2. Februar 2024
Cybersecurity im Jahr 2024: Was Sie rechtlich wissen sollten
Für die Cybersecurity ist die Bedrohungslage auch 2024 unverändert. Die Situation ist von anhaltenden Risiken und Herausforderungen geprägt. Bedroht sind Unternehmen und Verbraucher:innen gleichermaßen. Hier finden Sie einen Cybersecurity-Überblick und erfahren, welche rechtlichen Aspekte damit verbunden sind. Der Text ist eine Zusammenarbeit mit Christian Rühlemann von Flexcon IT.
Cybersecurity: Die Bedrohungslage 2024
Verschlüsselungssoftware, sogenannte Ransomware, bleibt die größte Bedrohung im Cyberraum. Der Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für 2023 stellt fest: Die Bedrohung durch Cyberangriffe ist so hoch wie nie zuvor. Die Angriffe von Ransomware verlagern sich von großen, zahlungskräftigen Unternehmen auf kleinere Organisationen, staatliche Institutionen und Kommunen. Diese Veränderung im Fokus der Angreifer hat unmittelbare Auswirkungen auf die Bürger, da Dienstleistungen beeinträchtigt werden und persönliche Daten gefährdet sind.
Cyberangriffe auf Kommunen
Ein anschauliches Beispiel für die Auswirkungen solcher Bedrohungen ist der Cyberangriff auf die Südwestfalen-IT. Dieser hatte weitreichende Auswirkungen auf über 100 Kommunen, die ihre digitalen Prozesse über das Unternehmen abwickelten. Die Attacke war erfolgreich, weil diese grundlegende Sicherheitsmaßnahmen wie Zwei-Faktoren-Authentifizierung und starke Passwörter nicht erfüllten.
Der Angriff offenbarte einige Probleme:
- Die Abhängigkeit der Kommunen von einem zentralen IT-Dienstleister
- Eine generelle Rückständigkeit in der Digitalisierung und IT-Sicherheit bei Behörden
- Die Notwendigkeit strengerer Kontrollen und Zertifizierungen für IT-Dienstleister
- Die Erkennung und Behebung von Schwachstellen
Cybersecurity: Diese Gefahren drohen
Professionalisierung in der Cyberkriminalität nimmt zu, wobei die Kriminellen immer mehr auf Arbeitsteilung und Dienstleistungscharakter setzen und sich über Länder- und Branchengrenzen hinweg vernetzen. Dies zeigt sich insbesondere im Konzept des „Cybercrime-as-a-Service“, wodurch Angriffe effizienter und zielgerichteter werden. Eine weitere ernstzunehmende Entwicklung ist die Zunahme von Schwachstellen in Software, was oft den Ausgangspunkt für Cyberangriffe darstellt. Das BSI hat eine signifikante Steigerung der Anzahl und potenziellen Schadwirkung dieser Schwachstellen festgestellt.
Die Anwendung generativer KI-Tools wie ChatGPT, Bard und LlaMa bringt neue Risiken, aber auch Chancen. Diese Tools können für kriminelle Zwecke missbraucht werden, beispielsweise zur Erstellung von Deepfakes oder überzeugenden Phishing-Mails. Gleichzeitig stellen sie auch eine Herausforderung für das Schwachstellenmanagement in Unternehmen und Behörden dar.Die geopolitische Lage, insbesondere der Krieg in der Ukraine, hat ebenfalls Auswirkungen auf die Cybersecurity. Obwohl vom BSI registrierte DDoS-Angriffe pro-russischer Aktivisten bisher nur begrenzten Schaden angerichtet haben, zeigen sie dennoch eine erhöhte Bedrohungslage.
Wie häufig finden Cyberangriffe statt?
Laut KPMG Deutschland haben 84 Prozent der Unternehmen im Vergleich zu 2022 einen Anstieg der Bedrohungslage festgestellt. Die Sorge vor DDoS-Attacken ist deutlich gestiegen, und Phishing-Kampagnen bilden zusammen mit Ransomware die derzeit größten Risiken. Trotz der Zunahme von Cybergefahren schätzen viele Unternehmen ihre Fähigkeiten zur Früherkennung und Abwehr von Cyberangriffen als hoch ein, was möglicherweise auf eine unterschätzte Bedrohungslage hinweist.
Rechtliche Aspekte von Cybersecurity
Datenschutzgesetze und Compliance
Unternehmen und Organisationen sind gesetzlich dazu verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um personenbezogene Daten und andere sensible Informationen zu schützen. Verletzungen dieser Pflichten können zu rechtlichen Konsequenzen führen, einschließlich Geldstrafen und Schadenersatzforderungen.
Zudem müssen Unternehmen die geltenden Datenschutzgesetze beachten, insbesondere die Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO legt strenge Anforderungen an den Schutz personenbezogener Daten fest und verlangt von Unternehmen, angemessene Sicherheitsmaßnahmen zu ergreifen. Im Falle von Datenschutzverletzungen sind Unternehmen verpflichtet, dies innerhalb einer bestimmten Frist an die zuständige Datenschutzbehörde zu melden, andernfalls können empfindliche Geldstrafen verhängt werden.
Haftung und Schadensersatz
Bei einem Cyberangriff können Unternehmen haftbar gemacht werden, insbesondere wenn nachgewiesen werden kann, dass sie nicht angemessene Sicherheitsvorkehrungen getroffen haben. Kunden oder Partner, deren Daten gefährdet wurden, könnten Schadensersatzansprüche geltend machen. Es haften die Vorstände und Geschäftsführer persönlich, die keine ausreichende Compliance-Struktur etabliert hatten.
Unsere Rechtsanwälte können Unternehmen bei der Bewertung ihrer Haftungsrisiken unterstützen und Strategien entwickeln, um das (persönliche) Haftungsrisiko zu minimieren.
Cyber-Versicherungen
Wir können Sie auch bei der Auswahl und Gestaltung von Cybersecurity-Versicherungen unterstützen. Diese Versicherungen können Schutz vor finanziellen Verlusten bieten und sollten sorgfältig auf die individuellen Bedürfnisse und Risiken des Unternehmens zugeschnitten sein.
Strafbarkeit von Lösegeldzahlungen
Die mögliche Strafbarkeit von Lösegeldzahlungen bei Cyberangriffen, insbesondere bei Ransomware-Angriffen, ist ein zunehmend relevantes Thema im deutschen Recht. Bei einem solchen Angriff verschlüsseln Cyberkriminelle Daten oder Systeme von Unternehmen oder Privatpersonen und fordern zur Entschlüsselung ein Lösegeld, oft in Form von Kryptowährungen. Auch weil das deutsche Strafrecht für diese Konstellationen zu veraltet ist, könnte die Zahlung von Lösegeld in diesen Fällen als Unterstützung krimineller Aktivitäten bewertet werden. Auch hier ist eine intensive rechtliche Beratung vor jeglichen Handlungen unumgänglich.
Unsere Einschätzung
Zusammenfassend lässt sich sagen, dass die Cybersecurity-Bedrohungslage 2024 durch eine Kombination aus fortschrittlichen Angriffstechniken, steigender Professionalisierung der Cyberkriminellen und der zunehmenden Komplexität von IT-Systemen gekennzeichnet ist. Dies erfordert eine kontinuierliche Anpassung und Stärkung der Cyberabwehrmaßnahmen sowohl auf Unternehmens- als auch auf staatlicher Ebene. Zudem sind die rechtlichen Rahmenbedingungen im Blick zu halten. Dank der Flexcon IT als Mitglied unserer Unternehmensfamilie können wir Sie aus einer Hand in Bezug auf technische, als auch auf rechtliche Belange hin beraten.