Cyberattacken rücken Verhältnis von IT-Sicherheit und Strafrecht in den Blickpunkt
Die Cyberattacke auf das Uniklinikum in Düsseldorf markiert eine neue Qualität von Cybercrime. Erstmals – so jedenfalls berichtet es die Presse – ist infolge des Ausfalls der IT, verursacht mittels Ransomware, ein Mensch ums Leben gekommen. Die Zentrale Ansprechstelle Cybercrime der Staatsanwaltschaft Köln (ZAC) hat die Ermittlungen auf den Tatbestand der fahrlässigen Tötung (§ 222 StGB) ausgeweitet. Bisher wurde diese Fallkonstellation nur in Lehrbüchern diskutiert.
Erpressung durch Ransomware ist kein neues, sondern ein altbekanntes Phänomen von Cybercrime. Kaum eine Woche vergeht, in der nicht über eine „erfolgreiche“ Cyberattacke berichtet wird. Anfang des Jahres hatte es das Berliner Kammergericht „erwischt“. Zunehmend werden mittelständische Unternehmen Opfer von Erpressung mittels Ransomware. Die meisten Cyberangriffe gelangen hier nicht in die Öffentlichkeit.
Auch Cyberangriffe auf ein Krankenhaus sind an sich kein Novum. Schon 2016 gab es einen Fall, der dazu führte, dass eine Reihe von Krankenhäusern in Nordrhein-Westfalen ihre gesamte IT abschalten musste. Damals wurde mitgeteilt, dass zu keinem Zeitpunkt eine Gefährdung für die Patienten bestand.
Nicht ohne Grund veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2012 jährlich einen Bericht zur „Lage der IT-Sicherheit“. Darin informiert es über die häufigsten Angriffsmethoden, warnt vor neuen Gefährdungen und stellt Handlungsempfehlungen bereit. Cyberattacken werfen aber nicht nur sicherheitstechnische und datenschutzrechtliche Fragen auf. Sie haben oft zugleich strafrechtliche Implikationen.
IT-Sicherheit und Bausteine der IT-Compliance
In Deutschland gibt es unverändert kein Stammgesetz, das alle Fragen zu IT-Sicherheit abschließend regelt. Die Verpflichtung zur Einhaltung des „Stands der Technik“ in der IT ist über mehrere gesetzliche Regelungen verstreut. Sowohl das Handelsgesetzbuch als auch das Aktiengesetz, das Kreditwesengesetz, das Telemediengesetz, das Telekommunikationsgesetz sowie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) enthalten (partielle) Regelungen. Das BSIG sieht dezidiert Pflichten zur Umsetzung der IT-Sicherheit samt Dokumentation und Meldungen nur für Betreiber kritischer Infrastrukturen (zu denen Krankenhäuser gehören) vor.
Geht es um den Schutz personenbezogener Daten, gilt seit 2018 mit Art. 32 DSGVO eine Norm, die (nahezu) alle Unternehmen dazu verpflichtet, „geeignete technische und organisatorische Maßnahmen zu schaffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Es überrascht nicht, dass die erste Bußgeldentscheidungen zur DSGVO auf diese Vorschrift gestützt wurde. Hier war es die Speicherung der Passwörter im Klartext, mit der das Unternehmen gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten verstoßen hatte. Auch weitere Entscheidungen hatten Art. 32 DSGVO zum Gegenstand (vgl. Analyse vom Tim Wybitul zum Bußgeld gegen eine Krankenkasse).
Problematisch ist in diesem Zusammenhang, dass die DSGVO die technischen und organisatorischen Maßnahmen, die die Verantwortlichen im Unternehmen treffen sollen, explizit gar nicht aufführt. Stattdessen verweisen viele auf das von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder beschlossene Standard-Datenschutzmodell. Dieses Modell verweist seinerseits nicht auf einen verbindlichen Katalog, sondern auf den vom BSI entwickelten sogenannten IT-Grundschutz. Die Seiten des BSI enthalten alle Anleitungen, wie man mit diesem Kompendium eine dem Schutzniveau des Unternehmens entsprechende IT-Sicherheitsstruktur aufbauen kann.
Wichtig allerdings: Es handelt sich nicht um eine Checkliste, die man im Team an einem Abend durchspricht und damit das Thema abgehandelt hat. Eine Befassung mit dem IT-Grundschutz dürfte für „Newbies“ Wochen in Anspruch nehmen. Betreiber kritischer Infrastrukturen, wie z.B. Krankenhäuser, werden an diesem (oder einem vergleichbaren) Standard nicht vorbeikommen.
Das Strafrecht als „dunkle Seite“ der IT-Sicherheit
Im Prinzip sieht das Strafrecht eine ganze Reihe von Strafvorschriften vor, die dazu beitragen sollen, den Zugang zu Daten sowie die Daten selbst u.a. vor einer Cyberattacke zu schützen. Klassischerweise sind dies:
- Datenveränderung (§ 303a StGB)
- Computersabotage (§ 303b StGB)
- Ausspähen von Daten (§ 202a)
- Abfangen von Daten (§ 202b StGB)
- Vorbereiten des Ausspähens und Abfangens von Daten (§ 202 c StGB)
- Datenhehlerei (§ 202d StGB)
- Verletzung von Privatgeheimnissen (§ 203 StGB)
- Verletzung des Fernmeldegeheimnisses (§ 206 StGB)
- Unberechtigte Datenverarbeitung (§ 42 BDSG)
Nach diesen Strafvorschriften wird regelmäßig gegen die Täter einer Cyberattacke ermittelt.
In jüngster Vergangenheit konnten die Staatsanwaltschaft durchaus beachtliche Erfolge vorweisen und auch erste Verurteilungen bei den Gerichten erwirkten. Allerdings erfahren diese Straftatbestände insofern eine Erweiterung, als dass sie nicht nur durch aktives Tun, sondern eben auch durch Inaktivität begangen werden können. Das ist gemäß § 13 StGB immer dann der Fall, wenn der Verantwortliche rechtlich dazu verpflichtet ist, den Erfolg der zum Tatbestand eines Strafgesetzes gehört abzuwenden.
Wenn also eine Datenverarbeitungsanlage deswegen ausfällt, weil der hierfür Verantwortliche die Sicherheitsvorschriften für die IT schuldhaft außeracht gelassen hat und dabei in Kauf genommen hat, dass es zu diesem Ausfall kommt, wäre denkbar, dass er sich selbst der Computersabotage durch Unterlassen strafbar gemacht hat. Zunächst wird man davon ausgehen können, dass der Verantwortliche sich um eine ordnungsgemäße Erfüllung seiner Aufgaben bemühen wird und daher ein billigendes Inkaufnehmen von Schäden nicht ohne weiteres angenommen werden kann. Gleichwohl sollte man sich über diesen Punkt vor der Erstattung einer Strafanzeige Gedanken machen.
Dasselbe gilt für Fallkonstellationen, wie die Staatsanwaltschaft Köln sie jetzt untersucht. Im Falle eklatanter Verstöße gegen die Vorschriften der IT-Sicherheit wäre denkbar, dass sich das Ermittlungsverfahren (auch) gegen die IT-Verantwortlichen richtet. Solche Ermittlungen werden vor allem dann im Innenleben eines Unternehmens ansetzen, wenn es Hinweise gibt, dass Sicherheitsmängel von Produkten lange Zeit erkannt waren, aber nicht behoben wurden. Hier gilt zudem der Maßstab, dass im Unternehmen die Möglichkeit bestanden haben muss, Erfolg einer Cyberattacke zu verhindern. Wenn das Problem beim Hersteller liegt, wird sich die Ermittlung in seine Richtung bewegen.
Bislang war es in nahezu allen Fällen von Cybercrime so, dass die Staatsanwaltschaften sich bei ihren Ermittlungen auf die Angreifer konzentrierten. Das ist bei Hackern – die nicht selten aus dem Ausland operieren – bereits höchst aufwendig. Auch den Ermittlern ist meist bewusst, dass es in Unternehmen eine 100-prozentige IT-Sicherheit nicht geben kann. Gleichwohl dürfte in Zukunft durchaus ein zusätzliches Augenmerk auf Ermittlungen in Richtung Unternehmensverantwortliche liegen, jedenfalls in den Fällen, in denen Sicherheitsmängel vermeintlich intern lange bekannt waren.
Checkliste IT-Sicherheit
Nicht zuletzt auch aufgrund möglicher strafrechtlicher Konsequenzen sollten sich Unternehmen in jedem Fall mit der Stärkung der internen IT-Sicherheit beschäftigen.
Zu regeln sind im Wesentlichen folgende Punkte:
- Sicherheitsanweisung für Benutzer
- Sicherheitsleitlinien für Administratoren
- Regelung der IT-Nutzung
- Regelung der Internetnutzung
- Leitlinie für Outsourcing
- Virenschutzkonzept
- Notfallvorsorgekonzept
- Datensicherungskonzept
- Archivierungskonzept
Für die Administratoren sollte zusätzlich Folgendes auf die Agenda:
- Verwaltung der IT-Dienste
- Zugangs- und Zugriffskontrolle
- Einsatz von Sicherheitsprodukten Einspielen sicherheitsrelevanter Updates
- Betreuung und Beratung von IT-Benutzern
- Test neuer Hard- und Software, Genehmigungsverfahren
- Sperren und Löschen nicht benötigter Accounts
- Management von Sicherheitsvorfällen
- Datensicherungskonzept
Frei zugängliche brauchbare Checklisten bieten zudem das Bundesamt für Sicherheit in der Informationstechnik (Checkliste IT Sicherheit BSI) und der Bayerischen Landesbeauftragten für den Datenschutz (Best practice Prüfkriterien Bayerischer Landesbeauftragter (BayLfD) für Art. 32 DSGVO)
Unternehmen, die diese Checkliste abarbeiten und umsetzen, dürften jedenfalls in strafrechtlicher Hinsicht kaum etwas zu befürchten haben. Betreiber kritischer Infrastrukturen – wozu etwa Energieversorger, aber auch Krankenhäuser gehören – trifft zusätzlich eine Reihe weiterer Pflichten.
Fazit
Die Cyberattacke auf das Uniklinikum in Düsseldorf ist ein aktuelles Beispiel, das unterstreicht, wie wichtig es für jedes Unternehmen ist, sich mit den Bausteinen einer wirksamen IT-Compliance auseinanderzusetzen. Bislang konzentrierten sich die Staatsanwaltschaften bei Ransomware-Attacken auf die Angreifer. Es nicht auszuschließen, dass sie in Zukunft die strafrechtlichen Ermittlungen auch auf das Innenleben des angegriffenen Unternehmens ausweiten.
Sollten dabei eklatante Mängel bei der Compliance und IT-Sicherheit aufgedeckt werden, ist es wahrscheinlich, dass sich Strafverfahren künftig auch gegen Verantwortliche des Unternehmens richten. Das bedeutet, dass es beim Umgang mit der IT-Sicherheit in Zukunft möglicherweise nicht mehr nur um die Vermeidung von Geldbußen etwa nach der DSGVO gehen wird. Sondern dass es gilt, echte Strafen zu vermeiden.