Was bei Ransomware-Angriffen aus rechtlicher Sicht zu tun ist

Ransomware-Angriffe rechtlich gesehen

So vermeiden Finanzinstitute Haftungsrisiken bei Cyberangriffen mit Lösegeldforderungen.

veröffentlicht am 24.09.2024 | Lesezeit: ca. 4 Minuten

Keyfacts:

  • Finanzinstitute sind besonders von Ransomware-Angriffen bedroht.
  • Ransomware-Angriffe mit Lösegeldforderungen können schnell Haftungsrisiken nach sich ziehen.
  • Zahlen oder nicht – das lässt sich nicht pauschal beantworten.

Von der aktuell hohen Cyberbedrohungslage sind insbesondere auch Finanzinstitute wie Banken, Versicherungen, Asset Manager oder Zahlungsdienstleister betroffen. Sie sind Teil der kritischen Infrastruktur (KRITIS) und sind ein lohnendes Opfer für Angreifer, die sensible Daten erlangen und damit möglichst großen Schaden anrichten wollen. Zuletzt wurden gerade im KRITIS-Bereich mehr Erpressungen mit Lösegeldforderungen registriert.

Einen Beleg für die Bedrohungslage liefert auch die KPMG-Studie „Von Cyber Security zu Cyber Resilience“ (Juli 2024). Die Befragung von Security-Verantwortlichen aus 150 Unternehmen in Deutschland, Österreich und der Schweiz hat ergeben, dass neun von zehn Finanzdienstleistern eine Zunahme der Bedrohungen im Vergleich zum Jahresbeginn sehen – mehr als der Durchschnitt der übrigen Branchen.

Ransomware-Angriffe und Cyber-Erpressung: Besondere Herausforderungen für Finanzinstitute

Banken, Versicherungen oder auch Asset Manager stehen in der Tat vor besonderen Herausforderungen. Sie müssen Kundendaten und Vermögenswerte vor dem Zugriff von Kriminellen schützen. Gerade für Angreifer, die Lösegeldforderungen stellen, sind sie daher ein lohnendes Ziel. Denn je länger Kundinnen und Kunden zum Beispiel durch einen Systemausfall nicht an ihr Geld gelangen, desto gravierender ist das auch für das Institut.

Neben finanziellen Verlusten und Reputationsschäden können solche Angriffe auch erhebliche rechtliche Konsequenzen für die handelnden Organe und Vorstände mit sich bringen. Was also sollten sie tun im Fall eines Ransomware-Angriffs?

Studie: Von Cyber Security zu Cyber Resilience

Wie widerstandsfähig sind Unternehmen gegen Cyberangriffe? Wir haben Security-Verantwortliche aus 150 Unternehmen aus Deutschland, Österreich und der Schweiz befragt.

Studie herunterladen

Vorbeugung von Ransomware-Angriffen: Versäumnisse führen zu Haftungsrisiken für Vorstände

Als erster Schritt ist eine gründliche rechtliche Prüfung der organisatorischen und IT-bezogenen Sicherheitsmaßnahmen unerlässlich, um potenzielle Cyberrisiken für das Unternehmen frühzeitig zu identifizieren und zu minimieren. Das umfasst auch eine Vorbereitung angemessener Reaktionen auf die wahrscheinlichsten Szenarien des Cyberrisikos.

Vorstände und andere handelnde Organe tragen eine wesentliche Verantwortung für die Cybersicherheit ihres Unternehmens und den Schutz vor Ransomware. Versäumnisse in diesem Bereich können zu direkten und persönlichen Risiken dieser Organe führen, sowohl in zivil- als auch strafrechtlicher Hinsicht. Das beinhaltet das zivilrechtliche Haften für Schäden des Unternehmens, die durch unzureichende Sicherheitsmaßnahmen entstehen.

Eine rechtliche Prüfung sollte daher unter anderem folgende Schritte umfassen:

  • Prüfen der angemessenen Erhebung des individuellen Cyberrisikos des betroffenen Unternehmens sowie die Ableitung risikoangemessener Risikominderungen

  • die Prüfung der Vollständigkeit sowie Aktualität relevanter interner Richtlinien, Verfahren und der Ausgestaltung relevanter Auslagerungsverträge zum Schutz vor Ransomware

  • die systematische Berücksichtigung des individuellen Cyberrisikos auch auf Ebene der Dienstleister und etwaiger Sub- und Sub-Subdienstleister (sonstiger Fremdbezug IT, Auslagerungen)

  • die Prüfung, ob die Handlungsstrategien für den Ernstfall vollständig und wirksam sind, einschließlich des Vorhandenseins einer Kommunikationsstrategie etwa Richtung Behörden, Shareholder und Versicherung sowie zur Verhandlungsbereitschaft und Verhandlungsführung

  • die Prüfung, ob Bedingungen für eine Übernahme des Schadens durch die Cyber-Versicherung vorliegen

  • die Klärung, ob alle relevanten Stakeholder im Unternehmen ein angemessenes Training erhalten

  • unter Umständen Prüfung der Risiken für Vorstand und handelnde Organe

Prävention und Best Practices: Ransomware-Angriffe schnell eindämmen und kommunizieren

Zur Stärkung der Cybersicherheit und zur Minimierung von Haftungsrisiken sollten Unternehmen daher unbedingt jede angemessene präventive Maßnahme ergreifen. Dazu gehören das Implementieren von Sicherheitsstandards, regelmäßige Sicherheitsaudits, das Schulen von Mitarbeitenden in Sicherheitsfragen, das Simulieren des Eintretens verschiedener Cyberrisiken und das Aufsetzen eines effektiven Notfallplans (Incident-Response-Plan). Hierzu sind alle möglichen praktischen Probleme, zum Beispiel das Sicherstellen der Alarmkette, vorzudenken.

Best Practices im Umgang mit tatsächlichen Zugriffen umfassen das schnelle Identifizieren und Eindämmen von Sicherheitsvorfällen sowie die transparente Kommunikation mit allen Stakeholdern.

Risiken bei der Zahlung von Lösegeldern bei Ransomware-Angriffen

Wenn aber ein folgenschwerer Angriff erfolgt ist, Systeme zum Beispiel nicht mehr funktionieren und die Wiederherstellung sich hinzieht – was sollen Unternehmen dann tun? Sollen Verantwortliche ein gefordertes Lösegeld zahlen? Das ist nicht pauschal zu beantworten.

Tatsache ist: Einerseits birgt die Entscheidung, Lösegelder an Cyberkriminelle zu zahlen, durchaus Risiken. Abgesehen von der Möglichkeit, dass durch einen Angriff verschlüsselte Daten trotz der Zahlung nicht entschlüsselt beziehungsweise weiterverkauft werden, besteht das Risiko der Förderung krimineller Aktivitäten, der Geldwäsche und des Verstoßes gegen internationale Sanktionen.

Anderseits kann der Angriff im konkreten Einzelfall zu einem so gravierenden Notstand führen, dass eine Zahlung wiederum gerechtfertigt ist. Diese Abwägung ist sehr sorgfältig zu treffen und zu dokumentieren und gegebenenfalls auch der Dialog mit den Strafverfolgungsbehörden zu suchen.

Zwar sind derzeit keine Fälle bekannt, bei denen es tatsächlich zu einer strafrechtlichen Verfolgung eines Entscheidungsträgers kam. Jedoch können bereits entsprechende strafrechtliche Ermittlungen die Reputation erheblich beschädigen. Wie man hier vorgehen möchte, gilt es gut zu überlegen, um zu verhindern, dass unter dem Druck, die Unternehmensinteressen zu schützen, die falschen Entscheidungen gefällt werden.

Schutz vor Ransomware-Angriffen fortlaufend überprüfen

Angesichts der wachsenden Bedrohung durch Cyber-Attacken ist es für Unternehmen und ihre Führungskräfte essenziell, vorausschauend zu handeln, um Cyberrisiken zu identifizieren und zu vermeiden. Das erfordert eine kontinuierliche Überprüfung und Anpassung der Sicherheitsstrategien und ihrer Implementierung in der Organisation sowie eine klare Kommunikation und Schulung aller Beteiligten.

Durch das Einhalten der empfohlenen Maßnahmen können Unternehmen nicht nur ihre digitale Resilienz verbessern, sondern auch das Vertrauen ihrer Kunden und Partner stärken.

Das könnte Sie auch interessieren

Freundliche Frau mittleren Alters schüttelt einem Mann die Hand
Digitale Transformation und Innovation

Mit Natural Language Processing KYC-Prozesse in der Bank optimieren

KI und NLP im KYC-Prozess

15.10.2024 | ca. 4 Minuten Lesezeit

Künstliche Intelligenz kann die digitale Legitimationsprüfung vereinfachen.

Numejr Owiesat
Numejr Owiesat
Dr. Tarlan Vezirov
Dr. Tarlan Vezirov
Ann-Malin Hassini
Ann-Malin Hassini
Digitale Transformation und Innovation

Die Zukunft im Blick: Das war der KPMG Asset Management Day 2024

Der KPMG Asset Management Day 2024

11.10.2024 | ca. 6 Minuten Lesezeit

Ein Tag für die Themen, die die Branche bewegen – und ein Ausblick auf 2030

Maren Schmitz
Maren Schmitz
Transparenz schaffen als erster Schritt
Nachhaltigkeit und ESG

Nachhaltigkeitsaspekte der MiCAR: Transparenz schaffen als erster Schritt

Die Nachhaltigkeitsaspekte der MiCAR

09.10.2024 | ca. 4 Minuten Lesezeit

Anbieter von Krypto-Assets müssen ab 2025 umfassende Offenlegungspflichten erfüllen.

Christoph Betz
Christoph Betz
Stefan Renken
Stefan Renken
Suche
Schliessen
© 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.