INTERNET WORLD Business





Risiko Cybercrime

Geschäftsleiter können haften, wenn sie den Schutz vor Attacken vernachlässigen

Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) sieht bei Smartphones gegenwärtig das größte Sicherheitsrisiko durch Cyberangriffe. Besonders gefährdet seien dabei „exponierte Vorstände und Spitzenmanager“. Und dies ist tatsächlich sogar in doppelter Hinsicht der Fall.

Fast wöchentlich werden neue Cyberangriffe auf Unternehmen bekannt. Zuletzt waren insbesondere verschiedene Kliniken betroffen, wobei nach Medienberichten der Schaden allein im Klinikum Arnsberg bei mehr als einer Millionen Euro lag. Zusätzlich nehmen die Fälle sogenannter „Ransomware“ zu, bei denen Täter durch eingeschleuste Schadprogramme zunächst die Daten der Opfer verschlüsseln und anschließend ein Lösegeld fordern.

Das größte Sicherheitsrisiko liegt nach Arne Schönbohm, Präsident des BSI, bei Smartphones. In einem Interview in der Zeitschrift „Die Welt“ betonte Schönbohm speziell die Gefährdung der Chefetagen. „Wer ihre Smartphones überwacht, kann herausfinden, wo sich die Entscheider aufhalten, wen sie wann treffen. Daraus lässt sich unter Umständen ableiten, ob eine große Firmenübernahme verhandelt wird.“ Betriebs- und Geschäftsgeheimnisse sind damit konkret gefährdet. Berücksichtigt man zudem die geringe Aufklärungsquote bei Hackerangriffen, ist zukünftig mit einer wachsenden Bedrohung zu rechnen.

Schadensersatzansprüche

Ein weiterer Grund spricht für ein aktives Handeln. Verletzt die Geschäftsleitung ihre Pflicht zum Schutz der IT-Infrastruktur, sind Schadensersatzansprüche der geschädigten Gesellschaft denkbar.

Verletzt die Geschäftsleitung ihre Pflichten zum Schutz der IT-Infrastruktur, kommen Ansprüche der durch den Hackerangriff geschädigten Gesellschaft nach § 93 Abs. 2 Satz 1 Aktiengesetz bzw. § 43 Abs. 2 Gesetz betreffend Gesellschaften mit beschränkter Haftung in Betracht. Denkbar sind beispielsweise Fälle, in denen der Geschäftsleiter Hinweise auf bestehende technische und organisatorische Defizite zum Schutz personenbezogener Daten erhält und trotzdem untätig bleibt. Hinzu kommt die Pflicht der Geschäftsleitung, angemessene Maßnahmen zur Risikovermeidung oder -minderung zu treffen. Werden unter Berücksichtigung einer besonderen Gefährdungslage für das Unternehmen adäquate IT-Sicherheitsstandards nicht erfüllt, liegt eine Verletzung dieser Pflicht zur Risikovorsorge zumindest nahe.

Vorsorge lohnt sich

Unter Berücksichtigung der enormen Risiken für die Betriebs-und Geschäftsgeheimnisse, aber auch zur Vermeidung der eigenen Haftung sind die bestehenden IT-Sicherheitsmaßnamen regelmäßig zu überprüfen. Zusätzlich sollten organisatorische Maßnahmen ergriffen und zum Beispiel ein „Präventionsteam Cybercrime“ etabliert werden, das das bestehende Konzept gegen Cyberangriffe bewertet und vor allem ständig anpasst. Schließlich kann auch die Prüfung einer Versicherungslösung empfehlenswert sein. Nach Medienberichten war jedenfalls der Millionenschaden des Klinikums Arnsberg über eine Cyberversicherung gedeckt.

Karsten Krupna


„Keine Abmahnung ohne vorherigen Kontakt“ macht Probleme

Sabine Heukrodt-Bauer, LL.M.

Rechts- und Fachanwältin für Informationstechnologierecht in Mainz

www.res-media.net

Bindet ein Online-Händler auf der eigenen Website den Hinweis „Keine Abmahnung ohne vorherigen Kontakt“ ein, hat er selbst keinen Anspruch auf Erstattung von Abmahnkosten (Urteil des Oberlandesgerichts Düsseldorf vom 26.01.2016, Az.: I-20 U 52/15).

Ein Online-Händler hatte im Shop den Hinweis „Keine Abmahnung ohne vorherigen Kontakt“ platziert. Nachdem er aber selbst einen Konkurrenten ohne vorherige Kontaktaufnahme anwaltlich hatte abmahnen lassen, verlangte er trotzdem die Erstattung seiner Rechtsverfolgungskosten – zu Unrecht, wie das Oberlandesgericht Düsseldorf entschied. Wer von anderen erwarte, dass sie sich vor Abmahnungen zunächst ohne anwaltlichen Beistand an ihn wenden, habe sich selbst auch so zu verhalten. Er ist so zu behandeln, als habe er sich ebenfalls zum Kontakt vor der anwaltlichen Inanspruchnahme verpflichtet. Es sei kein Grund ersichtlich, diese Vergünstigung, die der Online-Händler für sich in Anspruch nehme, seinen Mitbewerbern vorzuenthalten.

Der genannte Hinweis entfaltet übrigens keine rechtliche Wirkung für potenzielle Abmahner. Diese sind nicht verpflichtet, bei Verstößen vorab Kontakt aufzunehmen.


Das sollten Sie beachten

• Geschäftsleiter, die den Schutz ihrer IT-Infrastruktur vernachlässigen, können schadensersatzpflichtig werden.

• Schutzmaßnahmen müssen regelmäßig überprüft und angepasst werden.

• Smartphones stellen ein besonderes Risiko dar.

Weitere Bilder
comments powered by Disqus