VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Cyberattacke Binaercode 625561925 700

Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen werden von fast jedem zweiten Unternehmen in Deutschland falsch eingeschätzt. Das ergab eine aktuelle Umfrage der internationalen Anwaltssozietät Bird & Bird in Zusammenarbeit mit Marktforscher YouGov Deutschland GmbH.

Bewusstsein für Datenschutz gegeben

Wenn es um grundsätzliche Pflichten des Datenschutzes geht, ist die Sensibilität in deutschen Unternehmen hoch. 93 Prozent der Befragten geben an, dass in ihrem Unternehmen personenbezogene Daten gespeichert sind, die sie auf jeden Fall vor unbefugtem Zugriff schützen müssen. 85 Prozent der Befragten sind sich sicher, tatsächlich alle Vorgaben zum Schutz personenbezogener Daten zu befolgen.

Rechtliche Implikationen von Cyberattacken sind unzulänglich bekannt

Während das Bewusstsein für die allgemeinen Pflichten des Datenschutzes recht hoch ist, unterschätzen Unternehmen die Gefahren von Cyberangriffen: Nur 42 Prozent der Befragten sehen ein hohes (34 Prozent) oder sehr hohes (8 Prozent) Risiko, Opfer einer Cyberattacke zu werden – und wiegen sich obendrein durch Falschannahmen und Halbwissen in vermeintlicher Sicherheit. So geben 60 Prozent der Unternehmensvertreter an, vollständig über die rechtlichen Konsequenzen eines Hackerangriffs im Bilde zu sein. Doch bei genauerer Nachfrage ergeben sich jedoch gravierende Wissenslücken, die rechtliche und wirtschaftliche Konsequenzen nach sich ziehen können.

So glauben 57 Prozent der Umfrageteilnehmer, ihr Unternehmen habe nur dann rechtliche Konsequenzen als Folge eines Cyberangriffs zu befürchten, wenn es fahrlässig gehandelt hat, also etwa Abwehr-Systeme nicht aktualisiert oder Sicherheitslücken ignoriert hat. Tatsächlich können in den meisten Fällen Schadensersatzforderungen nur geltend gemacht werden, wenn das Unternehmen schuldhaft, also fahrlässig oder vorsätzlich, gehandelt hat. Andere Pflichten für Unternehmen bestehen dagegen unabhängig vom Verschulden. Dazu gehören zum Beispiel Meldepflichten, Unterlassungspflichten oder unter bestimmten Umständen auch die Pflicht zur Beseitigung der Störung, dies kann etwa ein Datenleck sein. Meldepflichten bestehen vor allem bei Datenpannen, wenn dadurch die Rechte der betroffenen Personen gefährdet sind.

Haftungsfragen bei Verlust personenbezogener Daten unklar

44 Prozent der Befragten meinen, dass ihr Unternehmen nicht dafür belangt werden kann, wenn personenbezogene Daten gestohlen werden, sofern es denn unverschuldet Opfer einer Attacke wurde. 52 Prozent der Unternehmen halten sich hingegen in jedem Fall für haftbar, wenn ihnen personenbezogene Daten durch einen Hackerangriff oder ähnliches gestohlen werden. Tatsächlich kann ein Unternehmen nur haftbar gemacht werden, wenn es schuldhaft gehandelt hat. Allerdings müssen Unternehmen gemäß der EU-Datenschutzgrundverordnung seit Ende Mai beweisen, dass sie kein Verschulden trifft. Das wird nur in seltenen Fällen möglich sein. Denn Maßstab ist die im Verkehr erforderliche und nicht etwa die übliche Sorgfalt. Da es zum Datenverstoß gekommen ist, gibt es bereits ein deutliches Indiz dafür, dass die erforderliche Sorgfalt nicht eingehalten wurde. Nur wenn es gelingt darzulegen, dass die Datenpanne mit allen verfügbaren Informationen nicht verhindert werden konnte, kann der Entlastungsbeweis geführt werden.

Mangelndes Wissen um Schadenersatzansprüche Dritter und gegen Softwarehersteller

Ähnliche Verunsicherung herrscht in Sachen Schadenersatzansprüche: 40 Prozent glauben, dass ihr Unternehmen von Kunden nicht auf Schadenersatz verklagt werden kann, wenn es aufgrund einer Cyberattacke seine Aufträge nicht erfüllen kann – denn das sei höhere Gewalt. Höhere Gewalt liegt jedoch nur dann vor, wenn es dem Unternehmen unmöglich ist, seine Aufträge zu erfüllen oder eine zugesagte Leistung zu erbringen. Zusätzlich müssen dieser Leistungspflicht unüberwindliche Hindernisse entgegenstehen. Eine Cyberattacke kann in der Regel aber nicht als unüberwindliches Hindernis gesehen werden.

Ein Drittel (32 Prozent) der Befragten geht davon aus, dass sie die Softwarefirma (etwa Firewall-Hersteller, Viren-Scan-Software etc.) verklagen beziehungsweise in Regress nehmen können, wenn ihr Unternehmen Schaden durch einen Hackerangriff erleidet. 35 Prozent glauben hingegen, dass das nicht möglich ist. Rund ein Drittel (34 Prozent) hat dazu keine Meinung oder weiß es schlichtweg nicht.

Ein Anspruch gegen die Softwarefirma besteht in der Tat dann, wenn diese ihr Leistungsversprechen nicht erfüllt hat. Doch die betreffenden Unternehmen versprechen meist keine absolute Sicherheit, sondern knüpfen Leistungsversprechen an bestimmte Voraussetzungen.

Unsicherheiten in Sachen Meldepflicht

Cyberangriffe können zudem Meldepflichten unterliegen. Rund die Hälfte (52 Prozent) der befragten Unternehmen ist sich sicher, das eine Cyberattacke auf ihr Unternehmen in jedem Fall gegenüber den Behörden meldepflichtig ist. Jeder Fünfte (22 Prozent) glaubt das nicht und jeder Vierte (26 Prozent) kann dazu keine Aussage machen oder weiß es nicht. 64 Prozent der Umfrageteilnehmer meinen, ihr Unternehmen könne schnell selbst erkennen, ob ein Hackerangriff dazu führt, dass ein Datenverlust an die zuständigen Behörden gemeldet werden muss. Meldepflichten bestehen dann, wenn personenbezogene Daten gestohlen wurden oder unberechtigte Dritte in sonstiger Weise Zugang zu den Daten erhielten – und damit eine Gefährdung für die Betroffenen einhergeht. Auch ein Angriff auf kritische Infrastrukturen ist nach dem IT-Sicherheitsgesetz meldepflichtig.

Neben Meldepflichten gegenüber Behörden steht aber auch die Frage nach der Informationspflicht gegenüber betroffenen Kunden oder Mitarbeitern im Raum. Auch hier herrscht Aufklärungsbedarf. So geben drei von vier Befragten (73 Prozent) an, dass sie, sollten in ihrem Unternehmen personenbezogene Daten gestohlen werden, die davon betroffenen Kunden oder Mitarbeiter in jedem Fall darüber informieren müssten. Jeder Zehnte glaubt, das sei nicht nötig, 17 Prozent wissen es nicht oder machen dazu keinen Angaben. Tatsächlich besteht nicht in allen Fällen eine Meldepflicht. Vielmehr muss nach der EU-Datenschutzgrundverordnung ein hohes Risiko bestehen, dass die Rechte der Betroffenen verletzt werden. Was genau ein „hohes Risiko“ bedeutet, ist jedoch noch nicht geklärt. Keine Zweifel an einem hohen Risiko bestehen, wenn es sich beispielsweise um Kreditkartendaten handelt. Dann müssen die Betroffenen unverzüglich informiert werden.

Bedarf an Rechtsbeistand und Versicherungsschutz werden unterschätzt

Im Angriffsfall können neben dem Imageschaden, IT-Kosten im Rahmen der Abwehr und Schadensbehebung, finanzielle Einbußen durch Downtime des Betriebs sowie wirtschaftliche Schäden durch Schadenersatzansprüche Dritter entstehen. Die Kosten durch Cyberattacken können beachtlich werden. Dennoch geben nur 44 Prozent der befragten Unternehmen an, mittels einer Cyberversicherung gegen Schäden durch Angriffe versichert zu sein. Jeder Vierte (24 Prozent) hat eine solche Versicherung nicht, ein Drittel der Befragten (31 Prozent) kann nicht sagen, ob sein Unternehmen einen solchen Versicherungsschutz genießt.

Trotz der rechtlichen Unsicherheiten und der möglichen finanziellen Schäden durch Cyberattacken glauben nur 60 Prozent der Befragten, dass ihr Unternehmen etwa im Falle eines Datendiebstahls juristische Beratung in Anspruch nehmen müsste. 19 Prozent halten das für unnötig, 21 Prozent sind sich nicht sicher oder können dazu nichts sagen.

Über die Umfrage

Die Online-Befragung wurde im Februar 2018 zusammen mit dem Marktforschungsunternehmen YouGov durchgeführt. Befragt wurden 250 Unternehmensentscheider aus dem oberen und mittleren Management in Deutschland ab einer Mitarbeiterzahl von 50 Personen.

twobirds.com
 

 

GRID LIST
Mann

Attacken auf die Industrie verursachten 43 Mrd. Euro Schaden

Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage,…
Blockchain

Steht Blockchain vor dem Durchbruch?

Ob Kryptowährungen, sichere Lieferketten oder Smart Contracts: Im Hintergrund wird immer…
Tb W190 H80 Crop Int 3fde0ea9452d02a7a9faf29585068c69

Zwei Drittel der Netzwerke sind nicht sicher

Trotz aller Investitionen in Datensicherheit und Datenschutz sind viele mittlere und…
Cyber Attack

Sicherheitslücken auf Webseiten im Mittelstand nachgewiesen

Internet-Webseiten von kleinen und mittelständischen Unternehmen sind häufig ein…
Rechenzentrum

Mainframes blockieren Innovationen

LzLabs und Microsoft gaben die Ergebnisse einer von Vanson Bourne weltweit durchgeführten…
Opfer Hacked

KMUs und Cybersicherheit: Einmal Opfer, immer Opfer?

Kleinere Unternehmen mit weniger als 50 Mitarbeitern sind für Cyberkriminelle ein…
Smarte News aus der IT-Welt