Nicht nur Täter von außen, sondern auch Innentäter. Trotz des unternehmensinternen Risikopotentials überwiegt die praktische Relevanz externer Bedrohungen. Meistens sind Dritte Initiatoren und Nutznießer der Angriffe.

Cyberangriffe schaden dem Unternehmen, wenn die Hacker erfolgreich sind. Sie können zu Ausfallzeiten, Datenverlusten und finanziellen Schäden führen:

• Hacker nutzen Malware oder Denial-of-Service-Attacken, um System- oder Serverabstürze zu verursachen.
• SQL-Injection-Attacken ermöglichen es Hackern, Daten in einem System zu verändern, zu löschen oder zu stehlen.
• Mit Phishing-Angriffen können Hacker Personen dazu verleiten, ihnen Geld oder vertrauliche Informationen zu senden.
• Ransomware-Angriffe können ein System deaktivieren, bis das Unternehmen dem Angreifer ein Lösegeld zahlt.

Die haftungsrechtliche Relevanz von Cyber-Bedrohungen ist größer denn je. Auf der Webseite der Telekom kann man sich aktuell anhand einer Weltkarte über die weltweiten Angriffe auf IT-Systeme informieren. Der aktuelle Bericht des Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland geht von einer unverändert hohen Bedrohungslage aus, wobei die Gefährdungen immer vielfältiger werden.

Technische Entwicklungen wie Cloud Computing, Internet of Things und Künstliche Intelligenz verstärken die Bedrohungslage - längst ist daher Informationssicherheit ein essentieller Bestandteil ordnungsgemäßer Unternehmensführung.

Mit der Datensicherheit werden die klassischen Schutzziele der Vertraulichkeit, Integrität und die Verfügbarkeit bei der Verarbeitung von personenbezogenen Daten verfolgt. Die Datenschutz-Grundverordnung (DSGVO) erweiterte diese aus der Informationssicherheit bekannten klassischen CIA-Schutzziele, um das Element der Belastbarkeit der Systeme und Dienste (sog. Resilienz). Die Sicherheitsanforderungen gelten für das gesamte System der Datenverarbeitung.

Mit Hilfe einer Risikoanalyse können Unternehmen ihr individuelles IT-Sicherheitskonzept ausarbeiten, um auf Bedrohungslagen zu reagieren und Schäden zu minimieren. Ein angemessenes IT-Sicherheitskonzept ist für die Erfüllung der IT-Compliance, d.h. der unternehmerischen IT-Sicherheitspflichten, unerlässlich. Sicherheitsversäumnisse in Unternehmen sind u.a. unzureichende Informationssicherheitsstrategie, Nichtbeachtung von Sicherheitsrichtlinien und Vorgaben durch Beschäftigte und unzureichende Wartung von Sicherheitsmechanismen.

Die gesellschafts-, handels- und zivilrechtlichen IT-Sicherheitspflichten finden auf Unternehmen aller Branchen Anwendung, so dass sie einen rechtlichen IT-Sicherheits-Mindeststandard bilden. Hinzu treten verstärkte IT-Sicherheitspflichten aus Spezialgesetzen wie z.B. BSIG, KWG, NIS-2 oder DORA, die auf Unternehmen bestimmter Sektoren oder Branchen Anwendung finden.

Wie man sich als Organisation auf einen Cyberangriff vorbereiten kann

Erstellen eines Incident Response Plans

Ein Incident Response Plan (IRP) ist der Fahrplan für den Fall eines Cyberangriffs. Er sollte klare Anweisungen enthalten, wer wann was zu tun hat, sobald ein Vorfall entdeckt wird. Dazu gehören:

• Festlegung eines Krisenteams,
• Kontaktdaten aller relevanten Personen (intern und extern),
• Schritte zur Eindämmung des Angriffs,
• Kommunikationspläne für interne und externe Stakeholder.
• Mitarbeiterschulungen: Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyberangriffe. Regelmäßige Schulungen zum Thema Cybersicherheit und Datenschutz helfen, Phishing-Versuche und andere Arten von Cyberbedrohungen zu erkennen und richtig darauf zu reagieren.
• Regelmäßige Sicherheitsüberprüfungen: Regelmäßige Überprüfungen der Systeme und Netzwerke auf Schwachstellen sind entscheidend, um potenzielle Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.
• Robustes Backup-System: Sicherstellen, dass alle wichtigen Daten regelmäßig gesichert werden und dass diese Backups an einem sicheren Ort aufbewahrt werden – idealerweise sowohl lokal als auch in der Cloud. Im Falle eines Datenverlusts durch einen Cyberangriff können so die Daten schnell wieder hergestellt werden.
• Testen

Ein Plan ist nur so gut wie seine Umsetzung im Ernstfall. Regelmäßige Übungen und Testen, um sicherzustellen, dass alle Beteiligten wissen, was sie tun müssen und die Vorgänge reibungslos funktionieren.

Informationssicherheit und Datenschutz: Gemeinsam für den Schutz von Daten
Die Informationssicherheit und der Datenschutz haben viele gemeinsame Ziele, auch wenn ihr Fokus unterschiedlich ist. Während die Informationssicherheit die operative Resilienz eines Unternehmens gegen digitale Bedrohungen sicherstellt, zielt der Datenschutz darauf ab, die Privatsphäre und personenbezogene Daten natürlicher Personen zu schützen.