Die aktuelle Bedeutung der Richtlinie (EU) 2022/2555 über Cyberresilienz (NIS-2) insbesondere für Leitungsorgane wird leider derzeit noch völlig verkannt. In Folge der spezifischen Gesetzeslage gibt es hier unmittelbaren Handlungsbedarf. Es bedarf in den Kernbereichen, die die Verantwortung von Leitungsorganen betrifft, keiner weiteren Umsetzungsgesetzgebung. Die Verantwortung und Haftung für mangelnde Vorkehrungen zur Abwehr von Cyberrisiken ist schon auf Basis der aktuellen Gesetzeslage gegeben. NIS-2 definiert hierzu „nur“ den Sorgfaltsmaßstab, das aber in einem bisher auf Gesetzesebene nicht üblichen Detailgrad.
Hacken als Geschäftsmodell
Viele denken ein „Hacker“ ist ein „Nerd“, der hinter seinem Computer sitzt und andere im World Wide Web ausspioniert, um in deren Systeme einzudringen. Weit gefehlt! Hacken ist ein (nicht einmal neuer) Geschäftszweig mit umfangreicher Infrastruktur. Ein Geschäftsmodell mit allem, was dazu gehört. Hacking-Software kann man im „Hacking-Supermarkt“ im Dark Web kaufen, Hacking-Kampagnen werden durch Hacking Agencies aufbereitet. Die Verhandlung zur Lösegeldzahlung erfolgt über vertrauenswürdige Mittelsmänner/-frauen und die Zahlung mittels Kryptowährung.
Zum Geschäftsmodell gehört auch, dass man verhandeln kann und Hacker liefern (in aller Regel) am Ende den Entschlüsselungscode, um ihr Geschäftsmodell zu stärken („Hacker-ethik“ sozusagen).
Neben dem Erpressermodell gibt es auch weitere Geschäftsmodelle, wie zB das Ausspionieren von Geschäftsgeheimnissen. In dem Fall bleibt der Eingriff oft lange unbemerkt (zumindest solange bis die Hacker sicher sind, die relevanten Daten zu haben und eventuell auch entsprechende Routen für künftig bequemeres Eindringen gesichert zu haben). Dann wird oft dieses Geschäftsmodell mit dem vorstehenden kombiniert. Parallel werden die Daten gewinnbringend veräußert.
Und darüber hinaus gibt es natürlich eine Vielzahl von Variationen der diversen Geschäftsmodelle von Hackern.
Wer ist gefährdet?
Wenn ein Unternehmen nun über relevante Daten (also solche, die sich verwerten lassen) oder über eine IT-Infrastruktur verfügt, deren laufende Verfügbarkeit für das Funktionieren des Unternehmens wichtig ist, dann ist es (wenn auch unfreiwillig) Teil des potenziellen „Kundenkreises“.
Bei Analyse von Hackerangriffen zeigt sich, dass Hacker oft wie Unternehmen organsiert sind und systematisch vorgehen. Das heißt, sie fahren manchmal breite „Kampagnen“ mit Streuwirkung oder aber individuelle Angriffe, die sie entsprechend vorbereiten, auch indem sie sich Informationen zu ihren Angriffszielen besorgen.
Ein Angriff ist nicht notwendigerweise direkt auf das IKT-System eines Unternehmens gerichtet. Der Angriff beginnt oft mit der Informationsbeschaffung zu IKT-Systemen, setzt schon auch einmal im persönlichen Umfeld an oder versucht mit diversen Formen von sozialen oder geschäftlichen Kontakten ein Einfallstor zu finden.
Der eigentliche Angriff auf die IKT-Systeme ist dann oft nachgelagert und kann jedes Gerät, das im jeweiligen System verbunden ist (auch Mobiltelefone) betreffen.
Das Ziel ist aber letztlich immer, in die IKT-Systeme einzudringen. Wenn ein derartiger Angriff erfolgreich ist, ist es meist zu spät, um Schaden abzuwehren und geht es dann in der Regel nur noch um Schadensminimierung.
Aber Cybervorfälle gefährden nicht nur das eigene Unternehmen, vielmehr ist das ganze Umfeld gefährdet – Mitarbeiter, Kunden, Vertragspartner, Unternehmen in der Lieferkette und im ein oder anderen Fall hat das auch weiterreichende gesellschaftliche Auswirkungen.
Schaden
Die Schäden, die sich durch Cybervorfälle ergeben, sind substanziell und gefährden teilweise den Bestand der betroffenen Unternehmen.
Schäden entstehen primär durch Daten- und Geheimnisverlust, Stillstand der IKT- oder Produktionssysteme, Reputationsschaden, Schadenersatzforderungen oder Strafen durch Behörden. Die Lösegeldforderungen selbst sind im Verhältnis dazu meist nicht besonders relevant.
Haftung der Leitungsorgane
Leitungsorgane haften für die ausreichende Vorsorge gegen Unternehmensrisken generell. Ein Cybervorfall kann ein derartiges Risiko darstellen und wenn dem so ist, haften Leitungsorgane für allfällige Schäden, die durch ihre Nachlässigkeit ermöglicht wurden, nach allgemeinen Rechtsvorschriften (in aller Regel § 25 GmbHG bzw. § 84 AktG). Das kommt daher, dass Leitungsorgane für die Organisation ihres Unternehmens und da insbesondere für Risikomanagement und internes Kontrollsystem persönlich Verantwortung tragen (das interne Kontrollsystem regeln die §§ 22 GmbHG bzw. § 82 AktG). Diese Regelungen differenzieren nicht nach Risikotyp und gelten generell und daher für jedes relevante Risiko in Bezug auf ein Unternehmen und daher auch für Cybersecurity.
Neue Vorschriften durch NIS-2
Die neuen Vorschriften zur Cyberresilienz in Europa in Form der Richtline (EU) 2022/2555 („NIS-2“) halten u.a. genau diese Verantwortung fest und definieren, was nun für Leitungsorgane besonders wichtig ist, den Sorgfaltsmaßstab, der einzuhalten ist.
Der Paradigmenwechsel ist, dass nun das sorgfältige Verhalten des Geschäftsleiters genau umschrieben wird. Für Gerichte ist eine derartige Sorgfaltsdefinition jedenfalls im Kontext mit Cybersecurity wohl eine naheliegende Konkretisierung und in Bezug auf andere Risiken eine gute Grundlage für eine sinngemäße Anwendung.
An sich sind die in NIS-2 festgelegten Sorgfaltsstandards nicht wirklich neu. Sie entsprechen im Großen und Ganzen dem, was Judikatur und Literatur in Bezug auf den Sorgfaltsmaßstab eines ordentlichen Geschäftsmannes (Geschäftsleiters) schon bisher gefordert haben. In Bezug auf Cybersecurity entspricht das den einschlägigen Normen und Standards (wie zB ISO 27001).
So müssen sich Leitungsorgane in Bezug auf Cyberrisiken selbst schulen und auch sicherstellen, dass ihre Mitarbeiter geschult werden. Darüber hinaus müssen sie unter anderem das Cyberrisiko für ihr Unternehmen ermitteln, einen Notfallplan und einen Maßnahmenkatalog ausarbeiten und für die Umsetzung und Kontrolle sorgen. Auch der Schutz von Geschäftspartnern, der Lieferkette und der Allgemeinheit ist zu beachten.
Wofür wird gehaftet?
Für Schäden, die das Unternehmen erleidet, haften jene Leitungsorgane, die diese Sorgfaltsmaßstäbe nicht einhalten bzw. umsetzen. So nicht Sonderregelungen anwendbar sind, richtet sich diese Haftung nach den Bestimmungen des GmbHG bzw. AktG. Die Haftungsbestimmungen des § 25 GmbHG bzw. des § 84 AktG regeln, dass sich Geschäftsführer bzw. Vorstände wie sorgfältige Geschäftsmänner (Geschäftsleiter) zu verhalten haben. Ansonsten haften sie für den Schaden, der durch ein fehlerhaftes Verhalten verursacht wird. Dieser Sorgfaltsmaßstab wird durch die vorstehend angesprochenen Regelungen in NIS-2 noch weiter konkretisiert. Das ist ein hoher Sorgfaltsmaßstab und verbunden mit der jeweils ebenfalls gesetzlich vorgesehenen Beweislastumkehr führt das im Falle eines Cybervorfalls zu einer hohen Hürde für das betroffene Organ zu beweisen, dass die notwendige Sorgfalt eingehalten wurde und der Schaden unabwendbar war.
Wichtig ist auch, dass diese Verantwortung im Kern nicht delegierbar ist und eine Gesamtverantwortung aller Geschäftsführer bzw. Vorstände gemeinsam darstellt. Es reicht also nicht aus, einen CISO einzustellen oder in der Geschäftsleitung ein Organ mit dem Thema zu betrauen.
Vielmehr braucht es eine laufende Beschäftigung mit dem Thema und ein aktives Mitwirken der Leitungsorgane. Das bedeutet nicht, dass Leitungsorgane Cybersicherheitsexperten werden müssen, sie müssen aber in der Lage sein, das Risiko richtig einzuschätzen und die notwendigen Vorkehrungen auf organisatorischer Ebene zu treffen.
Verantwortung Aufsichtsräte
Diese Verantwortung trifft – zwar etwas abgemildert, aber trotzdem – auch Aufsichtsräte.
Die Verantwortung von Aufsichtsräten ist in anderer Hinsicht komplex. Zum einen ist es in der Verantwortung der Aufsichtsräte zu hinterfragen, ob entsprechende Maßnahmen in Bezug auf Cybersecurity gesetzt wurden.
Für den Fall eines Schadens in Folge eines Cybervorfalles sind die Aufsichtsräte zur Prüfung und allenfalls Durchsetzung allfälliger Ansprüche gegen den Vorstand verpflichtet, andernfalls sie selbst haftbar würden. Dabei ist auf die vorstehend angeführte Beweislastumkehr zu achten.
D&O Versicherung
Leitungsorgane müssen auch beachten, dass im Falle eines Cybervorfalles eventuell die D&O Versicherung nicht schützt. Zum einen, weil ein (grob) fahrlässiger bzw. vorsätzlicher Verstoß vorliegt, wenn diese Sorgfaltsmaßstäbe nicht eingehalten werden. Auch schränken aktuell generell viele Versicherungen ihre Haftung für Schäden aus Cybervorfällen überhaupt ein.
Prüfung Jahresabschluss
Da im Zuge der Jahresabschlussprüfung auch das Risikomanagement und das interne Kontrollsystem zu evaluieren und vor allem die für das Rechnungswesen relevanten Aspekte zu berücksichtigen sind, werden wohl auch Cyberrisiken in der Prüfung von Jahresabschlüssen besonders relevant sein.
Was ist nun zu tun?
Die Regelungen betreffend Risikomanagement in Unternehmen sind schon seit langem in Kraft. NIS-2 (ebenfalls seit Jänner 2023 in Kraft) bringt in dem Zusammenhang lediglich eine Konkretisierung der Sorgfaltspflichten. Diese Sorgfaltspflichten gelten unmittelbar und ohne weiteren zeitlichen Vorlauf. Wichtig für betroffene Organe ist es daher, sich schnellstmöglich einen Überblick zu dieser Risikolage zu verschaffen und dann die notwendigen Maßnahmen in die Wege zu leiten.
NIS-2 führt auch konkrete Governance- und Sicherungsmaßnahmen an, die im Unternehmen umzusetzen sind. Dazu gehören spezielle Maßnahmen wie Schulung und Information der Mitarbeiter, Risikobeurteilung, Entwicklung eines Notfallplans und eines Maßnahmenkataloges, Schaffung entsprechender Richtlinien in Bezug auf Cyberrisiken (aber auch IT-Risiken) und Umsetzung derselben, u.v.a.m.
Wichtig ist, dass Maßnahmen für Cybersecurity alle Unternehmensbereiche und nicht nur die IT betreffen.
Über Benn-Ibler
Bei Benn-Ibler beschäftigen wir uns seit 2016 intensiv mit dem Thema Cyber-security und Haftung. Unser Partner Dr Stefan Eder trägt laufend bei einschlägi-gen Fachkonferenzen vor und ist besonders bei Schulungen von Leitungsorganen aktiv.
Im Kontext mit Cybersecurity-Themen beraten wir in Bezug auf Risikoanalyse, Ausarbeitung von Maßnahmenkatalogen, Vorbereitung von Richtlinien und allen mit Cyberrisiken verbundenen rechtlichen Aspekten.
Wir verfügen über umfangreiches internes Know-how im IKT-Bereich (und Juris-ten mit Informatikhintergrund) und arbeiten mit Cybersecurity-Spezialisten zu-sammen.