Cyberpolicen | Cyberangriffe auf Unternehmen: Ein Hack, eine versetzte Schweißnaht - fatale Folgen
Cyberangriffe auf Unternehmen: Ein Hack, eine versetzte Schweißnaht – fatale Folgen
Dezember 6, 2017
Cyberpolicen | Cyberangriffe sollen meldepflichtig werden
Cyberangriffe sollen meldepflichtig werden
Dezember 20, 2017
Cyberpolicen | Cyberangriffe auf Unternehmen: Ein Hack, eine versetzte Schweißnaht - fatale Folgen

Cyber-Crime - eine von Unternehmen immer noch unterschätzte Gefahr

Cyber-Crime - eine von Unternehmen
immer noch unterschätzte Gefahr



Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.

Fast 70 % aller Industrieunternehmen in Deutschland sind laut einer Umfrage des „Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V.“ (Bitkom) 2015 Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Dies zeigt, dass die zunehmende Digitalisierung der Wirtschaft neben neuartigen Möglichkeiten für Wachstum und Entwicklung eine ganze Reihe neuer Risiken beinhaltet.

BSI und BaFin arbeiten an Cyber-Crime-Abwehrstrategien

Die Angriffsflächen der Unternehmen im Netz wachsen mit der Fülle der Daten enorm. Die Risiken der Unternehmen, durch Cyber-Attacken irreparablen Schaden zu erleiden, werden immer größer und dennoch – besonders im Mittelstand - immer noch unterschätzt. Neben dem BSI hat es sich nun auch die BaFin zur Aufgabe gemacht, die Sensibilität der Unternehmen für diese Gefahren zu schärfen und die Sicherheit der Unternehmen vor solchen Attacken zu stärken.

Cyber-Erpressung im großen Stil

In jüngster Zeit haben die Ransomware-Vorfälle die digitale Verwundbarkeit von Unternehmen, Krankenhäusern und Stadtverwaltungen deutlich gemacht. In die Software der angegriffenen Unternehmen wurde durch Trojaner ein schädlicher Code eingeschleust, der Festplatten verschlüsselte und damit Daten über Geschäftsprozesse und auch Krankenakten unlesbar machte. Erst nach Zahlung einer bestimmten Summe an die Erpresser wurden die Festplatten wieder freigegeben.

Mit „CEO“ Millionenbeträge abgezogen

Um sich greift auch der sogenannte „CEO-Betrug“ oder CEO-Fraud (Fraud engl.: Betrug). Mit täuschend echten E-Mails gaben sich Angreifer als Teil der Unternehmensleitung aus und veranlassten auf diese Weise Überweisungen auf fremde Konten. Hierdurch wurden teilweise Beträge in Millionenhöhe aus den betroffenen Unternehmen abgezogen. Laut Mitteilung des Bundeskriminalamts sind die Straftaten in Zusammenhang mit der Netzsicherheit im Jahr 2016 insgesamt um über 80 % im Vergleich zum Vorjahr gestiegen.

BSI und Bitkom kooperieren bei Abwehr von Cyber-Kriminellen

Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) bietet Unternehmen in Zusammenarbeit mit dem Bitkom Strategien zum Informationsaustausch über aktuelle Gefährdungen im Cyber-Raum an. Die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Attacken soll dadurch gestärkt werden. Neben dem Aufbau einer umfangreichen Wissensbasis werden auch konkrete Sicherheitsprodukte im Rahmen dieser Allianz zur Verfügung gestellt . Der IT-Grundschutz des BSI ist der zurzeit am meisten genutzte Standard für Informationssicherheit in Deutschland.

Sicherheit kritischer Infrastrukturen steht auf dem Prüfstand

In Zusammenarbeit mit dem BSI existiert die Kooperation „UPKRITIS“, die die Versorgung mit Dienstleistungen von kritischen Infrastrukturen wie beispielsweise Energie, Wasser oder Lebensmitteln sicherstellen soll. Ziel ist es, eine möglichst robuste Sicherheitslage kritischer Informationstechniksysteme zu erreichen. Nach Mitteilung des BSI haben sich hier bereits über 350 Unternehmen als Partner angemeldet .

BAFin will die Unternehmens-Sensorik schärfen

Erste Maßnahme der BaFin ist ein Fragekatalog für Versicherungen, der den Unternehmen helfen kann, die Schwachstellen der Cyber-Sicherheit im Unternehmen zu erkennen und zu beseitigen. Hierzu soll unter anderem die Analyse der Struktur der Unternehmenscompliance dienen. Der Fragebogen ist unterteilt in verschiedene Kapitel, die generell als Checkliste für die Analyse der Sicherheitsstruktur eines Unternehmens dienen können. Hierzu zählen:

  • „Governance und Verantwortung der Geschäftsleitung“,
  • Identifizierung der allgemeinen Risiken,
  • Analyse der Schwachstellen,
  • Identifizierung aktueller Bedrohungen,
  • Einbindung von Kontrollmechanismen in das Sicherheitskonzept des Unternehmens,
  • Analyse getroffener Schutzmaßnahmen wie Zugangsbeschränkungen, Benutzerrechte, privilegierte Nutzer, Schulung der Nutzer,
  • Überwachungsmechanismen zur Entdeckung von Cyber-Attacken,
  • Identifizierung von Datenlecks,
  • Kompletterfassung der eigenen Daten.


Hohe Haftungsrisiken bei Sicherheitslücken

Jedes Unternehmen, das Opfer einer Cyber-Attacke wird, kann unter Umständen für entstandene Schäden selbst in die Haftung genommen werden. Dies gilt jedenfalls dann, wenn das Unternehmen kein nachhaltiges Compliance-Management zur Verhinderung von solchen Attacken eingerichtet hat.
Die Verantwortung kann den Compliance-Officer auch persönlich treffen, wenn er es pflichtwidrig unterlässt, geeignete Maßnahmen zur Verhinderung von Cyber-Crime zu implantieren.

Haftungsgrundlagen bei Compliance-Verantwortlichen

Insoweit treffen den Compliance-Officer, gegebenenfalls aber auch den Vorstand und das sonstige Leitungspersonal sowohl

  • eine strafrechtliche Garantenpflicht gemäß § 13 Abs. 1 StGB,
  • eine bußgeldrechtliche Verantwortlichkeit gemäß §§ 9, 30, 130 OWIG
  • eine zivilrechtliche, schadensrechtliche Verantwortlichkeit aus den im Anstellungsvertrag postulierten Pflichten zum Schutz des Unternehmens vor Rechtsverstößen
  • sowie die Haftung aus unerlaubter Handlung durch Unterlassen gemäß §§ 823 ff BGB.
  • Auch aus weiteren Vorschriften wie beispielsweise §§ 76, 91,93 AktG, 43 GmbHG lässt sich die organisatorische Verpflichtung der Unternehmensleitung zur Implementierung eines Frühwarnsystems zur Erkennung und Kontrolle von Risiken im Zusammenhang mit Cyberkriminalität ableiten.


Cybersicherheit als Wettbewerbsvorteil

Die Digitalisierung der Geschäftsprozesse erfordert von den Geschäftspartnern und Kunden eines Unternehmens großes Vertrauen in die Integrität und Sicherheit der Prozesse. Wird dieses Vertrauen verletzt, so sind die Konsequenzen für ein Unternehmen häufig verheerend. Ein eingetretener Vertrauensschaden ist oft nicht mehr reparabel. Cyber-Sicherheit muss daher ein maßgeblicher Teil des Risikomanagements eines Unternehmens sein. Sie ist unerlässlich für die Erhaltung der Wettbewerbsfähigkeit. Schon jetzt - und zukünftig in immer stärkerem Maße - wird eine qualitativ hochwertige Cyber-Security Voraussetzung für komplexe Geschäftsabschlüsse und damit unabdingbar für den wirtschaftlichen Erfolg eines Unternehmens sein. Investitionen in die Cyber-Sicherheit sind daher Investitionen unmittelbar in das Standing und in den wirtschaftlichen Erfolg eines Unternehmens.

Quelle:
Haufe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.