Homeoffice erhöht deutlich Risiko für Cyberkriminalität

452
Die Experten: Armin Hendrich und Armin Redl - beide DLA Piper
Die Experten: Armin Hendrich und Armin Redl – beide DLA Piper

COVID-19, besser bekannt als das Coronavirus, zerrüttet weltweit die Gesundheitssysteme und die Wirtschaft und prägt die derzeitige Medienlandschaft. Homeoffice ist das Gebot der Stunde und dabei muss man sich glücklich schätzen, eine Arbeit zu haben, die dies ermöglicht. Homeoffice bedeutet „Remote Working“ und dies stellt die Unternehmen vor ein – wenn auch nicht in diesem Ausmaß – bekanntes Problem: ein erhöhtes Risiko von Cyberattacken.

Das Besondere an der Situation ist, dass Unternehmen bislang in besonders geschützten Bereichen – manche aber auch prinzipiell – auf „on premise only“ gesetzt haben. Demzufolge war ein Zugriff von außerhalb des Unternehmensnetzwerks, sei es auch über (vermeintlich) sichere Verbindungen, basierend auf Risikoabwägungen, ausgeschlossen. Eine Einschränkung, die viele Unternehmen derzeit überdenken und aufweichen. Aber auch dort wo Telearbeit bislang möglich war, sind oft Systeme nicht darauf ausgelegt, dass (beinahe) die gesamte Belegschaft diese Arbeitsweise nutzt. Die Notwendigkeit, diese nun bereitzustellen, ist eine Herausforderung für jede IT und die Sicherheitssysteme des Unternehmens. Zu bedenken sind dabei aber auch die gesetzlichen Rahmenbedingungen. Unternehmen versuchen dabei in Tagen Prozesse umzusetzen, denen gewöhnlich Monate an Planung vorausgingen.

Auch wenn es schwer begreiflich ist, wie man das Leid vieler Menschen ausnutzen kann, so gilt auch hier das Sprichwort „Gelegenheit macht Diebe“ – Cyberkriminelle sind am Werk. Diese lancieren vermehrt Cyberangriffe gegen Unternehmen. So ist die Anzahl an Malware seit Ausbruch des Coronavirus rasant angestiegen und wurden unter anderem Phishing-E-Mails im Namen der World Health Organization (WHO) und diverser anderer karitativer Organisationen verschickt. Die Methoden sind bekannt – Empfänger werden aufgefordert Links anzuklicken, vertrauliche Informationen weiterzugeben oder schädliche E-Mail-Anhänge zu öffnen. Neu – und das genau regt die Cyberkriminellen an – ist, dass sie dabei auf teils hinsichtlich dieser Bedrohungen ungeschulte Opfer treffen, Technologien in Eile ausgerollt und erweitert wurden und vielleicht sogar bislang un- oder schwer erreichbare Daten greifbarer geworden sind. Hacker machen dabei nicht einmal vor dem Gesundheitsministerium, noch den Remote-Learning-Plattformen der Schulen halt.

Im Zentrum der Bemühungen bleibt dabei die größte Gefahr im Bereich Cybersecurity der Mensch, also die Mitarbeiter eines Unternehmens. Die überwiegende Mehrheit der Cyberangriffe – nach einigen Schätzungen 98 Prozent – setzen Methoden des Social Engineerings ein. Cyberkriminelle sind äußerst kreativ, wenn es darum geht, neue Wege zu finden, um Benutzer und Technologie für den Zugriff auf Passwörter, Netzwerke und Daten auszunutzen, wobei sie sich – wie eben in dieser Situation – populäre Themen und Trends zunutze machen.

Cybersecurity kein reines IT-Problem

Nach wie vor gibt es in Sachen Cybersecurity kein Allheilmittel. Cybersecurity ist auch kein reines IT-Problem, sondern ein Zusammenspiel diverser Bereiche – von eben der IT, über die Mitarbeiter des Unternehmens bis hin zu den gesetzlichen Rahmenbedingungen, die zum Zweck der Sicherheit des Unternehmens, ihrer Mitarbeiter und Dritter geschaffen wurden. Gemeinsam bilden sie eine holistische Strategie zur Cybersecurity. Entsprechend verhält es sich auch mit der Verantwortung im Unternehmen. Die Verantwortung über die Daten des Unternehmens erstreckt sich über viele Bereiche und liegt konsequenterweise daher auch beim Vorstand desselben.

Cybersecurity ist in den vergangenen Jahren verstärkt ins Visier der Gesetzgeber genommen worden und brachte neben der stark zunehmenden Regulierung auch die Etablierung von hohen Bußgeldern. „Vorbild“ ist dabei (noch) die Datenschutz-Grundverordnung (DSGVO), welche Geldbußen von bis zu EUR 20 Mio oder bis zu zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist, vorsieht. Aber auch die Betreiber wesentlicher Dienste wurden durch das Netz- und Informationssystemsicherheitsgesetz (NISG) in die Pflicht genommen, wonach diese ein hohes Sicherheitsniveau ihrer Netz- und Informationssysteme vorweisen müssen. So haben Betreiber von wesentlichen Diensten geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen. Ein Sicherheitsvorfall ist unverzüglich zu melden. Eine Nichteinhaltung dieser Bestimmungen ist mit EUR 50.000, im Wiederholungsfall bis zu EUR 100.000 zu bestrafen. In Angesicht dessen, wer unter das NISG fällt, erscheinen diese Geldbeträge jedoch – und auch hier wieder ein „noch“ – viel zu niedrig. Neben den Betreibern kritischer Telekommunikationsinfrastruktur, fällt auch der Sektor Bankwesen durch den Betrieb von Systemen zur Erbringung von Zahlungsdiensten als „wesentlicher Dienst“ unter die Bestimmungen des NISG. Für letztere gelten zusätzlich noch die Bestimmungen der sogenannten „Payment Service Directive“ (PSD 2). So hat auch die österreichische Finanzmarktaufsicht die Thematik Cybersicherheit in ihre Prüfungsschwerpunkte für das Jahr 2020 aufgenommen.

Nicht nur Täter werden bestraft

Für Cyberangriffe werden somit nicht nur Täter nach den klassischen Tatbeständen des Strafgesetzbuches bestraft, sondern nimmt die Gesetzgebung auch die Verantwortlichen eines Unternehmens und insbesondere deren Vorstände in die Verantwortung. Das trifft zu, wenn nicht sichergestellt wurde, dass geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen getroffen wurden und wenn mit Vorfällen nicht entsprechend umgegangen wurde.

Trotz kurzer Fristen für die Meldung (gemäß DSGVO unverzüglich und möglichst binnen 72 Stunden, gemäß NISG unverzüglich) eines Data Breach durch den Verantwortlichen, haben diese Meldungen bereits viele Details zu beinhalten (so etwa die Art des Data Breach, welche Kategorie von Daten betroffen sind, die Anzahl der betroffen Personen, Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der zu ergreifenden Maßnahmen). Neben den datenschutzrechtlichen Meldepflichten gibt es auch zahlreiche weitere gesetzliche oder eventuell vertragliche Meldepflichten.

Doch damit noch immer nicht genug. Neben diesen Meldepflichten kann ein Cybervorfall auch eine ad-hoc-Meldepflicht oder Informationspflichten gegenüber den Aufsichtsräten auslösen.

Letztlich ist die Abwehr von Cyberangriffen auch keine einmalige Angelegenheit, sondern ein laufender Prozess. Cyber Resilience muss nicht nur geschaffen werden, sondern in einer sehr adaptiven Umgebung erhalten werden.

Mag. Armin Hendrich MBA MSc, ist Partner und Cybersecurity-Experte bei DLA Piper
Mag. Armin Redl, ist Associate im Bereich Litigation & Regulatory bei DLA Piper

www.dlapiper.com

Fotos: beigestellt

Flower