Mehrwerte: Die Digitalisierung birgt Sicherheitsgefahren, welche zu einem nicht unerheblichen Schaden führen können. Dies mussten erst jüngst die ehemalige Führungsregie um Marissa Mayer der Firma Yahoo aus den USA erfahren, als sie erfolgreich von den Aktionären für einen Cybervorfall in Haftung genommen wurden (siehe auch: „Wenn Cyberattacken den Chef Millionen kosten“). Ob die Gegenmaßnahmen und Instrumente zum Umgang mit den konkreten Gefahren nur rein der IT überlassen bleiben sollen, da sie zunehmend im Fokus der Gesetzgebung liegen, ist zu hinterfragen. Dieser Artikel vom Cyber Security-Experten Hrn. Hahn – von Rödl & Partner – geht der Frage nach, ob sich für die deutsche Geschäftsleitung auch eine konkrete Handlungspflicht ergibt, wie dieser (wenn ja) nachzukommen ist und ob es Rest- und Haftungsrisiken gibt, welche durch eine Versicherung abgedeckt werden können. Viel Spaß beim Lesen!
Digitalisierung hier, Digitalisierung da
Der Trend ist in aller Munde. Schritt für Schritt werden Produkte, Serviceleistungen und Prozesse so mit Informationstechnologie unterlegt, dass eine hohe Abhängigkeit gegeben ist. Selbst traditionelle Unternehmen ohne disruptiver Digitalisierungsprozesse sind oftmals von IT so durchdrungen, dass ein IT-Ausfall verheerend wäre. Es gibt kaum mehr ein Unternehmen, welches sich nicht sinnvollerweise mit den Bedrohungen von innen heraus und aus dem sog. Cyber-Raum auseinandersetzen muss.
Welches generelle Bedrohungspotenzial ist gegeben?
Eine abschließende Definition bzw. Auflistung von Bedrohungsszenarien ist im Rahmen dieses Artikels nur schwer möglich. Als Überblick dient eine Dreiteilung in generelle Schadsoftware, gezielte Angriffe von außen und von innen.
Ein Schaden lässt sich i.d.R. immer wie folgt kategorisieren:
- Kosten eines Betriebsausfalls nebst Wiederanlauf,
- Verlust von Geschäftsdaten,
- Erpressung,
- Geldbußen und
- letztlich Imageverlust.
Dazu kommen häufig die Kosten einer rechtlichen Auseinandersetzung. Statistiken sprechen von jährlich zweistelligen Milliardenbeträgen als Schaden aus Sicherheitsvorfällen in Deutschland, Tendenz steigend! Diese steigt, weil der Grad der Digitalisierung zunimmt und sich die Angriffstechniken sowie die dahinterstehenden Organisationen ebenso immer weiterentwickeln. Aus unternehmerischer Sicht darf es ein „Weiter so” nicht geben.
Welcher gesetzliche Rahmen in Bezug auf IT-Sicherheit ist gegeben?
Auch dem Gesetzgeber (EU-weit ebenso wie national) ist die Entwicklung und die dahinterstehende Bedrohung für die Wirtschaft und somit Gesellschaft nicht verborgen geblieben. Kontinuierlich hat er Regelungen vorangetrieben und treibt diese auch noch weiter voran, um einen generellen Rahmen für sinnvolle Maßnahmen und Instrumente zu schaffen. Einen ersten Rahmen liefern folgende Gesetzesgrundlagen:
- IT-Sicherheitsgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme und zum Schutz von kritischen Infrastrukturen (KRITIS)
- EU-Datenschutz-Grundverordnung (EU-DSGVO)
- Handels- und steuerrechtliche IT-Sicherheitspflichten über die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
Dabei ist dies nur eine kleine Auswahl gesetzlicher Regelungen. Daneben gibt es noch eine Vielzahl Branchenspezifika, welche durchaus auch auf den Mittelstand Auswirkungen haben können, da dieser als Zulieferer agiert. Beispielhaft sind folgende zu nennen:
- Bankaufsichtsrechtliche Anforderungen an die IT – BAIT
- Versicherungsrechtliche Anforderungen an die IT – VAIT
- Länderspezifische E-Government-Gesetze, welche IT-Sicherheitsanforderungen konkretisieren
Fast allen Regelungen gemein ist, dass konkrete sicherheitstechnische oder organisatorische Maßnahmen nicht vorgeschrieben sind. Vielmehr wird auf ein notwendiges Managementsystem und Maßnahmen nach dem „Stand der Technik” verwiesen.
Wie kompliziert sind nun Managementsysteme sowie Instrumente und Maßnahmen?
- ISO/IEC 27001 Familie (Information technology – Security techniques – Information security management systems – Requirements)
- BSI-Grundschutz mit den Standards der 200er Familie
- ISIS12 –Informationssicherheit für den Mittelstand
Zwischenzeitlich haben sich verschiedene Managementsysteme zur Gewährleistung der Sicherheit von Informationen herausgebildet. Diese Systeme haben einen regelmäßigen Prozess zur Risikobewertung und Maßnahmendefinition sowie -umsetzung gemein. Die bekanntesten sind:
Auf Basis sich wiederholender Sicherheitsprozesse werden die vorhandenen Sicherheitsmaßnahmen und Instrumente mit den notwendigen Sicherheitsmaßnahmen und Instrumenten abgeglichen. Auf dieser Basis findet eine regelmäßige Verbesserung der Abwehrkraft (Resilienz) des Unternehmens, u.a. gegenüber Cyber-Angriffen, statt. Regelmäßige Kontrollen (Audits) gewährleisten, dass die gewählten Sicherheitsmaßnahmen wirksam sind. Die im Unternehmen getroffenen Regelungen, Dokumentationen sowie Kontrollbelege dienen zum Nachweis der Wirksamkeit des Informationssicherheitsmanagementsystems. Bezogen auf obige 3 Angriffsszenarien sind das i.d.R. folgende Maßnahmen und Instrumente:
1. Angriff 1 und 2
Schutzmaßnahmen und Instrumente sind hier i.d.R. technischer Natur. Dazu gehören z. B. Next Generation Firewalls, Endpoint-Protection, DMZ („Demilitarisierte Zone”), Netzwerktrennung, VPNs (Virtual Private Network) und vieles mehr.
2. Angriff 3 und 4
Schutzmaßnahmen bei Innen- wie Außentätern sind i.d.R. unter dem Begriff „Internes Kontrollsystem” zusammenzufassen. Um sich wirksam vor dolosen Handlungen oder Racheakten zu schützen, gilt es, den Tätern wirksame Kontrollen (Vier-Augen-Prinzip, Funktionstrennung, etc.) entgegenzustellen.
Bei den Instrumenten und Maßnahmen sind heute 4 Problemstellungen zu erkennen:
- Die Wirksamkeit der eigenen Maßnahmen zu „Schadsoftware” und „gezielte Angriffe von außen” wird nur bedingt gemessen. In Folge kann sich die Geschäftsleitung kaum einen für sie verständlichen Eindruck über die Effektivität verschaffen. Sicht des Angreifers erfolgreich war. Nur wenige Unternehmen investieren laufend in sog. Penetrationstests. Oftmals bleibt es bei Einzelaktionen. Für einen kontinuierlichen „Test” der Resilienz gab es bislang keine Lösungen. Zwischenzeitlich bietet der Markt jedoch effektive und bezahlbare Lösungen zur Kontrolle und zum Nachweis.
- Ob Systeme durch gezielte Angriffe kompromittiert sind, lässt sich oftmals nur schwer erkennen. Die installierten Instrumente, wie Firewalls, Virenscanner, IDS/IPS (Intrusion Detection/Prevention System) lassen nur bedingt erkennen, ob ein Angriff, welcher i.d.R. über einen längeren Zeitraum geht, aus Sicht des Angreifers erfolgreich war. Die Funktionsvielfalt der heutigen Systeme lassen immer eine Restlücke. Zwischenzeitlich gibt es sinnvolle Ergänzungen zur Entdeckung von kompromittierten Systemen. Ist doch die Entscheidung, ein kompromittiertes System komplett auszutauschen sowie eine Meldung einer Datenschutzverletzung in Erwägung zu ziehen, elementar.
- Ein in den Unternehmen installiertes IKS (Internes Kontrollsystem) ist heute noch nicht an die Anforderungen der Digitalisierung angepasst. Die vorhandenen Kontrollen stammen oftmals in großem Umfang aus der analogen Welt und nutzen zu wenig die Möglichkeiten der IT. Aufgrund der modernen Möglichkeiten der Datenanalyse lassen sich wirksame Kontrollen etablieren, welche nahezu in Echtzeit Verstöße gegen Unternehmensregelungen aufzeigen. Die Digitalisierung erfordert neue Kontrollen.
- Insbesondere der Mittelstand tut sich in der Integration dieser Kontrollen (technische und organisatorische) im Sinne eines Dashboards noch schwer. Erschwerend kommt noch hinzu, dass sich die technischen Kontrollen für die Geschäftsleitung nur schwer erschließen lassen. Die Kommunikation zwischen Geschäftsleitung und IT findet häufig nur bedingt statt.
Die Risiken, Maßnahmen und Instrumente gehören in das Management integriert. Auch hier gibt es zwischenzeitlich elegante Lösungen, die Kontrollergebnisse in ein System verständlich einzubetten und als Nachweis heranzuziehen.
Leiten sich hieraus Pflichten der Geschäftsleitung ab?
Aus heutiger Sicht kann sich die Geschäftsleitung den Risiken aus der Digitalisierung und somit aus den Cybergefahren nicht mehr entziehen. Auf Basis verschiedener gesetzlicher Grundlagen sowie dem Vorhandensein von entsprechenden Rahmenwerken lassen sich folgende 3 Pflichten, auch auf die Pflicht zum Aufbau und Betrieb eines Sicherheitsmanagementsystems, im Idealfall in die Systeme des Unternehmens (z.B. Risikomanagementsystem) integriert ableiten:
- Sorgfaltspflicht: So haben etwa Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gem. § 93 Abs. 1 (1) und (2) AktG anzuwenden. Für einen Geschäftsführer einer GmbH wird nach § 43 Abs. 1 GmbHG der gleiche Maßstab zur Sorgfalt gefordert.
- Legalitätspflicht: Diese Pflicht der Geschäftsleitung verlangt, dafür Sorge zu tragen, dass sich die Gesellschaft in ihren Außenbeziehungen rechtmäßig verhält. Dabei hat die Geschäftsleitung auch die Handlungen ihrer Mitarbeiter zu überprüfen.
- Pflicht zur Einrichtung von Überwachungssystemen: In § 91 Abs. 2 AktG wird die Einrichtung explizit gefordert. Es ist aufgrund dieser Regelung davon auszugehen, dass im Falle einer juristischen Überprüfung auch die Geschäftsführung einer GmbH oder anderer Gesellschaftsformen betroffen sind.
Kann es zu einer persönlichen Haftung kommen?
Wenn z. B. die Aktiengesellschaft nachweisen kann, dass ihre Geschäftsleitung eine Pflichtverletzung begangen hat, so ist diese gem. § 93 Abs. 2 (1) AktGzum Ersatz des daraus entstandenen Schadens verpflichtet. Im Kern geht es also darum, ob obige Instrumente und Maßnahmen zum Cyberschutz nicht den (gesetzlichen und/oder branchenspezifischen) Anforderungen entsprachen.
Im Idealfall sollte somit ein Informationssicherheitsmanagementsystem (ISMS) beschrieben und installiert sein, welches durch nachweisebare Kontrollen dessen Wirksamkeit belegt.
Ist Versicherungsschutz denkbar?
Haftungsschäden, die sich aus der Geschäftsleitungstätigkeit ergeben könnten, können i.d.R. durch eine D&O-Versicherung (Directors-and-Officers-Versicherung) abgesichert werden. Zusätzlich kann ein vorgeschalteter Risikotransfer über eine Firmenversicherung (wie z.B. der Cyber-Versicherung, Vertrauensschadenversicherung) einem Durchgriff auf die Geschäftsleiterhaftung vorbeugen. Zur Beurteilung, ob ein Versicherungsschutz heute adäquat abgeschlossen werden kann, hat Carsten Berg vom Stadtwerke Monitor als Versicherungsexperte von Gayen & Berns Homann GmbH ein paar Fragen beantwortet.
Herr Berg, ist das Betätigungsfeld der Cyberversicherungen heute in Deutschland schon angemessen ausgeprägt? Kann man als Interessent auf eine Vielzahl von Versicherern zurückgreifen?
Ja, es gibt inzwischen ca. 20-30 Anbieter, die für industrielle oder gewerbliche Kunden Versicherungsschutz anbieten.
In welche Arten von Versicherungsschutz teilt sich i.d.R. das Portfolio ein? Welchen Schutz genießt wer?
Eine Cyber-Versicherung hat folgende wesentlichen Deckungselemente. Sie deckt Eigenschäden, wie die Aufwendungen für die Wiederherstellung von Daten und Programmen sowie den Ertragsausfall bei Betriebsunterbrechung ab. Dazu kommen Haftpflicht-Komponenten wie die Abwehr unberechtigter Schadenersatzansprüche und die Befriedigung berechtigter Schadenersatzansprüche. Abschließend werden i.d.R. Kostenpositionen wie Kosten der IT Forensik zur Schadensaufklärung und -minderung, Kosten der Rechts- und PR-Beratung sowie Ausgaben für Kundeninformationen – sog. Benachrichtigungskosten – im Datenschutzvorfall und oft auch Lösegelder ausgeglichen.
Kann man die Prämienhöhe signifikant durch den Einsatz obiger Instrumente und Maßnahmen beeinflussen?
Nur bedingt. Versicherer setzen ein Mindestmaß an IT-Sicherheit voraus, sonst versichern sie nicht. Viele der o.g. Maßnahmen sind daher Voraussetzung um überhaupt Versicherungsschutz zu erlangen. Wie dynamisch sich der Markt noch entwickeln wird, gilt abzuwarten. Sollten die Schäden zunehmen, ist dies aber anzunehmen.
Wie sieht die Versicherungsbranche die Entwicklungen rund um die Digitalisierung? Müssen wir uns auf unsichere Zeiten einstellen, wenn wir zunehmend mit sog. Disruption zu tun haben?
Der Versicherungsmarkt stellt sich auf unsicherere Zeiten ein, indem er zunehmend intensiver die Risikoerfassung betreibt und darauf achtet nicht zu viele gleichgelagerte Risiken auf die eigene Bilanz zu nehmen.
Werden auch die Versicherer neue Instrumente zur Beurteilung der Wirksamkeit der Sicherheitsmaßnahmen ihrer Versicherten einsetzen? Zeichnet sich hier schon etwas ab?
Ja, Versicherer verwenden zunehmend als Teil der Risikoerfassung automatisierte Tools, die von außen die Versicherungsnehmer auf technische Schwachstellen scannen und diese auswerten. Daneben werden weiterhin die klassischen Fragebögen und Risikodialoge zum Einsatz kommen. Entscheidend wird aber zunehmend der jeweilige Zustand des Unternehmens zum Zeitpunkt des Schadens.
Fazit
Die Disziplin „Informationstechnik” als Grundpfeiler der Digitalisierung gehört zwischenzeitlich zu den Erfolgstreibern jedes Unternehmens. Die hieraus erwachsenden Gefahren gilt es zu erkennen und die Gegenmaßnahmen entsprechend umzusetzen. Folglich ist die „Informationstechnik” inhaltlich in alle Unternehmenssteuerungsinstrumente einzubetten. Dazu gehören das Risikomanagement und Maßnahmen des internen Kontrollsystems. Restrisiken sowie Haftungsrisiken können durch entsprechende Cybersecurity-Versicherungen abgedeckt werden. Dies erfordert i.d.R., dass die Geschäftsleitung ihrer Sorgfalts- und Legalitätspflicht sowie der Pflicht zur Einrichtung eines Überwachungssystems nachweisbar nachgekommen ist.