Cyberkriminalität gefährdet die Unternehmensdaten Bild: Haufe Online Redaktion

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.

Fast 70 % aller Industrieunternehmen in Deutschland sind laut einer Umfrage des „Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V.“ (Bitkom) 2015 Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Dies zeigt, dass die zunehmende Digitalisierung der Wirtschaft neben neuartigen  Möglichkeiten für Wachstum und Entwicklung eine ganze Reihe neuer Risiken beinhaltet.

BSI und BaFin arbeiten an Cyber-Crime-Abwehrstrategien

Die Angriffsflächen der Unternehmen im Netz wachsen mit der Fülle der Daten enorm. Die Risiken der Unternehmen, durch Cyber-Attacken irreparablen Schaden zu erleiden, werden immer größer und dennoch  – besonders im Mittelstand - immer noch unterschätzt. Neben dem BSI hat es sich nun auch die BaFin zur Aufgabe gemacht, die Sensibilität der Unternehmen für diese Gefahren zu schärfen und die Sicherheit der Unternehmen vor solchen Attacken zu stärken.

Cyber-Erpressung im großen Stil

In jüngster Zeit haben die Ransomware-Vorfälle die digitale Verwundbarkeit von Unternehmen, Krankenhäusern und Stadtverwaltungen deutlich gemacht. In die Software der angegriffenen Unternehmen wurde durch Trojaner ein schädlicher Code eingeschleust, der Festplatten verschlüsselte und damit Daten über Geschäftsprozesse und auch Krankenakten unlesbar machte. Erst nach  Zahlung einer bestimmten Summe an die Erpresser wurden die Festplatten wieder freigegeben.

Mit „CEO“ Millionenbeträge abgezogen

Um sich greift auch der sogenannte „CEO-Betrug“ oder CEO-Fraud (Fraud engl.: Betrug). Mit täuschend echten E-Mails gaben sich Angreifer als Teil der Unternehmensleitung aus und veranlassten auf diese Weise Überweisungen auf fremde Konten. Hierdurch wurden teilweise Beträge in Millionenhöhe aus den betroffenen Unternehmen abgezogen. Laut Mitteilung des Bundeskriminalamts sind die Straftaten in Zusammenhang mit der Netzsicherheit im Jahr 2016 insgesamt um über 80 % im Vergleich zum Vorjahr gestiegen.

BSI und Bitkom kooperieren bei Abwehr von Cyber-Kriminellen

Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) bietet Unternehmen in Zusammenarbeit mit dem Bitkom Strategien zum Informationsaustausch über aktuelle Gefährdungen im Cyber-Raum an. Die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Attacken soll dadurch gestärkt werden. Neben dem Aufbau einer umfangreichen Wissensbasis werden auch konkrete Sicherheitsprodukte im Rahmen dieser Allianz zur Verfügung gestellt . Der IT-Grundschutz des BSI ist der zurzeit am meisten genutzte Standard für Informationssicherheit in Deutschland.

Das BSI gilt inzwischen als Weltmarktführer im Bereich der Zertifizierung für IT-Sicherheit.

Sicherheit kritischer Infrastrukturen steht auf dem Prüfstand

In Zusammenarbeit mit dem BSI existiert die Kooperation „UPKRITIS“, die die Versorgung mit Dienstleistungen von kritischen Infrastrukturen wie beispielsweise Energie, Wasser oder Lebensmitteln sicherstellen soll.

  • Ziel ist es, eine möglichst robuste Sicherheitslage kritischer Informationstechniksysteme zu erreichen.
  • Nach Mitteilung des BSI haben sich hier bereits über 350 Unternehmen als Partner angemeldet 

BAFin will die Unternehmens-Sensorik schärfen

Erste Maßnahme der BaFin ist ein Fragekatalog für Versicherungen, der den Unternehmen helfen kann, die Schwachstellen der Cyber-Sicherheit im Unternehmen zu erkennen und zu beseitigen. Hierzu soll unter anderem die Analyse der Struktur der Unternehmenscompliance dienen. Der Fragebogen ist unterteilt in verschiedene Kapitel, die generell als Checkliste für die Analyse der Sicherheitsstruktur eines Unternehmens dienen können. Hierzu zählen:

  • „Governance und Verantwortung der Geschäftsleitung“,
  • Identifizierung der allgemeinen Risiken,
  • Analyse der Schwachstellen,
  • Identifizierung aktueller Bedrohungen,
  • Einbindung von Kontrollmechanismen in das Sicherheitskonzept des Unternehmens,
  • Analyse getroffener Schutzmaßnahmen wie Zugangsbeschränkungen, Benutzerrechte, privilegierte Nutzer, Schulung der Nutzer,
  • Überwachungsmechanismen zur Entdeckung von Cyber-Attacken,
  • Identifizierung von Datenlecks,
  • Kompletterfassung der eigenen Daten.

Hohe Haftungsrisiken bei Sicherheitslücken

Jedes Unternehmen, das Opfer einer Cyber-Attacke wird, kann unter Umständen für entstandene Schäden selbst in die Haftung genommen werden. Dies gilt jedenfalls dann, wenn das Unternehmen kein nachhaltiges Compliance-Management zur Verhinderung von solchen Attacken eingerichtet hat.

Die Verantwortung kann den Compliance-Officer auch persönlich treffen, wenn er es pflichtwidrig unterlässt, geeignete Maßnahmen zur Verhinderung von Cyber-Crime zu implantieren.

Haftungsgrundlagen bei Compliance-Verantwortlichen

Insoweit treffen den Compliance-Officer, gegebenenfalls aber auch den Vorstand und das sonstige Leitungspersonal sowohl

  • eine strafrechtliche Garantenpflicht gemäß § 13 Abs. 1 StGB,
  • eine bußgeldrechtliche Verantwortlichkeit gemäß §§ 9, 30, 130 OWIG
  • eine zivilrechtliche, schadensrechtliche Verantwortlichkeit aus den im Anstellungsvertrag postulierten Pflichten zum Schutz des Unternehmens vor Rechtsverstößen
  • sowie die Haftung aus unerlaubter Handlung durch Unterlassen gemäß §§ 823 ff BGB.
  • Auch aus weiteren Vorschriften wie beispielsweise §§ 76, 91,93 AktG, 43 GmbHG lässt sich die organisatorische Verpflichtung der Unternehmensleitung zur Implementierung eines Frühwarnsystems zur Erkennung und Kontrolle von Risiken im Zusammenhang mit Cyberkriminalität ableiten.

Cybersicherheit als Wettbewerbsvorteil

Die Digitalisierung der Geschäftsprozesse erfordert von den Geschäftspartnern und Kunden eines Unternehmens großes Vertrauen in die Integrität und Sicherheit der Prozesse. Wird dieses Vertrauen verletzt, so sind die Konsequenzen für ein Unternehmen häufig verheerend. Ein eingetretener Vertrauensschaden ist oft nicht mehr reparabel. Cyber-Sicherheit muss daher ein maßgeblicher Teil des Risikomanagements eines Unternehmens sein. Sie ist unerlässlich für die Erhaltung der Wettbewerbsfähigkeit. Schon jetzt - und zukünftig in immer stärkerem Maße - wird eine qualitativ hochwertige  Cyber-Security Voraussetzung für komplexe Geschäftsabschlüsse und damit unabdingbar für den wirtschaftlichen Erfolg eines Unternehmens sein. Investitionen in die Cyber-Sicherheit sind daher Investitionen unmittelbar in das Standing und in den wirtschaftlichen Erfolg eines Unternehmens.

Weitere News zum Thema:

Verschlüsselungstrojaner Bad Rabbit

Cyber- Angreifer und Erpressern: so schützen Sie sich

Zunehmende Haftungsgefahr für den Compliance-Officer

Download: Speziell für Behörden und Unternehmen haben die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) einen kompakten Leitfaden herausgegeben, der sich mit dieser Bedrohungslage auseinandersetzt. Die Broschüre stellt zunächst die Bedrohungslage dar und beschreibt anschließend vor allem Präventionsmaßnahmen, mit denen das Risiko zum Opfer derartiger Angriffe zu werden, minimiert werden kann.

  • Das Zahlen der Lösegeldforderung lehnen Experten ab, da nicht sichergestellt sei, dass man die notwendigen Schlüssel tatsächlich auch bekomme.
  • Allerdings haben in letzter Zeit die Erpresser in den meisten Fällen tatsächlich auch die notwendigen Passwörter geliefert, wohl auch um dieses „Geschäftsmodell“ aufrecht zu erhalten.

Die Broschüre steht als PDF-Datei auf der BSI-Website zum Download bereit

Schlagworte zum Thema:  Cyberkriminalität, IT-Sicherheit, Trojaner, Erpressung

Aktuell
Meistgelesen