Der Hackerangriff auf Kaseya ist in aller Munde und wirkt sich nicht nur auf US-amerikanische Unternehmen aus. Die Gefahr der Cyberkriminalität steigt und Unternehmen müssen anfangen, dieses Risiko ernst zu nehmen.
Der Inhalt im Überblick
Was ist passiert?
Die bereits von vielen Angriffen bekannte Hackergruppe REvil, ein cleveres Wortspiel aus Ransomware und Evil, hat wieder zugeschlagen. Bereits vor einiger Zeit war ein Angriff durch REvil auf den größten amerikanischen Fleischkonzern JBS bekannt geworden, der widerwillig die 11 Mio. Dollar Lösegeldsumme für die verschlüsselten Daten zahlte. Dieses Mal traf es das Unternehmen Kaseya, welches IT-Unternehmen weltweit die Anwendung Kaseya VSA zur Verfügung stellt. Über diese Server-Software konnten Updates eingespielt und Systeme von Kunden der IT-Unternehmen gewartet werden.
REvil nutze eine Sicherheitslücke der Anwendung aus und führte einen sog. Supply-Chain-Angriff durch. Diese Angriffsart ist besonders gefährlich, da der bisher eher unbekannte Dienstleister Kaseya weitreichende Verflechtungen zu anderen Unternehmen hat und somit als Multiplikator fungierte. Folglich waren mehr als 1000 Unternehmen – darunter auch deutsche Unternehmen – betroffen, die wie gewohnt ein Update auf ihrem Rechner zuließen, dabei aber einem Verschlüsselungstrojaner Zugang zu vertraulichen Daten ermöglichten. REvil forderte zur Entschlüsselung der Daten eine Rekordsumme von 70 Mio. Dollar.
Zahl der Hackerangriffe so hoch wie nie zuvor
Die Statistiken sprechen für sich: Während 2017 laut Bitkom Studie von 2020 noch 53% der befragten Unternehmen von Datendiebstahl, Industriespionage oder Sabotage betroffen waren, hat sich dieser Prozentsatz im Jahr 2019 auf 75% erhöht. Somit sind drei von vier Unternehmen von Cyberkriminalität betroffen. Die Gefahr eines Datenverlusts wird sich in den kommenden Jahren nur verstärken.
Matthias Wachter, Abteilungsleiter Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im BDI, stellte bezüglich der aktuellen Entwicklungen fest:
„Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute. Die Anzahl der Angriffe ist in der Corona-Pandemie weiter gestiegen, weil Unternehmen im Homeoffice noch verwundbarer sind.“
Nicht nur die anhaltende Corona-Krise hat Cyberangriffen zum Aufschwung verholfen. Der seit Jahren zu beobachtende Anstieg cyberkrimineller Angriffe ist laut BKA darauf zurückzuführen, dass die verschiedensten Lebensbereiche fortschreitend digitalisiert werden. Die Angreifer werden dabei immer professioneller, um den neuesten Techniken und Schutzmechanismen Stand halten zu können. Gleichzeitig sind aber die Eintrittshürden in die Cyberkriminalität gesenkt worden. Das Stichwort hier: Cybercrime-as-a-service. Im Darknet verkaufen auch Hackergruppen wie REvil Hackerpakete und geben somit auch blutigen Anfängern im Hacken die notwendigen Instrumente an die Hand.
Meldepflicht von Cyberangriffen?
Bei diesen Erkenntnissen stellt sich schnell die Frage, wie Unternehmen im Falle eines Cyberangriffs handeln müssen. Bisher sind nur Betreiber kritischer Infrastrukturen nach § 8b Abs. 4 BSIG verpflichtet, Vorfälle zu melden, welche die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme gefährden. Für die restlichen Unternehmen besteht eine solche Pflicht zur Meldung aller IT-Sicherheitsvorfälle nicht.
Jedoch werden in vielen Fällen von Cyberangriffen personenbezogene Daten gefährdet sein. Hier richten sich die rechtliche Einordnung von Cyberangriffen und die Pflichten des Unternehmens nach Art. 4 Nr. 12 DSGVO, welcher die Datenschutzverletzung definiert. Eine solche liegt demnach vor, wenn die Verletzung der Sicherheit zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
Bei einem Cyberangriff, der gleichzeitig eine Datenschutzverletzung darstellt, muss das Risiko für die Rechte und Freiheiten der Betroffenen bewertet werden. Diese Abwägung sollte in jedem Fall nach Art. 33 Abs. 5 DSGVO dokumentiert werden. Kommt man zu dem Ergebnis, dass der Vorfall möglicherweise ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt, muss nach Art. 33 Abs. 1 DSGVO eine Meldung binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde erfolgen. Gegebenenfalls müssen bei einem hohen Risiko ebenfalls die Betroffenen nach Art. 34 DSGVO informiert werden.
Wer haftet für Cyberangriffe?
Ein Verstoß gegen die Dokumentations- oder Meldepflicht kann allein schon nach Art. 83 Abs. 4 DSGVO zu einem Bußgeld für das Unternehmen in Höhe von 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes führen. Noch mehr schmerzt es bei einem Bußgeld bis zu 20 Mio. EUR nach Art. 83 Abs. 5 DSGVO, wenn die Datenschutzverletzung auf beispielsweise unzureichende technische und organisatorische Maßnahmen zurückzuführen ist. Insbesondere im Homeoffice lässt die Aufmerksamkeit für die sorgsam gepredigten IT-Sicherheitsmaßnahmen nach.
Doch nicht nur für das Unternehmen selbst kann ein Datenschutzvorfall schwerwiegende Auswirkungen haben. Die Pflicht zur Einrichtung eines angemessenen Information Security Management Systems (ISMS) kann auf die Organe des Unternehmens zurückgeführt werden. So könnte eine Missachtung der Pflicht zur Einrichtung eines angemessenen ISMS zu einer Haftung der Geschäftsführung oder Vorstände aus § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG führen.
Prävention, Detektion und Reaktion!
Die Gefahr der Cyberkriminalität nimmt immer weiter zu. Hackergruppen wie REvil werden professioneller, kühner und unerschrockener. Unternehmen sollten ebenfalls reagieren und ihr ISMS fortlaufend auf den Stand der Technik hin überprüfen.
Und was, wenn es doch mal zu einem Angriff kommt? Hier heißt es Ruhe bewahren. Die Angreifer werden gezielt versuchen, Sie unter Druck zu setzen. Wenden Sie sich an IT-Forensik-Experten, um die notwendigen Schritte zur Aufklärung des Sicherheitsvorfalls einzuleiten.
Aber auch hier heißt es, Vorsicht ist besser als Nachsicht. Sorgen Sie schon im Vorfeld für den Aufbau eines Incident Response Managements, um im Zweifelsfall schnell agieren zu können. Denn ist erst einmal das Unternehmen mit Malware infiziert, zählt jede Sekunde.
Wenn 75% der Unternehmen von Hacker-Angriffen betroffen sind, ist nicht nur jedes dritte Unternehmen betroffen, sondern 3/4 aller Unternehmen oder 3 von 4!
Vielen Dank für den Hinweis. Wir haben die entsprechende Stelle im Text geändert.
Wie ist das mit den Bußgeldern? Ist es nicht so, dass man nur dann ein Bußgeld bekommen kann, wenn ein Verschulden der handelnden Personen vorliegt? Das wäre doch bei einem Hacker-Angriff eher selten, oder? Vielen Dank im Voraus für Ihre Antwort!
Bußgelder müssen bei einem Hackerangriff nicht unbedingt selten sein. Richtig ist, es ist zurzeit noch umstritten, ob für die Verhängung eines Bußgelds, eine Leitungsperson des Unternehmens den Verstoß gegen die Reglungen der DSGVO zu verschulden haben muss (hier geht es also nicht um den Hackerangriff an sich selbst, sondern eine ungenügende Vorbereitung oder Reaktion auf diesen, welche die DSGVO vorschreibt). Das LG Bonn hat das im 1&1 Bußgeld Verfahren (rechtskräftig) verneint. Das LG Berlin beim Bußgeld gegen die Deutsche Wohnen (nicht rechtskräftig) bejaht.
Bei dem hier im Beitrag angesprochenen Bußgeld für einen Verstoß gegen die Meldepflicht wird der Streit kaum eine Rolle spielen. Eher früher als später wird eine Leitungsperson über den Hackerangriff informiert werden und spätestens ab dann läuft die gesetzliche Meldefrist. Ein Verschulen sollte die Behörde in solchen Fällen relativ leicht nachweisen können. Anders sieht es bei dem angesprochenen Bußgeld wegen einem Verstoß gegen die technisch organisatorischen Maßnahmen aus. Hier ist es durchaus denkbar, dass z.B. ein nicht leitender IT-Mitarbeiter ohne Wissen seiner Vorgesetzten einen veralteten Sever betreibt, der dann zum Einfallstor für den Angreifer wird. Hier könnte der Streit dann durchaus Auswirkungen haben, ob ein Bußgeld gegen das Unternehmen verhängt werden kann oder nicht.