lolloj - Fotolia
Haftung und Fahrlässigkeit: Wer verantwortet Cyberattacken?
Schäden durch Cyberattacken haben offenbar noch selten rechtliche Folgen für Unternehmen. In Zukunft ist verantwortungsvolle IT-Sicherheit gefordert.
Wer fahrlässig handelt und anderen dadurch Schaden zufügt, muss zahlen. Außer wenn es um IT-Sicherheit geht – so scheint es zumindest. Beinahe täglich tauchen große Unternehmenshacks in den Schlagzeilen auf und man fragt sich: Wie schaffen es die Angreifer, die Abwehrtechniken wieder und wieder zu überlisten – dafür müssen sie unglaublich findig sein und der Technik stets voraus. Doch so ist es natürlich nicht; in Wahrheit verwenden viele Unternehmen alte Software, deren Sicherheitslücken längst bekannt sind.
Ein Beispiel findet sich schnell: die beiden Hacks der Unternehmen TalkTalk und VTech nutzten eine bekannte Anwendungssicherheitslücke: SQL Injection, eine der kritischen Schwachstellen in Webanwendungen der QWASP Top 10 (Open Web Application Security Project). Eine Lücke von hoher Priorität, die zu schließen längst überfällig war. Dies zeigt, dass prominente Hacks durchaus vermeidbar sind – wenn Unternehmen ihre Hausaufgaben machen. Doch wer hält sie dazu an?
Sind Unternehmen wirklich schuld?
Zunächst müsste festgestellt werden, ob die Unternehmen überhaupt wirklich schuld sind. Dazu kommen wir wieder auf die Fahrlässigkeit zurück – hier gibt es drei Fragen.
- Erstens: Hat das Unternehmen sorglos gehandelt? Danach sollte eine Firma oder ein Softwarezulieferer bestraft werden, wenn er bekannte Sicherheitslücken nicht geschlossen hat, siehe TalkTalk oder VTech.
- Die zweite Frage lautet: War die Abwehr auf dem neusten Stand? So ließe sich etwa festlegen, neu bekannt gewordene Schwachstellen wie Heartbleed innerhalb einer festgelegten Zeit zu patchen. Ein Report von Verizon zeigt, dass 99,9 Prozent aller ausgenutzten Softwareschwachstellen schon mindestens ein Jahr zuvor bekannt waren.
- Als drittes könnte man fragen, ob es eine dedizierte Position im Unternehmen für die IT-Sicherheit gab. Es wäre schließlich naheliegend, dass Unternehmen ohne CISO auch keine ernstzunehmenden Anstrengungen unternehmen, die eigenen Daten zu sichern. Eine Studie der New Yorker Börse und Palo Alto Networks zeigt, dass Unternehmen mit eigenem CISO mehr Sicherheitsvorfälle aufdecken und weniger finanziellen Schaden pro Vorfall erleiden.
Nach diesen Kriterien lassen sich einige der bekannten Hacks als Fahrlässigkeit identifizieren. Doch was folgt daraus? Der Staat kann nicht alle dieser Unternehmen empfindlich bestrafen, Zivilklagen sind selten. Regulierungen und Anreize sind an sich nützlich, doch im IT-Sicherheitsmarkt hat sich ihre Kraft noch nicht voll entfaltet. Ein Beispiel für die Wirkung von Verordnungen ist der Arbeitsschutz: Seit der Einführung von Sicherheits- und Gesundheitsverordnungen haben tödliche Verletzungen von Angestellten um 86 Prozent abgenommen. Warum? Weil Unternehmen vor der Haftung in einem solchen Fall zurückschrecken. Die rechtliche Verantwortung für einen angemessenen Ausbau der IT-Sicherheit könnte daher ein Schlüsselfaktor sein, wenn man die Häufigkeit der Sicherheitsvorfälle senken will.
Wie sieht verantwortungsvolle Sicherheit aus?
Es braucht also wirkungsvollere Regulierungen. Doch wer sollte diese anstreben – etwa die Unternehmen selbst, die mit hohen Strafzahlungen und Kompensationen rechnen müssten? Interessanterweise lautet die Antwort: Ja, natürlich! In einer Umfrage der New Yorker Börse in Zusammenarbeit mit Veracode forderten neun von zehn Vorstandsvorsitzenden, Regulatoren sollten alle Unternehmen in Haftung nehmen, die keine ernsthaften Anstrengungen unternehmen, um ihre Daten zu sichern. Dies zeigt das Verlangen der Unternehmen vor allem nach klaren Standards. Denn um regelkonform zu agieren, muss eindeutig sein, wie ein verantwortungsvolles Niveau von IT-Sicherheit aussieht.
In Deutschland sollte das IT-Sicherheitsgesetz für höhere Standards sorgen, doch lange Verhandlungen und eine unklare Sprache brachten der Regierung bisher viel Kritik ein. So ist im Gesetz zum einen von kritischen Infrastrukturen die Rede, zu denen nun nicht mehr nur Straßen, Strom und Krankenhäuser gehören, sondern durchaus auch spezielle Internet- und Softwaredienstleister. Heise-Justiziar und IT-Fachanwalt Joerg Heidrich wies nach, dass es prinzipiell auf jede geschäftsmäßig betriebene Website angewendet werden könne. Im Gesetz ist die Rede von angemessenen Vorkehrungen und der Verwendungen von modernen Technologien, um die IT-Sicherheit zu gewährleisten. Was genau darunter jedoch zu verstehen ist, bleibt offen.
Haftung als Anreiz
Wenn die Legislative also nicht für eine klare Linie sorgen kann, dann wird diese Rolle eine andere Institution übernehmen, deren Forderungen durchaus respektiert werden. Die Rede ist von Versicherungen, beziehungsweise in diesem Fall von den Cyberversicherungen. Eine wachsende Zahl an Unternehmen ist bereits gegen Schäden durch IT-Sicherheitslücken versichert und der Markt soll sich laut Analysten in den nächsten fünf Jahren auf 7,5 Milliarden US-Dollar verdreifachen. Ein Unternehmen, das in solche Versicherungspolicen einzahlt, wird auf klare Vorgaben bestehen – um sicherzugehen, dass sie im Falle eines Hacks das geforderte Sicherheitsniveau eingehalten und damit ihren Anspruch auf Versicherungsleistung nicht verwirkt haben.
Heute setzen die meisten Unternehmen auf Cyberversicherungen, um Verluste aus Haftungsklagen auszugleichen, doch die Versicherungen werden bald eine weitaus bedeutendere Rolle einnehmen und den IT-Sicherheitsansatz der Unternehmen grundlegend verändern. Die Entwicklung der Brandschutzversicherung trieb die Ausarbeitung und Durchsetzung von Brandschutz-Mindeststandards in Neubauten voran. Die Cyberversicherung wird analog dazu neue Maßstäbe für Best Practices in der IT-Sicherheit sorgen. Den entstehenden Druck werden Unternehmen vermehrt auch an Lieferanten und Softwareanbieter weiterreichen: 65 Prozent der in den USA von der NYSE befragten Vorstände haben bereits angefangen oder planen, Haftungsklauseln in die Verträge mit Drittanbietern einzubauen.
„Wenn die Legislative nicht für eine klare Linie sorgen kann, dann wird diese Rolle eine andere Institution übernehmen, deren Forderungen durchaus respektiert werden.“
Arved Graf von Stackelberg, Veracode
Weder Versicherungen noch staatliche Regulierungen werden eine perfekte Strategie liefern, wie Unternehmen auf Cyberkriminalität reagieren sollten. Keine Infrastruktur ist vollständig gegen Eindringlinge geschützt, und Vorschriften werden Cyberangriffe sicher weder verhindern noch den vollumfänglichen finanziellen Schaden abdecken, mit dem ein Unternehmen nach einem Hack zu kämpfen hat, etwa durch Schädigung der Marke oder fallende Aktienkurse.
Fazit
Unternehmen werden weiterhin grundlegende Sicherheitsmaßnahmen missachten und an den Folgen von vermeidbaren Hacks leiden, solange keine klaren Standards geschaffen werden. Angesichts der wachsenden Zahl an Cyberangriffen muss davon ausgegangen werden, dass Unternehmen mit dem Schutz personenbezogener Daten schlichtweg überfordert sind. Es ist daher an der Zeit, die Verantwortung dafür einzufordern, um Unternehmen aller Branchen klar zu machen, dass ihre Cyberhygiene einer Prüfung standhalten muss. Versicherungen könnten hier als Treiber neuer transparenter Sicherheitsstandards agieren und dazu führen, dass Unternehmen analog zu Brand- und Arbeitsschutz auch ihren IT-Schutz in Zukunft stets aktuell halten.
Über den Autor:
Arved Graf von Stackelberg ist Director Central Europe bei Veracode, einem Anbieter von Cloud-basierten Plattformen zum Schutz von Web- und Mobilanwendungen sowie Applikationen von Drittanbietern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!