Cybersecurity: rechtliche Herausforderungen für Unternehmen

  
Durch die immer stärkere Vernetzung und Abhängigkeit von IT-Lösungen gewinnt auch das Thema Cybersecurity laufend weiter an Bedeutung. Cyberangriffe aller Art haben in den letzten Jahren bereits stark zugenommen und werden dies aller Wahrscheinlichkeit nach auch in der Zukunft tun. Für Unternehmen ist es deshalb wichtig, angemessene technische und organisatorische Massnahmen zu implementieren, um die Cybersecurity ihrer Infrastruktur zu gewährleisten. Dabei gilt es auch den rechtlichen Rahmen miteinzubeziehen, wozu in der Schweiz namentlich das Datenschutzgesetz gehört.
  

Cybersecurity als stetige Bedrohung für Unternehmen

Die digitale Vernetzung hat eine Vielzahl von Vorteilen und Chancen mit sich gebracht. Zu denken ist etwa an Technologien wie Blockchain, künstliche Intelligenz (AI) oder auch das Internet of Things (IoT). Die Kehrseite der Medaille ist aber, dass auch neue Risiken und Gefahren entstanden sind. Informations- und Kommunikationsinfrastruktur kann bekanntlich zu kriminellen, nachrichtendienstlichen, terroristischen, kriegerischen oder propagandistischen Zwecken missbraucht werden. So können Infrastrukturen gestört, manipuliert oder gezielt angegriffen werden. Diese Bedrohung hat sich in den letzten Jahren drastisch verschärft. Delikte im Bereich der Cyberkriminalität nahmen kontinuierlich zu und wurden auch immer schwerer. Betrugen Lösegeldforderungen von Hackern vor wenigen Jahren im Schnitt ca. 10’000 Franken, sind es mittlerweile regelmässig Millionenbeträge. Auch die Cyberspionage und der Cyberterrorismus werden mit der zunehmenden Digitalisierung weiter an Bedeutung gewinnen.

Angriffe auf das Funktionieren der IT oder der Diebstahl von (sensitiven) Daten, wie etwa von Geschäftsgeheimnissen oder personenbezogenen Kundendaten, können gravierende Folgen für ein Unternehmen haben. Neben dem unmittelbaren wirtschaftlichen Schaden und den Reputationsrisiken drohen Unternehmen bei mangelhafter Cybersecurity auch rechtliche Sanktionen. Besonders drastische Folgen könnte ein Cyberangriff bei kritischen Infrastrukturen zeitigen. Kritische Infrastrukturen stellen die Verfügbarkeit von essentiellen Dienstleistungen und Gütern sicher. Weil ihre Funktionen für die Bevölkerung und die Wirtschaft unabdingbar sind, geniesst ihr Schutz oberste Priorität (vgl. dazu auch MLL-News vom 27. April 2020).
  

Cyberattacken – Eines der grössten Risiken für Unternehmen

Weltweit werden Cyberattacken von Konzernchefs und Risikomanagern deshalb als grösstes Unternehmensrisiko eingestuft. Zu den zurzeit verbreitetsten Arten von Cyberattacken gehören:

  • Ransomware: Ransomware sind Schadprogramme, die das Endgerät sperren oder darauf befindliche Daten verschlüsseln. Angreifer versuchen dadurch, Geld zu erpressen, und drohen an, das Endgerät erst bei Bezahlung der Forderung freizugeben bzw. die Verschlüsselung der Daten aufzuheben.
      
  • Phishing: Phishing ist der Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Nutzers zu gelangen und damit Identitätsdiebstahl zu begehen.
      
  • DoS-Angriff: Bei einer DoS-Attacke wird durch eine gezielt herbeigeführte Überlastung mit einer hohen Anzahl an Serveranfragen willentlich die Nichtverfügbarkeit eines Internetservices angestrebt.
      
  • Social Engineering: Beim Social Engineering nutzen Angreifer die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Die Angreifer können mittels Social Engineering u.a. versuchen, an Benutzernamen und Passwörter von Mitarbeitern eines Unternehmens zu gelangen, indem sie sich am Telefon als Systemadministrator oder Sicherheitsverantwortlicher ausgeben.
      

Selbstverständlich bestehen neben den aufgezeigten Arten von Cyberattacken noch weitere sich stets weiterentwickelnde Formen. Trotz der prominenten medialen Berichterstattung unterschätzen gerade KMUs das von Cyberattacken ausgehende Risiko häufig bzw. ignorieren es aus Kostengründen. Sie gestalten deswegen ihre Massnahmen zur Abwehr und Erkennung von Cyberangriffen, die sog. Cybersecurity, häufig mangelhaft aus. Ein weiterer Grund für die Vernachlässigung der Cybersecurity kann darin liegen, dass nicht klar ist, welche rechtlichen Anforderungen eine angemessene Cybersecurity überhaupt erfüllen muss.
  

Datenschutzrechtliche Herausforderungen

Die grundlegendsten rechtlichen Vorgaben sind im Schweizer Datenschutzgesetz (DSG) definiert. Das DSG legt verschiedene Grundsätze fest, die es bei jeglicher Bearbeitung, also z.B. bei der Übermittlung, Speicherung oder Löschung von Personendaten zu beachten gilt. Im Zusammenhang mit dem Thema Cybersecurity ist die Datensicherheit von zentraler Bedeutung. Mit Blick auf die Datensicherheit verlangt das DSG, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen sind. Man spricht hierbei in Abkürzung des Begriffes der technischen und organisatorischen Massnahmen von TOMs. Die TOMs werden in der Verordnung zum DSG (VDSG) konkretisiert. Danach muss für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten gesorgt werden. Insbesondere müssen die TOMs vor folgenden Risiken schützen:

  • Unbefugte oder zufällige Vernichtung
  • Zufälligen Verlust
  • Technische Fehler
  • Fälschung, Diebstahl oder widerrechtliche Verwendung
  • Unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
      

Trotz einiger Anpassungen ist das DSG heute nur begrenzt in der Lage, klare Leitlinien zu geben, welche Massnahmen für eine angemessene Cybersecurity ausreichen. Für Unternehmen bringt dies zwar gewisse Unsicherheiten und Risiken mit sich, denn sie müssen nichtsdestotrotz eine zeitgemässe Cybersecurity haben, fordert sie im Sinne der Selbstverantwortung aber auch, weil sie aufgrund eines risikobasierten Ansatzes die TOMs entsprechend evaluieren und implementieren müssen. So wird nämlich etwa für die TOMs verlangt, dass sie dem gegenwärtigen Stand der Technik entsprechen. Insofern ist eine periodische Evaluation der implementierten TOMs und ggf. die Anpassung der Massnahmen unabdingbar.

Zwar ist eine Totalrevision des Datenschutzgesetzes im Gange (vgl. dazu MLL-News vom 13.2.2020), doch ist Zeitpunkt des Inkrafttretens noch nicht bekannt. Jedoch wird auch das revidierte DSG die Selbstverantwortung weiter beinhalten. Wie unter dem bestehenden DSG hat der Bundesrat die Möglichkeit Mindestanforderungen an die Datensicherheit zu definieren. Ob und wie er von dieser Kompetenz Gebrauch machen wird, ist noch nicht vollumfänglich klar. Insofern bleibt die Verantwortung bei den Unternehmen, welche die Risiken bewerten und dementsprechend den Risiken entsprechende TOM umsetzen müssen. Dabei gilt es zu beachten, dass Verstösse gegen die Grundsätze der Bearbeitung von Personendaten nebst finanziellen und Reputationsschäden auch rechtliche Sanktionen zur Folge haben können (vgl. z.B. MLL-News vom 10.8.2019).
  

Nationale Strategie der Schweiz zum Schutz vor Cyberrisiken (NCS)

Die Schweizer Regierung ist bezüglich Cyberrisiken ausserhalb des DSG nicht untätig geblieben. Der Bund hat gemeinsam mit den Kantonen und der Wirtschaft eine nationale Strategie zum Schutz der Schweiz vor Cyberrisiken 2018-2022 (kurz NCS) entwickelt. Sie beschreibt die Cyber-Bedrohungslage und nimmt eine Standortbestimmung des Schutzes der Schweiz vor Cyberrisiken vor. Daraus wird Handlungsbedarf abgeleitet, aus welchem sich wiederum die Vision der NCS ergibt. Sie lautet folgendermassen: «Bei der Nutzung der Chancen der Digitalisierung ist die Schweiz angemessen vor Cyberrisiken geschützt und ist diesen gegenüber resilient. Die Handlungsfähigkeit und Integrität ihrer Bevölkerung, Wirtschaft und des Staates gegenüber Cyber-Bedrohungen ist gewährleistet». Aus der NCS lässt sich somit zwar entnehmen, wie der Bund seinen Fokus legt, für Unternehmen ergeben sich hieraus aber nur wenige brauchbare Handlungsanweisungen.
  

Hilfestellung für KMUs: MELANI Merkblatt zur Informationssicherheit

Deutlich aufschlussreicher als die NCS (insbesondere für KMUs) ist das Merkblatt zur Informationssicherheit, das die Melde- und Analysestelle Informationssicherung (MELANI) herausgibt. MELANI ist vom Bundesrat grundsätzlich mit dem Schutz der kritischen Infrastrukturen in der Schweiz beauftragt, doch ihre Website richtet sich ebenfalls an Private und KMUs in der Schweiz.

Obwohl der Name „Meldestelle“ suggerieren könnte, dass in der Schweiz eine Meldepflicht für Cybervorfälle besteht, ist dies nicht der Fall. In der Zukunft muss aber mit solchen Meldepflichten, die weltweit bereits üblich sind, gerechnet werden. Der Entwurf des totalrevidierten DSG sieht nämlich eine Meldepflicht bei Verletzungen der Datensicherheit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) vor (vgl. dazu MLL-News vom 13.2.2020). Auch prüft der Bundesrat momentan eine Meldepflicht für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen, welche unabhängig von der datenschutzrechtlichen Meldepflicht Bestand haben dürfte (vgl. dazu MLL-News vom 27. April 2020).

Das Merkblatt Informationssicherheit für KMUs dient dazu, diesen zu helfen, ihre IT-Sicherheit im Unternehmensnetzwerk zu erhöhen. Es erläutert, was unter TOMs im Sinne des DSG zu verstehen ist und illustriert dies mit Beispielen. Grundsätzlich wird auf der einen Seite festgehalten, dass organisatorische Massnahmen sicherstellen, dass Verantwortlichkeiten im Unternehmen bezüglich Informationssicherheit definiert sind. Ausgewählte Massnahmen sind:

  • Regelung der Verantwortlichkeiten bezüglich IT
  • Schulungen von Mitarbeitern
  • Kenntnis der Bedrohungslage
  • Implementierung einer Passwort-Policy
  • Kollektivunterschrift beim E-Banking, etc.
      

Auf der anderen Seite tragen technische Massnahmen wesentlich zur IT-Sicherheit im Unternehmensnetzwerk bei und mindern die Gefahr von Infektionen mit Schadsoftware oder anderen unbefugten Zugriffen. Das Merkblatt schlägt folgende ausgewählte Massnahmen vor:

  • Virenschutz
  • Datensicherung
  • Firewall
  • Sicherheitsupdates
  • Verschlüsselung
      

Vergleichbare Informationen enthält auch der Leitfaden des EDÖB zu Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (vgl. dazu MLL-News vom 20.1.2019).
  

Mögliche gesellschaftsrechtliche Haftung des Verwaltungsrates

Die Sicherstellung eines genügenden Cybersecurity Frameworks innerhalb eines Unternehmens bildet eine erhebliche Herausforderung. Unternehmen sind für deren Cybersecurity selbst verantwortlich. Sie müssen autonom Massnahmen ergreifen, welche sie einerseits vor den wirtschaftlichen Risiken einer Cyberattacke schützen und die sie andererseits aber auch vor allfälligen rechtlichen Sanktionen bewahren. Insbesondere der Verwaltungsrat sieht sich dabei einem gewissen Risiko ausgesetzt. Denn er hat gemäss Art. 716a OR die unentziehbare und nicht delegierbare Aufgabe der Oberleitung der Gesellschaft und damit der Ausgestaltung eines angemessenen Risikomanagements, wozu auch die Cybersecurity gehört. Es besteht also auch eine gesellschaftsrechtliche Pflicht, eine angemessene Cybersecurity sicherzustellen.

Im Rahmen der Verantwortlichkeitsbestimmungen des Obligationenrechts kann eine schuldhaft ungenügende Cybersecurity zur persönlichen und solidarischen Haftung von Mitgliedern des Verwaltungsrates führen. Eine angemessene Cybersecurity ist für den Verwaltungsrat somit von besonderem Interesse.
  

Fazit

Obwohl eine angemessene Cybersecurity auch für KMUs immer wichtiger wird, lassen sich aus den geltenden Gesetzen kaum klare Handlungsanweisungen ableiten. Vielmehr setzt der Gesetzgeber diesbezüglich auf die Selbstverantwortung der Unternehmen. Dies birgt für Unternehmen jedoch erhebliche Risiken. Gerade für KMUs stellt die MELANI eine gute Hilfestellung in der Form eines Merkblatts mit Hinweisen zur Ausgestaltung von angemessenen technischen und organisatorischen Massnahmen zur Verfügung. Diese liefern zwar wertvolle Hinweise, können aber eine technische und ggf. juristische Beratung nicht ersetzen, weil eine ungenügende Cybersecurity Unternehmen finanziellen, reputationellen und rechtlichen Risiken aussetzt, die es nicht zu vernachlässigen gilt. Zudem kann sich u. U. der Verwaltungsrat Verantwortlichkeitsklagen ausgesetzt sehen. Insofern sollte das Thema Cybersecurity von der höchsten Führungsebene des Unternehmens erkannt und mit Nachdruck umgesetzt werden.

 

Weitere Informationen: