Um eins vorweg zu nehmen: Das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz erfüllt seinen Zweck. Selbst wenn auf die Wirtschaft (Mehr-)Kosten in Milliardenhöhe zukommen sollten, wie Kritiker aus der Wirtschaft wie zum Beispiel der Bundesverband der Deutschen Industrie (BDI) behaupten: Diese Mehrkosten sind absolut gerechtfertigt. Mehr noch: Sie sind eine sinnvolle Investition.
Die drohenden Schäden stehen jedenfalls in keinem Verhältnis zu den tatsächlichen Folgen und Kosten eines Cyberangriffs. Denn mit der fortschreitenden Technisierung wächst auch überdurchschnittlich das Gefahrenpotential für die Funktionsfähigkeit der Unternehmen.
Zur Person
Dirk Petri ist Fachanwalt für Straf- und Steuerrecht im Strafverteidigerbüro in Köln.
Sinn und Zweck des Gesetzes soll die signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) und der Schutz kritischer Infrastrukturen in Deutschland sein. Es regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen.
Dazu gehören für das Funktionieren des Gemeinwesens so wichtige Branchen wie Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Die betroffenen Unternehmen müssen künftig Hackerangriffe melden und sind verpflichtet, ihre Netzwerke nach Mindeststandards auszurüsten.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Wer ist Adressat des Gesetzes
Faktisch fallen darunter sämtliche Unternehmen aus den sieben Branchen. Das Bundesinnenministerium geht in seiner Gesetzesbegründung allerdings davon aus, dass nicht mehr als 2000 Betreiber kritischer Infrastrukturen vom Gesetz betroffen sind. Näheres soll in einer Verordnung stehen, die der Bundesinnenminister wahrscheinlich noch in diesem Jahr veröffentlicht. Insbesondere für Kleinstunternehmen soll es Ausnahmeregeln geben.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Welche Pflichten bestehen
Das IT-Sicherheitsgesetz begründet diverse Pflichten. Die Pflichten im Einzelnen sind abhängig davon, welcher konkreten Betroffenengruppe ein Unternehmen zuzurechnen ist. So sind Betreiber von Webangeboten verpflichtet, ausreichende, dem jeweiligen aktuellen Stand der Technik, alle technischen und organisatorischen Maßnahmen zum Schutz aller Kundendaten und der durch die Kunden genutzten IT-Systeme zu ergreifen.
Telekommunikationsunternehmen haben darüber hinaus die Pflicht, ihre Kunden über mögliche Missbräuche ihrer Anschlüsse zu informieren. Die Betreiber haben dem BSI spätestens alle zwei Jahre eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln.
Bußgelder für Leichtsinn
Die Betreiber kritischer Infrastrukturen haben dem BSI zukünftig eine Kontaktstelle für die Kommunikationsstrukturen zu benennen. Die Betreiber sollen sicherstellen, dass sie jederzeit erreichbar sind. Über diese Kontaktstelle sollen sie zukünftig erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen führen können oder bereits geführt haben, an das BSI zu melden.
Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. Die Nennung des Betreibers soll dann erforderlich sein, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Infrastruktur geführt hat; was wiederum zu erheblichen Image- und Vertrauensverlusten des zur Meldung verpflichteten Unternehmens in der öffentlichen Wahrnehmung führen kann.
Die Risikoanalyse darf sich zudem nicht auf die einmalige Feststellung eines Ist-Zustands beschränken. So muss auch der laufende Betrieb überwacht werden, da sich das Gefahrenpotential und die damit verbundenen Anforderungen täglich ändern können. Es ist daher in der Wirtschaft ein grundsätzliches Umdenken zu fordern. Denn die Verpflichtung zur ordnungsgemäßen Geschäftsführung beinhaltet eben auch die Umsetzung entsprechender IT-Sicherheitsmaßnahmen, welche viel zu häufig als reiner Kostenverursacher gesehen und ihre Erforderlichkeit daher falsch beurteilt werden.
Verstöße und deren Folgen
Wer die erforderlichen Abwehr- und Sicherheitssysteme nicht aufbaut und Angriffe nicht meldet, dem drohen Bußgelder in Höhe von bis zu 100.000 Euro. In Anbetracht der tatsächlich drohenden Schäden ein mehr als überschaubarer Betrag. Allerdings soll das Bußgeld den wirtschaftlichen Vorteil, den ein Unternehmen aus der Ordnungswidrigkeit zieht, nach dem Ordnungswidrigkeitsrecht übersteigen. Wirtschaftliche Vorteile entstehen auch, wenn Schutzbestimmungen, wie das IT-Sicherheitsgesetz, der Geschäftsleitung schadensmindernde Investitionen aufgeben, die diese unterlässt. Das Unternehmen gerade durch die Einsparung von Kosten einen Gewinn generieren können, der wiederum den Wert des Unternehmens steigern kann, könnte dazu führen, dass die zu verhängenden Bußgelder auch weit über die vom Gesetzgeber vorgesehene Grenze von 100.000 Euro steigen.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Dem Schutz von IT-relevanten Informationen dient auch eine Vielzahl von Strafvorschriften. Werden Daten in einem Unternehmen aufgrund mangelhafter IT-Sicherheit oder –Überwachung manipuliert oder gar Computer sabotiert, kann dies auch zu Freiheitsstrafen oder Geldstrafe führen.
Das Recht der IT-Sicherheit fordert und verpflichtet das Management zu einer ordnungsgemäßen Geschäftsführung. Dazu gehört auch, die erforderliche Informationstechnik einzusetzen und vorzuhalten. Diese Verpflichtung zur sicheren Organisation des Unternehmens umfasst auch die Verpflichtung, IT relevante Risiken vom Unternehmen durch Erlass entsprechender IT-Richtlinien abzuwenden und die Überwachung durch einen IT-Sicherheitsbeauftragten zu gewährleisten. Andernfalls ist die Geschäftsführung bei Schäden, die auf die fehlende Überwachung zurückzuführen sind, auch gravierenden zivilrechtlichen Schadensersatzansprüchen ausgesetzt. So könnten Aktionäre nach einer (erfolgreichen) Cyberattacke gegen das Management klagen, wenn der Erfolg der Attacke auf die fehlende oder nicht ausreichende Überwachung zurückzuführen ist.
Selbst geschaffene Gefahrenquellen
Strafrechtlich könnte dies auch den Vorwurf der Untreue gegen das Management nach sich ziehen – mit den entsprechenden Schadensersatzansprüchen. Denn das Nichteinschreiten gegen Straftaten von Mitarbeitern legt eine Strafbarkeit wegen Untreue mehr als nahe, weil das Management eine Gefahrenquelle gerade im Hinblick auf eine erfolgreiche Cyberattacke geschaffen hat. Für diesen Fall würden das Management und damit das Unternehmen für sämtliche Schäden haften und zwar unabhängig davon, ob das Unternehmen unter das IT-Sicherheitsgesetz fällt oder nicht.
Folgen für die zukünftige IT-Compliance
Die Herstellung und Wahrung angemessener IT-Sicherheit im Unternehmen ist eine zwingende Aufgabe der Unternehmensführung. Die gilt insbesondere auch für den Mittelstand, der die IT-Sicherheit zu verschlafen droht. Grundsätzlich haben alle Unternehmen, nicht nur die Betreiber der sog. Kritischen Infrastruktur, in regelmäßigen Abständen anhand durchzuführender Überprüfungen sicherzustellen, dass die getroffenen IT-Sicherheitsmaßnahmen dem aktuellen Risikoprofil des Unternehmens entsprechen.
Die Erstellung und Implementierung von Richtlinien zur IT-Sicherheit, die regelmäßige Durchführung von Schulungsmaßnahmen für Mitarbeiter und die Sicherstellung der tatsächlichen Einhaltung der geltenden Maßstäbe sind zentrale Bestandteile der Herstellung und Wahrung der IT-Sicherheit eines Unternehmens. Die Unternehmensleitung hat im Fall von sicherheitsrelevanten Pflichtverletzungen die erforderlichen Reaktionsmöglichkeiten zu definieren. Der Arbeitgeber ist nicht zuletzt auch aufgrund des Datenschutz- und des IT-Strafrechts verpflichtet, die erforderlichen Maßnahmen zu ergreifen.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Das Management hat hier auch die Mitarbeiter im Bereich der gesamten IT – unter Berücksichtigung des Rechts auf informelle Selbstbestimmung bzw. der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht) und des Datenschutzrechts – angemessen zu überwachen.
Eine objektive Analyse der mit dem Einsatz von Informationstechnologie zusammenhängenden Risiken ist daher zwingend Bestandteil einer ordnungsgemäßen Unternehmensorganisation und dürft schlussendlich auch die positive Geschäftsentwicklung fördern. Für börsennotierte Unternehmen dürfte eine umfassende IT-Compliance daher Kür und Pflicht zugleich sein!