WannaCry – Die jüngste Cyber-Attacke und ihre Folgen
Weltweit wurden Unternehmen und Institutionen von einer Cyber-Attacke bisher ungesehenen Ausmaßes heimgesucht. Während die wirtschaftlichen Schäden noch unklar sind und über die sicherheitspolitischen Konsequenzen diskutiert wird, ergeben sich für Betroffene sowie potenziell Betroffene einige rechtliche Überlegungen. Auch wenn jeder Einzelfall anders zu betrachten ist, kann man die folgenden Grundüberlegungen anstellen.
1. Darf man sich einem solchen Erpressungsversuch durch Zahlung beugen oder macht man sich damit u.U. strafbar bzw. begeht eine Ordnungswidrigkeit?
Grundsätzlich ist die Zahlung eines Lösegeldes nicht strafbar. Man könnte allerdings an die Unterstützung einer kriminellen Vereinigung nach § 129 StGB denken, wenn die Cyber-Erpresser als eine solche Vereinigung anzusehen wären. Generell wird man allerdings sagen können, dass es dem Zahlenden an dem Willen fehlen wird, die Vereinigung zu unterstützen. Sobald der Schutz höherwertiger Rechtsgüter betroffen ist – wie etwa im Fall der Blockade von Patientendaten von Krankenhäusern – sind auch die Institute des rechtfertigenden oder entschuldigenden Notstandes zu Gunsten des Zahlenden zu berücksichtigen.
2. Verstößt man möglicherweise gegen Vorschriften des Finanzsanktionsrechtes, wenn man Bitcoins auf ein bestimmtes Konto „überweist“?
Sollte die Person, die die Bitcoin-Zahlung erhält, auf einer der Sanktionslisten der EU geführt werden, läge objektiv ein Verstoß gegen das Verbot vor, gelisteten Personen Gelder oder sonstige wirtschaftliche Ressourcen zur Verfügung zu stellen (sog. Bereitstellungsverbot). Da die Erpresser jedoch anonym agieren, ist dem Zahlenden eine Überprüfung der Sanktionslisten schlicht nicht möglich. Einige EU-Verordnungen regeln explizit, dass der Zahlende nicht haftbar zu machen ist, wenn dieser nicht wissen kann (und auch keinen Grund zu der Annahme hat), dass er gegen das Bereitstellungsverbot verstößt (z.B. Art. 42 Abs. 2 Iran Embargo).
3. Muss man seine Kunden über solch eine Attacke informieren (da möglicherweise ihre Daten betroffen sind)?
Bei der bisher bekannten Attacke scheinen keine Daten abhanden gekommen, sondern nur Daten verschlüsselt worden zu sein. Sofern man feststellt, dass personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangt sind (Security Breach), muss man prüfen, ob die Bedingungen für eine Benachrichtigung der betroffenen Personen nach § 42a BDSG (bzw. nach TMG, TKG) gegeben sind. Entscheidend ist, ob die dort genannten sensitiven Datenkategorien betroffen sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Nach diesen Bestimmungen muss man ggfs. auch die zuständige Datenschutzbehörde informieren.
4. Muss man Behörden (z.B. Bundesamt für Sicherheit in der Informationstechnik) informieren?
Meldepflichten können nach § 8b BSI-Gesetz (IT-Sicherheitsgesetz) für Betreiber kritischer Infrastrukturen (gemäß der gesetzlichen Definition) gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bestehen, wenn erhebliche Störungen der IT vorliegen, die Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Diese Meldepflichten gelten nicht für alle Unternehmen, sondern nur für solche, die unter die gesetzlichen Pflichten dieses Gesetzes fallen und in den entsprechenden Verordnungen genannt sind (z.B. in der Energie-, Gesundheits- und Finanzbranche).
5. Kann man sich auf höhere Gewalt berufen, wenn man durch die Cyber-Attacke seine vertragsmäßig geschuldeten Leistungen nicht mehr oder nur später erbringen kann?
Infolge eines Systemausfalls oder fehlenden Zugriffs auf Daten, kann es zur verzögerten Erbringung vertraglicher Leistungen kommen. Je nach konkreter Vertragsgestaltung kann hierdurch ein Schadensersatzanspruch des Vertragspartners, unter Umständen auch für entgangenen Gewinn, begründet werden. Sind Vertragsklauseln vereinbart, die die Vertragsparteien im Falle der Leistungsstörung durch höhere Gewalt von ihren Leistungspflichten entbinden und somit vor einer Schadensersatzpflicht schützen, dürften diese im vorliegenden Fall nur schwerlich greifen. Denn unter höherer Gewalt versteht man ein von außen herbeigeführtes, außergewöhnliches und unabwendbares Ereignis, das mit wirtschaftlich erträglichen Mitteln auch durch die äußerste, vernünftigerweise zu erwartende Sorgfalt nicht verhütet oder unschädlich gemacht werden kann. Die Schwachstelle, die vorliegend von den Hackern genutzt wurde, hätte nach bisherigem Kenntnisstand mittels eines Sicherheits-Updates von März 2017 behoben werden können. Die Unabwendbarkeit, die für das Vorliegen höherer Gewalt entscheidend ist, liegt somit in diesem Fall wohl nicht vor.
6. Hat man u.U. Schadenersatzansprüche gegen seinen Software-Provider?
Im Hinblick auf die zivilrechtliche Haftung ist zu beachten: Mögliche Ersatzansprüche von Kunden und Betroffenen bestehen regelmäßig nur im Fall materieller Schäden durch eine Offenlegung der Daten. Insoweit sollten Provider Maßnahmen der Schadensminderung ergreifen, wozu auch die Maßnahmen im Rahmen der oben genannten Informationspflichten gehören. Gegenüber den Herstellern bzw. Distributoren der Systeme, die Sicherheitslücken aufweisen, haben Ersatzansprüche nur wenig Aussicht auf Erfolg. Die Haftung für Sicherheitslücken ist häufig beschränkt. Eine wichtige Rolle bei der Begründung eines Anspruches auf Schadensersatz spielen zudem die Aktualität der verwendeten Software und insbesondere die Nutzung der seitens der Hersteller zur Verfügung gestellten Updates. Ist der Schaden entstanden, weil ein Update nicht eingesetzt wurde, wird ein Anspruch auf Schadensersatz kaum begründet werden können.
7. Hat man u.U. Schadenersatzansprüche gegen einen Mitarbeiter, durch dessen Verschulden die Cyber-Attacke erst möglich wurde?
Ob sich Schadensersatzansprüche gegen einen Mitarbeiter realisieren lassen, durch dessen Handeln (oder Unterlassen) eine Cyber-Attacke erst ermöglicht wurde, hängt entscheidend davon ab, ob diesem Mitarbeiter ein vorsätzliches oder grob fahrlässiges Verhalten nachgewiesen werden kann oder ob dieser nur leicht fahrlässig handelte. Denn nach den Grundsätzen über den innerbetrieblichen Schadensausgleich gelten Haftungserleichterungen für Arbeitnehmer. Diese haften bei leichter Fahrlässigkeit nicht. Ferner kann die Haftung des Arbeitnehmers u.U. sogar ganz entfallen, wenn es der Arbeitgeber versäumt hat, den Arbeitnehmer auf die Gefahr eines besonders hohen Schadens bei einem gewissen Verhalten hinzuweisen. Zwei Möglichkeiten des Fehlverhaltens kämen hier in Betracht. Zum einen das „Infizieren“ des Systems durch ein entsprechendes Verhalten eines Mitarbeiters und zum anderen – spezifischer – das Unterlassen eines Mitarbeiters der IT-Abteilung für ausreichenden Schutz des Systems zu sorgen. War für den Mitarbeiter der versuchte Hackerangriff offensichtlich und öffnete dieser dennoch den präparierten Link in einer an ihn gerichteten E-Mail vorsätzlich bzw. grob fahrlässig, so wird ein Schadensersatzanspruch gegen ihn zu bejahen sein. Der Anspruch kann aber ggf. entfallen oder gekürzt werden, wenn der Arbeitgeber seinerseits die Infizierung des Computers nicht vorab durch Nutzung einer geeigneten Virensoftware bzw. Installierung eines speziell entwickelten Sicherheits-Updates verhindert hat. Hatte der Mitarbeiter dagegen keine Veranlassung an der Sicherheit des Links zu zweifeln und hatte der Arbeitgeber ihn vorab auch nicht explizit davor gewarnt, derartig präparierte Links anzuklicken, wird sich wohl kein Schadensersatzanspruch gegen diesen durchsetzen lassen. Bei einem Leiter einer IT-Abteilung ist zu prüfen, ob das Unterlassen des rechtzeitigen Aufspielens der Sicherheitssoftware im konkreten Fall als grob fahrlässiges Verhalten qualifiziert werden kann.
8. Gibt es eine Versicherung, die für die möglicherweise entstandenen Schäden (einschließlich des Lösegelds) eintritt?
Mit herkömmlichen Versicherungslösungen lassen sich Schäden aus einem Cyber-Angriff in der Regel nicht abdecken. So decken zum Beispiel Haftpflichtversicherungen den Eigenschaden nicht ab; Sachversicherungen schützen gegen Eingriffe in die Sachsubstanz, Cyber-Angriffe führen regelmäßig jedoch zu Vermögensschäden. Auch Betriebsunterbrechungsversicherungen decken in der Regel Schäden aus Cyber-Angriffen nicht ab, sondern treten nur bei bestimmten Unterbrechungsgründen ein. Cyber-Angriffe sind inzwischen jedoch durch spezielle Cyber-Versicherungen versicherbar. Der Versicherungsumfang deckt dann in der Regel etwa Abwehrkosten, Schadensersatz für Datenschutz- oder Vertraulichkeitsverletzung sowie Betriebsunterbrechungsschäden ab. Zu beachten ist aber, dass einige Policen allerdings als Obliegenheit des Versicherungsnehmers ein sog. Patch Management enthalten.
Diesen Beitrag teilen:
Christof Gaudig
PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 498
M +49 171 8632 555