USA: Neue Maßnahmen zur Cybersicherheit und neue Risiken

Cybersicherheit ist ein weltweites Problem der vernetzten Welt. Bereits im Herbst 2020 gab es eine weltweite Welle von Cybererpressungen unter Androhung von Distributed-Denial-of-Service(DDoS)-Angriffen. Der Datendiebstahl hat ebenfalls rasant zugenommen. Um das BSI zu zitieren (S. 13): „Einige Angreifer versteigern bzw. verkaufen erbeutete Daten alternativ zum Veröffentlichen, sollte der Betroffene zu keiner Schweigegeldzahlung bereit sein (Double Extortion). Im Gegensatz zu einer Veröffentlichung auf einer Leak-Seite können die Angreifer so zusätzlichen Profit aus den Daten generieren. Zudem können die Käuferinnen und Käufer der erbeuteten Daten diese ihrerseits erpresserisch gegen das Opfer nutzen. Dies gilt insbesondere, wenn es sich um wertvolle Geschäftsgeheimnisse oder kompromittierende Informationen über Einzelpersonen handelt.“ Weitere um sich greifende Formen von Cyberattacken (Phishing, Malware, APT-Angriffe usw.) haben Schröder/Lantwin, ZD 2021, 614, dargestellt. Die auch für Verbraucher*innen spürbaren Attacken gegen SolarWinds Corporation und Colonial Pipes, die auch in der deutschen Presse viel Beachtung gefunden haben, haben zu einer Reihe von Gegenmaßnahmen in den USA geführt:

Office of Foreign Assets Control (OFAC)

Wie schon im Beck-Blog berichtet, hat das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums am 21.9.2021 aktualisierte Leitlinien zu potenziellen Sanktionsrisiken für Unternehmen herausgegeben, die Zahlungen im Zusammenhang mit Ransomware-Angriffen leisten. Das OFAC rät dringend davon ab, Ransomware-Zahlungen zu leisten. Es werden proaktive Schritte zur Abschwächung von Ransomware-Risiken vorgeschlagen, einschließlich Maßnahmen, die das OFAC als mildernde Faktoren bei einer entsprechenden Durchsetzungsmaßnahme ansehen würde. Das OFAC hatte eine Kryptowährungsbörse mit Sanktionen belegt, weil diese an der Erleichterung von Finanztransaktionen für Ransomware-Akteure beteiligt war. Das OFAC hat angekündigt, weiterhin Sanktionen gegen diejenigen zu verhängen, die finanzielle, materielle oder technologische Unterstützung für Ransomware-Aktivitäten leisten.

Verstöße gegen die OFAC-Vorschriften können zu zivilrechtlichen Strafen auf der Grundlage der verschuldensunabhängigen Haftung führen, was bedeutet, dass ein Unternehmen auch dann haftbar gemacht werden kann, wenn es sich gar nicht bewusst war, dass es eine vom OFAC verbotene Transaktion durchführt. Das OFAC ermutigt Unternehmen, das Risiko einer Erpressung durch die Verbesserung von Cybersicherheitspraktiken zu verringern, und weist darauf hin, dass Praktiken wie die Entwicklung von Reaktionsplänen auf Vorfälle, die Durchführung von Cybersicherheitsschulungen und die Verwendung von Authentifizierungsprotokollen als mildernde Faktoren in jeder OFAC-Durchsetzungsmaßnahme berücksichtigt werden. Die Opfer von Ransomware-Angriffen sollten sich bei den zuständigen US-Regierungsbehörden melden und umfassend mit diesen zusammenzuarbeiten.

Federal Trade Commission (FTC)

Die Federal Trade Commission (FTC) ist neben zahlreichen anderen Aufgaben u.a. für den Verbraucherschutz und den damit einhergehenden Datenschutz zuständig. In letzter Zeit entwickelt sie sich weiter zu einer Cybersecurity-Aufsichtsbehörde. Der Fokus der Aktivitäten der FTC liegt derzeit auf Banken und anderen Finanzinstitutionen und Finanzdienstleistern, die durch Cyberangriffe besonders gefährdet sind Am 27.10.2021 veröffentlichte die FTC umfangreiche Änderungen der Gramm-Leach-Bliley-Safeguards-Rule sowie einen Regelungsvorschlag, der die Meldung bestimmter Cybersicherheitsvorfälle an die FTC vorsieht. Die seit 2003 geltende Safeguards Rule (16 CFR Part 314) verlangt von den betroffenen Finanzinstituten die Entwicklung, Umsetzung und Aufrechterhaltung eines angemessen umfassenden und schriftlich niedergelegten Informationssicherheitsprogramms (WISP) mit den entsprechenden administrativen, technischen und physischen Sicherheitsvorkehrungen. Solche Finanzinstitute sind z.B. Hypothekarkreditgeber, Finanzunternehmen, Kontodienstleister, Überweisungsdienstleister, Inkassobüros und bestimmte Anlageberater. Die FTC-Regelung weitet die Definition des Begriffs „Finanzinstitut“ auf Unternehmen aus, die Tätigkeiten ausüben, die das Federal Reserve Board als Nebentätigkeiten zu Finanztätigkeiten ansieht. Damit gilt die Safeguards Rule nunmehr auch für „Vermittler“ von Produkten oder Dienstleistungen für Transaktionen, die die Parteien selbst aushandeln und abschließen. Die Neuregelung beinhaltet die regelmäßige Prüfung und Überwachung der Wirksamkeit der Kontrollmechanismen, einschließlich derjenigen, die zur Aufdeckung tatsächlicher und versuchter Angriffe oder von Eindringlingen dienen. Die Vorschrift verlangt auch die Ernennung einer „qualifizierten Person“, die das Informationssicherheitsprogramm beaufsichtigt, umsetzt und durchsetzt. Die „qualifizierte Person“ muss mindestens einmal jährlich einen schriftlichen Bericht an den Vorstand des Finanzinstituts oder ein anderes leitendes Gremium erstatten. Dieser detaillierte Bericht beinhaltet die Einhaltung der Sicherheitsvorschriften und alle wesentlichen Angelegenheiten im Zusammenhang mit dem Informationssicherheitsprogramm.

Cybersecurity and Infrastructure Security Agency (CISA)

Die Cybersecurity and Infrastructure Security Agency (CISA) hat am 3.11.2021 alle Bundesbehörden angewiesen, rund 290 in den letzten fünf Jahren entdeckte Cyberschwachstellen auszumerzen - als Teil der Bemühungen der Biden-Administration, Sicherheitsprobleme in staatlichen Computernetzwerken zu beheben. Die CISA hat hierzu einen Katalog von Sicherheitslücken identifiziert und veröffentlicht, darunter etwa 200 aus den Jahren 2017 bis 2020 und weitere 90 im Jahr 2021. Im Mai erließ Präsident Biden eine Exekutivanordnung zur Einrichtung eines nationalen Untersuchungsausschusses für größere Cyberangriffe und wies staatliche Auftragnehmer (Contractors) aus dem IT-Sektor an, Datenverletzungen zu melden. Der genannte Angriff auf den Softwareanbieter SolarWinds Corporation hatte die Netzsicherheit von mindestens neun Bundesbehörden, einschließlich des US-Ministeriums für Heimatschutz, kompromittiert.

Auswirkungen über Meldepflichten hinaus

Für international tätige Unternehmen ist es mühselig, die sektorspezifischen US-Regeln nachzuverfolgen und stets in Einklang mit ihnen zu handeln. Die US-Regierung hat außerdem noch unter Präsident Trump (2019) den Einsatz von Equipment bestimmter chinesischer Hersteller aus Gründen der Sicherheit verboten (Sec. 889 des 2019 National Defense Authorization Act), was die Compliance noch schwieriger macht (Jüngling, CCZ 2019, 290).

Die wichtigste Konsequenz bei einem Cybersicherheitsvorfall, den all diese Maßnahmen verhindern sollen, ist und bleibt die Meldung an die Behörden und eventuell an die Betroffenen, die für international tätige Unternehmen kompliziert sein kann (ausf. Schröder/Lantwin, ZD 2021, 614 (617 f.)). Sämtliche Staaten der USA haben State Data Breach Laws - leider alle mit unterschiedlichen Voraussetzungen für eine Meldepflicht, die in jedem Fall zeitkritisch ist. Ein US-Bundesgesetz, das die Meldepflichten erheblich vereinheitlichen würde, gibt es weiterhin nicht.

Über die Meldepflicht hinaus gibt es weitere Rechtsbereiche, in denen Cybersicherheitsvorfälle und Compliance eine zunehmend wichtige Rolle spielen, z.B. im M&A-Bereich. Im Folgenden als Beispiel eine typische generelle „Privacy and Security“-Klausel in den Reps und Warranties beim Unternehmenskauf:

„Compliance: Seller is in material compliance with all applicable Laws, as well as its own rules, policies and procedures, relating to privacy, data protection, and the collection, use, storage and disposal of personal information collected, used, or held for use by Sellers in the conduct of the Business.

No breaches: There has been no unauthorized access to or acquisition of personal information processed by the Seller or on Seller's behalf.

Claims: No claim, action or proceeding has been asserted in writing or, to the Knowledge of Seller, threatened in connection with the operation of the Business alleging a violation of any Person's rights of publicity or privacy or personal information or data rights.

Security: Seller has taken reasonable measures, including, any measures required by any applicable Laws, to ensure that personal information used in the conduct of the Business is protected against unauthorized access, use, modification, or other misuse.“

Unternehmenstransaktionen können für Cyberkriminelle lohnende Ziele sein. Laut FBI (Cyber Division) nutzen Cyberkriminelle, die Unternehmen mit Ransomware angreifen, wichtige Finanzdaten, einschließlich nicht-öffentlicher Informationen über bevorstehende Fusionen und Übernahmen, um Zahlungen von ihnen zu erpressen.

Ein weiterer sensibler Bereich ist die Darstellung der Datensicherheit für das Data Transfer Impact Assessment (Spies, ZD 2021, 478) oder in Annex II der neuen Standardvertragsklauseln. Erforderlich für Annex II ist eine detaillierte „Beschreibung der von dem/den Datenimporteur(en) ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.“ Auch wenn die meisten Unternehmen diese Beschreibung aus guten Gründen nicht veröffentlichen und schon gar nicht im Internet posten, könnte sie Hinweise enthalten, wie die Sicherheitsmaßnahmen im Unternehmen strukturiert sind. Sie könnte Cyberkriminellen Hinweise geben, wie das Unternehmen sicherheitstechnisch mit seinen technischen und organisatorische Maßnahmen (TOMs) aufgestellt ist und wo es Schwachstellen gibt. Insgesamt ist Annex II deshalb eine schwierige Gratwanderung.