Der 25. November 2022 wird als schwarzer Tag in die 114-jährige Unternehmensgeschichte des Fahrradherstellers Prophete eingehen: An jenem Tag griffen Hacker das IT-System des Unternehmens aus dem ostwestfälischen Rheda-Wiedenbrück an. Quälend lange drei Wochen war das Unternehmen in der Folge komplett lahmgelegt: ausgerechnet im Weihnachtsgeschäft konnten keine Fahrräder und E-Bikes mehr produziert, geschweige denn ausgeliefert werden. Entgangene Umsätze im hohen siebenstelligen Bereich waren die Folge. Zu viel für das Traditionsunternehmen, das aufgrund der Lieferkettenprobleme ohnehin schon in finanziellen Schwierigkeiten steckte: Kurz vor Weihnachten meldeten die Prophete GmbH & Co. KG sowie die Tochtergesellschaften Cycle Union und Kreidler Insolvenz an. „Der IT des Unternehmens ist ein massiver Schaden zugefügt worden“, so der vorläufige Insolvenzverwalter Manuel Sack von der Kanzlei Brinkmann & Partner. „Nach dem mehrwöchigen Stillstand konnte sich Prophete nicht mehr erholen.“ Ziel des Insolvenzverfahrens sei es nun, den Betrieb fortzuführen und eine zukunftsfähige Investorenlösung für die Unternehmensgruppe zu finden, erklärt Sack. „Dabei gilt es, das bestmögliche Ergebnis sowohl für die Gläubiger als auch für die Belegschaft zu erzielen.“ Denn auf dem Spiel stehen mehrere hundert Arbeitsplätze. Dass ein Hackerangriff ein Unternehmen in die Pleite treibt, ist sicherlich ein Extrembeispiel. Doch die Kosten, die der deutschen Wirtschaft durch Cyberangriffe entstehen, sind immens: Einer Studie des Digitalverbands Bitkom zufolge summieren sich die Schäden auf 203 Milliarden Euro pro Jahr. Praktisch jedes Unternehmen in Deutschland wird dabei zum Opfer: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen. Die Täter kommen dabei der Studie zufolge mehrheitlich (51 Prozent) aus dem Umfeld des organisierten Verbrechens.
Von der NIS-2-Richtlinie betroffene Unternehmen und Einrichtungen müssen entsprechende Maßnahmen zum Risikomanagement vornehmen.
Dr. Hanna Schmidt, Rechtsanwältin und Junior Partnerin, Oppenhoff.
Notfallpläne helfen im Ernstfall
So wurde auch die Hotelkette H-Hotels Ende vergangenen Jahres Opfer von Hackern aus dem Bereich der organisierten Kriminalität: Am 11. Dezember waren Cyberkriminelle in das IT-Netzwerk des Unternehmens eingedrungen und hatten unter anderem Kundendaten entwendet. Infolge des Angriffs war die digitale Kommunikation des Unternehmens mehrere Tage eingeschränkt, Online-Buchungen konnten nicht vorgenommen werden. Die Kriminellen versuchten, ein Lösegeld zu erpressen. Als sie damit scheiterten, boten sie die gestohlenen Datenpakete im Darknet an. Zwischenzeitlich sind die IT-Systeme der Hotelkette wieder hergestellt. „Unser Dank gilt unseren Mitarbeiterinnen und Mitarbeitern, die nach dem Cyberangriff mit Professionalität und persönlichem Engagement dafür gesorgt haben, dass die Gäste von H-Hotels auch weiterhin erstklassige Hotelerlebnisse hatten“, so Alexander Fitz, CEO von H-Hotels. Die Gäste hätten von den technischen Einschränkungen im Hintergrund nur wenig gespürt. Dennoch ist insbesondere der Imageschaden immens. Denn wer ein Hotelzimmer bezieht, will sich schließlich sicher fühlen – und auch seine persönlichen Daten in guten Händen wissen. „Jedes Unternehmen kann Opfer von Cyberattacken werden, unabhängig von Branche und Größe“, warnt Simran Mann, Bitkom-Referentin für Sicherheitspolitik. „Ist die Firmen-IT erst einmal infiziert oder lahmgelegt, entstehen den Unternehmen hohe Kosten, die bis hin zu wochenlangen Produktionsausfällen gehen können.“ Trotz der enormen Risiken seien viele Unternehmen aber immer noch unzureichend auf Cyberattacken vorbereitet, so Mann. So verfügt einer Bitkom-Umfrage zufolge nur gut jedes zweite Unternehmen hierzulande (54 Prozent) über einen Notfallplan mit schriftlich geregelten Abläufen und Ad-hoc-Maßnahmen für den Fall von Datendiebstahl, Spionage oder Sabotage. „Bei der Abwehr eines Cyberangriffs ist Zeit eine ganz entscheidende Komponente“, betont Mann. „Alle Unternehmen sollten entsprechende Vorbereitungen treffen und einen klar geregelten Notfallplan aufstellen, um im Fall der Fälle nicht wertvolle Zeit zu verschwenden.“
„Ist die Firmen-IT erst einmal infiziert oder lahmgelegt, entstehen den Unternehmen hohe Kosten.“
Simran Mann, Referentin für Sicherheitspolitik, Bitkom.
Mitarbeitende sensibilisieren
Nachholbedarf haben die Unternehmen auch bei der Sensibilisierung der Belegschaft. So führen nur 61 Prozent regelmäßige Schulungen zu Sicherheitsthemen durch. Weitere 13 Prozent planen, Schulungen anzubieten – aber jedes vierte Unternehmen (25 Prozent) will auch künftig darauf verzichten. „Die Mitarbeiterinnen und Mitarbeiter sind die erste Abwehrreihe gegen Cyberkriminelle. Unternehmen sollten unbedingt über Risiken und Angriffsarten aufklären und Hinweise für das richtige Verhalten geben“, betont Mann. Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research bei der Corporate Trust Business Risk & Crisis Management GmbH, pflichtet ihr bei: Grundsätzlich sei jedes System nur so lange sicher, wie sich seine Benutzer an zuvor vereinbarte Standards halten, so der Experte. Daher sei es besonders wichtig, „die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen“. Bestimmte Verhaltensweisen seien weit verbreitet, aber hochriskant – etwa die Nutzung von öffentlichen oder fremden WLAN-Netzwerken: „Man muss sich immer bewusst sein, dass man zumeist nicht genau weiß, mit wem man sich verbindet. Schließlich kann auch ein Cyberkrimineller einen WLAN-Hotspot einrichten“, so IT-Experte Wimmer. Dieser könne dann alle übertragenen Daten mitlesen. Sicherer sei hier die Nutzung mobilen Internets beispielsweise über ein eingebautes Empfangsteil oder einen entsprechenden Stick. Bei der Entwicklung der IT-Sicherheitsstrategie müssten Rechtsabteilung und IT Hand in Hand arbeiten, sagt Wimmer. „Zumindest hat die Rechtsabteilung bei der Feststellung des Schutzbedarfs, der Anforderungen an die IT und dem Sicherheitskonzept mitzuwirken“, so der Experte. „Ferner sollte sie die Angemessenheit und Wirksamkeit der Maßnahmen aus Rechtssicht regelmäßig prüfen.“ Bei Sicherheitsvorfällen muss die Rechtsabteilung in die Bearbeitung einbezogen werden. „Aus technisch-organisatorischer Sicht erwarte ich im ersten Schritt ein durchgehendes Sicherheitskonzept, dass mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft wird und in dem auch der Schutzbedarf klar definiert wird“, sagt Wimmer. Technisch gelte es, wirksame Maßnahmen unter anderem in den Bereichen Datensicherung und Backup, Hackerresistenz und Sicherheitsmonitoring zu implementieren.
„Zumindest hat die Rechtsabteilung bei der Feststellung des Schutzbedarfs, der Anforderungen an die IT und dem Sicherheitskonzept mitzuwirken.“
Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research, Corporate Trust Business Risk & Crisis Management.
Regulatorische Vorgaben werden schärfer
Dies wird auch deshalb immer wichtiger, weil die regulatorischen Vorgaben schärfer werden. So erweitert die neue NIS-2-Richtlinie der Europäischen Union, die bis Oktober 2024 in nationales Recht umgesetzt werden muss, den Adressatenkreis besonderer Cybersicherheitsvorschriften. Erfasst werden unter anderem Unternehmen im Bereich Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Digitale Infrastruktur und Informations- und Kommunikations-Servicemanagement. Explizit genannt werden zudem Post- und Kurierdienste, Abfallbewirtschaftung, die Chemieindustrie, die Lebensmittelbranche, Anbieter digitaler Dienste sowie Forschungseinrichtungen. „Von der NIS-2-Richtlinie betroffene Unternehmen und Einrichtungen müssen entsprechende Maßnahmen zum Risikomanagement vornehmen“, erklärt Dr. Hanna Schmidt, Rechtsanwältin und Junior Partnerin in der Kanzlei Oppenhoff in Köln. „Es müssen insbesondere Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme, für die Bewältigung von Sicherheitsvorfällen, für die Aufrechterhaltung des Betriebs im Störfall und das Krisenmanagement, für die Sicherheit der Lieferkette und für die Sicherheit des Personals erarbeitet werden.“ Um Sicherheitsvorfälle zu melden, sieht die EU-Richtlinie einen mehrstufigen Ansatz vor: Binnen 24 Stunden muss eine Frühwarnung an die zuständige Behörde übermittelt werden. Hierauf hat innerhalb von 72 Stunden eine formelle Meldung des Vorfalls zu folgen, innerhalb eines Monats ist zudem ein Abschlussbericht vorzulegen. Es sei absehbar, dass die Behörden außerdem zu strengeren Aufsichts- und Durchsetzungsmaßnahmen befähigt würden, sagt Schmidt. „In der Richtlinie sind unter anderem Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und Ad-Hoc-Prüfungen vorgesehen.“ Sanktionen für den Fall der Zuwiderhandlung müssen die Mitgliedsstaaten im Zuge des Gesetzgebungsverfahrens selbst festlegen. Die Richtlinie nennt einen Haftungsrahmen bei wichtigen Einrichtungen von mindestens sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes beziehungsweise bei wesentlichen Einrichtungen von mindestens 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. Zudem ist eine persönliche Haftung der Unternehmensleitung vorgesehen.
Bedeutung von IT-Compliance steigt
Für betroffene Unternehmen werde es aufgrund der NIS-2-Richtlinie noch wichtiger, sich mit dem Thema IT-Compliance auseinanderzusetzen. Auch die Geschäftsführung – insbesondere das Mitglied der Geschäftsleitung, in dessen Ressort das Thema IT fällt – muss ausreichende Risikomanagementkenntnisse nachweisen. Erforderlich sei zudem ein Aufbau von Kompetenzen sowohl im IT-Bereich als auch in der Notfallkommunikation, sagt Oppenhoff-Anwältin Schmidt. Die durch die NIS-2-Richtlinie gestiegenen Anforderungen an die Cybersicherheit haben zudem auch Auswirkungen auf das Arbeitsrecht. So dürften insbesondere IT-Sicherheitsrichtlinien zu aktualisieren sein und Gegenstand der Arbeitsverhältnisse mit den Beschäftigten werden, sagt Annabelle Marceau, Fachanwältin für Arbeitsrecht und ebenfalls Junior Partnerin in der Kanzlei Oppenhoff. „In der Regel können entsprechende Richtlinien auf Grundlage des arbeitgeberseitigen Direktionsrechts einseitig eingeführt werden.“ Der Zustimmung der Beschäftigten bedürfe es nur, wenn durch die neuen Regelungen das Pflichtenverhältnis in bestehenden Arbeitsverhältnissen konkretisiert oder neue Pflichten begründet werden. Die NIS-2-Richtlinie sieht außerdem Schulungen im Bereich der Cybersicherheit vor. Je nach konkreter Umsetzung durch die Mitgliedsstaaten könne sich dadurch möglicherweise ein Schulungsanspruch der Beschäftigten ergeben, so Arbeitsrechts-Expertin Marceau. Auch wenn die Umsetzung in nationales Recht sich bis ins kommende Jahr ziehen kann, sollten Unternehmen bereits jetzt – auch im eigenen Interesse – ihre bisher eingesetzten IT-Sicherheitssysteme überprüfen und aktualisieren, raten Marceau und Schmidt. Letztlich diene eine am neuesten Stand der Technik ausgerichtete IT-Sicherheitsarchitektur nicht nur dem Zweck, gesteigerten gesetzlichen Anforderungen gerecht zu werden, so die Anwältinnen. Schließlich sollte es im ureigenen Interesse eines jeden Unternehmens sein, Produktionsabläufe und sensible Unternehmensdaten zu schützen. Die Pleite des Fahrradherstellers Prophete sollte hier allen Unternehmen eine Warnung sein.
Harald Czycholl