Als „hoch attraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten“ bezeichnete Dr. Ralf Wintergerst, Präsident des Bitkom, die deutsche Wirtschaft anlässlich der Bekanntgabe der aktuellen Zahlen zur Gefährdung hiesiger Unternehmen im vergangenen September. Rund 1.000 Unternehmen aus verschiedenen Branchen haben im Rahmen der Erhebung für das Jahr 2023 Angaben gemacht. Erstmals, so der Digitalverband, fühlte sich eine Mehrheit von 52 Prozent der Unternehmen durch Cyberattacken in ihrer Existenz bedroht. „Die Bedrohungslage bleibt hoch, daher müssen alle Unternehmen ihre IT-Sicherheit steigern“, so Wintergerst weiter. „Zugleich müssen wir die Kooperation zwischen Wirtschaft und Sicherheitsbehörden weiter ausbauen, um Angriffe zu verhindern und Täter zu ermitteln.“ Die meisten Angriffe, die einem Ursprung zugeordnet werden können, stammen aus Russland und China, und diese Tendenz steigt. „Zudem lassen sich 61 Prozent der Angreifer der organisierten Kriminalität zuordnen, die arbeitsteilig mit dem Ansatz ‚Cybercrime as a Service‘ arbeiten“, ergänzt Felix Kuhlenkamp, Referent für Sicherheitspolitik beim Bitkom. Die Studie hat auch ergeben, dass bei den Cyberattacken Phishing mit 31 Prozent an der Spitze steht, dahinter folgen Angriffe auf Passwörter (29 Prozent) sowie die Infizierung mit Schadsoftware
(28 Prozent). Ein besonderes Problem sind nach wie vor so genannte Ransomware-Attacken, die rund ein Viertel deutscher Unternehmen plagen – 2022 berichteten nur zwölf Prozent von einer entsprechenden Betroffenheit. Ganze Systeme legen die Angreifer hierbei lahm und erpressen die Unternehmen anschließend – Wiederherstellung gibt es nur gegen Cash. Wobei in den seltensten Fällen die Systeme wieder so funktionieren wie vor dem Angriff, und es bleibt die Angst, dass sich nach wie vor Schadsoftware darin versteckt. Meist müssen die Unternehmen ihre IT komplett neu aufsetzen, was zeitraubend und kostspielig ist. Für Dr. Daniel Pauly, German Head of Technology, Media & Telecommunication bei Linklaters, kommen nun das Internet of Things (IoT) und die Künstliche Intelligenz (KI) als „Brandbeschleuniger“ hinzu. Seiner Meinung nach ist die größte Gefahr, dass in vielen Unternehmen in Deutschland Unbedarftheit auf Unkenntnis trifft. In Gesprächen werde sehr oft auf die hervorragende IT verwiesen, die schon dafür Sorge trage, dass nichts passiert. „In solchen Statements stecken eine Reihe von Missverständnissen“, bemängelt er. „Es handelt sich mitnichten um ein IT-Problem, es ist ein Problem, das das gesamte Unternehmen betrifft. Die IT ist das Einfallstor.“ Wenn ergo nicht das komplette Unternehmen und allen voran die Geschäftsleitung Cybersicherheit als eigene Herausforderung und als eigene Verantwortung annimmt, bietet das eine große Angriffsfläche. „So gut wie niemand gibt mir die Antwort, dass die Geschäftsleitung dies erkannt hat, es innerhalb des Unternehmens von dort ausgehend in die Abteilungen diffundiert und als gesamtheitliche Aufgabe wahrgenommen wird“, sagt Dr. Pauly.
„Es ist gut, dass im Zusammenhang mit der Umsetzung von NIS-2 die European Agency for Cybersecurity eine zentrale Rolle spielen wird,
indem sie beispielsweise Mitgliedstaaten bei der Erstellung von
nationalen Policies beraten soll.“
Sylke Roth
Director Legal,
BAADER Global SE
Geldverdienen leicht gemacht
Felix Kuhlenkamp vom Bitkom geht noch ein Stück weiter und führt aus, dass die größte Gefahr für Unternehmen darin besteht, dass diese selbst negiert wird. „Die größte Gefahr liegt in der Annahme, dass es auf das eigene Unternehmen keinen Cyberangriff geben wird. Die Frage, die sich jedes Unternehmen stellen muss, ist nicht, ob es Zielscheibe eines Angriffs wird, sondern wann.“ Er führt weiter aus, dass „die Kosten für Angreifende sinken, je leichter komplexe Technologien zugänglich werden und raffinierte Angriffsszenarien automatisiert werden können.“ Das führt weiter zum nächsten Punkt: Angreifer sind hochprofessionell und agieren arbeitsteilig. So wundert es wenig, dass Begriffe wie „Ransomware as a Service“ oder allgemeiner „Cybercrime as a Service“ kursieren. Generell ist die Verfolgung von Kriminellen im Cyberspace schwierig. Angreifer arbeiten zudem von Ländern aus, die eine Identifizierung von Täterinnen und Tätern quasi unmöglich machen. Sie verteilen sich mittlerweile auf der ganzen Welt, sind 24/7-verfügbar und sie sind vor allem spezialisiert. Es gibt viele Akteure, die das machen – und verkaufen –, was sie gut können. Außerdem, sagt Linklaters-Anwalt Dr. Pauly, „kennen sie ihre potenziellen Opfer sehr genau. Vor einer Attacke sind sie häufig bereits im Firmennetzwerk unterwegs und haben Schwachstellen identifiziert, die sie dann gezielt nutzen können.“ Seiner Meinung nach ist insgesamt die Angriffseffizienz dadurch gesteigert, dass ein erhebliches Ungleichgewicht herrscht zwischen dem Präventions- und Schutzlevel auf Unternehmensseite und dem hohen Professionalisierungs- und Spezialisierungsniveau auf Angreiferseite. Die Rechtsabteilung hat im Zusammenhang mit Cybersecurity bestimmte und klar definierte Aufgaben, was der Bitkom-Referent für Sicherheitspolitik, Felix Kuhlenkamp zusammenfasst: „Um rechtliche und finanzielle Konsequenzen zu vermeiden, müssen sie insbesondere sicherstellen, dass Sicherheitsvorfälle und damit zusammenhängende mögliche Datenschutzverletzungen fristgerecht an die zuständigen Behörden und die betroffenen Personen gemeldet werden, wie es die DSGVO vorschreibt. Auch die Erfüllung weiterer Meldepflichten, die beispielsweise für Betreiber kritischer Infrastrukturen gelten, obliegt ihnen.“ Indes können und sollen Rechtsabteilungen größer denken. Damit sich oben genannte Level wieder angleichen, haben sie die große Chance, in eine wichtige Rolle zu schlüpfen und das Heft des Handelns in die Hand zu nehmen. Die Aufgaben gehen weit über das hinaus, was im Pflichtenheft steht.
„Ownership“ liegt bei der Rechtsabteilung
„Zwei Dinge sind zentral: zum einen die Geschäftsleitung zu sensibilisieren und sie auf bestimmte Pflichten hinzuweisen sowie deren anfangs beschriebene Position des Hauptverantwortlichen, der das Thema im Unternehmen etablieren muss, in den Köpfen zu verankern. Zum anderen – und das ist die Quintessenz daraus, sie bei der Umsetzung konkreter Maßnahmen zu unterstützen“, konkretisiert Dr. Pauly. Zu diesen Maßnahmen gehören Investitionen in die technische Sicherheit. Der Bitkom empfiehlt 15 bis 20 Prozent des IT-Budgets für Maßnahmen der Cybersicherheit aufzuwenden. „Derzeit geben Unternehmen in Deutschland dafür durchschnittlich 14 Prozent aus, das reicht noch nicht ganz“, berichtet Kuhlenkamp. „Neben digitalen Schutzmaßnahmen sind auch physische Maßnahmen, wie beispielsweise der Gebäudeschutz, zu beachten.“ Zur Prävention gehören eine Reihe organisatorischer Aufgaben und es „gibt viele Aspekte, die entweder originär im Legal Department liegen oder bei deren Behandlung die Rechtsabteilung aufgrund ihrer Rechtskenntnisse den Stift führen sollte“, führt Dr. Pauly weiter aus. Wem gegenüber bestehen Informationspflichten? Welche Behörden muss ich ansprechen? Was muss ich arbeitsrechtlich beachten? Das sind nur einige Beispiele. Das alles sollte in einem „Playbook“, so nennt es Dr. Pauly, festgehalten sein. Darin sollten auch Resilienzpläne und Pläne für den Fall enthalten sein, wenn etwas passiert, also Notfallpläne. Die umfassen im Kern auch die Zuständigkeiten und internen Meldewege. Entscheidend ist das reibungslose Zusammenwirken mit der Kommunikationsabteilung. Dr. Pauly erinnert an Ad-hoc-Pflichten für börsennotierte Unternehmen. Die richtige externe Kommunikation kann im Hinblick auf mögliche Reputationsverluste nach einem Sicherheitsvorfall existenzsichernd sein. „Es geht aber auch um die interne Kommunikation gegenüber der Belegschaft. Realisiert sich ein Risiko, ist diese in hohem Grade verunsichert, macht sich Gedanken um die Jobsicherheit“, erläutert Dr. Pauly. Das könne übrigens auch ein Einfallstor für Erpresser sein: „Wir haben einen Fall erlebt, in dem sich die Kriminellen an den Betriebsrat gewandt haben und mit Konsequenzen für den gesamten Betrieb gedroht haben, wenn die Geschäftsleitung nicht bald zahlt.“ Interne Kommunikation betrifft wie auch die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter sowie Schulungen. Das bestätigt Felix Kuhlenkamp: „Sie sollten geschult werden, um Bedrohungen, etwa durch Phishing oder Social Engineering, zu erkennen und rechtzeitig Erstmaßnahmen treffen zu können.“
„Wenn ein Unternehmen unvorbereitet oder schlecht vorbereitet
Opfer einer Cyberattacke wird, hängt die Geschäftsleitung nach den Regelungen von NIS-2 am Haken, denn der Verzicht auf die Haftung
ist hier ausdrücklich unwirksam.“
Dr. Daniel Pauly
German Head of Technology, Media & Telecommunication,
Linklaters
NIS-2-Richtlinie verfolgt richtigen Ansatz
Auf grundsätzlich positive Resonanz stößt im Zusammenhang mit der Cybersecurity die NIS-2-Richtlinie der Europäischen Kommission. Das entsprechende Umsetzungsgesetz wird wahrscheinlich ab Oktober dieses Jahres in Kraft sein. „Der Bitkom ist überzeugt von der europäischen Idee der NIS-2-Richtlinie für einen stärker harmonisierten und zukunftssicheren Cybersecurity-Regulierungsrahmen“, sagt Kuhlenkamp. „Mit den gezielten regulatorischen Eingriffen kann eine ganzheitliche Stärkung der Cyberresilienz in der EU geschaffen werden.“ Dr. Pauly von Linklaters hält die Richtlinie für gelungen, weil sie sich „auf das Wesentliche fokussiert, auf das, was in der Praxis zu einem Problem werden kann und was eine echte Bedrohung darstellt.“ Und es gehe im Kern – neben Haftungsfragen und Bußgeldern – darum, großflächig Informationen über Bedrohungen zu sammeln, zu teilen und dann möglichst schnell zu verteilen. „An der Stelle setzt auch der noch in Planung befindliche Cyber Solidarity Act an“, berichtet Dr. Pauly. Dort geht es im Wesentlichen um die Einrichtung nationaler Sicherheitszentren und einer europaweiten Infrastruktur, um länderübergreifend auf Basis möglichst vieler Informationen schnell Kräfte bündeln zu können. Im Gegensatz zu NIS-2 würden etwa DSGVO und der Data Act zu 80 Prozent Unwesentliches regulieren – und bei Verstößen trotzdem mit Bußgeldern sanktionieren. Gegenüber dem Adressatenkreis nach NIS-1 nimmt NIS-2 eine Skalierung nach unten vor. „Das heißt, wer gerade so nicht in den Anwendungsbereich von NIS-1 gefallen ist, ist jetzt mit hoher Wahrscheinlichkeit dabei“, meint Dr. Pauly. Sylke Roth, Syndikusrechtsanwältin und Director Legal bei der BAADER Global SE, sagt: „Es wird kolportiert, dass zusätzlich rund 30.000 Unternehmen in Deutschland die Anforderungen von NIS-2 werden einhalten müssen. Positiv ist, dass dadurch die Unternehmen motiviert werden, sich intensiver mit Cybersecurity auseinanderzusetzen.“ Einerseits könne die deutsche Wirtschaft durch NIS-2 resilienter werden. „Andererseits hat die neue Richtlinie für KMU, die als sogenannte ‚Important Entities‘ angesehen werden, die Konsequenz, dass der Aufwand, Compliance mit der NIS-2-Richtlinie zu erreichen, organisatorisch und finanziell verhältnismäßig hoch sein wird.“ Felix Kuhlenkamp wünscht sich im Hinblick auf die Adressaten eine Konkretisierung: „Für die Zusammenhänge zwischen NIS-2 und dem KRITIS-Dachgesetz sollte der Gesetzgeber eine einheitliche Definition für KRITIS-Unternehmen schaffen, Begrifflichkeiten wie ‚Einrichtungen‘ und ‚Anlagen‘ angleichen sowie Überschneidungen in den Bereichen Informationstechnik und Telekommunikation vermeiden.“ Die Pflichten, die sich aus der NIS2-Richtlinie ergeben, fallen jedenfalls unmittelbar in den „Ownership“-Bereich der Legal Departments beziehungsweise der Complianceverantwortlichen: Sie müssen die Geschäftsleitung auf die Implementierung eines umfassenden Krisen- und Risikomanagements und die regelmäßige Durchführung von Risikoanalysen sensibilisieren und sie bei der Umsetzung unterstützen. Deutlich umfassender geworden sind die Berichtspflichten. Sylke Roth stellt die Frage, „warum statt einer Reportingpflicht innerhalb von 24 Stunden in der NIS-2-Richtlinie nicht dieselbe Frist wie in der DSGVO vorgesehen ist. Außerdem müssten für ein effektives Reporting die Reportingpflichten genau spezifiziert sein“. Legal Departments sollten die fortgesetzten Bemühungen um eine EU-weit einheitliche Cybersicherheit auf dem Fundament eines raschen und umfassenden Informationsaustauschs, die die Gesetzgeber auf nationaler und europäischer Ebene erreichen wollen, auf dem Schirm haben.
■ Alexander Pradka
