Digitale Erpressung und Ransomware nicht nur Gefahr für den Datenschutz
NETZKriminalität _ Digitale Erpressung durch Ransomware-Attacken sind für Unternehmen eine zunehmende Gefahr. Die Cyberattacke auf die Universitätsklinik in Düsseldorf, infolge derer eine Patientin verstarb und wo nun auch wegen fahrlässiger Tötung ermittelt wird, hat dies unlängst erneut deutlich gemacht. „Gerade in Zeiten coronabedingt wachsender Digitalisierung haben Erpressungsversuche per Verschlüsselungssoftware extrem zugenommen“, berichtet Matthias Orthwein, Partner bei SKW Schwarz Rechtsanwälte.
„Wir stellen vermehrt fest, dass es nicht genügt, den Blick allein auf den offensichtlich tangierten Datenschutz zu richten. Wichtiger ist es oft, sich den Schaden durch Betriebsunterbrechungen und gegebenenfalls Schadensersatzforderungen durch Kunden und Geschäftspartner wegen der Offenlegung von Geschäftsgeheimnissen anzusehen.“
Ein Unternehmen, dessen IT-Infrastruktur durch Verschlüsselung lahmgelegt ist, ist in der Regel nicht mehr handlungsfähig. „Wenn die Belegschaft ihrer regulären Tätigkeit nicht nachgehen kann, aber weiter Löhne und Gehälter zu zahlen sind, liegt der Gedanke nahe, den Schaden für das Unternehmen über Kurzarbeit und Kurzarbeitergeld abzufedern“, sagt IT-Rechtler Orthwein. Auch wenn zu solchen Anträgen bisher keine gefestigte Entscheidungspraxis der Bundesagentur für Arbeit bekannt sei, stehe die Möglichkeit nach den Buchstaben des Gesetzes zumindest dann offen, wenn das Unternehmen nachweisen kann, dass es sich bei der Verschlüsselungsattacke um ein unabwendbares Ereignis handelt. „Ähnlich wie im Datenschutz wird es darauf ankommen aufzuzeigen, dass die implementierten Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprachen – und dennoch den Cyberangriff nicht verhindern konnten“, so Orthwein.
Darüber hinaus haben viele Unternehmen mit ihren Kunden und Lieferanten Vertraulichkeitsvereinbarungen getroffen oder tauschen mit ihnen Informationen aus, die ein schützenswertes Geschäftsgeheimnis von zum Teil beträchtlichem Wert darstellen. „Während sich die digitalen Erpresser in der Vergangenheit oftmals mit einer Verschlüsselung der Dateien begnügt haben, kommt es aktuell immer mehr zu Attacken, bei denen der Druck auf das Unternehmen zur Zahlung des Lösegeldes dadurch erhöht werden soll, dass paketweise vertrauliche und persönliche Daten im Darknet veröffentlicht werden“, schildert Orthwein. Dann liege es nahe, dass Geschäftspartner kritisch nachfragen, ob das Unternehmen tatsächlich alle vorgeschriebenen IT-Sicherheitsmaßnahmen eingehalten hat. „Lässt sich dies nicht einwandfrei dokumentieren, drohen erhebliche Schadensersatzansprüche“, betont der Leiter des IT- und Datenschutzrechts-Teams von SKW Schwarz.
Zwar lassen sich einige der Schadensrisiken durch eine Cyberversicherung absichern. Das setzt allerdings voraus, dass die Versicherungspolice genau diese Fälle auch abdeckt. Ohnehin greift der Versicherungsschutz nur, wenn sich ein grobes Verschulden des Unternehmens bei der Implementierung seiner IT-Sicherheitsmaßnahmen ausschließen lässt.
Matthias Orthwein rät Unternehmen deshalb dazu, sich um den Stand ihrer IT-Sicherheit verstärkt zu kümmern und dies zu dokumentieren: „IT-Sicherheit gehört als Aufgabe des Risikomanagements und der Compliance zu den unmittelbaren Verantwortlichkeiten der Geschäftsleitung. Nicht nur der Datenschutz, sondern auch die Sorge um die Aufrechterhaltung des Betriebs und die Geheimhaltung von anvertrauten Geschäftsgeheimnissen sollten eine ausreichende Motivation für ein verstärktes Engagement sein.“
ARTIKEL DIESER AUSGABE
Hengeler Mueller verhilft Knaus Tabbert zum IPO
Wohnmobilhersteller Knaus Tabbert hat mit Hengeler Mueller den Sprung an die Börse geschafft. Die Beratung führten die Düsseldorfer Partner Reinhold Ernst und Dirk Busch (beide Kapitalmarktrecht).... mehr
LKW-Kartell – Daimler erfolgreich mit Gleiss Lutz und Rohnke Winter
Gleiss Lutz und Rohnke Winter haben für Daimler im Kontext der Schadensersatzklagen zum Lkw-Kartell, die die Gerichte seit Jahren beschäftigen, einen Teilsieg errungen. Der Kartellsenat... mehr
GSK Stockmann am Bau der neuen IKEA-Filiale beteiligt
Der schwedische Möbelhändler IKEA hat jetzt in Karlsruhe sein 54. Einrichtungsgeschäft in Deutschland eröffnet. Bau- und planungsrechtlich stand dem Konzern dabei die Kanzlei GSK Stockmann... mehr
Latham & Watkins wirkt an Bund-Länder-Bürgschaft für Tom Tailor mit
Der Modehändler Tom Tailor hat sich mit einer bundes- und landesverbürgten Kreditfinanzierung über 100 Mio. Euro finanziell weiter abgesichert. Im Zuge der neuen Finanzierung, für... mehr
Globales Wirtschaften im Fokus
Lieferketten sind eng vernetzt und ihr reibungsloses „Ineinandergreifen“ ist von entscheidender Bedeutung für die Handlungsfähigkeit eines Unternehmens. Durch die Folgen der Corona-Pandemie... mehr
Mediation statt teurem Rechtsstreit
Störungen durch mangelhafte oder verzögerte Lieferungen, Produktionsstopp oder Verzögerungen in der Logistik können sich weltweit auswirken und Konflikte zwischen Unternehmen stiften,... mehr
Deutsches Sorgfaltspflichtengesetz gegen Menschenrechtsverletzungen
Im Jahr 2016 veröffentlichte die Bundesregierung ihren Nationalen Aktionsplan für Wirtschaft und Menschenrechte. Darin formulierte sie ihre Erwartung an alle in Deutschland ansässigen... mehr
Osborne Clarke ernennt neues Counsel-Trio
Osborne Clarke hat mit Wirkung zum 1.9.20 drei neue Counsel in Deutschland ernannt. Die Wahl fiel auf Christoph Kauffmann (Schieds- und Gerichtsverfahren), Florian Merkle (projektbezogene... mehr
Dehmel & Bettenhausen wächst in München
Die auf Life Science und Pharma spezialisierte Patentanwaltskanzlei Dehmel & Bettenhausen hat sich mit einem neuen Partner weitere internationale Beratungsexpertise ins Haus geholt.... mehr
X. Zivilsenat des BGH setzt erstmals auf Zeugenvernehmung per Video
Vieles geht mit der Coronakrise neue Wege. So auch Patenverfahren. Vor dem X. Zivilsenat des Bundesgerichtshofs (BGH) kam es jetzt in einer Patentnichtigkeitssache erstmals in der Geschichte... mehr