Cyberangriff: Was tun nach einem Hackerangriff?

Was tun nach einem Hackerangriff: Nach einem Hackerangriff oder Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Was kann eine Privatperson nach einem Cyberangriff tun?

Was tun nach Hackerangriff gegen Privatperson: Wenn man als Privatperson betroffen ist liegen eine Vielzahl von Rechtsverletzungen vor – datenschutzrechtlich, allgemein Persönlichkeitsrechtlich, strafrechtlich. Dabei möchte man als Opfer von Cybercrime, insbesondere Stalking, vor allem eines: Ruhe haben. Man weiss aber nicht zwingend, wer der Angreifer ist – jedenfalls bei einem standardisierten Angriff mit Breitenwirkung. In individuellen Fällen, wenn der Ex-Partner oder ein Dritter sich konkret an einem „abarbeiten“, etwa durch Stalking, hat man bereits einen Verdacht und möchte mitunter direkt zielgerichtet gegen diese Person vorgehen. Gerade in individuellen Fällen lohnt es sich, mit professioneller Hilfe rechtlich gegen die Übeltäter vorzugehen, auch wenn es sich hier regelmäßig um sehr langfristige Schritte handelt, die viel Zeit und Nerven benötigen.

Es kann insbesondere in faktischer Hinsicht sinnvoll sein, sein näheres Umfeld zu informieren, um zu verhindern, dass durch einen Identitätsdiebstahl die kopierten Daten auch noch zur Täuschung des eigenen Umfelds genutzt werden. Generell mag überlegt werden, die bisherigen Kommunikationskanäle einzufrieren und einmal kompromittierte Mail-Adressen oder Telefonnummern nicht weiter zu verwenden – auch wenn dies mit deutlichem Aufwand beim Wechsel verbunden ist.

Welche rechtlichen Möglichkeiten haben Opfer von Cyberverbrechen?

Insbesondere stehen Ihnen nach einem Hackerangriff zivilrechtliche und strafrechtliche Schritte zur Verfügung, deren Einsatz man im Einzelfall abwägen muss:

  • Datenschutzrechtlich: Sie haben Löschungs- und Auskunftsansprüche, zudem können Sie die zuständige datenschutzrechtliche Aufsichtsbehörde einschalten ohne dass dies Kosten verursacht.
  • Zivilrechtlich: Wenn ein Schädigen konkret individualisiert werden kann und die entsprechenden Beweise geführt werden können steht Ihnen zivilrechtlich die Möglichkeit zu, sich auch kurzfristig zu wehren, indem etwa befristete Kontakt- und Annäherungsverbote erwirkt werden. Auch können Unterlassungs- und Beseitigungsansprüche, mitunter ein Schmerzensgeld, geltend gemacht werden.
  • Strafrechtlich: Wenn Straftaten vorliegen ist die Strafanzeige nur der „Einstieg“ – ein Rechtsanwalt kann Ihre Rechte im Strafverfahren wahrnehmen, Sie können mitunter – je nach Delikt oder Schwere – als Nebenkläger auftreten und auch schon im Strafverfahren zivilrechtliche Ansprüche geltend machen.
  • Vorgehen gegen Plattformen im Kampf gegen die Verbreitung von Inhalten: Sie können auch parallel gegen Plattformen vorgehen, etwa indem Sie Suchergebnisse auf Suchmaschinen sperre lassen, Inhalte bei Dritten wie Providern oder sozialen Netzwerken löschen lassen. Gerade die Haftungsgrundlage der Störerhaftung ermöglicht es, gegen Verbreiter vorzugehen wenn man des Täters nicht unmittelbar habhaft werden kann.

An wen kann ich mich als Opfer von Verbrechen wenden?

Als Opfer eines Verbrechens haben Sie viele Sorgen, fühlen sich überfordert und brauchen Hilfe beim strukturieren der Abläufe. Hierbei gibt es viele Hilfen, die aus meiner Sicht wichtigsten Hilfestellen auch nach einem Hackerangriff sind:

  • Verein für Opferschutz: Es gibt gemeinnützige Vereine, wie etwa den Weissen Ring, die Ihnen Hilfe bieten. Hier erhalten Sie mitunter auch „Beratungsschecks“ um anwaltliche Hilfe in Anspruch zu nehmen. Informieren Sie sich beispielsweise beim Weissen Ring.
  • Hilfetelefon: Das Hilfetelefon hilft bei Gewalt gegen Frauen und ist rund um die Uhr kostenlos verfügbar, hier finden Sie dazu Informationen.
  • Anwälte: Rechtsanwälte können helfen bei der strukturierten Durchsetzung Ihrer Rechte, wir in unserer Kanzlei helfen aber nicht, da wir Strafverteidiger sind.

Was kann man als Unternehmen nach einem Cyberangriff tun?

Gehackt – Was tun nach einem Hackerangriff auf Unternehmen: Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Denn auch im Jahr 2019 gilt, dass Unternehmen die Risiken unterschätzen und unzureichend auf Angriffe vorbereitet sind. Dabei kümmern sich Unternehmen schlicht zu wenig um die Frage, wie etwa mit dem Problem umzugehen ist, dass viele Mitarbeiter mit externen Geräten in der eigenen Umgebung tätig sind.

Hackerangriffe auf Unternehmen sind Alltag

Wenn man von Hackerangriffen auf Unternehmen hört, denkt man schnell an internationale Großkonzerne die von Wirtschaftsspionage betroffen sind, was aber falsch ist: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr, sondern vielmehr wirtschaftlicher Alltag. Schon alleine, weil der Alltag digital durchsetzt ist, nicht nur von Webseiten, sondern eben auch, weil die eigene Infrastruktur teilweise ungeschützt am Internet hängt, so wie die IP-Telefone.

Gerade in kleinen mittelständischen Unternehmen werden die Risiken massiv unterschätzt oder aus Kostengründen ignoriert. Ein Cyberangriff kann dabei jeden treffen. Webshop-Betreiber, deren Server gehackt werden etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird um Daten zu stehlen.

Was tun als Unternehmen nach einem Cyberangriff

Wenn ein Unternehmen von einem Hackerangriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment mehrere rechtlich und technisch relevante Aufgaben, die später Probleme bereiten können nachdem man „gehackt“ wurde:

  1. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die Strafanzeige schnell ins Auge gefasst
  2. Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  3. Die datenschutzrechtliche Informationspflicht der Betroffenen nach DSGVO muss eingehalten werden (dazu hier von mir im Detail)
  4. Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.
  5. In technischer Hinsicht muss umsichtig gehandelt werden – eine sofortige Abschaltung der Infrastruktur legt den Betrieb lahm, kann aber spätere Ermittlungen erleichtern. Ein löschen von vorhandenen Inhalten kann Schäden begrenzen, behindert aber das juristische Vorgehen – Angreifer können zudem bei Erreichbarkeit der Systeme mitunter von außen nach erfolgreichem Angriff noch Spuren verwischen oder weiter Daten abgreifen. Ein vorbereitetes Vorgehen im Fall der Fälle, das etwa durch ein IT-Sicherheitskonzept und ein Betriebskontinuitätsmanagement (business continuity management, BCM) geschaffen werden kann, schützt hier Betriebe ebenso wie eine IT-Betriebsvereinbarung.

IT-Sicherheit: Mitarbeiter als Gefahrenquelle begreifen

Ganz erheblich ist es, die eigenen Mitarbeiter als Gefahrenquelle einzuschätzen, gleich ob man ihnen böses unterstellt:

  • Der „nicht böse“ Mitarbeiter: Auch ein Mitarbeiter der sich Mühe gibt und nichts Böses im Sinn hat kann zu Problemen führen. Unbedachte Auskünfte am Telefon können schon personenbezogene Daten an den Falschen darstellen oder erste Hilfen für spätere Angriffe auf das Unternehmen bieten; ebenso wie ungeprüft Emails verarbeitet werden – etwa indem gefälschte Rechnungen ausgedruckt und bearbeitet werden oder man auf Phishing hereinfällt.
  • Der „böse“ Mitarbeiter: Hier muss man immer wieder daran erinnern – der böse Mitarbeiter existiert! Sie müssen als Unternehmen im Auge haben, dass Mitarbeiter Geld damit verdienen können, hausinterne Daten an Dritte weiter zu geben. Oder dass ein geschasster Mitarbeiter sich schlichtweg rächen möchte. Bei der Computerwoche gibt es hierzu einige Berichte. Gegen böse gesinnte Mitarbeiter hilft vor allem Kontrolle und eine gesicherte Verarbeitungspraxis im Unternehmen.

Cyberangriff: Sorge des Unternehmens vor Kosten

Neben eben benannte Schritte tritt dann das große Problem: Das Unternehmen wird bedacht darauf sein, jegliches schuldhafte Verhalten und erhebliche Folgekosten auszuschliessen. Dabei ist daran zu denken, dass die Datenschutzgrundverordnung den immateriellen Schadensersatz kennt, also ein Schmerzensgeld bei Datenschutzverstößen. Wenn Daten von Betroffenen nach einem Hackangriff verbreitet werden stehen damit erhebliche Folgekosten im Raum!

Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB). Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch für die Information nach §42a BDSG. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der datenschutzrechtlichen Meldepflicht Bußgelder im Raum stehen und weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

Weitere Links zum Thema „Gehackt – was tun?“:

Fachanwalt für IT-Recht Jens Ferner