Die Bedrohung ist real und hört auf Namen wie RedLine Stealer, Mirai oder Agent Tesla. Jede Sekunde werden weltweit 13 Cyberangriffe auf Unternehmen aus dem Bereich der kritischen Infrastruktur dokumentiert. Darunter fallen unter anderem die Energieversorgung, Kommunikationssysteme, medizinische Einrichtungen und die Finanzbranche, aber auch die Fertigungsindustrie und Transportmittel. Auf das Jahr gerechnet ergibt das die alarmierende Zahl von mehr als 420 Millionen Cyberangriffen. Das ist das Ergebnis des Global Threat Roundup Report 2023 des IT- und Cybersicherheitsunternehmens Forescout Technologies, der Ende Januar 2024 veröffentlicht wurde. Durchgeführt werden die Angriffe mit Schadsoftware wie Viren, Würmern und Trojanern. Mit deren Hilfe greifen professionelle Hacker auf die Daten von Unternehmen zu, beschädigen beziehungsweise stehlen sie oder legen die Computer lahm oder zerstören sie gar. Am häufigsten betroffen von Cyberangriffen sind Behörden und Betriebe in den USA, Großbritannien, Deutschland, Indien und Japan, die Angreifer stammen häufig aus China, Russland und dem Iran. Durch das Aufkommen von KI-gestützten Tools, so steht es zu befürchten, wird die Qualität der Angriffe weiter zunehmen. Die gute Nachricht: KI kann auch vermehrt zur Abwehr solcher Angriffe und damit zu einer höheren Datensicherheit eingesetzt werden. Weil solche Attacken schon jetzt die Sicherheit und Wirtschaft aller EU-Mitgliedsstaaten bedrohen, haben sowohl der deutsche Gesetzgeber als auch die EU-Organe in den vergangenen Jahren eine wahre Flut an Regelungen in diesem Bereich verabschiedet. „Es ist nicht so, dass die EU erst jetzt aktiv wird. Beispielsweise wurde die erste EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS, bereits 2016 verabschiedet. Auch der deutsche Gesetzgeber hat etwa mit dem BSI-Gesetz bereits vor Jahren Regelungen zur IT-Sicherheit verabschiedet“, sagt Michael Kuska, Rechtsanwalt und angestellter Partner bei der Kanzlei Heuking in Düsseldorf. Weil die Technik und die Cyberangriffe immer raffinierter werden, sind die Gesetzgeber gefordert, mit der Entwicklung Schritt zu halten. Die EU-Kommission hat sich dabei besonders die Themen IT- und Cybersicherheit auf die Fahnen geschrieben. So wurde Ende 2022 die NIS-2-Richtlinie verabschiedet, die bis Oktober 2024 in deutsches Recht umgesetzt sein muss. „Die NIS-2-Richtlinie und der aktuelle Entwurf des deutschen Umsetzungsgesetzes regeln die IT-Sicherheit in bestimmten wichtigen und besonders wichtigen Sektoren. Man geht aktuell davon aus, dass zwischen 30.000 bis 40.000 Unternehmen unmittelbar in den Anwendungsbereich fallen werden, die dann die entsprechenden Vorgaben umsetzen müssen. Aufgrund der Regelungen zur Sicherheit in der Lieferkette werden aber nochmal eine Vielzahl weiterer Unternehmen zumindest mittelbar erfasst“, erläutert der Leiter der Expertisegruppe Informationssicherheit in der Kanzlei Heuking Michael Kuska. Mit der Durchführung und Überwachung dieser Aufgaben ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) betraut. Der 2019 verabschiedete Cybersecurity Act (CSA) gab der europäischen Cybersicherheitsagentur ENISA ein permanentes Mandat für die Einführung und Aufrechterhaltung eines einheitlichen europäischen Zertifizierungsrahmens für IKT-Produkte, -Dienstleistungen und -Prozesse. Gemeinsam mit der NIS-2-Richtlinie hat die EU-Kommission Ende 2022 und Anfang 2023 die Critical Entities Resilience-Richtlinie (CER) zum besseren Schutz von kritischen Infrastrukturen vorgelegt und den Digital Operational Resilience Act (DORA) für den Finanzsektor erlassen. Mit dem nur noch formal vom Ministerrat zu beschließenden Cyber Resilience Act (CRA) für mehr Sicherheit für Verbraucher wird der Cybersicherheit in der EU ein weiterer Baustein hinzugefügt.
„Man geht aktuell davon aus, dass zwischen 30.000 bis
40.000 Unternehmen unmittelbar in den Anwendungsbereich der Umsetzung der NIS-2-Richtlinie fallen werden.“
Michael Kuska
Rechtsanwalt und Salaried Partner,
Kanzlei Heuking
Drei Schäden
Wie notwendig mehr IT- und Cybersicherheit sind, zeigt das Beispiel des österreichischen Feuerwehrfahrzeugherstellers Rosenbauer International AG. Ende Februar 2023 traf ein Cyberangriff den im österreichischen Leonding ansässigen, mit Produktionsstandorten in Deutschland und den USA jedoch weltweit tätigen Konzern. Zwei Wochen lang standen deshalb Produktion und Logistik bei Rosenbauer still. „Es sind gleich drei Schäden, die entstehen. Zum einen externe Dienstleistungen, um möglichst schnell wieder produzieren zu können. Zum anderen Produktionsausfälle. Und im dritten Bereich dann Aufholaufwände, das heißt zum Beispiel Überstunden“, berichtet CEO Sebastian Wolf in einem Informationsvideo der Wirtschaftskammer Österreich über die wirtschaftlichen Folgen des Cyberangriffs. „Ich denke, dass die NIS-2-Richtlinie vor allem dazu beiträgt, dass die Kunden und Lieferanten auch entsprechende technische Standards umsetzen und somit sich jeder auf den anderen besser verlassen kann“, sagt Wolf. Denn Lieferanten sind in einer zunehmend vernetzten Welt ein Einfallstor für potenzielle Cyberangriffe auf Unternehmen und Behörden. „In ihren verschiedenen Rechtsakten teilt die EU die IT- und Cybersicherheit grob in zwei Kategorien: Sicherheit innerhalb von bestimmten Organisationen und Sicherheit von bestimmten Produkten. Im Kern gilt dabei aber immer das gleiche: Es müssen geeignete Managementsysteme umgesetzt werden, um die gesetzlichen Vorgaben zu erfüllen“, erklärt Manuel Poncza, Rechtsanwalt bei Heuking in Köln. Auf Produktseite müssen Hersteller jede Software und jedes digitale Produkt so entwickeln und bauen, dass sie sicher eingesetzt werden können. „Die NIS-2-Richtline, DORA und auch die CER-Richtlinie enthalten Vorgaben für das Informationssicherheitsmanagement, während der geplante Cyber Resilience Act sowie zahlreiche bereits vorhandene sektorspezifische Anforderungen die IT-Sicherheit von Produkten und Komponenten gewährleisten sollen“, erläutert Poncza, der auf IT-Sicherheit, Cybersecurity und Datenschutzrecht spezialisiert ist. Der seit 2019 geltende Cyber Security Act enthält dagegen kaum Regelungen für Unternehmen, sondern legt die Kompetenzen und Aufgaben der europäischen Cybersicherheitsbehörde ENISA fest. Er bildete vor fünf Jahren die Grundvoraussetzung dafür, dass das duale System der IT- und Cybersicherheit auf Management- und Produktebene in der EU etabliert werden konnte.
„Damit kommen klare Regelungen zur Haftung von Geschäftsleitungen als Hauptverantwortliche für fehlende Überwachung und Prüfung der Sicherheitsmaßnahmen im IT-Bereich.“
Manuel Poncza
Rechtsanwalt und Senior Associate,
Heuking
Allgemeine und sektorspezifische Anforderungen
Für Unternehmensjuristen ist es wichtig, zu verstehen, dass die das Management betreffenden Rechtsakte in wechselseitiger Abhängigkeit zu den produktbezogenen Regeln stehen. Je nach Branche gibt es Überschneidungen und gegenseitige Ausschlüsse. So sind Finanzunternehmen, die dem Digital Operational Resilience Act unterliegen, nicht von der NIS-2-Richtlinie betroffen. „Unternehmen, die nach dem Energiewirtschaftsgesetz besondere Cybersicherheitsanforderungen erfüllen müssen, unterliegen ebenfalls nicht den Anforderungen an das Informationssicherheitsmanagement im nationalen Umsetzungsgesetz der NIS-2-Richtlinie“, erläutert Poncza. Die Logik dahinter ist denkbar einfach: Das jeweils strengere bzw. auf einen Sektor bezogene Gesetz hat Vorrang vor dem eher allgemein gehaltenen Rahmenwerk. Die Aufgabe für die General Counsel besteht also darin zu wissen, welche allgemeinen und sektorspezifischen Anforderungen für sie gelten und welche Risiken und Haftungsfragen sie im Auge haben müssen. An der NIS-2-Richtlinie lässt sich zeigen, wie das Haftungssystem im Fall von fehlenden Sicherheitsmaßnahmen aussieht. Die Richtlinie verpflichtet Unternehmen, ein Managementsystem für IT-Sicherheit einzurichten, das den üblichen Industriestandards wie ISO 27001 entspricht. Dafür benötigt man Prozesse zur Evaluierung und Verbesserung der IT-Sicherheit. „Die NIS-2-Richtlinie und der aktuelle Entwurf des deutschen Umsetzungsgesetzes enthalten klare Regelungen zur Haftung von Geschäftsleitungen als Hauptverantwortliche für fehlende Überwachung und Prüfung der Sicherheitsmaßnahmen im IT-Bereich“, sagt Manuel Poncza. „Unternehmen können Schäden, für die sie gegenüber Dritten haften, per Regress bei den Geschäftsführern einfordern, ein Verzicht hierauf wird voraussichtlich nur im Einzelfall möglich sein. Eine solche Haftung hat es bezogen auf fehlende oder unzureichende IT-Sicherheit so explizit vorher nicht gegeben“, erläutert der Experte für IT-Sicherheitsrecht. Hinzu kommt, dass die Unternehmen vor allem im Falle einer Existenzgefährdung nicht berechtigt sind, auf den Regress zu verzichten. Ob eine D&O-Versicherung in einem solchen Fall einspringt, ist freilich alles andere als sicher, denn abhängig von den konkreten Mängeln der IT-Sicherheit könnten diese als grob fahrlässige Obliegenheitsverletzung ausgelegt werden. Doch nicht nur auf Managementebene, auch im Produktbereich tauchen hinsichtlich der IT- und Cybersicherheit von digitalen Produkten und Komponenten neue Haftungsfragen auf. Das EU-Produktsicherheitsrecht sieht schon jetzt immer Maßnahmen von Unternehmensseite vor, wenn ein Produkt nicht den Anforderungen für IT-Sicherheit entspricht. Im Automobilbereich sorgen Rückrufaktionen regelmäßig für Schlagzeilen und hohe Kosten. Sie werden dann ausgelöst, wenn gegen die technischen und sicherheitsrelevanten Vorgaben für die straßenverkehrsrechtliche Genehmigung des jeweiligen Fahrzeugtyps verstoßen wird oder wenn ein konkretes Fahrzeug nicht seinem Certificate of Conformity entspricht. „Dieses für Fahrzeuge und andere Produkte bekannte Verfahren wird mit dem kurz vor der Verabschiedung stehenden Cyber Resilience Act auch im IT-Bereich eingeführt“, sagt Poncza. Denn der CRA enthält klare Anforderungen bezüglich der Sicherheit von IT-Produkten für die Verbraucher. Je nach Schwere des Falles kann die zuständige Behörde den Rückruf von Produkten bis hin zum Vertriebsverbot verlangen, bis die Sicherheitslücke geschlossen ist.
Frage der Investitionen
Schaut man in die entsprechenden Reports von BSI und ENISA, dann stellen nicht erkannte Schwachstellen in Hard- und Software ein enormes Risiko für Cyberangriffe auf Unternehmen dar. „Ein weiteres großes Einfallstor für entsprechende Attacken ist das fehlende Sicherheitsbewusstsein bei der Geschäftsleitung und den Mitarbeitern über die von außen drohenden Gefahren“, erklärt Michael Kuska. „Viele Personen wissen nicht, welche Risiken bestehen und aus welcher Richtung Angriffe drohen.“ Das reicht von der fehlenden Passwortsicherheit bei Kommunikationstools bis zum unbedachten Anklicken von Links in Phishing-Mails, mit denen Trojaner und andere Schadsoftware in das IT-System eingeschleust werden. In der IT-Branche wird allerdings heiß darüber diskutiert, ob nun jeder Mitarbeiter das verlangt hohe Sicherheitsbewusstsein haben muss oder ob nicht vielmehr die Unternehmensführung die IT-Systeme so gestalten lassen sollte, dass der Einzelne bei Fehlverhalten nicht viel Schaden anrichten kann. Diese, aus Unternehmenssicht vornehmlich Kostenfrage, ist deshalb so schwer zu beantworten, weil man kaum vorhersagen kann, welche Investition in die IT-Sicherheit tatsächlich einen Mehrwert für das Unternehmen bietet. Wenn im besten Fall nichts passiert, weiß man dennoch nicht, woran es genau lag. Das entspricht nicht gerade der üblichen ROI-Betrachtung von Investitionsentscheidungen, weshalb sich auch Rechtsabteilungen mit der Beurteilung der Notwendigkeit bestimmter IT-Sicherheitsmaßnahmen schwertun. „Die Gesetzgebung der EU war mit Ausnahme der Regulierung im Bereich kritischer Infrastrukturen bis 2021 eher darauf ausgerichtet, die Unternehmen selbst darüber entscheiden zu lassen, welche Risiken sie einzugehen bereit sind“, erläutert Manuel Poncza. Seither ist die EU dazu übergegangen, die Zügel enger anzuziehen. „Die vielen Rechtsakte betreffen nicht nur immer mehr Unternehmen, sondern sie werden aufgrund ihrer vielen allgemeinen Regeln trotz der Weiterentwicklung in der Technik ihre Gültigkeit behalten“, sagt Poncza. Die Musik wird künftig vor allem in der Vertiefung des sektorspezifischen Rechts für IT- und Cybersicherheit spielen, etwa in der Automobil- und Healthcare-Industrie oder im Bereich Banken und Versicherungen. Dort gilt zum Teil schon jetzt eine detaillierte jährliche Berichtspflicht über Cybersecurity-Maßnahmen. Aus gutem Grund, wie man nicht nur bei Rosenbauer in Leonding inzwischen weiß.
■ Christoph Neuschäffer