Das Bundeslagebild Cybercrime 2021 des Bundeskriminalamts betont erneut, dass Unternehmen sämtlicher Größen durch Ransomware-Angriffe bedroht sind. Längst setzen Cyberkriminelle nicht mehr nur darauf, Unternehmen durch Cyberangriffe lahmzulegen. Sie kombinieren die Verschlüsselung mit dem Abfluss von Daten. Für Unternehmen ist dies zum einen deshalb gefährlich, da die Täter personenbezogene Daten erbeuten und gegebenenfalls veröffentlichen können. Hieraus können sich erhebliche datenschutzrechtliche Rechtsfolgen und Reputationsschäden ergeben. Zum anderen bestehen aber deshalb Gefahren, weil es die Täter regelmäßig auf Geschäftsgeheimnisse abgesehen haben. Veröffentlichen sie solche wertvollen Geschäftsgeheimnisse, kann das zu großen wirtschaftlichen Einbußen des betroffenen Unternehmens führen.
Cybersicherheit nach dem Geschäftsgeheimnisgesetz
Seit April 2019 gilt in Deutschland das neue Geschäftsgeheimnisgesetz (GeschGehG), das die bisherigen Strafvorschriften über den Verrat von Geschäfts- und Betriebsgeheimnissen in den §§ 17-19 im Gesetz gegen den unlauteren Wettbewerb (UWG) abgelöst hat und nunmehr eine Definition des Geschäftsgeheimnisses enthält. Eine wesentliche Neuerung bei diesem Begriff des Geschäftsgeheimnisses stellt dar, dass dessen Voraussetzungen erst dann erfüllt sind, wenn der Inhaber des Geheimnisses angemessene Geheimhaltungsmaßnahmen getroffen hat. Hierzu gehören nicht nur klassische Schutzmaßnahmen wie die Bewachung eines Werksgeländes durch den Werksschutz. Stattdessen muss der Geheimnisinhaber im Zeitalter der Digitalisierung regelmäßig auch IT-Sicherheitsmaßnahmen ergreifen, um sein Unternehmen zu schützen, da zum einen die sensiblen Informationen digital gespeichert werden und zum anderen Mitarbeitende des Unternehmens größtenteils auf digitalem Weg kommunizieren.
Risikoanalyse als Startpunkt von Schutzmaßnahmen
Damit das Unternehmen angemessene Schutzmaßnahmen treffen kann, muss es zunächst die Bedeutung der Informationen und die Gefährdungslage für die Informationen analysieren. Die Literatur empfiehlt, die Informationen hierbei in die Kategorien „streng geheim“, „wichtig“ und „sensibel“ einzuteilen. Das Oberlandesgericht Schleswig hat im April 2022 (Az.: 6 U 39/21) diese dreistufige Einteilung von Informationen im Unternehmen bestätigt. Der Analyseprozess sollte regelmäßig erfolgen, da aufgrund der Neuheit des Gesetzes noch wenig Rechtssicherheit besteht und sich die Gefahren für Geschäftsgeheimnisse auch verändern können. Die Leitungsebene des Unternehmens muss den Prozess initiieren und die Zusammenarbeit von IT-Abteilung mit externen Dienstleistern und Rechtsabteilung/Rechtberatung koordinieren.
Schutzmaßnahmen für Geschäftsgeheimnisse
Grundsätzlich sollten nur diejenigen Mitarbeitenden an die einzelnen Informationen gelangen dürfen, die darauf angewiesen sind. Ein solches Zugriffskonzept, auch need-to-know-Prinzip genannt, hält den Kreis der Zugangsberechtigten klein. Weiterhin sind je nach Geheimhaltungsstufe technische Sicherheitsmaßnahmen möglich. Unternehmen können ihre Systeme auf Schwachstellen scannen oder wichtige Informationen in geschützte Clouds auslagern. Das Oberlandesgericht Schleswig hatte sich im genannten Fall zu verschiedenen Techniken der Verschlüsselung geäußert, die für Cybersicherheit existenziell ist. Backup-Konzepte können einen möglichen Verlust von wertvollen Informationen abfedern. Besonders gefährdete Unternehmen sollten sich Penetrationstests unterziehen.
Reaktion des Unternehmens
Erbeuten Cyberkriminelle trotz der Schutzmaßnahmen sensible Informationen, helfen die im GeschGehG vorgesehenen Rechte gegen den Angreifer in der Regel nicht weiter, da die Cyberkriminellen schwer auszumachen sein werden, sodass beispielsweise ein Unterlassungsanspruch ins Leere laufen dürfte. Für Unternehmen führt daher in der Praxis kaum ein Weg daran vorbei, beim Verlust von Geschäftsgeheimnissen Strafanzeige zu stellen, da neben den allgemeinen Cyberdelikten aus dem StGB bei Cyberangriffen auch der besondere Straftatbestand nach § 23 GeschGehG durch die Cyberkriminellen erfüllt sein kann. Die Chance, dass die Cyberkriminellen aufgespürt werden können, ist bei der Einschaltung von Ermittlungsbehörden mit Spezialkenntnissen und -befugnissen deutlich höher. Eine falsche Zurückhaltung kann also kontraproduktiv sein. Hilfestellungen können außerdem auch die Landesbehörden für den Verfassungsschutz leisten, die viel Erfahrung im Bereich von Spionageangriffen und mithin dem Abfluss von Geschäftsgeheimnissen haben.
Kontaktieren Sie uns:
Diana Nadeborn Dr. Theresa Friedrich, LL.M. Markus Ende