Cybersecurity im Jahr 2024: Was Sie rechtlich wissen sollten
© Andrey Popov / Adobe Stock

2. Februar 2024

Cybersecurity im Jahr 2024: Was Sie rechtlich wissen sollten

Für die Cybersecurity ist die Bedrohungslage auch 2024 unverändert. Die Situation ist von anhaltenden Risiken und Herausforderungen geprägt. Bedroht sind Unternehmen und Verbraucher:innen gleichermaßen. Hier finden Sie einen Cybersecurity-Überblick und erfahren, welche rechtlichen Aspekte damit verbunden sind. Der Text ist eine  Zusammenarbeit mit Christian Rühlemann von Flexcon IT.

Cybersecurity: Die Bedrohungslage 2024

Verschlüsselungssoftware, sogenannte Ransomware, bleibt die größte Bedrohung im Cyberraum. Der Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für 2023 stellt fest: Die Bedrohung durch Cyberangriffe ist so hoch wie nie zuvor. Die Angriffe von Ransomware verlagern sich von großen, zahlungskräftigen Unternehmen auf kleinere Organisationen, staatliche Institutionen und Kommunen. Diese Veränderung im Fokus der Angreifer hat unmittelbare Auswirkungen auf die Bürger, da Dienstleistungen beeinträchtigt werden und persönliche Daten gefährdet sind​.

Cyberangriffe auf Kommunen

Ein anschauliches Beispiel für die Auswirkungen solcher Bedrohungen ist der Cyberangriff auf die Südwestfalen-IT. Dieser hatte weitreichende Auswirkungen auf über 100 Kommunen, die ihre digitalen Prozesse über das Unternehmen abwickelten. Die Attacke war erfolgreich, weil diese grundlegende Sicherheitsmaßnahmen wie Zwei-Faktoren-Authentifizierung und starke Passwörter nicht erfüllten. 

Der Angriff offenbarte einige Probleme:

  • Die Abhängigkeit der Kommunen von einem zentralen IT-Dienstleister 
  • Eine generelle Rückständigkeit in der Digitalisierung und IT-Sicherheit bei Behörden
  • Die Notwendigkeit strengerer Kontrollen und Zertifizierungen für IT-Dienstleister 
  • Die Erkennung und Behebung von Schwachstellen

Cybersecurity: Diese Gefahren drohen

Professionalisierung in der Cyberkriminalität nimmt zu, wobei die Kriminellen immer mehr auf Arbeitsteilung und Dienstleistungscharakter setzen und sich über Länder- und Branchengrenzen hinweg vernetzen. Dies zeigt sich insbesondere im Konzept des „Cybercrime-as-a-Service“, wodurch Angriffe effizienter und zielgerichteter werden​​. Eine weitere ernstzunehmende Entwicklung ist die Zunahme von Schwachstellen in Software, was oft den Ausgangspunkt für Cyberangriffe darstellt. Das BSI hat eine signifikante Steigerung der Anzahl und potenziellen Schadwirkung dieser Schwachstellen festgestellt​.

Die Anwendung generativer KI-Tools wie ChatGPT, Bard und LlaMa bringt neue Risiken, aber auch Chancen. Diese Tools können für kriminelle Zwecke missbraucht werden, beispielsweise zur Erstellung von Deepfakes oder überzeugenden Phishing-Mails. Gleichzeitig stellen sie auch eine Herausforderung für das Schwachstellenmanagement in Unternehmen und Behörden dar​.Die geopolitische Lage, insbesondere der Krieg in der Ukraine, hat ebenfalls Auswirkungen auf die Cybersecurity. Obwohl vom BSI registrierte DDoS-Angriffe pro-russischer Aktivisten bisher nur begrenzten Schaden angerichtet haben, zeigen sie dennoch eine erhöhte Bedrohungslage​.

Wie häufig finden Cyberangriffe statt?

Laut KPMG Deutschland haben 84 Prozent der Unternehmen im Vergleich zu 2022 einen Anstieg der Bedrohungslage festgestellt. Die Sorge vor DDoS-Attacken ist deutlich gestiegen, und Phishing-Kampagnen bilden zusammen mit Ransomware die derzeit größten Risiken. Trotz der Zunahme von Cybergefahren schätzen viele Unternehmen ihre Fähigkeiten zur Früherkennung und Abwehr von Cyberangriffen als hoch ein, was möglicherweise auf eine unterschätzte Bedrohungslage hinweist​.

Rechtliche Aspekte von Cybersecurity

Datenschutzgesetze und Compliance

Unternehmen und Organisationen sind gesetzlich dazu verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um personenbezogene Daten und andere sensible Informationen zu schützen. Verletzungen dieser Pflichten können zu rechtlichen Konsequenzen führen, einschließlich Geldstrafen und Schadenersatzforderungen.

Zudem müssen Unternehmen die geltenden Datenschutzgesetze beachten, insbesondere die Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO legt strenge Anforderungen an den Schutz personenbezogener Daten fest und verlangt von Unternehmen, angemessene Sicherheitsmaßnahmen zu ergreifen. Im Falle von Datenschutzverletzungen sind Unternehmen verpflichtet, dies innerhalb einer bestimmten Frist an die zuständige Datenschutzbehörde zu melden, andernfalls können empfindliche Geldstrafen verhängt werden.

Haftung und Schadensersatz

Bei einem Cyberangriff können Unternehmen haftbar gemacht werden, insbesondere wenn nachgewiesen werden kann, dass sie nicht angemessene Sicherheitsvorkehrungen getroffen haben. Kunden oder Partner, deren Daten gefährdet wurden, könnten Schadensersatzansprüche geltend machen. Es haften die Vorstände und Geschäftsführer persönlich, die keine ausreichende Compliance-Struktur etabliert hatten.  

Unsere Rechtsanwälte können Unternehmen bei der Bewertung ihrer Haftungsrisiken unterstützen und Strategien entwickeln, um das (persönliche) Haftungsrisiko zu minimieren.

Cyber-Versicherungen

Wir können Sie auch bei der Auswahl und Gestaltung von Cybersecurity-Versicherungen unterstützen. Diese Versicherungen können Schutz vor finanziellen Verlusten bieten und sollten sorgfältig auf die individuellen Bedürfnisse und Risiken des Unternehmens zugeschnitten sein.

Strafbarkeit von Lösegeldzahlungen

Die mögliche Strafbarkeit von Lösegeldzahlungen bei Cyberangriffen, insbesondere bei Ransomware-Angriffen, ist ein zunehmend relevantes Thema im deutschen Recht. Bei einem solchen Angriff verschlüsseln Cyberkriminelle Daten oder Systeme von Unternehmen oder Privatpersonen und fordern zur Entschlüsselung ein Lösegeld, oft in Form von Kryptowährungen. Auch weil das deutsche Strafrecht für diese Konstellationen zu veraltet ist, könnte die Zahlung von Lösegeld in diesen Fällen als Unterstützung krimineller Aktivitäten bewertet werden. Auch hier ist eine intensive rechtliche Beratung vor jeglichen Handlungen unumgänglich.

Unsere Einschätzung

Zusammenfassend lässt sich sagen, dass die Cybersecurity-Bedrohungslage 2024 durch eine Kombination aus fortschrittlichen Angriffstechniken, steigender Professionalisierung der Cyberkriminellen und der zunehmenden Komplexität von IT-Systemen gekennzeichnet ist. Dies erfordert eine kontinuierliche Anpassung und Stärkung der Cyberabwehrmaßnahmen sowohl auf Unternehmens- als auch auf staatlicher Ebene. Zudem sind die rechtlichen Rahmenbedingungen im Blick zu halten. Dank der Flexcon IT als Mitglied unserer Unternehmensfamilie können wir Sie aus einer Hand in Bezug auf technische, als auch auf rechtliche Belange hin beraten.

Bruno Höveler

COO, CTO, Partner, Steuerberater, Fachberater für Unternehmensnachfolge (DStV e.V)

Marcus Büscher

Partner, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Expert:innen zu diesem Thema

Bruno Höveler

COO, CTO, Partner, Steuerberater, Fachberater für Unternehmensnachfolge (DStV e.V)

Lars Rinkewitz

Prokurist, Steuerberater, Diplom-Kaufmann

Sascha Kleinschmidt

Steuerfachangestellter, IT-Administrator, Teamleiter IT

Stephan Kollenbroich

Partner, Steuerberater, MBA

Simon Schwertl

Werkstudent Unternehmensberatung

Das könnte Sie auch interessieren

  • So funktioniert die rechtssichere E-Mail-Archivierung  - E-Mail-Archivierung - E Mail scaled

    Die Implementierung einer effektiven E-Mail-Archivierungsstrategie hilft Organisationen beim Schutz ihrer Kommunikationsdaten, gleichzeitig werden so gesetzliche Vorschriften eingehalten.  Ein eigenständiges Archivierungsgesetz gibt es nicht. Allerdings basiert die Pflicht zur E-Mail-Archivierung auf dem Handelsgesetzbuch (HGB) sowie den Steuergesetzen, zum Beispiel der Abgabenordnung. [...]

    Christian Rühlemann

    21. Feb 2024

  • BoardMeOn - Der Schlüssel zur reibungslosen Datenerfassung

    Die Datenerfassung bildet die Grundlage für fundierte Entscheidungen und effiziente Arbeitsabläufe. Mit Flexcon und FastDocs hat Ecovis bereits starke Partner in Sachen Personalstammdatenerfassung und Digitalisierung von Geschäftsprozessen. Um das digitale Triumvirat zu vervollständigen, kommt BoardMeOn, ein intelligenter Personalfragebogen, dazu. Hier [...]

    Bruno Höveler

    14. Nov 2023

  • Datenschutz und Barrierefreiheit: Rechtliche Anforderungen für Karriere-Webseiten 

    Der Fachkräftemangel ist überall zu sehen und macht inzwischen vor keiner mittelständischen Branche halt. Allein in Deutschland stehen mittlerweile pro Jahr 50.000 bis 200.000 weniger Mitarbeitende zur Verfügung als benötigt. Im War for Talents spielen Karriere-Websites eine zentrale Rolle. Doch [...]

    Esengül Aslan

    07. Nov 2023