Die in allen Lebensbereichen fortschreitende Digitalisierung bietet Hackern eineimmer größer werdende Angriffsfläche. Inzwischen ist ca. jedes zehnte Unternehmen in Deutschland bereits einmal Ziel oder Opfer eines Cyberangriffs geworden. Aufgrund dieser Tendenz ist davon auszugehen, dass das Risiko weiterer Cyberangriffe auf Unternehmen, öffentliche Einrichtungen und Behörden weiterhin steigen wird. Daher stehen diese vor die Herausforderung, ein effizientes, präzise ausgearbeitetes Sicherheitskonzept für den Ernstfall zu entwickeln, welches ihre Infrastruktur strategisch absichert – sowohl in rechtlicher als auch technischer Hinsicht.
Um unseren Business Clients die benötigte Unterstützung zu gewährleisten, bietet Schlun & Elseven eine passgenau auf die Ziele und Bedürfnisse ihres Unternehmens zugeschnittene Rechtsberatung an. In Kooperation mit ausgewiesenen IT-Forensikern gewährleisten wir die bestmögliche Absicherung Ihres Unternehmens sowohl auf rechtlicher als auch auf technischer Ebene.
Sollte Ihr Unternehmen bereits Opfer eines Cyberangriffs geworden sein, so ergibt sich laut der Datenschutzgrundverordnung (DSGVO) eine Meldepflicht des Vorfalls an die zuständige Datenschutzbehörde. Unsere Anwälte klären Sie gerne darüber auf, ob eine solche Meldepflicht für Sie besteht und wie Sie gegebenenfalls den gesetzlichen Auflagen gerecht werden.
Typische Fälle der Cyberkriminalität
Die Cyberkriminalität umfasst sämtliche Straftaten, die gegen moderne Technologien (wie etwa Datennetze, Systeme, Tools o. Ä.) oder mittels Informationstechnik (IT) ausgeübt werden. Die Opfer solcher Internetstraftaten und Cyberattacken sind Unternehmen, Privatpersonen oder auch Behörden. Dabei nutzen die Täter verschiedene Methoden/Ansätze, um an Daten und Informationen zu kommen:
Spam und Phishing-Mails
Täter nutzen oftmals Spam und Phishing-Mails, um Informationen jeglicher Art sowie Daten über bzw. von eine/r Person zu erhalten, die sodann missbräuchlich genutzt werden. Oft erhalten die Betroffenen E-Mails, in denen sie dazu aufgefordert werden, Daten zu übermitteln oder auf einen in der Mail gesetzten Link zu klicken. Über diesen werden die Betroffenen auf Webseiten weitergeleitet, die täuschend echt wirken, jedoch tatsächlich eine Kopie darstellen.
Um seriös und vertrauenswürdig zu erscheinen, nutzen die Täter in den versendeten E-Mails häufig Namen oder Logos von für das Opfer bekannte Firmen oder Personen oder erstellen ein Duplikat einer Webseite und fordern den Leser der E-Mail unter einem Vorwand dazu auf, persönliche Daten/Informationen weiterzuleiten oder Zahlungen zu tätigen. Oftmals heißt es, dass eine erneute Angabe der Daten aufgrund eines Systemfehlers o. Ä. notwendig sei.
Hackerangriff
Bei einem Scam geht es dem Täter zumeist um Daten zu Ihrer Person. Darunter fallen solche, die dem Betrüger beispielsweise Auskunft zu Ihrer ethnischen Herkunft, persönlichen Kennnummern/-ziffern (Sozialversicherungsnummer, Personalausweisnummer, etc.) oder Gesundheitsdaten vermitteln. Zur Erlangung dieser personenbezogenen Daten handelt der Täter z.B. unter einem Vorwand (s.o.) und wartet dabei auf die Interaktion des Opfers oder er verschafft sich Zugang zu Datenträgern wie Laptops oder mobile Geräte. Die zuletzt genannte Option stellt einen Hacker-/Hacking-Angriff dar. Der Täter (Hacker) erlangt dabei unerlaubt Zugriff auf das System des Opfers und erhält folglich unbefugt Daten. Dieses sogenannte Ausspähen von Daten wird gem. § 202a StGB mit einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Oftmals erfolgen solche Angriffe durch mit in z.B. an das Opfer gesendete Mail angegebene Links verbundenen Schadprogrammen wie beispielsweise Viren.
Die häufigsten Cyberangriffe auf Unternehmen
Die von Tätern genannten Methoden zur Erlangung personenbezogener Daten betrifft nicht nur Privatpersonen, sondern auch Unternehmen, Behörden und sonstige Einrichtungen. Dabei können Cyberangriffe Unternehmen in folgenden Formen treffen:
- CEO-Fraud: Die Betrugsmasche „CEO-Fraud“ richtet sich gezielt gegen Unternehmen und stellt daher ein hohes Betrugsrisiko dar. Dabei gehen die Täter ähnlich wie beim oben beschrieben Phishing vor: Zumeist wird einer in dem Unternehmen höher gestellte und entscheidungsbefugte Person vorgespiegelt, der Geschäftsführer oder Vorstand des Unternehmens verlange z.B. die Überweisung einer bestimmten Geldsumme oder Zusendung sensibler Daten, woraufhin die betroffene Person dem Auftrag nachgeht. Auch diese Methode beginnt häufig mit dem Versenden einer E-Mail, die so gut gefälscht ist, dass man den Eindruck gewinnt, es handle sich tatsächlich um eine Nachricht des vermeintlich angegebenen Versenders. Lesen Sie für weitere Informationen zu dem Thema gerne unseren Artikel Betrugsmache „CEO-Fraud“ oder kontaktieren Sie unsere Anwälte für Wirtschaftsstrafrecht.
- Malware-Angriff: Schadprogramme (oder auch Malware) bildet den Oberbegriff für sämtliche Programme, die ein Endgerät in der Art infizieren/befallen, dass es einzelne Programme beeinflusst oder gar zur Unbrauchbarkeit des Geräts führt. Unter den Begriff Maleware fallen daher Viren, Trojaner und ähnliches. Dabei werden die Programme auf verschiedenste Weise auf Ihr Endgerät gespielt. Ziel des Täters ist auch hier oftmals die Erlangung sensibler Daten und Informationen.
- Ransomware-Angriff: Eine der größten Bedrohungen der Cyberkriminalität sind die sogenannten Ransomware-Angriffe. Bei dieser Art Cyberangriff erlangt der Täter Zugriff auf Ihr Endgerät und verschlüsselt die darauf gespeicherten Daten oder sperrt den Zugriff auf das Gerät. Den Zugriff auf Ihr Endgerät erlangt der Täter dabei durch sogenannte Ransomware (Malware, d.h. Viren oder sonstige Schadsoftware). Ziel eines solchen Angriffs ist es, ein Lösegeld zu erhalten. Dieses fordern die Täter zur Entschlüsselung der Daten. Eine gesteigerte Form von Ransomware-Angriffen bildet dabei die Double Extortion. Dabei werden neben der Lösegeldforderungen weitere Druckmittel genutzt. So fürchten sich Unternehmen zusätzlich vor der Veröffentlichung der durch die vom Täter genutzte Malware verschlüsselten Daten.
Absicherung für das Unternehmen im Falle eines Angriffs
Auch wenn noch kein tatsächlicher Angriff auf das Unternehmen stattgefunden hat, ist es äußerst ratsam, für den Ernstfall gewappnet zu sein. Dabei ist zu bedenken, dass je nach Art des Unternehmens besondere datenschutzrechtliche Anforderungen an den Umgang mit sensiblen Kundendaten gestellt werden können. Dies ist oft bei Versorgungsunternehmen der Fall. Da hier erhöhte datenschutzrechtliche Anforderungen gestellt werden, müssen sogenannte TOMs (technische und organisatorische Maßnahmen) geschaffen werden, welche die sensiblen Daten umfassend schützen.
Sollte nach einem Angriff festgestellt werden, dass das Unternehmen vorher keine Maßnahmen ergriffen hat, um diesen Schutz der Daten zu gewährleisten, kann dies bei der Regulierung des Schadens problematisch werden. So kann sich die Versicherung z.B. weigern, den Schaden zu übernehmen. Es empfiehlt sich, das Unternehmen bereits im Vorfeld rechtlich und technisch durch die Expertise einer erfahrenen Kanzlei abzusichern. Hierfür hat Schlun & Elseven ein umfassendes Beratungsprodukt entwickelt, welches sowohl die juristischen als auch die technischen und strategischen Präventionsmaßnahmen beinhaltet. Die Zusammenarbeit von unseren fachkundigen Anwälten und IT-Spezialisten ermöglicht die bestmögliche rechtliche Absicherung – sowohl präventiv als auch im Falle eines akuten Angriffs.
Rechtliche Pflichten des Unternehmens nach einem Cyberangriff
Hat ein Angriff auf ein Unternehmen stattgefunden und ist ihr System kompromittiert, so liegt ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO vor. Ist eine Verletzung des Schutzes personenbezogener Daten eingetreten, besteht laut Datenschutzgrundverordnung (DSGVO) eine Meldepflicht innerhalb von 72 Stunden (vgl. Art. 33 Abs. 1 S. 1 DSGVO). Wird der Verstoß nicht innerhalb dieser Zeitspanne gemeldet oder erfolgt eine fehlerhafte Meldung, so kann die zuständige Aufsichtsbehörde eine Strafe in Höhe von bis zu 10 Millionen Euro oder in Höhe von 2 Prozent des weltweiten Umsatzes des Unternehmens erlassen (vgl. Art. 83 Abs. 4 lit. a) DSGVO).
Schadensbegrenzung und Aufklärung der Tat mittels IT-Forensik
Wie bereits zuvor erwähnt, arbeitet die Kanzlei Schlun & Elseven regelmäßig mit erfahrenen IT-Forensikern zusammen, um die Spuren der Angreifer sorgfältig zu sichern und auf diese Weise eine schnelle Ermittlung der Tatverdächtigen zu ermöglichen. Ein solches Vorgehen erleichtert die strafrechtliche Verfolgung.
Mittels der IT-Forensik können die IT-Angriffe systematisch analysiert und Beweise gesichert werden, die auf den Angreifer schließen lassen. Ziel ist es, herauszufinden, wer den Angriff veranlasst hat und wie der Täter zur Verantwortung gezogen werden kann. Idealerweise können durch den Einsatz von IT-Forensikern die Vorfälle schon aufgedeckt werden, bevor überhaupt ein größerer Schaden entstanden ist. Ist ein Vorfall zweifelsfrei als Cyberangriff identifiziert worden, so werden entsprechende Schutzvorkehrungen getroffen.
Zur Beweissicherung werden folgende Methoden herangezogen:
- Analyse der Server zu unbekannten Prozessen (Absturz von Diensten, Meldungen über ungewöhnliche Anmeldungen oder gescheiterte Anmeldeversuche etc.),
- Analyse der Endgeräte (Hinweise auf Verwischung von Spuren oder auf auffällige Dateien),
- Analyse der Netzwerkinfrastruktur (Protokolle über unbekannte Nutzer, oder außergewöhnlich hoher Traffic).
Entscheidend im Zuge der Beweissicherung ist, dass der Zustand des angegriffenen Systems nicht verändert wird, sondern exakt der Zustand widergespiegelt wird, welcher durch den Angreifer verursacht wurde. Ansonsten ist eine Verwertung der Beweise vor Gericht nicht zulässig.
Die Betrachtung des Cyberangriffs aus technischer und juristischer Sicht ermöglicht es unserer Kanzlei, die bestmögliche Rechtsberatung für unsere Mandanten zu gewährleisten. Die Unterstützung durch IT-Forensiker stellt die penible Spurensicherung direkt nach einem Angriff sicher und ermöglicht so eine bessere Strafverfolgung. Ein interdisziplinäres Handeln, welches juristische Fachkenntnisse, sowie Aufarbeitungsmethoden (z.B. Datenanalysen) vereint, ist unumgänglich. Wir unterstützen Sie gerne präventiv, aber auch wenn der Ernstfall bereits eingetreten ist.
Schlun & Elseven: Rechtsbeistand im Falle eines Cyber-Angriffs
Sind durch einen Cyberangriff Schäden entstanden, so sind diese in der Regel nicht vollumfänglich durch (Cyber-)Versicherungen abgesichert. So ist zu beachten, dass Versicherungen grundsätzlich den entstandenen Schaden nicht ersetzen, wenn der Versicherungsnehmer der Cyber-Compliance nicht bzw. nicht in ausreichendem Maße nachgekommen ist. Daher stellt sich hier die Frage, wer stattdessen für die entstandenen Schäden haftet. Ob ein Haftungsfall vorliegt, hängt unter anderem davon ab, welche Art von Cyberangriff stattgefunden hat und welcher Schaden dadurch für das Unternehmen entstanden ist.
Gerne beraten wir Sie bezüglich der Frage, ob ein meldepflichtiger Datenschutzvorfall vorliegt, und helfen Ihnen, eine effiziente rechtliche Absicherung für den Fall eines Angriffs zu schaffen. Im Falle eines bereits eingetretenen Schadens klären wir Sie umfassend über die hier geltenden Haftungsregeln auf und sorgen dafür, dass eventuellen Schadensersatzforderungen vorgebeugt wird. In Zusammenarbeit mit IT-Forensikern gewährleisten wir eine sorgfältige Dokumentation und Verfolgung der Angriffe, sodass Sie sowohl rechtlich als auch technisch stets auf der sicheren Seite sind.
Praxisgruppe für IT-Recht & Cyberkriminalität
Kontaktieren Sie unsere Anwälte für IT-Recht
Nutzen Sie gerne unser Online-Formular, um uns Ihr Anliegen zu schildern. Nach Erhalt Ihrer Anfrage werden wir anhand des geschilderten Sachverhaltes eine kurze Ersteinschätzung vornehmen und Ihnen ein Kostenangebot zukommen lassen. Anschließend können Sie entscheiden, ob Sie uns den Auftrag erteilen möchten.