Zahlt ein verzweifelter  Firmenboss Lösegeld an die Hacker, besteht die Gefahr, dass er Untreue begeht, warnen Rechtsexperten.

© Getty Images/iStockphoto/gorodenkoff/iStockphoto

Wirtschaft
05/11/2021

Cybercrime: Wenn der Hacker in die Firma drängt

Angriffe auf IT-Netzwerke passieren regelmäßig. Was Entscheidungsträger betroffener Unternehmen beachten müssen.

von Anita Kiefer

Wie fatal die Folgen eines Cyberangriffs sein können, sieht man gerade an der US-amerikanischen Ostküste, wo eine Pipeline lahm gelegt wurde. Solche Probleme scheinen weit weg, sind sie aber nicht. So haben etwa der Kranhersteller Palfinger, die Europäische Arzneimittelagentur EMA und die A1 Telekom Austria eines gemeinsam: Sie wurden alle bereits Opfer eines Hackerangriffs. Keine Einzelfälle.

Doch wie sollen sich Unternehmen aus rechtlicher Sicht auf einen Hackerangriff vorbereiten? Und mit Lösegeldforderungen umgehen, ohne selbst strafrechtlich Relevantes zu tun?

Ganz allgemein braucht es ein Risikoassessment, sagt Clemens Völkl, auf unter anderem IT-Recht spezialisierter Rechtsanwalt aus Wien. Die Unternehmensführung müsse wissen, wofür IT-Infrastruktur überhaupt gut ist im Unternehmen, und welche Vorkehrungen getroffen werden können, um Angriffe zu vermeiden. Dazu braucht es die technische Absicherung ebenso, wie die Vorbereitung auf den Krisenfall.

Energieversorger

Dieser müsse durchgespielt werden, sagt Ulrich Kallausch, Mitbegründer von Certitude Consulting, der Unternehmen genau zu diesem Thema berät. Bei großen Unternehmen wie Energieversorgern gibt es ohnehin strenge Regeln, wie Unternehmen Hackerangriffen vorzubeugen haben. Einer großen Gefahr sind mittelständische, börsenotierte Unternehmen in Österreich ausgesetzt – und die seien sich dieser oft nicht bewusst, so Kallausch.

Wie ein Unternehmen vorbereitet werden sollte, damit es nicht nach dem Angriff strafrechtlich belangt werden kann? „Wenn jemand sich vorher noch nicht mit dem Thema befasst hat, wird es zu spät sein“, sagt Anwalt Völkl. „Nicht nur, was die technischen Themen betrifft, sondern auch die persönliche Haftungsgefahr der handelnden Personen und des Unternehmens.“

Soll man im Krisenfall einer Lösegeldforderung nachkommen? Immerhin ist Geld ja eine der Hauptmotivationen für Hackerangriffe. Hier müssten viele Aspekte betrachtet werden, so Völkl. Einer davon: „Der Vorstand muss sehr genau abwägen, ob dieser Vermögensabfluss, für den es keine geschriebene Pflicht gibt, insgesamt zum Wohl des Unternehmens ist. Ist das nicht so, besteht die Gefahr, dass er Untreue begeht.“

Wer gut vorbereitet ist weiß, wo er sich im Krisenfall rechtlichen und technischen Beistand holen kann. „Ich würde das nicht allein entscheiden“, sagt Völkl. Auch, damit alle Schritte dokumentiert und von einem Rechtsexperten abgesegnet sind. Und auch der technische Beistand ist wichtig – es sollte ein externer sein. „Denn natürlich muss eine IT-Abteilung im Krisenfall befürchten, dass die eigenen Versäumnisse aufgedeckt werden.“

Das Pandemie-bedingte Mehr an Homeoffice hat die Lage in Sachen IT-Security zugespitzt. Immerhin gibt es mehr Eintrittsmöglichkeiten: „Es werden private Wlans genutzt, gibt keine sicheren Netzwerkverbindungen, oft keine Netzwerksegmentierung (die Abschottung der einzelnen Netzwerke zueinander, Anm.)“, zählt Ulrich Kallausch auf.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Um diesen Artikel lesen zu können, würden wir Ihnen gerne die Anmeldung für unser Plus Abo zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diese anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Jederzeit und überall top-informiert

Uneingeschränkten Zugang zu allen digitalen Inhalten von KURIER sichern: Plus Inhalte, ePaper, Online-Magazine und mehr. Jetzt KURIER Digital-Abo testen.