{"id":1232,"date":"2022-07-14T13:38:14","date_gmt":"2022-07-14T11:38:14","guid":{"rendered":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/?p=1232"},"modified":"2022-07-14T13:50:02","modified_gmt":"2022-07-14T11:50:02","slug":"welche-folgen-haben-ransomware-angriffe-fuer-unternehmen","status":"publish","type":"post","link":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/2022\/07\/14\/welche-folgen-haben-ransomware-angriffe-fuer-unternehmen\/","title":{"rendered":"Welche Folgen haben Ransomware-Angriffe f\u00fcr Unternehmen?"},"content":{"rendered":"\n

Erpressung<\/strong><\/p>\n\n\n\n

\u201eWer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen \u00dcbel zu einer Handlung, Duldung oder Unterlassung n\u00f6tigt und dadurch dem Verm\u00f6gen des gen\u00f6tigten oder eines anderen Nachteil zuf\u00fcgt\u201c<\/em>, begeht gem\u00e4\u00df \u00a7 253 StGB eine Erpressung. Bei diesem Tatbestand kommen einem unweigerlich Szenen aus Kriminalfilmen in den Sinn, in denen z.B. der Erpresser mit verzerrter Stimme am Telefon den Polizeibeamten Anweisungen f\u00fcr die Geld\u00fcbergabe gibt. Oftmals erfolgt eine Erpressung im Rahmen einer Geiselnahme oder Entf\u00fchrung, wie im Fall Richard Oetkers 1976 oder wie in der wohl bekanntesten deutschen Erpressungsserie Arno Funkes (\u201eDagobert\u201c), der in den 1980er-90er Jahren Kaufh\u00e4user mit Sprengs\u00e4tzen erpresste. Die Taten Funkes lie\u00dfen auf \u00fcberdurchschnittliche Kreativit\u00e4t und Intelligenz und ein gewisses (elektro-)technisches Geschick schlie\u00dfen. Die Beschaffung der f\u00fcr die Sprengs\u00e4tze erforderlichen (elektrotechnischen) Bauteile brachte die Ermittler schlie\u00dflich auf Funkes Spur. <\/p>\n\n\n\n

Der technische Fortschritt sowie die rasante Digitalisierung und zunehmende Vernetzung der Welt (Globalisierung), die sich seit diesen bereits etwas nostalgisch anmutenden Straftaten (Opfer waren z.B. \u201eHertie\u201c und \u201eKaDeWe\u201c) ereignet haben, machen es T\u00e4tern zunehmend einfacher, ihre Opfer zu erpressen. So reduziert Erpressung \u00fcber das Internet vermeintlich das Risiko einer strafrechtlichen Verfolgung, zumal die T\u00e4ter Ihre ben\u00f6tigten Utensilien \u201eanonym\u201c im Darknet beschaffen k\u00f6nnen und ihre Angriffe \u201ebequem von Zuhause\u201c von \u00fcberall auf der Welt ausf\u00fchren k\u00f6nnen. Dies unterscheidet sich deutlich von der Vorgehensweise eines Arno Funkes, der noch zur Platzierung seiner Sprengs\u00e4tze physisch in dem entsprechenden Kaufhaus anwesend sein musste. Auch unterscheidet sich das Schadenpotential. H\u00f6here Schadenvolumina und damit h\u00f6here L\u00f6segeldforderungen sind durch das Internet deutlich einfacher zu erreichen – man denke nur daran, wie gro\u00df ein Serverraum ist und welcher Wert darin liegt bzw. gespeichert ist.<\/p>\n\n\n\n

So ist es kaum verwunderlich, dass sogenannte Ransomware-Angriffe (vereinfacht dargestellt: Digitale Erpressung, vornehmlich von Unternehmen) seit Jahren stetig zunehmen. Aktuell vergeht kaum noch ein Tag, an welchem nicht \u00fcber Unternehmen oder Institutionen berichtet wird, die Opfer von Cyber-Angriffen geworden sind. Auch die Corona-Pandemie hat f\u00fcr steigende Fallzahlen von Ransomware-Angriffen gesorgt. Ein Beispiel der j\u00fcngeren Vergangenheit ist die Uniklinik D\u00fcsseldorf, in deren Server 2019 Unbekannte eindrangen, sich Zugriff auf Daten verschafften und durch die Beeinflussung des Betriebes den Tod einer Patientin zu verantworten haben. Ransomware-Angriffe k\u00f6nnen aber auch dezentral erfolgen, wie im Fall von WannaCry 2017, einer Schadsoftware, die binnen weniger Tage mehr als 380.000 Computer weltweit infizierte, darunter Systeme namhafter Unternehmen wie der Deutschen Bahn, Renault, FedEx, Telef\u00f3nica o.\u00e4.. Dabei werden die zur Infiltration genutzten Programme (Viren, Trojaner, etc.) zunehmend wirksamer und komplexer. <\/p>\n\n\n\n

Zwar ist die gr\u00f6\u00dfte Schwachstelle im System noch immer der Mensch (ein Klick auf eine gef\u00e4lschte E-Mail oder eine verseuchte Internetseite), jedoch werden auch Schnittstellen mit dem Internet (Clouds o.\u00e4.) zunehmend angegriffen, um in das System eines Unternehmens zu gelangen. Mit zunehmender Globalisierung und Digitalisierung (Stichwort Industrie 4.0 und 5.0 oder 5G) er\u00f6ffnen sich immer neue Potentiale f\u00fcr Kriminelle.<\/p>\n\n\n\n

Ransomware-Angriff<\/strong><\/p>\n\n\n\n

Bei einem solchen Angriff infiltrieren Kriminelle ein IT-System, verschl\u00fcsseln dort Daten und fordern f\u00fcr die Entschl\u00fcsselung vom Eigent\u00fcmer ein L\u00f6segeld. <\/p>\n\n\n\n

Hier sind verschiedene Formen der Ausgestaltung denkbar: Die einfachste Form ist ein sogenannter \u201escreen locker\u201c, bei dem \u201elediglich\u201c der Bildschirm gesperrt wird. Eine bereits komplexere Form ist, das Inhaltsverzeichnis der Festplatte zu verschl\u00fcsseln, sodass die gespeicherten Daten nicht mehr aufgefunden werden k\u00f6nnen. Filigraner \u2013 aber nicht weniger sch\u00e4dlich \u2013 ist die Verschl\u00fcsselung von Daten und Dokumenten. Hier drohen die T\u00e4ter oftmals auch damit, dass bei Einschaltung der Polizei oder Verz\u00f6gerungen bei der L\u00f6segeldzahlung Daten unwiederbringlich gel\u00f6scht werden. Der kriminellen Kreativit\u00e4t sind hier beinahe keine Grenzen gesetzt und Anti-Viren-Programme k\u00f6nnen leider niemals einen 100-prozentigen Schutz gew\u00e4hrleisten.<\/p>\n\n\n\n

Es werden grunds\u00e4tzlich drei Stufen von Ransomware-Angriffen unterschieden:<\/p>\n\n\n\n

  1. Die T\u00e4ter fordern L\u00f6segeld von dem Unternehmen f\u00fcr die Entschl\u00fcsselung der \u201eals Geisel genommenen\u201c Daten<\/li>
  2. Erg\u00e4nzend zu Stufe 1 drohen die T\u00e4ter dem Unternehmen, bei Nicht-\/oder Sp\u00e4tzahlung die Daten zu ver\u00f6ffentlichen.<\/li>
  3. (Erg\u00e4nzend zu Stufe 1 und 2) werden auf Basis der \u201eerbeuteten\u201c Daten andere Nutzer ausfindig gemacht (z.B. Kunden des Unternehmens) und diese ebenfalls angegriffen und beginnend mit Stufe 1 erpresst. <\/li><\/ol>\n\n\n\n

    Insbesondere Stufe 3 ist eine brandaktuelle Entwicklung. Um die Folgen, die ein Angriff f\u00fcr Unternehmen hat \u00fcberhaupt hinreichend beleuchten zu k\u00f6nnen, ist es notwendig, zwischen diesen Stufen zu unterscheiden. Hier sollen die haftungsrechtlichen Folgen Beachtung finden. Weitergehende Konsequenzen wie z.B. Verlust der Reputation, die unter Umst\u00e4nden noch h\u00f6heres Schadenpotential haben, werden hier nicht vertieft beleuchtet. Bei den haftungsrechtlichen Folgen ist dann weitergehend zwischen zivil-, strafrechtlichen, \u00f6ffentlich-rechtlichen und sonstigen Folgen zu unterscheiden.<\/p>\n\n\n\n

    Beispiel Stufe 1-3<\/strong><\/p>\n\n\n\n

    Die T\u00e4ter greifen exemplarisch die IT eines deutschen, mittelgro\u00dfen Wirtschaftsunternehmens mittels einer Phishing-Mail an. Durch Anklicken des darin enthaltenen Links wird eine Schadsoftware zun\u00e4chst auf den Rechner des Mitarbeiters heruntergeladen, von dem aus sie sich in dem gesamten IT-System verbreitet und sodann s\u00e4mtliche Daten verschl\u00fcsselt. Es erscheint eine Meldung oder es \u00f6ffnet sich eine bestimmte Internetseite, auf der ein L\u00f6segeld von z.B. 1 Mio. EUR, zu zahlen in Bitcoins bis zum folgenden Tag, gefordert wird.<\/p>\n\n\n\n

    Handelt es sich bei den erbeuteten Daten um solche, deren Ver\u00f6ffentlichung dem Unternehmen gr\u00f6\u00dferen Schaden zuf\u00fchren w\u00fcrden, eignen sie sich f\u00fcr Stufe 2. Angenommen, unter den erbeuteten Daten befinden sich Baupl\u00e4ne oder Formeln des Unternehmens, die einen Vorsprung gegen\u00fcber Konkurrenzunternehmen gew\u00e4hrleisten, ist dem Unternehmen nat\u00fcrlich daran gelegen, die Ver\u00f6ffentlichung zu verhindern, um seinen wirtschaftlichen Vorteil am Markt nicht zu verlieren. Mindestens ebenso verheerend ist die Ver\u00f6ffentlichung von personenbezogenen Daten, beispielsweise von Kunden. Im Fall der o.g. Uniklinik k\u00f6nnten Erpresser z.B. damit drohen, die erbeuteten Kranken- und Patientenakten zu ver\u00f6ffentlichen.<\/p>\n\n\n\n

    Sind die erbeuteten Daten brisant genug, eignen sie sich f\u00fcr Stufe 3. Hier werden neben dem urspr\u00fcnglich angegriffenen \u201edatenverwaltenden-\/verarbeitenden\u201c Unternehmen, auch die Inhaber dieser Daten direkt erpresst. So k\u00f6nnten die Erpresser z.B. an die einzelnen Patienten der Klinik herantreten und diesen mit der Ver\u00f6ffentlichung drohen, um von den Patienten zus\u00e4tzlich L\u00f6segeld zu erhalten. <\/p>\n\n\n\n

    Noch besser vorstellbar wird dies im industriellen Bereich: Angenommen ein Unternehmen X stellt Prozessorchips f\u00fcr die von Unternehmen Y damit produzierten Autos her. Bei einem Ransomware-Angriff w\u00e4re Unternehmen X nat\u00fcrlich daran gelegen, die Daten und Baupl\u00e4ne (o.\u00e4.) schnellstm\u00f6glich wieder zu erlangen, da ohne diese die Produktion stillsteht und dem Unternehmen nun die volle Breitseite haftungsrechtlicher Konsequenzen droht. Noch einmal mehr, wenn die Erpresser mit der Ver\u00f6ffentlichung drohen. Nicht zuletzt eignet sich f\u00fcr diese aber nun auch Y als Erpressungs-Ziel, da auch Y daran gelegen ist, die Baupl\u00e4ne geheim zu halten. Den dadurch bei Y entstandenen Schaden hat X unter Umst\u00e4nden ebenfalls zu ersetzen.<\/p>\n\n\n\n

    Haftung <\/strong><\/p>\n\n\n\n

    In Betracht kommt eine Haftung bei vertraglicher Leistungsst\u00f6rung nach \u00a7\u00a7 280 ff BGB. Voraussetzung hierf\u00fcr ist ein Schuldverh\u00e4ltnis (z.B. zwischen dem angegriffenen Unternehmen und einem Kunden, der zu liefernde Ware weiterverarbeitet). Neben Verletzung einer Hauptleistungspflicht (z.B. Schlecht- oder Nichtleistung oder Verzug) kommt auch die Verletzung von Nebenleistungspflichten nach \u00a7 241 BGB in Betracht. M\u00f6glicherweise sind dar\u00fcberhinaus Vertragsstrafen vereinbart oder vertragliche Vertraulichkeitsvereinbarungen getroffen.<\/p>\n\n\n\n

    Sind die Voraussetzungen 1.) Schuldverh\u00e4ltnis und 2.) Pflichtverletzung gegeben, wird das Unternehmen einen Schaden (3.) – der regelm\u00e4\u00dfig vorliegen wird – vertreten m\u00fcssen (4.). Dazu wird zun\u00e4chst gepr\u00fcft werden m\u00fcssen, ob im Verkehr erforderliche Sorgfaltspflichten au\u00dfer Acht gelassen wurden, \u201eSicherheitsvorkehrungen, die ein verst\u00e4ndiger, umsichtiger, vorsichtiger und gewissenhafter Angeh\u00f6riger der betroffenen Verkehrskreise f\u00fcr ausreichend halten darf und die ihm zumutbar sind\u201c<\/em> (BGH NJW 2018, 2956, Rn. 18; 2010, 1967, Rn.6). Allerdings beinhaltet \u00a7 280 I 2 BGB eine gesetzliche Vermutung des Vertretenm\u00fcssens, sodass es dem Unternehmen in diesem Beispiel obliegt, sich zu exkulpieren – und darzulegen, wieso die erforderliche Sorgfalt angewandt wurde. Dies kann z.B. durch technische und organisatorische Sicherheitsma\u00dfnahmen (\u201edem Stand der Technik\u201c) gelingen (sprich z.B. Virenscanner, turnusm\u00e4\u00dfige Datensicherung etc.). Bei sog. zero-day-exploits, der Ausnutzung von technischen Sicherheitsl\u00fccken, die dem Entwickler\/Hersteller selber erst durch den Angriff bekannt werden, sollte die Exkulpation des Unternehmens, bei sonst fehlerfreiem Verhalten gelingen. Dies ist aber nicht zwingend der Fall, zumal viele Angriffe eben nicht auf zero-day-exploits beruhen.<\/p>\n\n\n\n

    Bereits zum Zeitpunkt der Vertragsanbahnung bestehen Haftungsrisiken (vgl. \u00a7 311 II BGB). So ist jeder Vertragspartner nach \u00a7 241 II BGB zur R\u00fccksichtnahme auf die Rechte, Rechtsg\u00fcter und Interessen des jeweils anderen verpflichtet. Hier k\u00f6nnte beispielsweise ein Schaden entstehen, wenn ein Mitarbeiter von Unternehmen A eine befallene E-Mail an Unternehmen B weiterleitet.<\/p>\n\n\n\n

    Eine weitere Haftung ergibt sich aus dem in den letzten Jahren stark versch\u00e4rften Datenschutz. So wurden nicht nur die Anforderungen an den Datenschutz h\u00f6her, auch die Schadenvolumina wurden gr\u00f6\u00dfer. Dies liegt nicht zuletzt in der Fassung von Art. 82 DSGVO begr\u00fcndet, demzufolge nicht nur (der i.d.R. schwer nachweisbare) materielle Schaden, der aus einer Datenschutzverletzung folgt, Schadenersatzanspr\u00fcche begr\u00fcndet, sondern eben auch immaterieller Schaden. Anspruchsberechtigter kann damit (nahezu) \u201ejeder\u201c sein. Angenommen bei den erbeuteten Daten handelt es sich um streng vertrauliche, personenbezogene Daten, die dem Schutzbereich des Art. 82 <\/strong>DSGVO unterfallen, sind 5.000 EUR Schadensersatz pro Person schnell gerechtfertigt. Im oben erw\u00e4hnten Fall der Uniklinik k\u00f6nnte dies etwa bei der Erbeutung von 1.000 Patientenakten schnell eine Haftung i.H.v. z.B. 5 Mio. EUR nach sich ziehen. Diese Zahlen sind rein exemplarisch, es kommt nat\u00fcrlich immer auf den Einzelfall, die Art und Menge der erbeuteten Daten an, deren Aussagekraft und schlie\u00dflich die Verwendung. Ersichtlich wird aber das hohe Schadenpotential, bei vergleichsweise wenig Aufwand des T\u00e4ters (1.000 physische Patientenakten aus dem Archiv der Klinik zu stehlen w\u00fcrde einiges mehr an Aufwand mit sich bringen). Im \u00dcbrigen ist eine Exkulpation nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Nat\u00fcrlich sei in diesem Zusammenhang auch auf die Grunds\u00e4tze der Datenverarbeitung (Art. 5 lit. f DSGVO), die Datensicherheit (Art. 32 DSGVO) sowie die Meldepflichten bei Verst\u00f6\u00dfen (Art. 33, 34) verwiesen. In so einem Fall bleibt dem angegriffenen Unternehmen nur ein Hoffnungsschimmer: Dass kein materieller oder immaterieller Schaden durch den\/die Gesch\u00e4digten nachgewiesen werden kann. So hat das AG Bochum z.B. definiert, dass ein sp\u00fcrbarer Nachteil und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeintr\u00e4chtigung pers\u00f6nlichkeitsbezogener Belange erforderlich sei (vgl. Urt. v. 11.03.2019 – 65 C 485\/18). Allerdings gilt im Datenschutz immer der etwas zynische aber nicht ganz aus der Luft gegriffene Grundsatz: \u201eMan kann es nicht richtig machen, nur versuchen, es so wenig wie m\u00f6glich falsch zu machen\u201c<\/em>. <\/p>\n\n\n\n

    Weiter k\u00f6nnte das Unternehmen eine Haftung nach \u00a7 823 Abs. 1 BGB treffen, sofern – wie oben bereits angesprochen – Verkehrsicherungspflichten verletzt wurden. Der BGH definierte hierzu: \u201eDie rechtlich gebotene Verkehrssicherung umfasst diejenigen Ma\u00dfnahmen, die ein umsichtiger und verst\u00e4ndiger, in vern\u00fcnftigen Grenzen vorsichtiger Mensch f\u00fcr notwendig und ausreichend h\u00e4lt, um andere vor Sch\u00e4den zu bewahren\u201c<\/em> (BGH Urt. v. 02.10.2012 – VI ZR 311\/11 Rn.7). Auch liegt zwar die Beweislast beim Gesch\u00e4digten, der Tatbestand ist aber unter Umst\u00e4nden schnell erf\u00fcllt. Eine Rechtsgutverletzung am Leben, K\u00f6rper oder Gesundheit scheidet i.d.R. aus, in Betracht kommt aber Eigentum. Hier ist jedoch fraglich, ob Daten, die an sich keine Substanz haben, unter den Begriff des Eigentums gefasst werden k\u00f6nnen. Ebenfalls in Betracht kommt eine Subsumtion unter \u201eSonstige Rechte\u201c i.V.m. Art. 1, 2 I GG. Es bedarf haftungsbegr\u00fcndender Kausalit\u00e4t, Rechtswidrigkeit und Verschulden. Ein ersatzf\u00e4higer Schaden ergibt sich dann aus \u00a7\u00a7 249 ff BGB. Befreiend kann aber ein geringer Grad des Mitverschulden wirken, wenn z.B. der Inhaber eines Servers nicht f\u00fcr die zuverl\u00e4ssige Sicherungsroutine sorgt (vgl. OLG Hamm, Urt. v. 01.12.2003 – 13 U 133\/03).<\/p>\n\n\n\n

    Nach \u00a7 823 Abs. 2 BGB besteht auch Haftung bei Verletzung eines Schutzgesetzes (vgl. Art. 2 ESBGB \u201ejede Rechtsnorm, die zumindest auch Individualinteressen sch\u00fctzt\u201c<\/em>). So z.B. die Vorschriften der DSGVO, \u00a7 8a BSIG, \u00a7 109a TKG a.F., \u00a7\u00a7 4,8 GeschGehG, etc., \u00a7\u00a7 202a-e, 303a, 303b StGB. Auch hier werden wieder Rechtswidrigkeit und Verschulden f\u00fcr den Schadensersatz nach \u00a7\u00a7 249 ff BGB verlangt.<\/p>\n\n\n\n

    Das BKA und die Polizei raten entschieden davon ab, geforderte L\u00f6segelder zu bezahlen. Zum einen (Mikrosichtweise) f\u00fchlen sich Kriminelle nicht verpflichtet, tats\u00e4chlich den versprochenen Teil der Abmachung (Entschl\u00fcsselung) zu erf\u00fcllen, sondern k\u00f6nnten unter Umst\u00e4nden sogar noch einmal L\u00f6segeld nachfordern – da sie ja nun wissen, dass es funktioniert. Zum anderen (Makrosichtweise) ist diese Straftat nur daher attraktiv f\u00fcr Kriminelle, da sie funktioniert und \u201esich rechnet\u201c. Denn wenn niemand auf L\u00f6segeldforderungen eingeht, haben die Kriminellen nichts gewonnen und werden somit keine weiteren Angriffe starten (der Aufwand ist den Ertrag nicht Wert – einfache BWL).
    Nicht zuletzt ist aber von der Zahlung des L\u00f6segeldes abzusehen, da sich der Zahlende m\u00f6glicherweise zus\u00e4tzlich nach \u00a7 89c StGB strafbar macht. Auch wenn der Gedanke \u201ezum Schutz der Kunden das L\u00f6segeld zu bezahlen\u201c<\/em> sicherlich in dieser Form nicht verwerflich ist, flie\u00dft das Geld an Kriminelle. Dem entgegenzuhalten ist nat\u00fcrlich, dass nicht sicher ist, ob die Kriminellen auch terroristische Anschl\u00e4ge ver\u00fcben bzw. wof\u00fcr sie das Geld letztlich verwenden. Allerdings kann das L\u00f6segeld unter Umst\u00e4nden im Einzelfall unter die Straftatbest\u00e4nde subsumiert werden, wodurch sich damit der Zahlende also strafbar macht. Es wird auch dazu geraten, entgegen der Aufforderung der T\u00e4ter zur Unterlassung, in jedem Fall Strafanzeige zu erstatten, nicht zuletzt da die IT-Forensik der Kriminaltechnik Daten gegebenenfalls rekonstruieren oder \u201eaus der Geiselnahme befreien\u201c kann.<\/p>\n\n\n\n

    Resume<\/strong><\/p>\n\n\n\n

    Zusammenfassend bleibt festzuhalten, dass f\u00fcr Unternehmen eine erhebliche Gef\u00e4hrdung von Cyber-Risiken ausgeht. Diese betrifft nicht nur den eigenen Betrieb\/die eigene Infrastruktur, sondern auch eine daraus abzuleitende Gef\u00e4hrdung Dritter, die insgesamt eine Vielzahl von Haftungsverh\u00e4ltnissen zur Folge haben kann:<\/p>\n\n\n\n

    Eine deliktische Haftung nach \u00a7 823 Abs. 1 BGB scheitert wohl regelm\u00e4\u00dfig bereits an der Sacheigenschaft von Daten. Davon ausgegangen, dass elektronische Daten keine Sachen i.S.d. BGB sind, kommt \u00a7 823 Abs 1 BGB lediglich bei einem Personenschaden infolge der Datenbeeintr\u00e4chtigung bzw. bei durch die Beeintr\u00e4chtigung verursachter Gebrauchsunf\u00e4higkeit des Datentr\u00e4gers (Eigentumsverletzung) in Betracht. Letztere Haftung ist jedoch bereits wieder abzulehnen, wenn die Daten nicht auf einem externen Datentr\u00e4ger, sondern in einer Cloud gespeichert sind.<\/p>\n\n\n\n

    Weiter in Betracht kommt eine deliktsrechtliche Haftung nach \u00a7 823 Abs. 2 BGB i.V.m. einem verletzten Schutzgesetz, denn im Gegensatz zu Abs. 1 reicht hier bereits ein reiner Verm\u00f6gensschaden aus. Im Strafgesetz kommen insbesondere das Aussp\u00e4hen und Abfangen von Daten (\u00a7\u00a7 202 a,b StGB), der Computerbetrug (\u00a7 263 StGB) und die Datenver\u00e4nderung sowie die Computersabotage (\u00a7\u00a7 303 a,b StGB) in Betracht. Weitere deliktische Haftungsverh\u00e4ltnisse ergeben sich aus \u00a7 824 BGB (Kreditgew\u00e4hrung), \u00a7 826 BGB (sittenwidrige vors\u00e4tzliche Sch\u00e4digung) und \u00a7 831 BGB (Haftung f\u00fcr Verrichtungsgehilfen). <\/p>\n\n\n\n

    Datenschutzrechtliche Schadenersatzanspr\u00fcche ergeben sich aus der seit 2018 g\u00fcltigen DSGVO. Nach Art. 82 Abs. 1 steht jeder nat\u00fcrlichen Person (Art. 4 Nr. 1), die durch eine Datenschutzverletzung einen materiellen (schwierig zu beweisen) oder immateriellen (neu: Erleichtert den Schadensersatzanspruch f\u00fcr Gesch\u00e4digte deutlich) Schaden erleidet, ein Schadenersatzanspruch zu. Weiter drohen bei Verst\u00f6\u00dfen hohe Bu\u00dfgelder i.H.v. 20 Mio. EUR bzw. 4,00 % des weltweit erzielten Vorjahresumsatzes eines Unternehmen (Art. 83). Die H\u00f6he der Bu\u00dfgelder zielt darauf, eine gewisse abschreckende Wirkung zu erzeugen.<\/p>\n\n\n\n

    Zuletzt k\u00f6nnen sich auch Anspr\u00fcche aus \u00a7 280 BGB ergeben. F\u00fchrt der Cyber-Angriff zu Produktionsausf\u00e4llen im eigenen Unternehmen, k\u00f6nnen sich hieraus bspw. schuldrechtliche Anspr\u00fcche der Abnehmer der eigenen Produktionsg\u00fcter ergeben. Daneben kommt vertragliche M\u00e4ngelhaftung bei infolge von Cyber-Angriffen entstandenen Produktionsm\u00e4ngeln nach \u00a7\u00a7 439, 635 BGB in Betracht. Regelm\u00e4\u00dfig stellt die Datenschutzverletzung einen Versto\u00df gegen Nebenabreden vertraglicher Haftungsverh\u00e4ltnisse nach \u00a7\u00a7 280 Abs. 1, 241 Abs. 2 BGB dar. Aber auch Anspr\u00fcche aus vorvertraglicher Pflichtverletzung nach \u00a7\u00a7 280, 241 Abs. 2, 311 Abs. 2 Nr. 2 BGB sind denkbar.<\/p>\n\n\n\n

    Die Haftungrisiken sind wie dargestellt vielschichtig und zahlreich.<\/p>\n\n\n\n

    Haftpflichtversicherung<\/strong><\/p>\n\n\n\n

    Macht sich nun eine Person nach einem oder mehrerer der oben genannten Tatbest\u00e4nde haftbar, ist sie also dem Gesch\u00e4digten gegen\u00fcber zum Ersatz des entstandenen Schadens verpflichtet. Hier liegt die Idee nahe, diese Verpflichtung dem privaten Haftpflichtversicherer zu melden und als Versicherungsfall ersetzt zu bekommen.
    <\/s>Vereinfacht dargestellt, sch\u00fctzt die Haftpflichtversicherung den Versicherungsnehmer vor Verpflichtungen seinerseits bzw. Anspr\u00fcchen anderer gegen ihn, indem diese entweder auf Kosten des Versicherers abgewehrt oder von diesem getragen werden. Allerdings hat der Versicherungsnehmer nur Anspruch hierauf, wenn es sich um die Realisation eines versicherten Risikos handelt (vgl. AVB PHV).<\/p>\n\n\n\n

    Bestimmte Konstellationen von Cyber-Angriffen sind in der Haftpflichtversicherung gedeckt (vgl. A1-6.13 AVB BHV). So erfasst der Versicherungsschutz z.B. den Fall, dass der Versicherungsnehmer wegen Sch\u00e4den in Anspruch genommen wird, die ausschlie\u00dflich aus der L\u00f6schung, Unterdr\u00fcckung, Unbrauchbarmachung oder Ver\u00e4nderung von Daten durch Computer-Viren und\/oder sonstige Schadprogramme resultieren (vgl. A1-6.13.2.1a AVB BHV, AVB PHV A1-6.16.; vgl. Stockmeier (2019): Privathaftpflichtversicherung (1. Aufl.)).<\/p>\n\n\n\n

    Auch wenn hier die Folgen eines Angriffs auf Unternehmen beleuchtet werden, sei zumindest erw\u00e4hnt, dass auch in der privaten Haftpflichtversicherung Deckung f\u00fcr bestimmte Konstellationen von Cyber-Angriffen besteht. So sind z.B. auch hier Anspr\u00fcche wegen Sch\u00e4den aus der L\u00f6schung, Unterdr\u00fcckung, Unbrauchbarmachung oder Ver\u00e4nderung von Daten durch Computer-Viren und\/oder Schadprogramme versichert (A1-6.16.1a AVB PHV). <\/p>\n\n\n\n

    Cyberversicherung<\/strong><\/p>\n\n\n\n

    Andere denkbare Konstellationen, wie z.B. Drittanspr\u00fcche gegen Unternehmen (Versicherungsnehmer) auf Ersatz von Sch\u00e4den, die daraus resultieren, dass Cyber-Kriminelle das IT-System des Unternehmens f\u00fcr den Versandt zahlreicher Ransomware-E-Mails an andere Unternehmen genutzt haben, sind hingegen in der Haftpflichtversicherung nicht erfasst, in der Cyber-Versicherung hingegen schon.<\/p>\n\n\n\n

    Eine markt\u00fcbliche Cyber-Versicherung bietet neben einer umf\u00e4nglichen Eigenschadendeckung u.a. auch Deckung f\u00fcr Betriebsunterbrechungssch\u00e4den, Sachverst\u00e4ndigenkosten oder Reputations- und Krisenmanagementkosten sowie einen Cyber-Haftpflichtbaustein. Einige Versicherer haben hier weitgehende Drittschadendeckungen in ihre Bedingungswerke integriert. Als versichert gelten dabei i.d.R. alle Schadensersatzanspr\u00fcche von Dritten auf Ersatz eines Verm\u00f6gensschadens gegen den Versicherten, sofern der Schaden durch eine Informations-sicherheitsverletzung eingetreten ist. Der Begriff der Informationssicherheitsverletzung wird dabei von jedem Versicherer etwas anders definiert. \u00dcblicherweise umfasst diese Netzwerksicherheitsverletzungen, Datenschutzverletzungen (Verletzung der Sicherheit nach dem Bundesdatenschutzgesetz, der Datenschutz-Grundverordnung oder entsprechender nationaler Regelungen) und Datenvertraulichkeitsverletzungen (Verletzungen der Vertraulichkeit von Daten). Netzwerksicherheitsverletzungen werden i.d.R. als eine Verletzung der Netzwerksicherheit, z.B. durch eine \u00dcbermittlung von Schadprogrammen durch Versicherte, einen \u00dcberlastungsangriff (DDos-Attacke) durch von Versicherten genutzte Computersysteme, eine Ver\u00f6ffentlichung von Daten durch Mitarbeiter oder eine nicht autorisierte Ver\u00e4nderung oder L\u00f6schung von Daten definiert.<\/p>\n\n\n\n

    Eine Cyber-Versicherung erweitert (abgesehen von einer Deckung f\u00fcr Eigensch\u00e4den) im Vergleich zu einer Betriebshaftpflichtversicherung also den Versicherungsschutz im Bezug auf Drittsch\u00e4den, welche durch einen Ransomware-Vorfall entstehen k\u00f6nnen. Zu erw\u00e4hnen ist hierbei noch, dass der Haftpflichtbaustein einer Cyber-Versicherung grunds\u00e4tzlich nur subsidi\u00e4r gilt. Besteht also f\u00fcr einen Drittschaden \u00fcber die Betriebshaftpflichtversicherung Versicherungsschutz, tritt hier die Cyber-Versicherung nicht ein.<\/p>\n\n\n\n

    Ausblick<\/strong><\/p>\n\n\n\n

    Im Hinblick auf den andauernden Krieg zwischen der Ukraine und Russland soll auf die gestiegene Gef\u00e4hrdung durch Cyber-Angriffe hingewiesen werden. Es ist nicht das erste Mal, dass neben \u201etraditionellen\u201c milit\u00e4rischen Attacken auch Cyber-Attacken gegen den Gegner eingesetzt werden, aber es ist das aktuell wahrscheinlich pr\u00e4senteste Beispiel. So griffen russische Hacker Unternehmen und Einrichtungen in der Ukraine an und nahmen z.B. die Internetseiten des Verteidigungsministeriums in Kiew und zweier Staatsbanken vom Netz. Deutsche Sicherheitsbeh\u00f6rden warnen vor weiteren Angriffen professioneller Hacker im Auftrag Moskaus, auch in Deutschland entsprechende Angriffe zu ver\u00fcben. Ziel k\u00f6nnten dann z.B. Infrastruktur-relevante Unternehmen (z.B. aus dem IT-Sektor) sein. Ebenso k\u00f6nnten sich Angriffe auch gegen andere Unternehmen richten (von mittelst\u00e4ndischen bis DAX-Unternehmen). Hier sind verschiedene Angriff-Szenarien m\u00f6glich wie z.B. das Abschalten von Websites bis hin zur Verschl\u00fcsselung\/Unbrauchbarmachung des gesamten IT-Systems. Auch Ransomware-Angriffe sind denkbar: Erpressung bietet unter Umst\u00e4nden noch den n\u00fctzlichen Nebeneffekt der Finanzierung – immer dann, wenn die Opfer auf die Forderungen eingehen. Angesichts eines drohenden Wirtschaftskriegs k\u00f6nnte dies eine Reaktion Russlands auf die verh\u00e4ngten Sanktionen des Westens darstellen. Vorhersehbar ist dies nicht – das Risiko besteht jedoch. Hierbei ist allerdings zu erw\u00e4hnen, dass bei derartigen Angriffen der in den Cyber-Policen verankerte Kreisausschuss greifen k\u00f6nnte. Der Versicherer h\u00e4tte aber zu beweisen, dass die Voraussetzungen des Kriegsausschlusses erf\u00fcllt sind, was sich in der Praxis als schwierig erweisen k\u00f6nnte. <\/p>\n","protected":false},"excerpt":{"rendered":"

    Erpressung \u201eWer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen \u00dcbel zu einer Handlung, Duldung oder Unterlassung n\u00f6tigt und dadurch dem Verm\u00f6gen des gen\u00f6tigten oder eines anderen Nachteil zuf\u00fcgt\u201c, begeht gem\u00e4\u00df \u00a7 253 StGB eine Erpressung. Bei diesem Tatbestand kommen einem unweigerlich Szenen aus Kriminalfilmen in den Sinn, in denen z.B. der … Weiterlesen …<\/a><\/p>\n","protected":false},"author":68,"featured_media":1288,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,6],"tags":[195,196,194,193],"class_list":["post-1232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-haftpflicht-2","tag-computerviren","tag-datendiebstahl","tag-digitale-erpressung","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/posts\/1232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/users\/68"}],"replies":[{"embeddable":true,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/comments?post=1232"}],"version-history":[{"count":6,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/posts\/1232\/revisions"}],"predecessor-version":[{"id":1289,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/posts\/1232\/revisions\/1289"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/media\/1288"}],"wp:attachment":[{"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/media?parent=1232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/categories?post=1232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ivwkoeln.web.th-koeln.de\/versicherungsrecht\/wp-json\/wp\/v2\/tags?post=1232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}