Mehr als 100 IT-Vorfälle hat Dr. Hauke Hansen schon begleitet, darunter so aufsehenerregende wie den Angriff auf die Südwestfalen-IT, der Verwaltungen und Rathäuser von mehr als 70 Kommunen lahmlegte. Der auf IT-Recht, Cybersecurity und Datenschutz spezialisierte Jurist der Wirtschaftskanzlei FPS und sein zwölfköpfiges Team wissen, worauf es im Ernstfall ankommt. Im Interview gibt er juristische „Erste-Hilfe-Tipps“ und verrät, warum man ohne kluge Krisenkommunikation keine Cyberkrisen gewinnt.
Herr Dr. Hansen, was unterscheidet eine Cyberkrise von anderen Rechtsfällen?
Das Tempo. In einer Cyberkrise ist keine Zeit für juristische Grundsatzdebatten oder die klassische Juristenantwort „Es kommt drauf an“. Da jede Stunde zählt und keine Zeit für Recherchen bleibt, braucht der beratende Jurist den Überblick über viele Rechtsgebiete: Datenschutz, Strafrecht, Presserecht, Cyberregulierungen, Vertragsrecht, Schadensersatz – ein echtes Querschnittsthema. Das macht es anspruchsvoll, aber auch so interessant.
Ein Cyberangriff ist passiert. Was ist die juristisch wichtigste Sofortmaßnahme?
Zuerst braucht es einen funktionierenden Krisenstab – und da muss juristische Expertise mit am Tisch sitzen, entweder aus der eigenen Rechtsabteilung oder von einer spezialisierten Kanzlei. Betroffene Unternehmen müssen beispielsweise gesetzliche Meldefristen unbedingt einhalten. Die Datenschutzbehörde muss innerhalb von 72 Stunden informiert werden, das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, sogar innerhalb von 24 Stunden – und ja, das Wochenende zählt mit. Mein Tipp: Die erste Meldung sollte knapp und sachlich sein. Lieber später Details nachreichen, wenn man mehr weiß, als sich mit voreiligen Aussagen angreifbar zu machen. Nicht vergessen, dass dieselbe Behörde, der man den Vorfall meldet, im Zweifel auch über ein Bußgeld entscheidet.
Welche rechtlich kniffligen Entscheidungen gibt es in den ersten Tagen nach einem Angriff?
Da stehen gleich mehrere Fragen im Raum. Will ich einen Strafantrag stellen? Verpflichtend ist das nicht, sondern eher eine strategische Überlegung. Viele Unternehmen entscheiden sich dafür, weil sie damit zeigen, dass sie mit den Ermittlungsbehörden kooperieren und nichts zu verbergen haben. Handelt es sich um einen Ransomware-Angriff, ist das nächste große Thema die Lösegeldzahlung, vor allem, wenn keine funktionierenden Backups existieren und das Unternehmen wirtschaftlich mit dem Rücken zur Wand steht. Juristisch ist das ein Minenfeld: Ist so eine Zahlung überhaupt legal? Ansonsten könnte der Geschäftsleitung Beihilfe zur Bildung einer kriminellen Vereinigung vorgeworfen werden.
Gilt das in allen Fällen?
Unter bestimmten Voraussetzungen ist eine Lösegeldzahlung rechtlich möglich, aber sie muss gut begründet, sauber dokumentiert und am besten im Vorfeld durchdacht sein.
Sind Unternehmen verpflichtet, ihre Mitarbeitenden oder Kunden zu informieren?
Auch das muss im Einzelfall geprüft werden. Es gibt Situationen, in denen keine gesetzliche Informationspflicht besteht. Dann kann der Krisenstab frei entscheiden, ob und wen er informiert. Geht mit dem Hackerangriff aber ein hohes Risiko für die Betroffenen – Mitarbeiter und Kunden – einher, dann verlangt das Gesetz eine unverzügliche Information der Betroffenen. In diesem Fall ist das Zusammenspiel zwischen Juristen und Kommunikatoren wichtig, damit die Botschaften auch rechtlich korrekt sind. Meiner Erfahrung nach funktioniert das am besten, wenn sich beide Seiten schon kennen und wissen, wie sie zusammenarbeiten. Deshalb mein Rat: Notfallplan erstellen und Szenarien durchspielen – bevor der Ernstfall eintritt.
Gibt es juristische Fallstricke in der Kommunikation nach einem Cyberangriff?
Einige. Oft wollen Kommunikationsabteilungen oder Führungskräfte schnell reagieren, klare Kante zeigen oder sich öffentlich entschuldigen. Verständlich, aber ein unbedachtes Schuldeingeständnis wie „Wir haben versagt“ oder „Das war unser Fehler“ kann juristisch problematisch werden. Solche Aussagen lassen sich später als Beweis in Haftungs- oder Schadenersatzklagen verwenden. Auch wer zu viel technische Details offenlegt, läuft Gefahr, Angreifern neue Einfallstore zu liefern und sich in juristische Schwierigkeiten zu bringen. Etwa dann, wenn Betroffene später klagen und sich auf Aussagen aus der Krisenkommunikation berufen.
Sie plädieren also für eine zurückhaltende Kommunikation?
Ich bin ein Freund von kluger Kommunikation. Damit kann eine Krise gewonnen werden und sich eine Tragödie vielleicht noch zur Heldengeschichte wandeln. Transparenz ist grundsätzlich positiv, wenn sie gut mit der juristischen Seite abgestimmt ist. Das Ziel muss immer sein, das Vertrauen zu erhalten, denn Glaubwürdigkeit ist in der Krise das höchste Gut. Deshalb rate ich zu Offenheit in der Kommunikation im rechtlich machbaren Rahmen.
Was tun, wenn Falschinformationen in den Medien auftauchen?
Erst prüfen, dann abwägen. In einem Fall, den ich begleitet habe, kursierten Aussagen eines selbsternannten Experten, der gar keinen Einblick hatte, und ein Medium hat das ungeprüft übernommen. Da ist die Frage: presserechtlich vorgehen oder nicht? Rein rechtlich wäre eine Richtigstellung möglich gewesen. Aber wir haben uns im Krisenstab dagegen entschieden, damit die Situation nicht weiter eskaliert durch den Vorwurf, es solle ein Kritiker „mundtot“ gemacht werden. Stattdessen haben wir kommunikativ gegengehalten – gezielt, sachlich, ohne die Sache weiter anzuheizen.
Was ist aus Ihrer Sicht der größte Fehler, den Unternehmen im Bereich Cybersecurity machen?
Die gefährlich naive Haltung, uns kann das nicht passieren. Cyberangriffe sind heute allgegenwärtig. Ein großer Teil der Attacken passiert schlicht nach dem Gießkannenprinzip, wie Phishing-Mails, die zu hunderttausenden rausgeschickt werden. Da reicht ein einziger Klick eines Mitarbeitenden und schon ist man mittendrin im Vorfall. Man wird also nicht Opfer, weil man als Unternehmen besonders wichtig ist, sondern schlicht, weil man da ist. Das zu verstehen, ist der erste Schritt zur richtigen Vorbereitung.
Sind Unternehmen rechtlich verpflichtet, sich auf einen Cyberangriff vorzubereiten?
Es gibt rechtliche Vorgaben, etwa für sogenannte technische und organisatorische Maßnahmen, kurz TOMs. Das heißt: Unternehmen müssen sich technisch wappnen, um die Sicherheit von Daten und Informationen zu gewährleisten mit Firewalls, Backup-Strategien und so weiter. Das ist keine Kür, das ist Pflicht. Die neue NIS-2-Richtlinie wird die Geschäftsführung zukünftig noch stärker in die Verantwortung nehmen – und zwar persönlich. Wenn ich als Chef oder Chefin mein Unternehmen nicht ordentlich vorbereite, etwa mit einem Business Continuity Management, dann kann ich im Fall eines erfolgreichen Angriffs haftbar gemacht werden. Jeder Geschäftsleitung sollte nicht aus Compliancegründen, sondern aus der Verantwortung für das eigene Unternehmen klar sein: Eine effiziente Abwehr gegen Cyberangriffe, gut vorbereitete Notfallpläne und ein geübter Krisenstab sind kein Luxus, sondern überlebenswichtig.
Kommentar hinzufügen