Cybercrime, Prävention und Verteidigung für Unternehmen

Unternehmen zwischen Opferrolle und Beschuldigtenstellung

Cybercrime umfasst Straftaten gegen IT Systeme, Datennetze und digitale Kommunikationswege sowie Delikte, bei denen Informationstechnik als Tatmittel eingesetzt wird. Für Unternehmen hat dieses Rechtsgebiet regelmäßig zwei Seiten. Einerseits können sie Opfer von Hackerangriffen, Ransomware oder CEO Fraud werden. Andererseits geraten sie oder ihre Mitarbeiter selbst in den Fokus der Ermittlungsbehörden, etwa wenn interne Zugriffe unbefugt erfolgen, Daten unzureichend geschützt werden oder Compliance Pflichten verletzt worden sein könnten.

Von Hacking bis Computerbetrug

Das Strafgesetzbuch enthält hierfür eine Reihe spezieller Tatbestände. § 202a StGB erfasst das Ausspähen von Daten, § 202b StGB das Abfangen von Daten. Datenveränderungen durch Schadsoftware können unter § 303a StGB fallen. Angriffe auf die Funktionsfähigkeit von Systemen, etwa durch Distributed Denial of Service Attacken, können den Tatbestand der Computersabotage nach § 303b StGB erfüllen. Hinzu kommt der Computerbetrug nach § 263a StGB. Neben strafrechtlichen Risiken drohen bei Datenschutzverstößen vor allem aufsichtsrechtliche Maßnahmen und empfindliche Bußgelder. Auch das Geschäftsgeheimnisgesetz kann zivilrechtliche und strafrechtliche Folgen auslösen.

Wann gerät die Geschäftsführung in den Fokus?

Werden bei einem Cybervorfall sensible Kundendaten kompromittiert, prüfen Aufsichtsbehörden und in gravierenden Fällen auch Strafverfolgungsbehörden, ob die Geschäftsleitung ihre Organisations- und Überwachungspflichten verletzt hat. Im Mittelpunkt stehen Fragen nach angemessenen IT Sicherheitsstandards, Backup Konzepten, Zugriffsrechten und Notfallplänen. Eine bloße Opferrolle schützt nicht automatisch vor weiterer Prüfung. Fehlen angemessene Schutzmaßnahmen, können Organpflichtverletzungen, aufsichtsrechtliche Folgen und persönliche Haftungsrisiken im Raum stehen.

Achtung: Die Haftung der Geschäftsleitung ergibt sich nicht aus einer sogenannten D und O Haftung als eigener Anspruchsgrundlage. Maßgeblich sind vielmehr die organschaftlichen Pflichten und die daraus folgenden Haftungsregeln.

Wirtschaftliche Folgen eines Cybervorfalls

Ist das Unternehmen selbst betroffen, drohen Betriebsunterbrechungen, Erpressungsschäden, erheblicher Reputationsverlust und gegebenenfalls Schadensersatzforderungen. Wird dem Unternehmen eine unzureichende IT Compliance vorgeworfen, können Datenschutzbehörden Bußgelder in erheblicher Höhe verhängen. Hinzu kommen mögliche Ansprüche betroffener Kunden, Geschäftspartner oder Gesellschafter.

Richtig reagieren im Ernstfall

Reine IT Sicherheit genügt heute nicht mehr. Unternehmen sollten ein belastbares IT Compliance Management aufbauen, Mitarbeiter regelmäßig schulen und Notfallpläne bereithalten. Im Angriffsfall ist schnelles, aber kontrolliertes Handeln entscheidend. Bevor Systeme vorschnell neu aufgesetzt, Daten gelöscht oder Stellungnahmen gegenüber Behörden abgegeben werden, sollte ein spezialisierter Rechtsanwalt eingebunden werden. Er koordiniert die Kommunikation mit Ermittlungsbehörden und Datenschutzaufsicht, sichert Beweise gerichtsfest und wahrt die Interessen des Unternehmens.

Empfehlung: Der Kontakt zu einem spezialisierten Rechtsanwalt sollte bereits im Vorfeld fester Bestandteil des Notfallplans sein.