Angriffe sind denkbar: Erpressung bietet unter Umständen noch den nützlichen Nebeneffekt der Finanzierung – immer dann, wenn die Opfer auf die Forderungen eingehen. Angesichts eines drohenden Wirtschaftskriegs könnte dies eine Reaktion Russlands auf die verhängten Sanktionen des Westens darstellen. Vorhersehbar ist dies nicht – das Risiko besteht jedoch. Hierbei ist allerdings zu erwähnen, dass bei derartigen Angriffen der in den Cyber-Policen verankerte Kreisausschuss greifen könnte. Der Versicherer hätte aber zu beweisen, dass die Voraussetzungen des Kriegsausschlusses erfüllt sind, was sich in der Praxis als schwierig erweisen könnte.
Die Erwähnung, dass Cyberversicherungen sowohl Eigenschäden als auch Drittschäden abdecken können, ist ein weiterer wichtiger Punkt. In einer Zeit, in der Unternehmen stark von ihren digitalen Systemen abhängig sind, können Störungen durch Cyber-Angriffe verheerend sein. Die Tatsache, dass diese Versicherungen auch Unterstützung bei Reputationsmanagement und Krisenbewältigung bieten, zeigt, dass Versicherungsanbieter zunehmend ganzheitliche Lösungen anbieten, um Unternehmen bei der Bewältigung dieser komplexen Bedrohungen zu unterstützen.
Die Beschreibung der Haftungsrisiken bei Ransomware-Angriffen zeigt, wie schnell Unternehmen in einer juristischen Zwickmühle landen können. Besonders der Gedanke, dass nicht nur die eigenen Daten betroffen sind, sondern auch Kunden- und Partnerunternehmen darunter leiden, macht die Tragweite dieser Angriffe deutlich.
Es stellt sich die Frage, ob verpflichtende Notfallpläne und regelmäßige externe Prüfungen nicht mehr Unternehmen vor solchen Szenarien schützen könnten. Welche Rolle könnte hier ein intensiveres Schulungsprogramm für Mitarbeitende spielen, um menschliche Fehler weiter zu minimieren?