Abwehr von Cyber-Attacken – Angriff ist nicht die beste Verteidigung

PrintMailRate-it

veröffentlicht am 10. Juni 2022 | Lesedauer ca. 3 Minuten

     

Eine Cyber Attacke stellt für jedes Unternehmen eine echte Krisensituation dar. Art und Ausmaß variieren dabei. Sobald allerdings das Unternehmen bzw. die IT-Infrastruktur vollständig verschlüsselt ist und Datensätze exfiltriert wurden, ist jedem Geschäftsführer und jedem Beschäftigten klar, dass sich das Unternehmen in einer echten und existenziellen Krisensituation befindet.

    

Das Zielunternehmen hat nunmehr mit allen Stakeholdern umgehend in den Austausch zu gehen und auch die Meldepflichten (u.a. Art. 33 DS-GVO) zu erfüllen. Für die Entscheider in den Unternehmen und für die IT gilt nun: „Bring back to business", denn ansonsten sind die Risiken und Haftungsszenarien nicht mehr kalkulierbar.  Doch auch die Neugier über die Umstände sowie die Identität der Angreifer treibt die Unternehmen bzw. Entscheider an. Dieser Neugier muss in der rechtlichen Beratung deutlich entgegen getreten werden: Denn nicht alle Maßnahmen sind nach deutschem Recht legal. Es bestehen nicht zuletzt auch auf Seiten der „Opfer" Strafbarkeitsrisiken.

   

Neuer Höchstwert bei Cyber-Straftaten

In seinem Bundeslagebild 2021 – Cybercrime hat das Bundeskriminalamt (BKA) unlängst einen neuen Höchstwert bei Cyber-Straftaten veröffentlicht. Die Anzahl der erfassten Cyberstraftaten stieg gegenüber dem Vorjahr um über 12 Prozent an. Der Fokus der Ermittler lag im Jahr 2021 auf Ransomware-Attacken. Deren Bedrohungspotenzial sei im Jahr 2021 ebenfalls deutlich angestiegen. Der Standard-Modus-Operandi sei die sogenannte Double Extorsion („Doppel-Erpressung"). Dabei werden auf den gehackten Systemen befindliche Daten zunächst verschlüsselt und für die Aufhebung der Verschlüsselung ein Lösegeld verlangt. Zugleich werden Daten an externe Server kopiert bzw. ausgeleitet (Exfiltration). Die Angreifer drohen anschließend mit der Veröffentlichung der Daten, falls nicht (abermals) ein Lösegeld gezahlt wird.

   

Strafbarkeitsrisiken vermeiden

Standardmäßig werden sodann internationale forensische Teams als „Incident Response Teams" beauftragt.

Aufgrund ihres hohen Spezialisierungsgrades verfügen diese IT-Spezialisten häufig über alle Mittel, die – technisch betrachtet – jenen der Angreifer gleichgestellt sind. Diese Teams agieren hoch professionell und haben drei wesentliche Aufgaben: Sicherung der Datensätze, Feststellungen zum Patient Zero (Einfallstor) und Funktionsfähigkeit der Systeme.

   

Während die Sicherung der Datensätze oftmals im Zusammenspiel mit der internen IT ganz gut funktioniert, ist eine Feststellung über das Einfallstor bzw. der Angriffsvektoren oft nur mit einer Wahrscheinlichkeit zu benennen. Auch die Identität der Angreifer ist kaum zu ermitteln und wenn nur mit Zufallsfunden erfolgreich zu identifizieren.

   

Gleichwohl hinterlassen die Angreifer regelmäßig Spuren. Insbesondere dann, wenn Datensätze exfiltriert wurden und auf Filehosting-Plattformen auftauchen. In einer solchen Situation ist es für die Geschäftsleitung und auch für die IT-Spezialisten zunächst verlockend, den Spuren nachzugehen. Oftmals werden hier rechtliche Aspekte vollständig ausgeblendet, da die Haltung als Opfer einer Cyber Attacke gefühlt jegliche Handlungen zu legitimieren scheint.

    

Spätestens hier scheint es daher zwingend, nicht den IT-Spezialisten die Beratung allein zu überlassen, sondern vermehrt immer wieder die Rechtsberater einzubinden. Denn die Feststellungen zur Identität der Angreifer, der Rückverfolgung von exfiltrierten Daten muss unter den anwendbaren Rechtsordnungen geprüft werden.

   

Das gilt auch für die Verwendung der häufig von den IT-Spezialisten genutzten Open-Source-Intelligence-Technologien (OSINT). Hierbei handelt es sich um Software-Tools, mit denen Informationen aus grundsätzlich frei verfügbaren Quellen gesammelt werden, um durch Analyse der unterschiedlichen Informationen verwertbare Ergebnisse zu gewinnen; insbesondere Feststellungen zu erhalten, ob die exfiltrierten Datensätze im Clear- oder im Darknet auftauchen. Bestimmte OSINT-Technologien sind insbesondere datenschutzrechtlich unzulässig.

   

Die Grenze des rechtlich Zulässigen dürfte im deutschen Recht jedenfalls dort überschritten sein, wenn sich die IT-Spezialisten (zurechenbar) unbefugt Zugang zu Daten verschaffen, die nicht für sie bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, wenn sie diese Zugangssicherung überwinden (Ausspähen von Daten, § 202a StGB); insbesondere bei unberechtigten Zugängen bei Filehosting-Plattformen.

   

Compliance sicherstellen

Angesichts dieser Umstände sollte genau hinterfragt und abgestimmt werden, welche technischen Maßnahmen im Einzelnen durchgeführt werden bzw. notwendig sind. Insbesondere sollten unkontrollierte Gegenangriffe (Hackbacks) verhindert werden. Die Entdeckungsgefahr eigener rechtlich unzulässiger bzw. zurechenbarer Handlungen ist durch die pflichtgemäße Meldung bei den datenschutzrechtlichen Aufsichtsbehörden und der Kontaktaufnahmen zu den Ermittlungsbehörden (Polizei/Staatsanwaltschaft) latent gegeben.

   

Insbesondere die datenschutzrechtlichen Aufsichtsbehörden stellen oftmals vertiefte Nachfragen zu den forensischen Tätigkeiten der externen Dienstleister. Leichtfertig sollten daher nicht alle Kenntnisse an die Behörde weitergegeben werden. Es sind schlichtweg nur die Informationen an die Behörde herauszugeben, die notwendig sind oder angefragt wurden. Selbstbelastungen sind in den rechtlich zulässigen Rahmen zu unterlassen.

   

Fazit

Cyber Attacken sind echte Unternehmenskrisen und fordern die Entscheider auf allen Ebenen. Wut und Neugier sind schlechte Ratgeber. Vielmehr gilt es, einen klaren Kopf zu bewahren und ein Krisenreaktionsteam unverzüglich zusammenzustellen. Stellen Sie durch das Zusammenspiel Ihrer rechtlichen Berater, der IT-Spezialisten, und Ihrer Vertrauten sicher, dass die Entscheidungen umfassend getroffen werden und die Compliance in der Krise sichergestellt ist.

Kontakt

Contact Person Picture

Dr. Stefan Lehner

Rechtsanwalt

+49 911 9193 1492

Anfrage senden

Contact Person Picture

Fabian Jeremias, LL.M.

Rechtsanwalt

Associate Partner

+49 521 2607 4826

Anfrage senden

Profil

 Mehr lesen?

Deutschland Weltweit Search Menu