AUF UNTERNEHMEN LAUERT DIE CYBERCRIME-FALLE

14.06.2017

Die Verantwortung für die Produkte und deren Sicherheit trägt in erster Linie der Hersteller. Aber auch der Nutzer eines Produktes kann im Falle eines Schadens bei Kunden oder Unbeteiligten herangezogen werden, wenn ihm eine eigene Verantwortung zuzurechnen ist. Mit weitreichenden Folgen, denn heute kann praktisch jede vernetzte und mit Sensorik ausgestattete Hardware als Überwachungstool missbraucht werden.

Durch die Wikileaks-Veröffentlichung Vault7 wurde erneut deutlich, dass Angreifer nicht nur in der Lage sind Daten zu stehlen und den Nutzer zu überwachen, sondern dass auch Manipulationen und sogar konkrete Eingriffe in die Steuerung von Produkten möglich sind. Der ferngesteuerte PKW als Waffe, das ist bereits heute ein Szenario, das in der Bundesregierung für Diskussionen um autonomes Fahren sorgt und zu Verschärfungen der bislang geplanten Gesetzeslage führen wird.

Der Bundesrat forderte deshalb am 10. März dieses Jahres eine Überarbeitung der bereits von der Bundesregierung vorgelegten Regeln zum Betrieb und den Systemvoraussetzungen vollautomatisierter Fahrzeuge. Welche technischen Anforderungen künftig an die Zulieferer gestellt werden müssen, ist leider noch lange nicht geklärt.

Bei sicherheitsrelevanten Vorfällen im Cyberbereich wird der Angreifer nur sehr schwer zu überführen sein. Bereits die Frage ob ein technischer Fehler oder ein Angriff Ursache eines Vorfalls ist, wird nur mit ausgereiftem Monitoring überhaupt ermittelt werden können. Gelingt der Nachweis eines Angriffs nicht, so liegt die Verantwortung für Schäden bei dem Lieferanten oder Verwender der Produkte.

Nach der seit 24.05.2016 gültigen und ab 18.05.2018 verbindlichen EU-Datenschutzgrundverordnung ist in jedem Fall eines Datenverlusts eine Meldung an die entsprechende Aufsichtsbehörde vorzunehmen (Art. 33 DS-GVO). Hier sollte ein Unternehmen bereits ein entsprechendes Vorgehen implementiert haben, eine interne Richtlinie zur Meldung der Datenpanne ist dringend angeraten. Wer die Meldepflicht ignoriert, riskiert zusätzlich zu Schadensersatzansprüchen empfindliche Bußgelder (bis zu zehn Mio. Euro oder zwei Prozent vom Jahresumsatz).

Dies gilt mit der DS-GVO auch für externe Datenverarbeiter. Durch Angriffe besteht neben der Datenpanne auch das Risiko von Schäden an Anlagen, Einrichtungen und sogar von Personenschäden. Zum einen ist jeder gehalten, sich nach dem Stand der Technik vor Angriffen zu schützen. Dass dies nicht in jedem Fall gelingen wird, zeigen Wikileaks und andere erfolgreiche Angriffe der Vergangenheit. Zum anderen gilt es daher für die Entscheider die eigene Haftung auf das notwendige Minimum zu begrenzen.

Es besteht eine Vielzahl an Haftungstatbeständen, beispielsweise im Produkthaftungsgesetz oder im Umwelthaftungsgesetz. Bei der Produkthaftung muss der Hersteller für Personenschäden bis 85 Mio. Euro haften, wenn ein Fehler im Produkt/der Software zu einem Schaden geführt hat. Hier ist zukünftig denkbar, dass bereits Versäumnisse bei der Bereinigung von bekannt gewordenen Sicherheitslücken eine volle Haftung auslösen können.

Bei der Anlagenhaftung nach dem Umwelthaftungsgesetz kommt es für eine Ersatzpflicht auf einen eigenen Fehler gar nicht an. Nur im Falle von höherer Gewalt, die nicht durch planbare Maßnahmen verhindert werden konnte, ist eine Haftung ausgeschlossen. Auch hier gilt es also dringend, alles Erforderliche zu tun, um bekannt gewordene Lücken unverzüglich zu schließen. In vertraglichen Regelungen wird die Haftung typischerweise auf Vorsatz und grobe Fahrlässigkeit des jeweiligen Lieferanten beschränkt.

Dies gilt allerdings nicht bei Personenschäden. Auch bei Sachschäden und Vermögensschäden wird die Haftung der Höhe nach zwar häufig auf den vorhersehbaren Schaden begrenzt, dies ist allerdings nach den nun bekannt gewordenen Angriffen kaum noch hilfreich, da vorhersehbare Szenarien weniger überschaubar sind, als dies noch vor einigen Jahren denkbar gewesen wäre.

Längst ist eine Regelung von Service-Leveln in Wartungsverträgen üblich. Auch bei der Haftung sollte man in den Liefer- oder Geschäftsbedingungen im Hinblick auf die geschuldete Leistung Überwachungs- und gegebenenfalls Nachbesserungspflichten berücksichtigen. Beim Bekanntwerden von Sicherheitslücken könnte der Lieferant oder Hersteller sonst nachträglich für Mängel haften, die erst durch die Angriffe Dritter zutage traten.

Zum Autor: Roland Praetorius berät als Rechtsanwalt und Fachanwalt für IT-Recht bundesweit Mandanten zu Fragen rund um die IT und den Datenschutz. Bereits als Rechtsreferendar war er unter anderem beim Landeskriminalamt in Rheinland Pfalz in der Abteilung für die Bekämpfung von Cyberkriminalität tätig. Als Rechtsanwalt hat er sich auf die Bereiche Datenschutz, IT-Verträge, geistiges Eigentum und Cybercrime spezialisiert. Er ist er seit 2017 Fachanwalt für Informationstechnologie (IT-) Recht.

Zurück