Cyber-Studie

Unterschätzte Konsequenzen nach Cyber-Attacken

Laut einer Umfrage der internationalen Anwaltssozietät Bird & Bird und der Marktforscher von YouGov Deutschland schätzen fast die Hälfte der Unternehmen Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen falsch ein.

YouGov befragte im Auftrag von Bird & Bird 250 Unternehmensentscheider aus dem oberen und mittleren Management in Deutschland ab einer Mitarbeiterzahl von 50 Personen nach ihrer Einschätzung rund um Cyber-Attacken. Dabei kam heraus, dass bei grundsätzlichen Pflichten des Datenschutzes, die Sensibilität in deutschen Unternehmen hoch ist. 93 Prozent der Befragten geben an, dass in ihrem Unternehmen personenbezogene Daten gespeichert sind, die sie auf jeden Fall vor unbefugtem Zugriff schützen müssen. 85 Prozent der Befragten sind sich sicher, tatsächlich alle Vorgaben zum Schutz personenbezogener Daten zu befolgen.

Während das Bewusstsein für die allgemeinen Pflichten des Datenschutzes recht hoch ist, unterschätzen Unternehmen die Gefahren von Cyberangriffen: Nur 42 Prozent sehen ein hohes (34 Prozent) oder sehr hohes (8 Prozent) Risiko, Opfer einer Cyber-Attacke zu werden – und wiegen sich obendrein durch Falschannahmen und Halbwissen in vermeintlicher Sicherheit. So geben 60 Prozent der Unternehmensvertreter an, vollständig über die rechtlichen Konsequenzen eines Hacker-Angriffs im Bilde zu sein. Doch bei genauerer Nachfrage ergeben sich große Wissenslücken, die rechtliche und wirtschaftliche Konsequenzen nach sich ziehen können.

Haftungsfragen unklar

44 Prozent der Befragten meinen, dass ihr Unternehmen nicht dafür belangt werden kann, wenn personenbezogene Daten gestohlen werden, sofern es denn unverschuldet Opfer einer Attacke wurde. 52 Prozent der Unternehmen halten sich hingegen in jedem Fall für haftbar, wenn ihnen personenbezogene Daten durch einen Hackerangriff oder ähnliches gestohlen werden. Tatsächlich kann ein Unternehmen nur haftbar gemacht werden, wenn es schuldhaft gehandelt hat. Allerdings müssen Unternehmen gemäß der EU-Datenschutzgrundverordnung (DSGVO) seit Ende Mai beweisen, dass sie kein Verschulden trifft. Das wird nur in seltenen Fällen möglich sein, so Bird & Bird. Denn Maßstab ist die im Verkehr erforderliche und nicht etwa die übliche Sorgfalt. Da es zum Datenverstoß gekommen ist, gibt es bereits ein deutliches Indiz dafür, dass die erforderliche Sorgfalt nicht eingehalten wurde. Nur wenn es gelingt darzulegen, dass die Datenpanne mit allen verfügbaren Informationen nicht verhindert werden konnte, kann der Entlastungsbeweis geführt werden, so die Experten weiter.

Schadenersatzansprüche

Ähnliche Verunsicherung herrscht in Sachen Schadenersatzansprüche: 40 Prozent glauben, dass ihr Unternehmen von Kunden nicht auf Schadenersatz verklagt werden kann, wenn es aufgrund einer Cyber-Attacke seine Aufträge nicht erfüllen kann – denn das sei höhere Gewalt. Höhere Gewalt liegt jedoch nur dann vor, wenn es dem Unternehmen unmöglich ist, seine Aufträge zu erfüllen oder eine zugesagte Leistung zu erbringen,so die Rechtsexperten. Zusätzlich müssten dieser Leistungspflicht unüberwindliche Hindernisse entgegenstehen. Eine Cyberattacke könne in der Regel aber nicht als unüberwindliches Hindernis gesehen werden.

Ein Drittel (32 Prozent) der Befragten geht davon aus, dass sie die Software-Firma (etwa Firewall-Hersteller oder Viren-Scan-Software) verklagen beziehungsweise in Regress nehmen können, wenn ihr Unternehmen Schaden durch einen Hackerangriff erleidet. 35 Prozent glauben hingegen, dass das nicht möglich ist. Rund ein Drittel (34 Prozent) hat dazu keine Meinung oder weiß es schlichtweg nicht.

Ein Anspruch gegen ein Software-Unternehmen besteht in der Tat dann, wenn diese ihr Leistungsversprechen nicht erfüllt hat, erklärt Bird & Bird. Doch die betreffenden Unternehmen versprechen meist keine absolute Sicherheit, sondern knüpfen Leistungsversprechen an bestimmte Voraussetzungen.

Meldepflicht

Cyberangriffe können zudem Meldepflichten unterliegen. 52 Prozent der befragten Unternehmen sind sich sicher, das eine Cyberattacke auf ihr Unternehmen in jedem Fall gegenüber den Behörden meldepflichtig ist. Jeder Fünfte (22 Prozent) glaubt das nicht und jeder Vierte (26 Prozent) kann dazu keine Aussage machen oder weiß es nicht. 64 Prozent der Umfrageteilnehmer meinen, ihr Unternehmen könne schnell selbst erkennen, ob ein Hackerangriff dazu führt, dass ein Datenverlust an die zuständigen Behörden gemeldet werden muss. Meldepflichten bestehen dann, wenn personenbezogene Daten gestohlen wurden oder unberechtigte Dritte in sonstiger Weise Zugang zu den Daten erhielten – und damit eine Gefährdung für die Betroffenen einhergeht. Auch ein Angriff auf kritische Infrastrukturen ist nach dem IT-Sicherheitsgesetz meldepflichtig.

Neben Meldepflichten gegenüber Behörden steht aber auch die Frage nach der Informationspflicht gegenüber betroffenen Kunden oder Mitarbeitern im Raum. Auch hier herrscht Aufklärungsbedarf, so Bird & Bird. 73 Prozent geben an, dass sie, sollten in ihrem Unternehmen personenbezogene Daten gestohlen werden, die davon betroffenen Kunden oder Mitarbeiter in jedem Fall darüber informieren müssten. Jeder Zehnte glaubt, das sei nicht nötig, 17 Prozent wissen es nicht oder machen dazu keine Angaben. Tatsächlich besteht nicht in allen Fällen eine Meldepflicht. Vielmehr muss nach der EU-Datenschutzgrundverordnung ein hohes Risiko bestehen, dass die Rechte der Betroffenen verletzt werden. Was genau ein „hohes Risiko“ bedeutet, ist jedoch noch nicht geklärt, so die Experten. Keine Zweifel an einem hohen Risiko bestehen, wenn es sich beispielsweise um Kreditkartendaten handelt. Dann müssen die Betroffenen unverzüglich informiert werden.

Rechtsbeistand und Versicherungsschutz

Im Angriffsfall können neben dem Imageschaden, IT-Kosten im Rahmen der Abwehr und Schadensbehebung, finanzielle Einbußen durch Ausfallzeiten im Betrieb sowie wirtschaftliche Schäden durch Schadenersatzansprüche Dritter entstehen. Die Kosten durch Cyberattacken können beachtlich werden. Dennoch geben nur 44 Prozent der befragten Unternehmen an, eine Versicherung gegen Schäden durch Angriffe zu haben. Jeder Vierte (24 Prozent) hat eine solche Versicherung nicht, ein Drittel der Befragten (31 Prozent) kann nicht sagen, ob sein Unternehmen einen solchen Versicherungsschutz genießt.

Trotz der rechtlichen Unsicherheiten und der möglichen finanziellen Schäden durch Cyberattacken glauben nur 60 Prozent der Befragten, dass ihr Unternehmen etwa im Falle eines Datendiebstahls juristische Beratung in Anspruch nehmen müsste. 19 Prozent halten das für unnötig, 21 Prozent sind sich nicht sicher oder können dazu nichts sagen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.