Schnellauswahl

Wer gehackt wurde, muss weite Haftung befürchten

gehackt wurde muss weite
Anonymous Symbolbild(c) APA/HELMUT FOHRINGER (HELMUT FOHRINGER)
  • Drucken

Cyber Security und das mit Sicherheitsverletzungen verbundene rechtliche Risiko stellt Unternehmen und auch staatliche Einrichtungen weltweit vor neue Herausforderungen.

Wien. Erst vergangene Woche veröffentlichte Anonymous Austria, ein loser Zusammenschluss von österreichischen „Hacktivisten“, auf ihrem Twitter-Account einen Link zu den Daten von rund 25.000 Exekutivbeamten mit Vornamen, Nachnamen, Adresse und Geburtsdatum. Nur wenige Tage später gab die Gruppierung bekannt, 600.000Datensätze der Tiroler Gebietskrankenkasse erlangt zu haben. In beiden Fällen sind die Quellen der Daten unbekannt.

Cyber Security und das mit Sicherheitsverletzungen verbundene rechtliche Risiko stellt Unternehmen und auch staatliche Einrichtungen weltweit vor neue Herausforderungen. Unternehmen mit großer öffentlicher Präsenz, die zudem über sensible Kundendaten verfügen, gelten als besonders gefährdet. Weltweite Beachtung erfuhr das Thema Cyber Security etwa durch das als Aktivismus betriebene Hacking („Hacktivism“) des Sony PlayStation Network im April dieses Jahres. Sony hatte sich in einschlägigen Kreisen unbeliebt gemacht, da es Umgehungen des Kopierschutzmechanismus der PlayStation 3 rechtlich verfolgte. Das war für „Hacktivisten“ offenbar Grund genug, sich in das Sony PlayStation Network einzuhacken, das von über 77Millionen Nutzern verwendet wird. Die Hacker legten das Netzwerk für mehr als drei Wochen lahm und stahlen die Kreditkartendaten der Nutzer. Die Schäden werden von Sony mit 171 Millionen US-Dollar beziffert. Anfang September dieses Jahres wurde DigiNotar gehackt, ein Anbieter, der unter anderem Zertifikate für elektronische Signaturen des gesamten niederländischen eGovernments ausstellte. DigiNotar steht wegen dieses Vorfalls nunmehr vor der Insolvenz. Motiv des Hackings soll das Verhalten der niederländischen UN-Soldaten 1995 in Srebrenica gewesen sein.

Anonymous Austria sorgt seit dem Sommer auch hierzulande für Unruhe. Im Juli dieses Jahres drangen die Hacker in die Websites der SPÖ, der FPÖ sowie der Grünen ein und kompromittierten so personenbezogene Daten von Zigtausenden von Usern. Noch im selben Monat drangen Mitglieder von Anonymous Austria auch in die Kundendatenbank der GIS Gebühren Info Service GmbH ein. Über 210.000Kundendatensätze, größtenteils mit Kontonummer, wurden kopiert und nachfolgend teilweise im Internet veröffentlicht.

 

Gesetz mit unklaren Begriffen

Spätestens diese Fälle führen nur allzu deutlich vor Augen, dass dringender Handlungsbedarf besteht, um sich gegen derartige Angriffe, die regelmäßig über elektronische Netze erfolgen, zu wappnen. Andernfalls können die betroffenen Unternehmen – abgesehen von massiven Imageschäden – auch haftungsrechtlichen Folgen seitens ihrer Kunden ausgesetzt sein. Zentrale Pflicht jedes Unternehmens ist daher, die Sicherheit personenbezogener Daten nach §14 Datenschutzgesetz (DSG) durch angemessene, dem Stand der Technik entsprechende Maßnahmen zu gewährleisten. Weiters werfen Attacken aus dem Cyberspace die Frage auf, wie Unternehmen mit bereits eingetretenen Sicherheitsvorfällen umzugehen haben. Neben möglichen Schadenersatzpflichten sind für viele Unternehmen insbesondere ihre Pflichten zur Information der Betroffenen (Data Breach Notification) weitestgehend unklar: Seit der DSG-Novelle 2010 haben Unternehmen die Betroffenen von Sicherheitsverletzungen in geeigneter Form zu informieren, wenn die Daten „systematisch und schwerwiegend“ unrechtmäßig verwendet wurden und den Betroffenen ein Schaden droht (§24 Abs 2a DSG). Diese etwas unglücklich formulierte Gesetzesbestimmung bereitet wegen der Verwendung mehrerer unbestimmter Gesetzesbegriffe in der Praxis große Auslegungsschwierigkeiten: Wie intensiv muss ein Datenangriff erfolgen, damit von einem systematischen und schwerwiegenden Datenmissbrauch die Rede sein kann?

Abgesehen von den gesetzlichen Vorgaben des Datenschutzgesetzes kann die Pflicht zur Data Breach Notification für Unternehmen aber auch kraft Vertrags bestehen: Selbst wenn mit den Kunden keine explizite Regelung getroffen wurde, wie nach einer Sicherheitsverletzung vorzugehen ist, gilt nach ergänzender Vertragsauslegung Folgendes: Das Unternehmen hat seine Kunden jedenfalls dann zu informieren, wenn dem Kunden infolge der Sicherheitsverletzung ein Schaden droht, den die Kunden bei zeitgerechter Information abwenden könnten.

Unternehmen sind daher gut beraten, sich mit ihren Pflichten zur Data Breach Notification auseinanderzusetzen, bevor es zu Sicherheitsverletzungen kommt. Dies ermöglicht nicht nur eine bessere Krisenkommunikation im Ernstfall, sondern versetzt Unternehmen erst in die Lage, ihre Pflichten durch effiziente vertragliche Gestaltung zu präzisieren und in gewissen Grenzen auch zu reduzieren.

 

Industriespionage bleibt geheim

Neben „Hacktivism“ stellt die Industriespionage ein weiteres Sicherheitsrisiko für Unternehmen dar. Die Tatsache, dass wesentlich seltener über Fälle der Industriespionage berichtet wird, liegt vor allem daran, dass die Täter – im Unterschied zu Hacktivisten – ihre System-Einbrüche geheim halten und selbst die betroffenen Unternehmen oft keine Kenntnis von dem Vorfall erlangen.

In diesem Zusammenhang hat sich der Begriff „Advanced Persistent Threat“ (APT) etabliert, der Bedrohungen beschreibt, die von hoch qualifizierten und mit erheblichen Ressourcen ausgestatteten Angreifern (z.B. weltweit darauf spezialisierte Unternehmen oder fremde Staaten) ausgehen und sich gegen einzelne, gezielt ausgewählte Unternehmen richten. Um die rechtlichen und wirtschaftlichen Risken, die sich daraus ergeben, zu reduzieren, ist ein ganzheitlicher Ansatz zu Cyber Security erforderlich, der auch den globalen rechtlichen Schutz von geistigem Eigentum umfasst.

Dass Industriespionage auch in Österreich ernst zu nehmen ist, verdeutlicht ein Fall, der vergangene Woche vor dem Straflandesgericht Klagenfurt abgeurteilt wurde: Ein Ingenieur eines österreichischen Windtechnologieunternehmens soll von einem chinesischen Mitbewerber durch die Zusage eines profitablen Dienstvertrages dazu angestiftet worden sein, sich wertvolle Betriebsgeheimnisse zu verschaffen und diese dann preiszugeben. Der Ingenieur wurde (noch nicht rechtskräftig) zu einer Haftstrafe von drei Jahren, davon ein Jahr unbedingt, verurteilt. Der Gesamtschaden soll sich auf 250 Millionen US-Dollar belaufen.

Die Risken im Bereich Cyber Security sind vielfältig und einem ständigen Wandel unterworfen. Unternehmen sollten ihre Pflichten genau kennen, um Risken zu minimieren und um im Ernstfall effizient reagieren zu können.

Dr. Georg Kresbach ist Partner der Wolf Theiss Rechtsanwälte GmbH. Wolf Theiss veranstaltet am 13.Oktober das „Cyber Security Forum“ (in Englisch). Anmeldung: marco.arienti@wolftheiss.com

("Die Presse", Print-Ausgabe, 03.10.2011)