Allein die Bundesverwaltung sah sich zwischen Mai 2017 und Mai 2018 durchschnittlich mit 28.000 infizierten E-Mails pro Monat konfrontiert. Rund 6.000 schädliche E-Mails konnten nur aufgrund eigener Antivirus-Signaturen erfasst werden, heißt es im Lagebericht des BSI. Dessen Analysten hatten im Berichtszeitraum über 40.000 Angriffe identifiziert, die von den eingesetzten kommerziellen Schutzprodukten nicht erkannt oder blockiert werden konnten. Welche Haftungsrisiken gibt es in diesem Zusammenhang für die Kritis-Betreiber bzw. deren Vorstände, Aufsichtsräte und Geschäftsführer? Ein Überblick von Manfred Grühn (Dekra Certification), Dr. Hans v. Gehlen und Johannes Jäger (beide Beiten Burkhardt Rechtsanwaltsgesellschaft).

Zwar sind die spektakulären, öffentlich wirksamen Angriffe derzeit weniger geworden, doch entsteht laut Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue, vielschichtige Qualität der Bedrohung. Angreifer entwickeln Schadprogramme und Angriffswege für eine flächendeckende automatisierte Verbreitung, die meist nur noch mit einem Austausch der Hardware vollständig geschlossen werden können. Allein die Schäden mit den Verschlüsselungsattacken (Ransomsoftware) von 2017 werden weltweit auf rund acht Milliarden Dollar geschätzt.

IT-Sicherheit im Kritis-Sektor
Bereits vor einigen Jahren beschloss der Bundestag das IT-Sicherheitsgesetz mit einem Maßnahmenpaket, um die Sicherheit informationstechnischer Systeme zu erhöhen. Dabei werden Betreiber von kritischen Einrichtungen, die wesentliche Bedeutung für das staatliche Gemeinwesen haben, besonders verpflichtet, ihre IT-Infrastruktur vor Angriffen und Störungen zu sichern. Auf Grundlage des BSI-Gesetzes sowie der im Mai 2016 in Kraft getretenen und im Mai 2017 geänderten Verordnung zur Bestimmung Kritischer Infrastrukturen (Kritis) nach dem BSI-Gesetz (BSI-KritisV) ist festgelegt, welche Einrichtungen nach Art und Größe eine sogenannte Kritikalität aufweisen.

Die acht Kritis-Sektoren (plus Staat und Verwaltung) und die jeweiligen Fristen zur Umsetzung und Meldung der IT-Sicherheitsstandards an das BSI wurden in zwei Körbe unterteilt: Der erste Korb umfasst die Sektoren Energie, Wasser, Ernährung, IT/Telekommunikation und hatte eine Umsetzungsfrist für die Implementierungs- und Meldepflicht bis zum 3. Mai 2018. Für den zweiten Korb – mit den Sektoren Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen – läuft die Frist noch bis zum 30. Juni 2019.

Kommt es zum Ernstfall und eine Cyberattacke greift spürbar in die öffentliche Versorgung ein, ist bei dem betroffenen Betreiber nicht nur mit Einnahmeausfällen und Reputationsschäden zu rechnen. Ein Haftungsfall kann die verantwortlichen Personen im Unternehmen hart treffen. Denn nach den §§ 8a, 8b des BSI-Gesetzes müssen Kritis-Betreiber angemessene organisatorische und technische Vorkehrungen zur Vermeidung von IT-Störungen nachweisen und umsetzen. Dabei sind branchenspezifisch zu definierende Mindeststandards einzuhalten und erhebliche IT-Angriffe und Störungen dem BSI zu melden. So gingen in den zwölf Monaten bis Ende Mai 2018 beim BSI bereits 145 Sicherheitsvorfälle von Kritis-Betreibern ein, hauptsächlich aus den Sektoren IT, Telekommunikation und Energieversorgung.

Hohe Bußgelder drohen
Was bei alledem massiv unterschätzt wird, sind die Haftungsrisiken, die für Vorstände, Aufsichtsräte und Geschäftsführer der Kritis-Betreiber nicht nur virulent sind, sondern mit den immer subtileren Hackerangriffen zunehmen. Zu sehen ist eine Reihe von Kritis-Betreibern aus dem 1. Korb, die ihre – für das Gemeinwesen als kritisch einzustufende – IT-Infrastruktur noch nicht ausreichend vor Cyber-Angriffen und Störungen gesichert haben. Folglich fehlen dort auch die gesetzlich verpflichteten Dokumentationen und Nachweise wie Zertifizierungen.

Was sind die möglichen Konsequenzen? Das BSI verfügt über den gesetzlichen Auftrag, die IT-Mindestsicherheitsstandards bei Kritis-Betreibern durchzusetzen. Neben der Überprüfung vor Ort sind dies die Zwangsmittel der zuständigen Aufsichtsbehörde und die Verhängung von Bußgeldern durch das BSI selbst. Allerdings wird mit dem seit Ende März 2019 vorliegenden Referentenentwurf zum IT-Sicherheitsgesetz 2 (IT-SiG 2.0) der rechtliche Rahmen der Strafverfolgungs- und Sicherheitsbehörden in punkto IT-Sicherheit vergrößert. Geplant ist außerdem, dass die bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der IT-Mindeststandards für Kritis-Betreiber auf weitere Bereiche der Wirtschaft ausgeweitet werden. Daher wird die Abgrenzung der sogenannten Kritikalität künftig schwieriger werden, wodurch die Haftungsrisiken tendenziell steigen.

Wer haftet?
Bei einem Vorfall und Verstoß, der einer unzureichend dokumentierten und umgesetzten IT-Sicherheit geschuldet ist, haftet zunächst der Kritis-Betreiber, d. h. das Unternehmen. Erst danach ist eine persönliche Haftung der Entscheider in der Unternehmensleitung möglich. Das BSI-Gesetz belegt Verstöße als Ordnungswidrigkeiten mit Bußgeldern von bis zu 100.000 Euro. Noch drastischer können die Bußgelder bei datenschutzrechtlich relevanten IT-Sicherheitsvorfällen ausfallen – bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Betreibers.

Um das Management oder auch den Aufsichtsrat eines Kritis-Unternehmens in die Haftung nehmen zu können, sind die Schadensersatzvorschriften aus dem Gesellschaftsrecht und dem allgemeinen Zivilrecht relevant. Für die beiden gängigen Unternehmensformen, die AG und GmbH, verlangen die relevanten Haftungsnormen von Verantwortlichen die Beachtung des Sorgfaltsmaßstabes. Verstößt ein Manager in zumindest fahrlässiger Weise gegen diese Sorgfalt, kann ein behördlich auferlegtes Bußgeld letztendlich auf das einzelne Mitglied der Geschäftsleitung durchschlagen.

Während bei Ordnungswidrigkeiten gemäß BSI-Gesetz höchstens eine Geldbuße von 100.000 Euro in Betracht kommt, kann bei Straftaten beispielsweise im Datenschutzrecht die Geldbuße des Managers auf maximal eine Million Euro steigen. Auch eine direkte Haftung des Managers zwischen Staat oder einem Geschädigten ist möglich, wenn etwa Versäumnisse bei der Implementierung der IT-Sicherheitsarchitektur und der Meldepflichten vorliegen.

Mit QM Haftungsansprüche vermeiden
Die Gefahr, dass Infrastrukturen ausfallen, gestört oder manipuliert werden, ist hoch. An einer rechtskonformen, technisch sicheren und wirtschaftlich effizienten IT-Sicherheitsarchitektur insbesondere für Kritis-Betreiber führt deshalb kein Weg vorbei. Der Nachweis kann durch die Zertifizierung vor allem nach dem weltweit zugelassenen Standard ISO 27001, unter Berücksichtigung der branchenspezifischen Relevanz von Bedrohungen und Schwachstellen erbracht werden.

Um das angestrebte IT-Sicherheitsniveau zu definieren und fortlaufend an die aktuelle Gefährdungslage anzupassen, ist die Dokumentation der IT-Prozesse absolut grundlegend. Hierfür müssen sich die Verantwortlichen im Unternehmen zur Vermeidung von Haftungsansprüchen einen Überblick über die internen und externen Anforderungen ihrer Infrastruktur verschaffen. Sie müssen nachweislich Kenntnisse über die kritischen IT-Kernkomponenten, Dienste und Prozesse haben, um sie mit einer angemessenen Schutzklasse bewerten und steuern zu können.

Eine belastbare Informations- und Datensicherheit baut immer auf der Highlevel-Struktur des klassischen Qualitätsmanagements nach ISO 9001:2015 auf. Dieses QM – in Kombination mit einem Managementsystem für Informationssicherheit (ISMS) nach DIN EN ISO/IEC 27001 zu betreiben und zu verbessern – beschreibt die technischen und organisatorischen Maßnahmen sowie die bewerteten Schutzklassen. So gründet ein verlässliches IT-Sicherheitskonzept immer auf den Basisdokumenten des Qualitätsmanagements. Diese Dokumente sind freilich das sichtbarste Signal, dass sich das Unternehmen strukturiert mit der IT-Sicherheit befasst. Allerdings kann die Dokumentation nicht einfach an einen IT-Beauftragten delegiert werden. Vielmehr liegt das Statement eines sicheren IT-Betriebs immer im Verantwortungsbereich des Managements.