Cyberangriff: Wer kommt für den Schaden auf?

Cyberangriffe ähneln häufig einem Krimi. Unbekannte Täter verschaffen sich Zugriff auf das IT-System des Unternehmens. Meist beginnt der Cyberangriff am späten Freitagnachmittag, wenn die Mitarbeiter das Büro verlassen. Erste schadhafte Software-Programme installieren sich. Der Cyberangriff nimmt langsam an Fahrt auf. Über Phishing werden vertrauliche Daten gestohlen. Über Ransomware und DDoS-Angriffe werden die IT-Strukturen des Unternehmens lahmgelegt.
Was dann folgt, wird von betroffenen Unternehmen und deren Geschäftsleitern meist als die größte Herausforderung und Krise der Unternehmensgeschichte beschrieben. Mangels funktionierender IT-Strukturen kommt der Geschäftsbetrieb des Unternehmens häufig zum Erliegen. Während die IT-Abteilung unter Hochdruck gegen den Hackerangriff kämpft, versuchen die operativen Einheiten, den Geschäftsbetrieb unter widrigsten Umständen aufrechtzuerhalten. Kommunikation erfolgt vorübergehend nur noch über private Handys und E-Mail-Adressen.
Ein geordneter Geschäftsbetrieb ist unter diesen Umständen größtenteils nicht mehr möglich. Die Geschäftsleitung hat in dieser Zeit beinahe im Sekundentakt Entscheidungen mit weitreichenden Folgen zu treffen. Fristgerechte Meldungen gegenüber Datenschutzbehörden sind zu erledigen. Das Unternehmen steht in engem Austausch mit den Behörden, zum Beispiel dem Bundeskriminalamt. Externe Berater müssen kurzfristig beauftragt und koordiniert werden. An allen Stellen sind – meist sehr kurzfristig – Brandherde zu löschen. Sowohl Geschäftsleiter als auch Mitarbeiter agieren am Limit des Leistbaren.
Aufarbeitung des Cyberangriffs – eine Zerreißprobe
Ist der Hackerangriff vorbei, beginnen die Aufräumarbeiten. Während der Angriff selbst meist nur wenige Stunden oder Tage dauert, benötigt die Wiederherstellung der IT-Systeme meist Wochen. Erste Ursachenanalysen erfolgen und Sicherheitslücken werden geschlossen. Die juristische Aufarbeitung des Cyberangriffes und dessen Folgen dauert hingegen meist Jahre. Sie wird aufgrund der finanziellen Belastung und wegen interner Schuldzuweisungen oftmals zur Zerreißprobe für das Unternehmen.
Die Suche nach Kompensation – Wer kommt für die Schäden auf?
Mit dem Cyberangriff gehen meist erhebliche finanzielle Schäden in Form von Umsatzverlusten und Kosten für die Systemwiederherstellung sowie die Krisenberatung einher. Die Angriffe führen auch häufig zu Betriebsunterbrechungen, aus welchen nicht nur eigene Umsatzverluste, sondern regelmäßig auch hohe Schadenersatzforderungen von Kunden resultieren. Schäden im zweistelligen Millionenbetrag sind nicht selten, sondern eher der Regelfall.
Angesichts der hohen Schadenssummen steht für das geschädigte Unternehmen im Rahmen der Aufarbeitung vor allem die Kompensation der erlittenen Schäden im Vordergrund. Das Unternehmen beschäftigt sich intensiv mit der Frage, wer für diese Schäden aufzukommen hat. Nachdem die Täter in aller Regel nicht greifbar sind, wird der Schaden zunächst beim eigenen Cyberversicherer geltend gemacht – soweit überhaupt vorhanden. Häufig ist die Versicherungssumme der Cyberversicherung nicht ausreichend, sodass weitere Regressmöglichen gesucht werden.
Sicherheitslücken und Organisationsdefizite werden identifiziert. Innerhalb des Unternehmens stellt man sich die typischen Fragen: Wie konnte es zu dem Vorfall kommen? Wer ist hierfür verantwortlich? War die IT-Infrastruktur ausreichend? Gibt es Organisationsdefizite? Der Cyberversicherungsfall weitet sich plötzlich zu weiteren Haftungs- und Versicherungsfällen aus.
Verträge mit externen IT-Dienstleistern werden auf etwaige Pflichtverletzungen geprüft. Bei der Geschäftsleitung wird kritisch hinterfragt, ob das Unternehmen im Hinblick auf Cybersicherheit ordentlich organisiert und ausgestattet war. Der Cyberversicherungsfall ist plötzlich auch ein D&O-Versicherungsfall. Ähnliche Fragen stellen sich auch die beteiligten Versicherer, wobei dort der Fokus der Prüfung vor allem auf der Einhaltung von versicherungsrechtlichen Obliegenheiten und häufig gesondert vereinbarten IT-Sicherheitsmaßnahmen liegt.
Juristisches Tauziehen mit ungewissem Ausgang
Ein juristisches Tauziehen sämtlicher Beteiligter beginnt. Das Unternehmen tritt in – oftmals sehr langwierige – Regulierungsgespräche mit den Versicherern ein. Gegenüber potenziellen Haftungsschuldnern werden – auch zur Sicherung etwaiger Regressansprüche nach Paragraf 86 Versicherungsvertragsgesetz – Schadenersatzansprüche geltend gemacht.
Parallel hierzu hat das Unternehmen meist Schadenersatzforderungen von Kunden auf deren Berechtigung zu prüfen und sich hiergegen zu verteidigen. Das Unternehmen schlittert in Gerichtsverfahren mit häufig ungewissem Ausgang. Ursächlich ist hierfür unter anderem die bislang kaum existierende Rechtsprechung. Gerade das Zusammenspiel der verschiedenen Versicherungsarten und Regressgegner macht Cyberschäden in der Abwicklung sehr herausfordernd.
Fazit
Cyberangriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe. Sie können aufgrund der finanziellen Folgen und aufgrund interner Schuldzuweisung für das betroffene Unternehmen eine echte Bestandsprüfung darstellen, insbesondere, wenn das Unternehmen nicht über ausreichenden Versicherungsschutz verfügt. Zu einer Verbesserung der Cybersicherheitsstandards innerhalb der EU soll die NIS2-Richtlinie beitragen. Es bleibt nur zu hoffen, dass die Umsetzung dieser Richtlinie den gewünschten präventiven Effekt entfaltet und nicht nur zu einer verschärften Geschäftsleiterhaftung führt.
-
Welche Geschenke an Geschäftsfreunde abzugsfähig sind
10.040
-
Pauschalversteuerung von Geschenken
6.831
-
Verjährung von Forderungen 2024: 3-Jahresfrist im Blick behalten
4.729
-
Geschenke über 50 EUR (bis 31.12.2023: 35 EUR): Betriebsausgaben- und Vorsteuerabzug dennoch möglich
4.252
-
Steuerfreie Pauschalen für Verpflegungsmehraufwand
4.1068
-
Bauleistungen nach § 13b UStG: Beispiele
3.779
-
Wie das Jobticket steuerfrei bleibt oder pauschal versteuert wird
3.256
-
Einspruch gegen Steuerbescheid: Fristen beachten
3.058
-
Zuzahlungen des Arbeitnehmers bei privater Nutzung des Firmenwagens
3.0416
-
Aufwendungen für eine neue Einbauküche müssen abgeschrieben werden
2.979
-
Geschenk- und Tankgutscheine: Die wichtigsten Fragen und Fallen
13.02.2025
-
Selbständige Bilanzbuchhalter: Berufsausübung, Haftung und Versicherung
12.02.2025
-
Wie das Jobticket steuerfrei bleibt oder pauschal versteuert wird
11.02.2025
-
Abgabefrist für die Steuererklärung
11.02.20251
-
Gegen den Anscheinsbeweis: betriebliche Nutzung von Luxusfahrzeugen
10.02.2025
-
Wie Sie die Tagespauschale (zuvor sog. Homeoffice-Pauschale) richtig berücksichtigen
07.02.20254
-
Wie die Leasingsonderzahlung richtig verteilt wird
06.02.2025
-
Pauschbeträge für Sachentnahmen (Eigenverbrauch) 2025
03.02.20252
-
Mieten, kaufen oder leasen: Was ist für die IT-Hardware am besten?
30.01.2025
-
DRÄS 14: Anpassung des DRS 18 an die gesetzlichen Vorgaben der Mindestbesteuerung
29.01.2025