Florian Schwap erinnert sich noch genau. Es war ein Dienstag im Juni, spätabends, als die IT-Systeme bei Salzburg Milch ausfielen. Draußen gewitterte es, zunächst führten die Techniker die Störung auf den Sturm zurück.

Doch wenig später war klar, dass der Ausfall nichts mit dem Unwetter zu tun hat. "Um 23.00 schien auf unseren Geräten der Bluescreen mit der Forderung der Erpresser auf", erzählt Schwap, Prokurist bei Salzburg Milch. "Es wurden sämtliche Passwörter geändert, wir konnten auf keinen Server mehr zugreifen, auf keinen PC, auf gar nichts."

Noch in der Nacht schickte das Unternehmen einen Techniker in den Betrieb. Um sechs Uhr in der Früh fand dann das erste Krisengespräch statt. "Wir hatten das Glück, dass unsere Produktion nicht am zentralen System hing", erzählt Schwap. "Wir konnten daher die nächsten Tage die angelieferte Milch zumindest weiterverarbeiten."

Die gesamte automatisierte Lagerlogistik sei aber ausgefallen. Die Förderbänder im Hochregallager standen still, der Vertrieb konnte keine Lieferscheine und Rechnungen mehr ausstellen. Das Unternehmen schickte Mitarbeiter aus dem Büro zum Schlichten und Verpacken in den Betrieb. "Wir haben uns eine Parallelinfrastruktur mit Privatlaptops aufgebaut, damit wir zumindest irgendetwas machen können", erinnert sich Schwap.

Salzburg Milch beauftragte noch in der Nacht des Angriffs ein externes IT-Unternehmen mit der Entschlüsselung und Wiederherstellung der Systeme. "Unser großes Glück war, dass wir am Tag vor dem Angriff ein Backup gemacht haben. Aber es dauerte trotzdem mehrere Tage, bis die Systeme wieder liefen", erzählt Schwap.

Später rekonstruierten IT-Leute den Weg der Angreifer. Sie hatten sich bereits Monate zuvor durch eine Sicherheitslücke bei Microsoft ins System eingeschleust und dann nach und nach die Kontrolle übernommen. Weltweit wurden tausende Unternehmen attackiert.

Zahlen oder nicht zahlen?

"Es stellt sich nicht die Frage, ob es ein Unternehmen erwischt, sondern wann", sagt Bertram Burtscher, Partner bei Freshfields. Noch vor wenigen Jahren richteten sich die Attacken nur gegen bestimmte Unternehmen. Heute gebe es flächendeckende Angriffe.

"Es ist nicht mehr so, dass nur riesige Unternehmen im Fokus stehen, mittlerweile sind auch kleinere Betriebe betroffen", sagt Burtscher. Sich mit technischen Mitteln vollständig zu schützen sei praktisch nicht möglich. Umso wichtiger sei es, sich auf einen Angriff vorzubereiten, um wenigstens den Schaden im Falle des Falles möglichst kleinzuhalten.

"Zahlen oder nicht zahlen?" Das ist die Frage, die sich Opfer von Cybererpressung stellen müssen. "Die Erpresser fordern heute nicht mehr absurde Beträge", sagt Burtscher. "Smarte Angreifer überlegen sich genau, was es dem Opfer kosten würde, den Schaden zu beheben und den Betrieb wieder aufzunehmen." Damit wird die Frage, ob man das Lösegeld bezahlt, zu einer rationalen Entscheidung des Unternehmers. Burtscher kennt mehrere Fälle, in denen auf die Forderung eingegangen wurde und geht von einer hohen Dunkelziffer aus.

"Natürlich überlegt man, was die bessere Alternative ist, ob man zahlen soll oder nicht", erzählt Schwap. "In unserem Fall haben wir erkannt, dass wir das System wahrscheinlich aus eigener Kraft wieder aufsetzen können."

Nach dem Vorfall hätten sich mehrere Unternehmen gemeldet und erzählt, dass ihnen dasselbe passiert sei, sie aber gezahlt hätten. "Zum Beispiel ein kleiner Handwerksbetrieb, der mit einer Lösegeldforderung von 10.000 Euro konfrontiert war. Ein IT-Experte hätte wohl mehr gekostet", sagt Schwap. "Die Erpresser haben Preislisten und wissen genau, was sie verlangen können."

Vom Opfer zum Täter

Wer Lösegeld bezahlt, macht sich zwar nicht strafbar, hält aber das Geschäftsmodell der Erpresser am Laufen. "Ich verstehe zwar die Unternehmerseite, aber eigentlich ist davon abzuraten, das Geld zu überweisen", sagt Burtscher. Die Bezahlung löse nicht immer das Problem. Oft können die Daten nicht vollständig rekonstruiert werden oder waren bereits frei zugänglich. "Man hat nie absolute Gewissheit. Verbrechern kann man eben nur schwer trauen."

Gerade bei Cyberangriffen, bei denen Daten verlorengehen, gibt es laut Burtscher eine etwas verblüffende und von vielen unterschätzte Risikolage. "Wenn das Opfer nicht sofort nach einem Angriff bestimmte Handlungen setzt, verhält es sich womöglich selbst rechtswidrig."

Bei einem Data Breach, bei dem personenbezogene Daten verlorengehen, muss das Unternehmen die Datenschutzbehörde längstens binnen 72 Stunden und die betroffenen Personen sofort nach Bekanntwerden der Attacke informieren. "Das ist sehr wenig Zeit", sagt Burtscher. Wer der Verpflichtung nicht nachkommt, muss mit hohen Bußgeldern rechnen.

Vorbereitung ist alles

Wichtig sei daher eine "solide datenschutzrechtliche Vorbereitung". Man müsse genau wissen, wo die Daten im Unternehmen sind, was man damit macht und welche Auswirkungen ein Angriff hätte. "Nur dann kann man entsprechend reagieren", sagt Burtscher.

Neben datenschutzrechtlichen Problemen stellen sich im Fall von Cyberangriffen oftmals auch schwierige haftungsrechtliche Fragen. Wer ist für den Schaden im eigenen Unternehmen verantwortlich? Wer für Lieferausfälle bei Kunden? Die Erpresser sind in den meisten Fällen nur sehr schwer greifbar. "Das ist vergebliche Liebesmüh", sagt Andreas Schütz, Partner bei Taylor Wessing.

Betroffene wenden sich mit ihren Ansprüchen deshalb im Normalfall gegen das angegriffene Unternehmen. Das gilt für Personen, deren Daten veröffentlicht wurden, genauso wie für Kunden, die von Lieferausfällen oder Lieferverzögerungen betroffen sind. Vor Gericht stellt sich dann oftmals die Schuldfrage. Liegt ein Fall von höherer Gewalt vor, der den Lieferanten entschuldigt? Oder hat das Unternehmen fahrlässig gehandelt?

Schulungen

"Unternehmen müssen sicherstellen, dass Sicherheitslücken geschlossen werden und das IT-System dem letzten Stand der Technik entspricht", sagt Schütz. Wichtig seien auch regelmäßige Schulungen der Mitarbeiterinnen und Mitarbeiter.

Ein großer Teil der Angriffe sei nicht auf Sicherheitslücken in der Firewall zurückzuführen, sondern auf schlechte Passwörter oder Pishing-Mails. Wenn das Unternehmen die IT-Systeme nicht genug sichert und keine Schulungen macht, dann liegt das Verschulden laut Schütz auf der Hand.

Bestimmte Ansprüche von Lieferanten können schon im Vorhinein vertraglich ausgeschlossen werden – aber nicht alle. "Als Unternehmer kann ich den Schadenersatz natürlich einschränken und zum Beispiel die Haftung für den entgangenen Gewinn beim Kunden ausschließen", sagt Schütz. Ein gänzlicher Haftungsausschluss, etwa auch für grobes Verschulden, ist aber rechtlich nicht möglich.

Ansprüche in alle Richtungen

Im Fall eines Rechtsstreits ist die Größe eines Unternehmens jedenfalls keine Entschuldigung, sagt Burtscher. Kleine, aber international aufgestellte Firmen können ähnlichen Risiken ausgesetzt sein, wie riesige Konzerne. Wer sich heutzutage digital im Geschäftsleben bewegt und dabei mit Daten von Kunden und Geschäftspartner umgeht, muss laut Burtscher auch entsprechende Vorkehrungen treffen.

Gerade bei größeren Unternehmen kann auch das Kapitalmarktrecht Grundlage für Ersatzansprüche sein. Börsennotierte Unternehmen sind ihren Aktionären gegenüber verpflichtend, laufend über den Zustand des Unternehmens und "kursrelevante" Umstände zu informieren. Auch ein groß angelegter Cyberangriff, mit dem wichtige Informationen wie anstehende Transaktionen öffentlich werden, kann kursrelevant sein.

Für das Unternehmen kann dadurch eine "Ad hoc"-Verpflichtung entstehen und es muss die Informationen über den Angriff sofort öffentlich machen, sagt Burtscher. Die Verletzung der Kapitalmarktvorschriften könne daher zu hohen Schadenersatzforderungen führen. "Stellen Sie sich vor, Sie kaufen die Aktie eines Unternehmens, das Ziel eines Angriffs wurde, diese Information aber schuldhaft nicht offengelegt hat. Rasselt der Kurs später in die Tiefe, können Sie gegenüber der Unternehmensleitung Schadenersatz fordern", sagt Burtscher.

Muss die Gesellschaft zahlen, sind Regressansprüche gegen Mitarbeiter oder Geschäftsführer denkbar. Zuletzt hatte etwa der oberösterreichische Flugzeugzulieferer FACC versucht, Schadenersatz von seinem ehemaligen Vorstand zu bekommen, scheiterte aber in allen Instanzen.

Das Unternehmen war 2016 Opfer eines "Fake President Fraud" geworden. Betrüger gaben sich als Firmenchefs aus und überredeten Mitarbeiter dazu, Millionenbeträge auf fremde Konten zu überweisen. Das Unternehmen klagte daraufhin den Vorstand, weil das interne Kontrollsystem versagt hatte. Aus Sicht der Gerichte traf die Geschäftsführung allerdings keine Schuld.

Ein unlösbares Problem?

Die meisten Formen der Cyberkriminalität sind von den aktuellen Tatbeständen im Strafgesetzbuch erfasst, sagt Susanne Reindl-Krauskopf, Professorin für Strafrecht an der Universität Wien. Erpressung ist immer strafbar. Infrage kommen aber auch andere Delikte wie die "Datenbeschädigung" und der "Widerrechtliche Zugriff auf ein Computersystem". Der strafrechtliche Schutz entfalle bei Letzterem nur dann, wenn das IT-System gar nicht geschützt sei.

Das Problem bei Cyberkriminalität liegt allerdings in der Rechtspraxis: "Die Unternehmer sind gefordert, sich um sichere IT-System zu kümmern. Das ist offenbar nicht immer der Fall. Die Gefahr wird nach wie vor unterschätzt", sagt Reindl-Krauskopf.

Dazu komme, dass die Strafverfolgung äußerst schwierig sei. In den meisten Fällen haben die Täter Verbindungen ins Ausland. Die Erhebung der Datenströme, die oftmals über verschlüsselte Server laufen, stellt Ermittler vor große Herausforderungen.

Solange Unternehmen weiterhin Lösegeld bezahlen – was strafrechtlich unbedenklich ist –, floriert auch das Geschäft der Erpresser. Ein Verbot, Lösegeld zu bezahlen, ist aus Sicht von Reindl-Krauskopf aber nicht zielführend. "Die Opfer befinden sich immer in einer Ausnahmesituation, weil ihr Unternehmen direkt betroffen ist." Wichtiger sei es, das Bewusstsein für Cyberkriminalität weiter zu schärfen. "So wie es heutzutage nicht mehr üblich ist, die Wohnungstür offen zu lassen, muss nun vermehrt Geld in die IT-Infrastruktur gesteckt werden", sagt Reindl-Krauskopf.

Auch Salzburg Milch hat seit dem Vorfall im Juni zusätzlich in die Firewall investiert – aber nicht nur das. "Man sieht in solchen Situationen, wie sehr man von IT-Systemen abhängig ist", sagt Schwap. Die wichtigsten Kontakte und Checklisten bewahrt er seither wieder in einem Ordner auf – ausgedruckt auf Papier. (Jakob Pflügl, Magazin "Wirtschaft & Recht, 29.10.2021)