Das gilt für die Frühphase der Prävention, wo es darum geht, das Unternehmen sicher gegen Angriffe zu machen. In der Akutphase eines Ereignisses sind sie Teil des Krisenstabes und begleiten den Rettungsprozess. Und auch in der Nachbereitung spielen sie eine gewichtige Rolle. Es ist ein Kreislauf, die Nachbereitung ist wieder Vorbereitung für die nächste Geschichte. Im Rahmen der Prävention und der Nachbereitung ist die Rolle aktiver ausgestaltet, in der Begleitung der Krisensituation eher etwas passiverer Natur. „Meine Aufgabe besteht darin, bestenfalls zu verhindern, dass gewisse Dinge eintreten“, bringt es Torben Schmeink, Head of Legal und Compliance bei der Westfalen AG im nordrhein-westfälischen Münster, auf den Punkt. „IT-Sicherheit ist zwar die Kernkompetenz meiner Kollegen aus der IT, aber für eine funktionierende IT-Sicherheit müssen alle Funktionen zusammenarbeiten.“ Es hängt vom Tätigkeitsfeld und von der Größe eines Unternehmens ab, falls vorhanden fällt die Cybersecurity primär in den Bereich des Chief Information Security Officers, kurz CISO. „Hauptverantwortlich bleibt während des gesamten Prozesses Prävention-Akutfall-Nachbereitung immer die Geschäftsleitung“, betont Dr. Sebastian Brüggemann, Director und Counsel Global Cybersecurity und Data Governance Legal beim Technologieanbieter Kyndryl. Abzugrenzen ist der Tätigkeitsbereich des oder der General Counsel von dem eines Chief Compliance Officers, sofern Legal und Compliance getrennt sind. Auch das hängt in der Regel von der Größe und den personellen Ressourcen eines Unternehmens ab, zusätzlich von den Organisationsstrukturen und gegebenenfalls auch von der Branche. Oft sind die Abteilungen zusammengelegt oder die Rechtsabteilung ist – zumindest für bestimmte Gebiete – personell so dünn bestückt, dass sie Compliance-Aufgaben mit übernehmen muss. „Gerade die Sensibilisierung der gesamten Belegschaft auf den Themenkomplex Cybersecurity und vor allem auch das Hochhalten der Awareness ist eine klassische Compliance-Aufgabe“, bestätigt Jürgen Hartung, Partner bei Oppenhoff in Köln. Wobei auch im Falle einer Trennung der Bereiche die Rechtsabteilung immer einbezogen bleiben sollte, „sie soll rechtlich bewerten, ob gezielte Maßnahmen in Ordnung sind“, so Hartung. „Wenn es etwa um die Datenerfassung und -auswertung geht, muss zusätzlich gegebenenfalls der Betriebsrat noch mit einbezogen werden.“ Stichwort Mitarbeiterinnen und Mitarbeiter: Sie sind ein Einfallstor für Cyberattacken und – so formuliert es Brüggemann – „Teil der kritischen Infrastruktur im Unternehmen“. Grundsätzlich gelte im Hinblick auf die Sensibilisierung der Grundsatz „Steter Tropfen höhlt den Stein“.
„Die wichtigste Aufgabe eines General Counsel im Zusammenhang mit der Cybersecurity ist die Risikominimierung, rechtzeitig und umfassend.“
Dr. Sebastian Brüggemann
Director & Counsel (Global Cybersecurity & Data Governance Legal), Kyndryl Inc.
(Aussagen spiegeln ausschließlich die persönlichen Erfahrungen und Meinung wider.)
Denn, so Brüggemann weiter, „wenn ich einmal etwas erzähle, dann ist das verstanden und kommt an. Da Sicherheitsvorfälle in der Regel aber nicht zum Alltagsgeschäft gehören, geraten Hinweise zu den richtigen und notwendigen Verhaltensweisen schnell wieder in Vergessenheit.“ Das heißt, hier helfen immer wieder praktizierte Pflichtschulungen weiter, die direkt auf die Situation der einzelnen Angestellten zugeschnitten sind. Nur in den seltensten Fällen wollen Angestellte ihrem Unternehmen bewusst schaden und sich zum Mittäter machen. Unkenntnis, mangelnde Erfahrung, Unaufmerksamkeit und vorschnelles Handeln im oft hektischen Berufsalltag sind der Regelfall. Häufig starten Attacken mit Phishing-Mails, die Mitarbeiter öffnen. In echt anmutende Formulare geben sie sensible Daten ein. „Es ist ein probates Mittel, in unregelmäßigen Abständen zu Testzwecken selbst solche Fake-Mails zu verschicken. Der Lerneffekt ist enorm, wenn der Anwender selbst einen Fehler begeht und entsprechend darauf hingewiesen wird“, berichtet Schmeink. Es bringe mehr als sich nur ein Video anzusehen oder ein Tutorial zu studieren. Im Rahmen der Prävention haben General Counsel eine sehr essenzielle Aufgabe. „Als Hüter der rechtlichen Compliance ist er die zentrale Stelle im Unternehmen für die Umsetzung von rechtlichen Vorschriften, er bekommt sie als erstes und er agiert gleichsam als Übersetzer“, beschreibt Dr. Philipp Klarmann, Chief Legal Counsel bei der SAP SE in Walldorf. Er sagt, dass die Regulatorik komplexer geworden ist – in Reaktion auf ein ganz anderes Bedrohungsbild als das vor 30 Jahren überhaupt vorstellbar war. „Die Regulatorik ist die Antwort des Gesetzgebers auf die Komplexität der aktuellen Lage, in der meines Erachtens die Cybersecurity einer der wichtigsten und am kritischsten zu sehende Bereiche ist.“ Vieles, was die Gesetzgeber regulierten, sei für den juristischen Laien schwer verständlich und zum Teil auch sehr abstrakt. „Daher ist eine meiner zentralen Herausforderungen, dem Business Notwendigkeit und Dringlichkeit der Beschäftigung damit näherzubringen, damit es im zweiten Schritt Interesse daran hat, Empfehlungen umzusetzen“, so Klarmann. Hartung stimmt zu: „Risikomanagement bedeutet festzustellen, ist das Unternehmen von einer Regelung betroffen, in welcher Form und welcher Pflichtenkatalog lässt sich daraus ableiten? Wer muss sich darum kümmern?“ Eingang finden könne das in eine entsprechende Agenda – oder sogar in ein Risikohandbuch, das speziell auf den Umgang mit Vorfällen im Zusammenhang mit Cybersecurity zugeschnitten ist und in dem sich Rollen mit dem jeweiligen Verantwortungsgrad klar definieren lassen. „Zu den Risikomanagement-Maßnahmen zählt auch die Analyse der Lage des Unternehmens und die Feststellung des Kerngeschäfts, um daran Maßnahmen für die Cybersicherheit zu orientieren“, so Klarmann. SAP stellt Unternehmenssoftware zur Verfügung plus cloudbasierte Services. „Hauptproblem im Bereich der Cybersecurity ist, wenn bei einem Kunden aufgrund einer Attacke das System steht und zumindest partiell in wichtigen Bereichen nicht weitergearbeitet werden kann. Zusätzlich kommt es darauf an, in welcher Branche ein Unternehmen tätig ist – es ist ein großer Unterschied, ob ein Krankenhaus keine Patientendaten mehr anlegen kann oder ob in einem unkritischen Bereich für eine Zeit keine Rechnungen ausgestellt werden können.“ Zu wissen, wie Konsequenzen aussehen können, ist essenziell für die Prävention.
„Bei der Vermittlung des Risikobewusstseins und im
Risikomanagement müssen In-house-Juristen ein sehr gutes Fingerspitzengefühl entwickeln.“
Dr. Philipp Klarmann
Chief Legal Counsel,
SAP SE
Den Schadensfall versichern lassen
Vorbereitet sein heißt auch, „sich vorab zu überlegen, wie könnte ein Krisenszenario aussehen, wer wird für das Krisenmanagement benötigt, wer gehört zum Krisenstab, wie verlaufen die Berichtswege“, fasst Brüggemann zusammen. Neben dem General Counsel oder einem anderen Vertreter aus der Rechtsabteilung gehören dazu die Personen im Unternehmen, die sich mit den technischen Aspekten der Cybersecurity auskennen, Leiter der jeweils betroffenen Business-Bereiche, jemand, der sich um die Public Relations kümmert. Wie auch Brüggemann empfiehlt Torben Schmeink darüber hinaus einen speziell für den Fall im Einsatz befindlichen Projektmanager, „der in leitender Funktion koordiniert, bei dem alle Informationen zusammenlaufen, der diese an die zu informierenden Stellen weitergibt und einen ständigen Draht zur Geschäftsleitung hat – und der alle anderen im Notfallpanel auf dem aktuellen Stand über die Entwicklungen hält“. Die Westfalen AG war Ende 2020, Anfang 2021 von einer Ransomware-Attacke betroffen und der vorab bereits definierte Kreis an Personen war umgehend aktiviert. „Jeden Tag während der Krisensituation haben wir uns miteinander ausgetauscht“, berichtet er. „Das Wichtigste war, das Geschäftsmodell weiter betreiben zu können, bei allen Einschränkungen, die so ein Angriff mit sich bringt.“ Schmeink rückt ein wichtiges Thema in den Fokus, das zur Prävention gehört, in manchen Unternehmen aber erst in der Nachbereitung eines Falles ernsthaft diskutiert wird: den Versicherungsschutz. Bei der Westfalen AG ist dieser Bereich auch dem Leiter der Rechtsabteilung zugeordnet. Gerade im Bereich Cyber-Versicherungen ist es sehr schwierig geworden, sich vernünftig aufzustellen, früher handelte es sich um Szenarien, die versichert waren, letztlich aber nicht eintraten, später hat sich die ein oder andere Versicherung mangels Expertenwissen die Finger daran verbrannt. „Heute stellen Versicherer sehr hohe Anforderungen“, berichtet Schmeink, „und auf deren Seite sitzen häufig IT-Spezialisten, die sehr genau wissen wollen, wie die IT-Infrastruktur aufgebaut ist und welche Sicherungsmaßnahmen integriert sind.“ So gut wie nie bleibt es da bei einem Gespräch und oft müssen Unternehmen nachbessern und entsprechende Nachweise liefern, bevor sich ein Versicherungsunternehmen auf das Risiko einlässt. „Es ist der Job der Rechtsabteilung, den Leuten im Unternehmen deutlich zu machen, dass sie sehr transparent sein müssen“, meint Oppenhoff-Partner Hartung. „Die Anforderungen sind denen bei einer IT-Zertifizierung ähnlich“. Das lässt sich als Vorteil verstehen. Von einem „Qualitätssiegel“ spricht Schmeink und ergänzt: „Wenn ein Unternehmen im Bereich der Cybersecurity versicherungsfähig ist, dann zeigt das sehr deutlich, dass die Verantwortlichen ihre Hausaufgaben gemacht haben und dass das Unternehmen in dieser Hinsicht auf einem sehr guten Weg ist.“ Zu berücksichtigen seien eine relativ lange Prüfungsdauer und durchaus hohe Kosten. „Da sollte allerdings nicht an der falschen Stelle gespart werden“, mahnt Schmeink.
„Im Lead sollte nicht das Legal Department sein, sondern ein Projektmanager, der von Hause aus nichts anderes macht und bei
dem alle Fäden zusammenlaufen.“
Torben Schmeink
Head of Legal & Compliance,
Westfalen AG
Auswahl externer Berater
Der Themenkomplex Versicherungen leitet über zu einer weiteren Aufgabe des General Counsel und der Rechtsabteilung, gegebenenfalls im Verbund mit anderen zuständigen Stellen im Unternehmen. Wer nimmt die Auswahl der externen Partner vor und welche Kriterien müssen bei dieser Auswahl angelegt werden? „Ich kann und muss nicht alle Ressourcen intern abdecken“, stellt Brüggemann klar. „Dann ist es aber meine Aufgabe als Unternehmen festzustellen, welcher IT-Dienstleister beziehungsweise welche Kanzlei das Fachgebiet abdecken kann, in dem ich Expertise benötige. International tätige Unternehmen stehen hier vor besonderen Herausforderungen, einen IT-Dienstleister oder eine Kanzlei zu finden, die möglichst viele Regionen abdecken kann und so den eigenen Koordinationsaufwand reduziert.“ Gleiches gilt für die Auswahl des Versicherungsmaklers, die etwa bei Torben Schmeink in seinen Verantwortungsbereich fällt. Bei der Auswahl eines IT-Dienstleisters sind zumindest die Verträge, Leistungsumfänge, Haftungsszenarien und Kosten zu verhandeln und zu finalisieren. Wer kommt für die IT-Forensik in Betracht, was muss hier vertraglich geregelt werden? Die Kanzlei des Vertrauens hilft der Rechtsabteilung bei der Auslegung und Anwendung der Gesetze, „aktuell sind wir beispielsweise viel mit der Frage beschäftigt, ob ein Unternehmen in den Anwendungsbereich von NIS-2 fällt“, berichtet Rechtsanwalt Hartung aus der Praxis. In der Krise selbst sei es vordringlichste Aufgabe externer Berater, „der Rechtsabteilung das abzunehmen, wofür sie nicht die Ressourcen aufbringen kann oder will. Da geht es um Entlastung und Zeitgewinn.“ Häufig betrifft das Informations- und Meldepflichten. Im Nachgang zu einem Cybersecurity-Ereignis sind die externen Anwältinnen und Anwälte mit möglichen Schadensersatzforderungen beschäftigt. „Wir kommen mit ins Boot, wenn etwa Versicherungen den Schaden nicht übernehmen oder IT-Dienstleister, die Fehler gemacht haben, nicht dafür einstehen wollen“, beschreibt Hartung. Die Leistungen haben sich insgesamt verändert: Oppenhoff bietet etwa im Netz schon kostenlose Check-Ups an, die einen ersten Eindruck zum Zustand der IT-Sicherheit eines Unternehmens vermitteln sollen. „Wir haben weitere Tools, in dem sich Digitalisierungselemente und klassische Beratung vermengen“, sagt Hartung, „manches davon haben wir auch gemeinsam mit Mandanten entwickelt.“ Aus der Vermischung von Legal Tech, Automatisierung, KI und der klassischen Beratung ergeben sich auch neue Abrechnungsmodalitäten. Für den Fall der Fälle hat die SAP SE Krisenräume eingerichtet, von wo aus das Business weiter gesteuert werden kann. „Im Driver-Seat bleiben die Board-Member, die auch weiterhin die Entscheidungen treffen“, sagt Klarmann. Der General Counsel sitzt mit am Tisch, wird auch zu einzelnen Sachfragen gehört, dabei geht es auch um die Einhaltung von Leistungsversprechen beziehungsweise darum, welche Konsequenzen es hat, wenn sie sich nicht einhalten lassen.“ Torben Schmeink hat die Erfahrung mit einer Ransomware-Attacke schon hinter sich. „Als erkennbar war, was passiert ist, haben die Automatismen gegriffen“, berichtet er. Das Landeskriminalamt war zu informieren, dort gibt es eine eigene Taskforce, die Telefonnummer ist schnell im Internet zu finden. Die Landesdatenschutzbehörde war in Kenntnis zu setzen, Kunden mussten mitgenommen werden, die Presse. Wobei die behördlichen Interessen im Fall der Westfalen AG relativ gering waren. „Die Strafverfolgungsbehörden interessiert nicht, ob unser Geschäft weiterläuft, die möchten an die Täter herankommen – was bei Ransomware-Attacken beinahe aussichtslos ist“, so Schmeink. Die Initiative von Datenschutzbehörden ist auch eher gering, wenn keine sensiblen Daten verlorengegangen oder massenhaft abgeflossen sind.
„Bei uns waren sie in dem Sinne ja nur verschlüsselt“, sagt Schmeink und moniert, dass Gesetzgeber bisweilen hohe Anforderungen stellen, die Praxisrelevanz dann aber eher gering ausfällt. Brüggemann empfiehlt, sich über den Inhalt der Meldungen an die unterschiedlichen Behörden vorab intern abzustimmen, damit die nicht unterschiedlich ausfallen. „Es vermeidet Missverständnisse und Rückfragen, wenn das einheitlich koordiniert wird, auch was die Inhalte angeht“, sagt der Legal Counsel bei Kyndryl. Er verweist zudem auf die teilweise eng gesetzten Fristen für die Mitteilungen. „Wenn es mit der Einhaltung schwierig wird, muss ich das entsprechend begründen. Der Fokus sollte stets darauf liegen, die möglichen Risiken einesVorfalls für die Betroffenen zu identifizieren und zu minimieren. Dies sollte sich auch in der Meldung widerspiegeln. Kann ich darlegen, welche Maßnahmen ergriffen wurden, um die Situation in den Griff zu bekommen, beziehungsweise welche weiteren konkret geplant sind, um etwaige weitere Risiken zu minimieren und ich deshalb ein wenig mehr Zeit in Anspruch nehmen musste, wird dies in den seltensten Fällen ein Bußgeld nach sich ziehen.“ Er interpretiert die Rolle des General Counsel im Krisenfall ein Stück weit als Forensiker. „Ich leite vor allem dadurch, dass ich Fragen stelle. Ich bin nicht der technische Experte. Das erwartet auch niemand von mir. Auf diese Weise stelle ich sicher, dass ich den Sachverhalt umfassend und richtig erfasst habe. Dann kann ich das Geschehen, die möglichen Auswirkungen und die ergriffenen Maßnahmen auch anderen erklären, neben der eigenen Geschäftsleitung auch Behörden, Kunden oder Betroffenen.“ Bleibt die spannende Frage nach dem richtigen Umgang mit Lösegeldforderungen. Die Behörden werden immer sagen, dass diese nicht bedient werden soll. So trivial ist es aber im Einzelfall nicht, wenn ein Ausfall der Systeme Insolvenz bedeutet. Hartung schätzt, dass in deutlich weniger als zehn Prozent der Fälle tatsächlich Lösegeld fließt. Es scheint sich für Täter trotzdem zu lohnen. Das Risiko entdeckt zu werden, hält sich in Grenzen, der Aufwand ist dank des Fortschreitens der Digitalisierung geringer geworden, viele gehen arbeitsteilig vor – und es hängt von der Höhe des zu erzielenden Betrages ab. Im Fall der Westfalen AG hatten die Täter höchstwahrscheinlich geschaut, was der letzte veröffentlichte EBIT-Stand war und davon zehn Prozent verlangt – in Bitcoin. „Da stellt sich schon die Frage, woher bekomme ich die überhaupt in der Kürze der bereitgestellten Zeit“, schildert Schmeink. Bei der Westfalen AG waren sich die Verantwortlichen schnell einig, nicht zu zahlen. „Verschlüsselung funktioniert deutlich besser als Entschlüsselung“, sagt der Head of Legal. „Es ist ein Irrglaube, dass mit Bereitstellung eines Codes der gesamte Datenbestand im richtigen Format wieder da ist.“ Hartung bestätigt das, aus der langjährigen Zusammenarbeit mit Forensikern hätten die Rechtsberater gelernt, dass die Entschlüsselung der Daten nur in den seltensten Fällen weiterhilft. Viele bleiben korrumpiert, es sind im Grunde alle Geräte infiziert, ob mit oder ohne Schlüssel müssen ohnehin die Systeme komplett neu aufgesetzt werden. Klar müsse nur sein, so Schmeink weiter, dass das mit einem erheblichen Aufwand verbunden ist, mit hohen Kosten und deshalb „mit großen Schmerzen“. „Zahlen bietet keinerlei Sicherheit“, das sagt auch Brüggemann. Er weist auf weitere Probleme hin, die General Counsel unbedingt im Blick haben müssen: Sind die Täter bekannt und es stellt sich heraus, dass sie auf Sanktionslisten stehen, hat das Unternehmen ein weiteres, ernstes Problem. Nachahmern ist Tür und Tor geöffnet. „Wenn es schlecht läuft, behält die Tätergruppe unbemerkt Zugriff auf das System oder es kommen im Rahmen der Arbeitsteilung neue Forderungen oder eine neue Gruppe greift an.“ Dann beginnt alles von Neuem – und das möchte niemand im Unternehmen.
■ Alexander Pradka
