Was bei Ransomware-Angriffen aus rechtlicher Sicht zu tun ist

Ransomware-Angriffe rechtlich gesehen

So vermeiden Finanzinstitute Haftungsrisiken bei Cyberangriffen mit Lösegeldforderungen.

veröffentlicht am 24.09.2024 | Lesezeit: ca. 4 Minuten

Keyfacts:

  • Finanzinstitute sind besonders von Ransomware-Angriffen bedroht.
  • Ransomware-Angriffe mit Lösegeldforderungen können schnell Haftungsrisiken nach sich ziehen.
  • Zahlen oder nicht – das lässt sich nicht pauschal beantworten.

Von der aktuell hohen Cyberbedrohungslage sind insbesondere auch Finanzinstitute wie Banken, Versicherungen, Asset Manager oder Zahlungsdienstleister betroffen. Sie sind Teil der kritischen Infrastruktur (KRITIS) und sind ein lohnendes Opfer für Angreifer, die sensible Daten erlangen und damit möglichst großen Schaden anrichten wollen. Zuletzt wurden gerade im KRITIS-Bereich mehr Erpressungen mit Lösegeldforderungen registriert.

Einen Beleg für die Bedrohungslage liefert auch die KPMG-Studie „Von Cyber Security zu Cyber Resilience“ (Juli 2024). Die Befragung von Security-Verantwortlichen aus 150 Unternehmen in Deutschland, Österreich und der Schweiz hat ergeben, dass neun von zehn Finanzdienstleistern eine Zunahme der Bedrohungen im Vergleich zum Jahresbeginn sehen – mehr als der Durchschnitt der übrigen Branchen.

Ransomware-Angriffe und Cyber-Erpressung: Besondere Herausforderungen für Finanzinstitute

Banken, Versicherungen oder auch Asset Manager stehen in der Tat vor besonderen Herausforderungen. Sie müssen Kundendaten und Vermögenswerte vor dem Zugriff von Kriminellen schützen. Gerade für Angreifer, die Lösegeldforderungen stellen, sind sie daher ein lohnendes Ziel. Denn je länger Kundinnen und Kunden zum Beispiel durch einen Systemausfall nicht an ihr Geld gelangen, desto gravierender ist das auch für das Institut.

Neben finanziellen Verlusten und Reputationsschäden können solche Angriffe auch erhebliche rechtliche Konsequenzen für die handelnden Organe und Vorstände mit sich bringen. Was also sollten sie tun im Fall eines Ransomware-Angriffs?

Studie: Von Cyber Security zu Cyber Resilience

Wie widerstandsfähig sind Unternehmen gegen Cyberangriffe? Wir haben Security-Verantwortliche aus 150 Unternehmen aus Deutschland, Österreich und der Schweiz befragt.

Studie herunterladen

Vorbeugung von Ransomware-Angriffen: Versäumnisse führen zu Haftungsrisiken für Vorstände

Als erster Schritt ist eine gründliche rechtliche Prüfung der organisatorischen und IT-bezogenen Sicherheitsmaßnahmen unerlässlich, um potenzielle Cyberrisiken für das Unternehmen frühzeitig zu identifizieren und zu minimieren. Das umfasst auch eine Vorbereitung angemessener Reaktionen auf die wahrscheinlichsten Szenarien des Cyberrisikos.

Vorstände und andere handelnde Organe tragen eine wesentliche Verantwortung für die Cybersicherheit ihres Unternehmens und den Schutz vor Ransomware. Versäumnisse in diesem Bereich können zu direkten und persönlichen Risiken dieser Organe führen, sowohl in zivil- als auch strafrechtlicher Hinsicht. Das beinhaltet das zivilrechtliche Haften für Schäden des Unternehmens, die durch unzureichende Sicherheitsmaßnahmen entstehen.

Eine rechtliche Prüfung sollte daher unter anderem folgende Schritte umfassen:

  • Prüfen der angemessenen Erhebung des individuellen Cyberrisikos des betroffenen Unternehmens sowie die Ableitung risikoangemessener Risikominderungen 
  • die Prüfung der Vollständigkeit sowie Aktualität relevanter interner Richtlinien, Verfahren und der Ausgestaltung relevanter Auslagerungsverträge zum Schutz vor Ransomware 
  • die systematische Berücksichtigung des individuellen Cyberrisikos auch auf Ebene der Dienstleister und etwaiger Sub- und Sub-Subdienstleister (sonstiger Fremdbezug IT, Auslagerungen) 
  • die Prüfung, ob die Handlungsstrategien für den Ernstfall vollständig und wirksam sind, einschließlich des Vorhandenseins einer Kommunikationsstrategie etwa Richtung Behörden, Shareholder und Versicherung sowie zur Verhandlungsbereitschaft und Verhandlungsführung 
  • die Prüfung, ob Bedingungen für eine Übernahme des Schadens durch die Cyber-Versicherung vorliegen 
  • die Klärung, ob alle relevanten Stakeholder im Unternehmen ein angemessenes Training erhalten 
  • unter Umständen Prüfung der Risiken für Vorstand und handelnde Organe

Prävention und Best Practices: Ransomware-Angriffe schnell eindämmen und kommunizieren

Zur Stärkung der Cybersicherheit und zur Minimierung von Haftungsrisiken sollten Unternehmen daher unbedingt jede angemessene präventive Maßnahme ergreifen. Dazu gehören das Implementieren von Sicherheitsstandards, regelmäßige Sicherheitsaudits, das Schulen von Mitarbeitenden in Sicherheitsfragen, das Simulieren des Eintretens verschiedener Cyberrisiken und das Aufsetzen eines effektiven Notfallplans (Incident-Response-Plan). Hierzu sind alle möglichen praktischen Probleme, zum Beispiel das Sicherstellen der Alarmkette, vorzudenken.

Best Practices im Umgang mit tatsächlichen Zugriffen umfassen das schnelle Identifizieren und Eindämmen von Sicherheitsvorfällen sowie die transparente Kommunikation mit allen Stakeholdern.

Risiken bei der Zahlung von Lösegeldern bei Ransomware-Angriffen

Wenn aber ein folgenschwerer Angriff erfolgt ist, Systeme zum Beispiel nicht mehr funktionieren und die Wiederherstellung sich hinzieht – was sollen Unternehmen dann tun? Sollen Verantwortliche ein gefordertes Lösegeld zahlen? Das ist nicht pauschal zu beantworten.

Tatsache ist: Einerseits birgt die Entscheidung, Lösegelder an Cyberkriminelle zu zahlen, durchaus Risiken. Abgesehen von der Möglichkeit, dass durch einen Angriff verschlüsselte Daten trotz der Zahlung nicht entschlüsselt beziehungsweise weiterverkauft werden, besteht das Risiko der Förderung krimineller Aktivitäten, der Geldwäsche und des Verstoßes gegen internationale Sanktionen.

Anderseits kann der Angriff im konkreten Einzelfall zu einem so gravierenden Notstand führen, dass eine Zahlung wiederum gerechtfertigt ist. Diese Abwägung ist sehr sorgfältig zu treffen und zu dokumentieren und gegebenenfalls auch der Dialog mit den Strafverfolgungsbehörden zu suchen.

Zwar sind derzeit keine Fälle bekannt, bei denen es tatsächlich zu einer strafrechtlichen Verfolgung eines Entscheidungsträgers kam. Jedoch können bereits entsprechende strafrechtliche Ermittlungen die Reputation erheblich beschädigen. Wie man hier vorgehen möchte, gilt es gut zu überlegen, um zu verhindern, dass unter dem Druck, die Unternehmensinteressen zu schützen, die falschen Entscheidungen gefällt werden.

Schutz vor Ransomware-Angriffen fortlaufend überprüfen

Angesichts der wachsenden Bedrohung durch Cyber-Attacken ist es für Unternehmen und ihre Führungskräfte essenziell, vorausschauend zu handeln, um Cyberrisiken zu identifizieren und zu vermeiden. Das erfordert eine kontinuierliche Überprüfung und Anpassung der Sicherheitsstrategien und ihrer Implementierung in der Organisation sowie eine klare Kommunikation und Schulung aller Beteiligten.

Durch das Einhalten der empfohlenen Maßnahmen können Unternehmen nicht nur ihre digitale Resilienz verbessern, sondern auch das Vertrauen ihrer Kunden und Partner stärken.

Das könnte Sie auch interessieren

Das Bild zeigt Gewerbeimmobilien in Frankfurt
Finance und Risk

Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

19.11.2024 | ca. 5 Minuten Lesezeit

Die Aufsicht fordert, dass Kreditinstitute Immobilienbewertungen engmaschiger überwachen.

Daniel Demleitner
Daniel Demleitner
Karsten Neiteler
Karsten Neiteler
Pascal Stolz
Pascal Stolz
Wald bedroht von Klimarisiken und Waldbrand. Kreditrisikomodelle
Finance und Risk

KPMG-Umfrage: Klima- und Umweltrisiken in Kreditrisikomodellen

Umfrage: Klimarisiken im Kreditrisiko

14.11.2024 | ca. 2 Minuten Lesezeit

Neue Befragung zeigt, wo Banken bei der Anpassung von Kreditrisikomodellen stehen.

Frank Glormann
Frank Glormann
Dr. Jürgen Ringschmidt
Dr. Jürgen Ringschmidt
Dr. Lora Todorova
Dr. Lora Todorova
Das Bild zeigt Wolkenkratzer, die in den Himmel ragen
Regulatorik und Compliance

Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

05.11.2024 | ca. 1 Minute Lesezeit

Die wichtigsten Schnellmeldungen aus Aufsicht, Gesetzgebung und von Standardsetzern

Thilo Kasprowicz
Thilo Kasprowicz
Suche
Schliessen
© 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.