Auswirkungen einer erfolgreichen Cyber-Attacke auf Unternehmen und Management
In den Medien wird täglich über die Auswirkungen von Cyberattacken auf Unternehmen und das Management berichtet. Wie sieht es wirklich aus?
In den Medien wird täglich über die Auswirkungen von Cyberattacken auf Unternehmen und das Management berichtet. Wie sieht es wirklich aus?
In den Medien wird täglich über die Auswirkungen von Cyberattacken auf Unternehmen und das Management berichtet. In den meisten Fällen denkt man an die unmittelbaren Folgen eines Ausfalls der IT-Systeme und der damit einhergehenden Betriebsunterbrechung. Es sind im Rahmen einer Cyber-Attacke allerdings mehrere Aspekte zu bedenken und diese gehen über die unmittelbaren Folgen für das Unternehmen hinaus. Auch muss gar nicht immer ein tatsächlicher Cyber-Angriff vorliegen, wenn von einem Cyber-Vorfall gesprochen wird.
Die Fälle, die in Österreich in den letzten Wochen medial aufgearbeitet wurden, haben bereits ein recht breites Spektrum:
Welch schwerwiegende Folgen ein Cyberangriff auf ein Unternehmen haben kann, zeigt auch die Insolvenz des Fahrradherstellers Prophete Ende 2022. Dem bereits angeschlagenen Unternehmen wurde durch den Cyber-Angriff der Todesstoß versetzt und im Rahmen der Insolvenz lt. Medienberichten an einen Investor verkauft.
In der jüngsten Vergangenheit hat sich gezeigt, dass die Effektivität der Cyberangriffe zunehmend steigt – die Hacker haben sich professionalisiert und durch Arbeitsteilung, Spezialisierung und fertige Hacking-Tools führen die Angriffe häufiger und schneller zum Ziel.
Die häufigsten Cybervorfälle lassen sich in die folgenden Kategorien einordnen, wobei es Vorfälle gibt, welche durchwegs in mehrere Kategorien fallen:
Im Rahmen von weiteren Artikeln werden wir in den nächsten Wochen auf die Folgen der einzelnen Vorfälle detailliert eingehen, wobei wir das Thema der Data Breaches bereits detailliert aufgearbeitet haben.
Auch gibt es weitere Cybervorfälle, von denen Unternehmen und Privatpersonen betroffen sein können, wie Cyber-Spionage, oder Adware – auch der Bedien- und Programmierfehler bzw. auch ein Hardware-, Software- oder Netzwerkfehler können lt. aktuellen Versicherungsbedingungen als Cyber-Vorfall gesehen werden.
Die Folgen für das Unternehmen können je nach Ereignis vielfältig sein:
Nicht nur das Unternehmen befindet sich nach einem schwerwiegenden Cybervorfall in einer Ausnahmesituation, sondern natürlich auch die betroffenen Personen, darunter auch das Management. Auch auf dieser Ebene möchten wir die Auswirkungen beleuchten und die Folgen abschätzen, die ebenso vielfältig wie auf Unternehmensebene sein können.
Auf Managementebene müssen im Falle eines Cybervorfalls zahlreiche Entscheidungen getroffen werden und das Management wird sich auch die Frage stellen, ob es ausreichend auf einen Cyber-Vorfall vorbereitet ist und es alle notwendigen und gebotenen Schritte unternommen hat, um die Auswirkungen Vorfalls so gering wie möglich zu halten. Insofern hier Verfehlungen erkennbar sind, wird sich auch die Frage nach etwaigen rechtlichen Konsequenzen stellen – sei es zivilrechtlich oder (verwaltungs-)strafrechtlich.
Durch das Management gesetzte Maßnahmen können Einfluss auf die Schadenseintrittswahrscheinlichkeit und auf die Schadenshöhe haben – die folgende Übersicht soll verdeutlichen, wo die jeweiligen Maßnahmen schwerpunktmäßig ansetzen:
Man muss beachten, dass die obigen Maßnahmen hier nicht schwarz/weiß zu sehen sind, es kann durchaus sein, dass eine Netzwerksegmentierung einen Cybervorfall verhindert, wenn die Angreifer in den unkritischen Systemen keine lohnenden Ziele finden. Auch ist es durchaus üblich, dass im Zuge des Abschlusses einer Cyberversicherung Sicherheitslücken oder organisatorische Schwachstellen aufgedeckt wurden, welche in weiterer Folge einen Cyber-Vorfall verhindern.
Dass Cyber-Vorfälle schwere Schäden verursachen und auch volkswirtschaftlich durchaus relevant sind, ist auch an den Behörden nicht vorbeigegangen. Daher wurde auch kürzlich die Cybersicherheitsrichtline NIS 2 durch die Europäische Union in Kraft gesetzt und muss daher bis Oktober 2024 von den Nationalstaaten umgesetzt werden. Sie enthält die gesetzlichen Vorgaben für Sicherheitsmaßnahmen und Meldepflichten für wesentliche bzw. wichtige Einrichtungen.
Direkt betroffen werden von dieser Richtlinie in Österreich nach aktuellen Schätzungen ca. 3.500 Betriebe sein. Die Maßnahmen, welche von den Unternehmen gefordert werden, sind durchaus umfangreich:
Aufgrund der enthaltenen Vorschriften zur Cyber-Hygiene (auch in Bezug auf Lieferketten) ist allerdings davon auszugehen, dass weitaus mehr Betriebe die Auswirkungen der Richtlinie zu spüren bekommen.
Erstmalig enthalten sind in der Richtlinie auch definierte Aufsichts- und Durchsetzungsmaßnahmen, welche laufende Kontrollen ohne Anlassfall umfassen und eine explizite Verantwortung der Unternehmensleitung bei der Umsetzung der Maßnahmen definieren. Nicht zuletzt wird auch die Sanktionierung von Verstößen deutlich verschärft – der Strafrahmen erinnert hier in seiner Ausgestaltung an die Strafen lt. DSGVO und geht bis zu EUR 10 Mio. bzw. 2% des weltweiten Umsatzes.
Die Auswirkungen eines Cybervorfalls sind vielfältig und müssen differenziert betrachtet werden. Je nach Betriebsart müssen Maßnahmen getroffen werden, welche auf die vordergründigen Risiken des Unternehmens abgestimmt sind. Die Personen im Management sind in der Verantwortung, diese Risiken zu identifizieren und die geeigneten Maßnahmen einzuleiten. Die aktuellen Erfahrungen zeigen, dass alle Unternehmen von den aktuellen Entwicklungen betroffen sein können, da die Digitalisierung inzwischen auch in den traditionellsten Branchen Fuß fasst und die Unternehmen damit angreifbar macht.
Data Breach – Meldeverpflichtungen und Konsequenzen
Hohe Schäden durch Ransomware-Angriffe – warum?
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESENAm 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESENÜber die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN