Wien – Die internationale Medienberichterstattung über Cyberangriffe auf Unternehmen überschlägt sich in letzter Zeit. Prominenteste Ziele von Cyberangriffen in Österreich waren FACC Anfang des Jahres und zuletzt A1. Doch nicht nur große Unternehmen sind betroffen. Auch Cyberangriffe auf Klein- und Mittelbetriebe nehmen stark zu, bleiben aber oft unbemerkt.

Laut aktuellen Studien und Umfragen erkennen Geschäftsführer Cyberkriminalität als erheblichen Risikofaktor. Vielen sind sogar Schwachstellen in internen Prozessen und Systemen zur Abwehr von Angriffen aus dem Netz bewusst. Doch ein erstaunlich hoher Teil der Unternehmen hat noch keine oder keine ausreichenden Abwehrmaßnahmen gegen Cyberangriffe umgesetzt. Geschäftsführer und Vorstände fühlen sich überwiegend für IT-Angelegenheiten nicht verantwortlich, sondern ordnen diese der unternehmensinternen Fachabteilung oder einem externen Dienstleister zu.

350 Milliarden Euro Schaden

Der weltweit auf Cyberkriminalität zurückzuführende Schaden wird auf rund 350 Milliarden Euro pro Jahr geschätzt. Selbst bei Klein- und Mittelbetrieben kann der daraus resultierende finanzielle Schaden rasch die Höhe mehrerer Millionen erreichen. Unmittelbare Geldabflüsse von Geschäftskonten und Zahlungen aufgrund von Erpressung stellen dabei nur einen Teil der potenziellen Schadenssumme dar. Der Großteil des Schadens betrifft die Reputation, den Verlust von Daten und damit in Zusammenhang stehende Haftungsrisiken gegenüber Dritten.

Die Chancen auf Schadenswiedergutmachung sind bei Cyberkriminalität meist gering. Die Täter wissen sich durch Verschlüsselungs- und Anonymisierungstechniken im Verborgenen zu halten. Dementsprechend niedrig ist die Aufklärungsquote. Nicht ausgeschlossen ist jedoch, dass sich Unternehmen wegen Fehlens oder Mängeln von Abwehrmaßnahmen an ihren Leitungsorganen schadlos halten.

Vorstände und Geschäftsführer haben Organisationspflichten, die ganz allgemein schon Ausfluss der umfassenden Leitungspflicht des Vorstands bzw. der Sorgfaltspflichten eines Geschäftsführers sind. Sowohl das Aktiengesetz als auch das GmbH-Gesetz sehen darüber hinaus besondere Pflichten vor, wie etwa die Führung eines Rechnungswesens und eines internen Kontrollsystems.

Compliance-Pflicht

Aus den gesellschaftsrechtlichen Leitungs- und Sorgfaltspflichten wird zudem die Pflicht der Organe zur Schaffung einer geeigneten Compliance-Organisation abgeleitet. Leitungsorgane haben daher nachgeordnete Mitarbeiter zu überwachen und organisatorische Vorkehrungen zu treffen, um Gesetzesverstöße zu verhindern.

In jüngerer Vergangenheit hat hier vor allem das Verfahren Siemens gegen Neubürger für Aufsehen gesorgt. Das Landgericht München entschied, dass der Vorstand im Rahmen seiner Legalitätspflicht eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einzurichten hat (LG München I, 10. 12. 2013 – 5 HK O 1387/10). Ex-Siemens-Vorstand Heinz-Joachim Neubürger wurde wegen eines Verstoßes gegen diese Pflicht zur Leistung von Schadenersatz an Siemens in Höhe von 15 Millionen Euro verurteilt. Das strenge Urteil stieß sowohl in Deutschland als auch in Österreich auf heftige Kritik.

Schutz für das IT-System

Aus den etablierten Grundsätzen der Organisationspflichten zur Einrichtung einer geeigneten Compliance-Organisation lässt sich ableiten, dass Leitungsorgane grundsätzlich ebenso dazu verpflichtet sind, adäquate Maßnahmen zu treffen, um Cyberangriffe abzuwehren. Die Geschäftsleitung hat demnach sicherzustellen, dass das IT-System im Unternehmen durch geeignete technische Einrichtungen vor Cyberangriffen geschützt wird.

Sie muss weiters dafür sorgen, dass im Unternehmen fachlich qualifiziertes Personal vorhanden ist oder entsprechende Dienstleistungen externer Anbieter zugekauft werden, um die notwendigen Einrichtungen zu implementieren, laufend zu warten und sie an sich verändernde Anforderungen anzupassen. Weiters müssen die Mitarbeiter dazu angehalten werden, zur Risikominimierung beizutragen – durch geeignete interne Prozesse und Maßnahmen sowie interne Schulungen.

Allein die einmalige Implementierung solcher Maßnahmen ist nicht ausreichend. Die Geschäftsleitung hat die Eignung der Maßnahmen und deren Einhaltung durch die Mitarbeiter laufend zu überwachen. Im Rahmen dieser Überwachungspflicht muss sie die Entwicklung der Bedrohung durch Cyberangriffe verfolgen und durch Anpassung und Weiterentwicklung ihrer Abwehrmaßnahmen auf alle Veränderungen reagieren.

Die Organisationspflichten der Leitungsorgane in Zusammenhang mit der Abwehr von Cyberangriffen bestehen allerdings nicht absolut. Nicht jeder Mittelständler muss das Gleiche tun wie ein internationales Telekommunikationsunternehmen. Die Ausgestaltung der Abwehrmaßnahmen liegt vielmehr im Ermessen der Leitungsorgane. Maßgebliche Faktoren sind etwa die Art, Größe, Organisation und konkrete Tätigkeit des Unternehmens. Beispielsweise sind an Unternehmen, die sensible Personendaten verwalten, höhere Anforderungen zu stellen als an andere.

Die Gefahr von Cyberangriffen ist groß, die Implementierung von Abwehrmaßnahmen oft ungenügend. Um das Risiko einer persönlichen Haftung zu minimieren, sollten Leitungsorgane rasch handeln und Maßnahmen zur Erkennung und Vorbeugung umsetzen. (Michael Walbert, 23.5.2016)