Wirtschaft

Cybercrime: Wenn der Hacker in die Firma drängt

Zahlt ein verzweifelter Firmenboss Lösegeld an die Hacker, besteht die Gefahr, dass er Untreue begeht, warnen Rechtsexperten.

Angriffe auf IT-Netzwerke passieren regelmäßig. Was Entscheidungsträger betroffener Unternehmen beachten müssen.

Von Anita Kiefer

11.05.21, 05:00

Wie fatal die Folgen eines Cyberangriffs sein können, sieht man gerade an der US-amerikanischen Ostküste, wo eine Pipeline lahm gelegt wurde. Solche Probleme scheinen weit weg, sind sie aber nicht. So haben etwa der Kranhersteller Palfinger, die Europäische Arzneimittelagentur EMA und die A1 Telekom Austria eines gemeinsam: Sie wurden alle bereits Opfer eines Hackerangriffs. Keine Einzelfälle.

Doch wie sollen sich Unternehmen aus rechtlicher Sicht auf einen Hackerangriff vorbereiten? Und mit Lösegeldforderungen umgehen, ohne selbst strafrechtlich Relevantes zu tun?

Ganz allgemein braucht es ein Risikoassessment, sagt Clemens Völkl, auf unter anderem IT-Recht spezialisierter Rechtsanwalt aus Wien. Die Unternehmensführung müsse wissen, wofür IT-Infrastruktur überhaupt gut ist im Unternehmen, und welche Vorkehrungen getroffen werden können, um Angriffe zu vermeiden. Dazu braucht es die technische Absicherung ebenso, wie die Vorbereitung auf den Krisenfall.

Energieversorger

Dieser müsse durchgespielt werden, sagt Ulrich Kallausch, Mitbegründer von Certitude Consulting, der Unternehmen genau zu diesem Thema berät. Bei großen Unternehmen wie Energieversorgern gibt es ohnehin strenge Regeln, wie Unternehmen Hackerangriffen vorzubeugen haben. Einer großen Gefahr sind mittelständische, börsenotierte Unternehmen in Österreich ausgesetzt – und die seien sich dieser oft nicht bewusst, so Kallausch.

Wie ein Unternehmen vorbereitet werden sollte, damit es nicht nach dem Angriff strafrechtlich belangt werden kann? „Wenn jemand sich vorher noch nicht mit dem Thema befasst hat, wird es zu spät sein“, sagt Anwalt Völkl. „Nicht nur, was die technischen Themen betrifft, sondern auch die persönliche Haftungsgefahr der handelnden Personen und des Unternehmens.“

Die USA und China sind die weltweit größten Rohölnachfrager

Hackerangriff auf US-Pipelines verteuert Rohöl und Benzin

Soll man im Krisenfall einer Lösegeldforderung nachkommen? Immerhin ist Geld ja eine der Hauptmotivationen für Hackerangriffe. Hier müssten viele Aspekte betrachtet werden, so Völkl. Einer davon: „Der Vorstand muss sehr genau abwägen, ob dieser Vermögensabfluss, für den es keine geschriebene Pflicht gibt, insgesamt zum Wohl des Unternehmens ist. Ist das nicht so, besteht die Gefahr, dass er Untreue begeht.“

Wer gut vorbereitet ist weiß, wo er sich im Krisenfall rechtlichen und technischen Beistand holen kann. „Ich würde das nicht allein entscheiden“, sagt Völkl. Auch, damit alle Schritte dokumentiert und von einem Rechtsexperten abgesegnet sind. Und auch der technische Beistand ist wichtig – es sollte ein externer sein. „Denn natürlich muss eine IT-Abteilung im Krisenfall befürchten, dass die eigenen Versäumnisse aufgedeckt werden.“

Das Pandemie-bedingte Mehr an Homeoffice hat die Lage in Sachen IT-Security zugespitzt. Immerhin gibt es mehr Eintrittsmöglichkeiten: „Es werden private Wlans genutzt, gibt keine sicheren Netzwerkverbindungen, oft keine Netzwerksegmentierung (die Abschottung der einzelnen Netzwerke zueinander, Anm.)“, zählt Ulrich Kallausch auf.

Cybercrime: Wenn der Hacker in die Firma drängt

Energieversorger

Hackerangriff auf US-Pipelines verteuert Rohöl und Benzin

Palfinger-Werke standen wegen Cyber-Attacke tagelang still

Terror, Cyberangriffe, Blackouts: Das Ende des „relativen Friedens“

Internetkriminalität um ein Viertel gestiegen

Kommentare