Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

von Tilmann Dittrich

Meldepflicht nach Cyberangriff: Wie Cyberkriminelle Gesetze als Druckmittel nutzen

Analyse
23 November 20235 Minuten
Compliance

Es gibt immer mehr gesetzliche Regularien zur Cybersicherheit. Das machen sich nun auch Cyberkriminelle zunutze, indem sie versäumte Meldepflichten als erpresserisches Mittel einsetzen.

Kommt ein Unternehmen seiner Meldepflicht nach einem Cyberangriff nicht nach, kann der Hacker das als zusätzliches Druckmittel nutzen.

Kommt ein Unternehmen seiner Meldepflicht nach einem Cyberangriff nicht nach, kann der Hacker das als zusätzliches Druckmittel nutzen.

Foto: Sasun Bughdaryan – shutterstock.com

Stellen Sie sich vor, Sie sind der CEO eines Unternehmens. In Ihrer Branche geht die Angst vor Cyberangriffen um. Viele Unternehmen hat es schon getroffen. Sie wissen, dass auch Ihnen ein Angriff droht, haben Sie doch aus Kostengründen in den letzten Jahren das Thema IT-Sicherheit etwas schleifen lassen. Deshalb müssen Sie auf Risiko setzen, vielleicht wird ja auch alles gut gehen.

Es kommt, wie es kommen muss: An einem Wochenende ruft Sie Ihre IT-Abteilung an und berichtet von Merkwürdigkeiten bei den IT-Systemen. Einige Stunden später geht gar nichts mehr, am Abend findet man ein Erpresserschreiben in einer Datei. Was nun? Wie bekommt man die hohe geforderte Summe in Kryptowährungen? Müssen wir denn nicht eigentlich eine Meldung an eine Behörde abgeben? Dann fällt aber auf, dass wir jahrelang zu wenig für die IT-Sicherheit gemacht haben. Und meinen es die Erpresser überhaupt ernst?

Erpressungsmöglichkeiten bei Cyberangriffen

Cyberkriminelle sind den Unternehmen (leider) oft einen Schritt voraus. Sie verändern ihre Angriffsarten sowie Erpressungsmuster stetig. Zu den bekannten Erpressungsmustern zählen:

  • Erpressung aufgrund verschlüsselter Daten in den IT-Systemen, die die Betriebskontinuität einschränken (Geld gegen Wiederherstellungscode)

  • Erpressung mit der Veröffentlichung von erbeuteten Daten (private, aber auch Geschäftsgeheimnisse)

  • Erpressung mit der Verschärfung durch neue Angriffe (bspw. Kombination von Ransomware- mit DDoS-Angriffen)

  • Erpressung von weiteren Privatpersonen (die von einer Datenschutzverletzung betroffenen Personen)

  • Erpressung weiterer Unternehmen (das Bundesamt für Sicherheit in der Informationstechnik hat jüngst die Lukrativität von Supply-Chain-Angriffen aufgrund des Multiplikatoreffekts betont)

Erpressung mit Mitteilung an die Aufsichtsbehörde

Ein aktueller Fall aus den USA zeigt, dass die Verantwortlichen noch ein weitere Option berücksichtigen müssen. Dort war eine Ransomware-Gruppe in die IT-Systeme eines Softwareunternehmens eingedrungen und hatte Daten exfiltriert, also für sich erbeutet. Die Kriminellen erpressten das Unternehmen mit einer Lösegeldforderung, die innerhalb von 24 Stunden zu begleichen war. Ansonsten sollte die Weitergabe der erbeuteten Daten stattfinden.

Als das betroffene Unternehmen dennoch der Forderung nicht nachkam, wandten die Kriminellen eine neue Strategie an. Da sie wussten, dass das Unternehmen seiner Meldepflicht gegenüber der Aufsichtsbehörde nicht innerhalb der gesetzlichen Frist nachgekommen war, informierten die Kriminellen kurzerhand die Behörde selbst über den erfolgreichen Angriff sowie die unterbliebene Meldung.

Meldepflichten im deutschen Recht

Das in den USA beobachtete Szenario ist auch auf deutsche Unternehmen übertragbar. Hier existieren mittlerweile einige gesetzliche Meldepflichten. Für wohl alle Unternehmen greifen die Vorschriften der Datenschutzgrundverordnung (DSGVO). Kommt es hier zu einer Datenschutzverletzung, muss unverzüglich, spätestens binnen 72 Stunden nach Kenntnis über den Vorfall, eine Meldung an die zuständige Datenschutzaufsichtsbehörde erfolgen.

Lesetipp: TÜV-Umfrage – Deutsche Unternehmen verheimlichen IT-Sicherheitsvorfälle

Eine neue Herausforderung kommt auf die Unternehmen zu, die kritische Dienstleistungen erbringen. Bislang existieren hier Vorgaben im BSIG für Kritische Infrastrukturen, Anbieter digitaler Dienste oder Unternehmen im besonderen öffentlichen Interesse. Spätestens bis Oktober 2024 muss eine EU-Richtlinie zur IT-Sicherheit umgesetzt werden, die den Anwendungsbereich des BSIG und auch die Meldepflicht bei Störungen signifikant verschärfen wird.

Künftig wird die Meldepflicht im BSIG gestaffelt sein: Es müssen mindestens drei Meldungen (die erste unverzüglich, die letzte nach einem Monat) an das BSI abgegeben werden. Zusätzliche Meldezeitpunkte sind möglich. Weitere Meldepflichten gibt es im Energiesektor, im Telekommunikationsbereich, aber auch im Sozialrecht. Zudem gibt es auch noch Meldepflichten gegenüber Privaten.

Hierzu zählt natürlich die Benachrichtigungspflicht an die vom Datenschutzvorfall betroffenen Personen nach der DSGVO, aber vor allem auch die Anzeigepflicht gegenüber dem Versicherungsunternehmen im Rahmen einer Cyberversicherung ist von Bedeutung.

Die Vertragsdokumente hierüber sind für die Cyberkriminellen Gold wert. Sie legen dar, ob mit (wahrscheinlichen) Lösegeldzahlungen zu rechnen ist, weil diese von der Versicherung abgedeckt sind. Sie bieten zudem aber auch Angriffspunkte für eine Verschärfung der Erpressung, weil für ein Unternehmen der Versicherungsschutz entfallen kann, wenn es der Anzeigepflicht aus dem Versicherungsvertrag nicht rechtzeitig nachkommt. Die Kriminellen können auch hier eine unterlassene Anzeige eines Cyberangriffs offenlegen.

Bußgeldsanktionen bei Meldepflichten

Der Fall aus den USA macht deutlich, dass die Meldepflichten stets innerhalb der Fristen vorzunehmen sind. Ein falsches Taktieren, weil man etwa Bußgelder aufgrund mangelhafter Sicherheitsmaßnahmen oder einen Reputationsschaden vermeiden will, kann hier teuer werden. Denn die Meldepflichten sind regelmäßig an Bußgeldtatbestände geknüpft.

Längst ist bekannt, dass Verstöße gegen die DSGVO zu Millionenbußgeldern führen können. Auch in den anderen Rechtsvorschriften sind solche Bußgelder vorgesehen. Das Unternehmen will also nicht nur den Cyberkriminellen kein weiteres „gefundenes Fressen“ liefern. Es muss vor allem verhindert werden, dass neue Anknüpfungspunkte für eine weitere Geldbuße gesetzt werden, wenn schon Sanktionen aufgrund unzureichender IT-Sicherheitsmaßnahmen zu befürchten sind.

Handlungstipps für Unternehmen

Vor diesem Hintergrund sollten Unternehmen folgende Schritte umsetzen:

  1. Erfüllen Sie zumindest die gesetzlich vorgeschriebenen IT-Sicherheitsmaßnahmen.

  2. Bereiten Sie sich für den Ernstfall vor: Ein Cyber Incident Plan kann nicht erst während eines Vorfalls erstellt werden.

  3. Berücksichtigen Sie gesetzliche Meldepflichten in den Notfallplänen und sorgen Sie für die Zusammenarbeit von IT und Rechtsabteilung.

  4. Üben Sie den Ernstfall: Awareness ist mehr als nur ein Modewort.

  5. Ermitteln Sie bei IT-Vorfällen zeitnah und mit den notwendigen (ggf. auch externen) Ressourcen.

  6. Geben Sie die Meldungen in den vorgesehenen Zeiträumen ab: Behörden und Versicherer können hier wichtige Hilfestellungen zur Krisenbewältigung geben. (jm)

vgwort

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild