NJW: Wen müssen Unternehmen nach einem Angriff verständigen?
Kipker: Das kann man nur schwer generalisieren, da es zig verschiedene Arten von Cybercrime mit teils unterschiedlichen behördlichen Zuständigkeiten gibt. Außerdem kommt es darauf an, welche Art von Einrichtung betroffen ist, also ob es sich zum Beispiel um eine Kritische Infrastruktur oder allgemein um ein Industrieunternehmen handelt. Nicht zuletzt ist wichtig, in welchem Status einer Vorfallsbearbeitung wir uns befinden: Geht es darum, den technischen Schaden zu beseitigen und die Funktionsfähigkeit wiederherzustellen, oder werden Schadensersatz oder Strafverfolgung angestrebt? Als Faustregel gilt: Lieber zu viel melden als zu wenig! Das einerseits deshalb, weil eine Mehrfachmeldung bei Behörden nie schadet und weil man andererseits nicht ausschließen kann, dass man im Fall des Unterlassens einer Meldung nicht doch irgendwo eine Rechtspflicht vernachlässigt, die man vielleicht übersehen hat.
NJW: Wer ist der richtige Ansprechpartner?
Kipker: Das BSI ist in Deutschland für die operative Cybersicherheit für Kritische Infrastrukturen zuständig, aber auch allgemeine Meldestelle für Sicherheitsvorfälle. Soweit es um Cyberkriminalität geht, sind BKA und LKAs regelmäßig der richtige Ansprechpartner, weil sie über eigene Cybercrime-Kompetenzstellen verfügen. Auch Staatsanwaltschaften verfügen über eigene Zentralstellen für Internet- und Computerkriminalität. Die Landesdatenschutzbeauftragten sollten insbesondere im Fall von Data Breaches personenbezogener Daten verständigt werden. Und wenn es um haftungsrelevante und datenschutzbezogene Fragestellungen sowie die im Zweifelsfall unbefugte Offenlegung von Geschäftsgeheimnissen geht, führt regelmäßig auch kein Weg an der Verständigung des Kunden vorbei.
NJW: Mangelt es aus Angst um die eigene Reputation an Kooperation der Betroffenen mit den Behörden?
Kipker: Das kommt tatsächlich öfter vor, als man denkt – und teils auch in Fällen, in denen definitiv gesetzliche Melde- und Mitwirkungspflichten bestehen. Die Angst vor Reputationsverlust ist dabei eine Sache und besonders häufig zu beobachten, wenn es um schwerwiegende strukturelle Fehler in der eigenen Unternehmensorganisation geht, die zu konkreten Schäden geführt haben. Das beste Beispiel ist an dieser Stelle der sogenannte „CEO Fraud“. Dabei werden unter Vortäuschung einer falschen Identität finanzielle Vorteile erschlichen. Das BKA zählt in diesem Zusammenhang seit dem Jahr 2013 mehr als 250 Fälle mit einem Gesamtschaden von über 100 Mio. Euro, gleichwohl sind damit nur ganz wenige Unternehmen an die Öffentlichkeit gegangen. Manche Firmen befürchten jedoch auch, dass ihre Geschäftsgeheimnisse bei Offenlegung nicht hinreichend geschützt sind oder dass Informationen an andere Behörden weitergegeben und dadurch zweckentfremdet werden. Besonders häufige Sorge ist außerdem, dass man durch Meldungen mit Bußgeldern rechnen muss oder nun erst recht behördliche Nachkontrollen folgen, sollte man erst einmal „auf dem Schirm“ sein. Viele dieser Sorgen sind jedoch unberechtigt und rühren aus Unkenntnis der genauen gesetzlichen Regelungen. Manchmal kann es sogar geboten sein, mit Behörden zu kooperieren, weil diese im Bereich Cybercrime mittlerweile vielfach eine profunde Kenntnis besitzen. Auch das BSI kann beispielsweise dabei unterstützen, nach einem Cyberangriff die IT-Infrastruktur wieder zum Laufen zu bringen.
NJW: Wie oft kommt es wohl vor, dass bei Ransomware-Angriffen „Lösegeld“ gezahlt wird, damit Unternehmen und andere Einrichtungen ihre IT wieder nutzen können? Wie hoch sind die geforderten Beträge?
Kipker: Belastbare Statistiken gibt es dazu nicht wirklich, weil auch hier vieles im Dunkelfeld abläuft. Die Zahlung von Lösegeld ist aber keine Seltenheit und der Grund dafür einfach: Ein IT-Sicherheitsmanagement zu etablieren kostet Zeit und Geld; es müssen neue betriebliche Prozesse angestoßen und fortlaufend überwacht werden, und in der IT stehen wir vor einem allgegenwärtigen Mangel an qualifizierten Kräften. Gerade kleine und mittelständische Unternehmen wissen überdies nicht, wo sie neben dem Alltagsgeschäft nun auch die Ressourcen für Cybersicherheit hernehmen sollen. Das geforderte „Lösegeld“ zur Wiederherstellung der Daten differiert und kann von wenigen Hundert Euro bis hin zu sechs- und siebenstelligen Beträgen reichen. Soweit Ramsomware-Attacken gezielt gegen große Konzerne verübt werden, muss man mit hohen Forderungen kalkulieren. Kleine Unternehmen und Mittelständler sind mit deutlich niedrigeren Zahlungen konfrontiert, was dann gewissermaßen zu einer Kosten-Nutzen-Kalkulation führt: Es ist dann vielleicht sogar einfacher und billiger, schnell das Geld anzuweisen und alle Systeme in kurzer Zeit wieder zum Laufen zu bringen, als Backups herauszusuchen oder womöglich die IT von Grund auf neu aufzustellen. Manche Unternehmen haben überdies mittlerweile auch Cyber-Policen bei Versicherungen abgeschlossen.
NJW: Machen Opfer sich womöglich selber strafbar? Wäre dies zumindest de lege ferenda anzustreben?
Kipker: Das sehe ich kritisch. Wir wissen alle, dass man durch Verbote und Sanktionen keine bessere Cybersicherheit schaffen kann. Eine Strafbarkeit wegen Förderung einer kriminellen Vereinigung durch Lösegeldzahlung stellt weder den technischen Ausgangszustand wieder her, noch wird dadurch das geschädigte Unternehmen dazu motiviert, bessere Prozesse und präventive Maßnahmen zu etablieren. Und auch in der Praxis sehe ich Probleme, denn wenn ohnehin schon so vieles im Dunkeln abläuft, dann werden die Strafverfolgungsbehörden mehr noch als sonst die allerletzten sein, die über den Vorfall informiert werden. Das Strafbarkeitsrisiko schafft Rechtsunsicherheit und torpediert dadurch ein sinnvolles Zusammenwirken zwischen Staat und Wirtschaft.
NJW: Braucht es sonstige neue Straftatbestände?
Kipker: Definitiv: Nein. Durch die „grob fahrlässige Schlamperei mit der IT-Sicherheit“, wie ein Vorschlag lautet, ist das Unternehmen selbst schon genug bestraft, denn in den allermeisten Fällen treten ohnehin ganz erhebliche Vermögensschäden allein durch den Betriebsausfall ein. Und wer soll dann letztlich Verantwortlicher sein? Nur die Geschäftsleitung? Oder vielleicht zusätzlich der IT-Sicherheitsbeauftragte oder weitergehend auch der Mitarbeiter in der Fachabteilung, der aus Unachtsamkeit den verseuchten Mailanhang geöffnet hat? Die Strafbarkeit muss eine Ausnahme bleiben und darf sich nicht gegen den eigentlich Geschädigten richten.
NJW: Wie hoch ist die Chance, Täter zu fassen?
Kipker: Soweit die Täter aus dem Inland heraus operieren, stehen die Chancen gar nicht mal so schlecht. Die Datenverkehre machen aber nicht an den Grenzen halt, und damit leider auch nicht Cybercrime. Beispiel CEO Fraud: Hier ist es fast unmöglich, die Täter zu fassen, da sie häufig im Ausland mit fingierten Identitäten und Strohmännern arbeiten, etwa bei der Kontoeröffnung. Mit Glück bekommt man das Geld oder Teile davon zurück, wenn man schnell genug ist und die Finanzmittel im Ausland mithilfe der internationalen Amtshilfe bei der Empfängerbank einfrieren lassen kann. Aber die meisten Fälle gehen für die Geschädigten eher ungut aus, weil nicht schnell genug gehandelt wird und der Betrug erst nach mehreren Tagen auffliegt. Dann sind die Täter und mit ihnen das Geld schon lange weg.
Prof. Dr. jur. Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht der Universität Bremen. Der deutsch-japanische Rechtswissenschaftler und Professor für IT-Sicherheitsrecht ist Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz sowie Legal Advisor beim VDE. Sein Jurastudium an der Universität Bremen schloss er 2011 ab. 2017 war Kipker Visiting Research Fellow an der Waseda-Universität in Tokyo, 2018 Gastprofessor an der Peoples’ Friendship University of Russia in Moskau; seit 2019 ist er an der Riga Graduate School of Law in Lettland tätig. Außerdem hat er einen Lehrauftrag am Hasso-Plattner-Institut in Potsdam.
Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.
