Was tun? Photo by Damir Spanic on Unsplash

Bericht vom Webinar für die Brücke.

31. Januar 2022

"Sie sind in einer persönlichen Haftungssituation", so die Warnung an Unternehmensleitungen im Rahmen des Webinars der APR für diese Zielgruppe zum Thema Cybersicherheit. Die gute Nachricht: Man muss das Rad nicht neu erfinden, denn technische und organisatorische Maßnahmen sind beschrieben, die Kosten überschaubar und ein paar Randbedingungen wie Arbeitsrecht sind dann auch noch zu beachten. Dann kann es klappen, nur sollte man sich nicht darauf zurückziehen, dass einem der ganze Kram nichts angeht und außerdem ja eh eine Versicherung abgeschlossen ist.

Enno Santjer als Vorsitzender der verantwortlichen Fachgruppe Technik informierte kurz über die Ergebnisse des Webinars aus dem Maschinenraum, wo es um konkrete technische Maßnahmen ging. Daüber entscheiden aber die IT-Mitarbeiter nicht selbständig, sondern ihnen werden die notwendigen Ressourcen von der Unternehmensleitung zur Verfügung gestellt, die diese Grundsatzentscheidungen nicht delegieren können.

Versicherung abgeschlossen - alles gut?, war der Vortragstitel für Prof. Dr. Michael Fortmann vom Institut für Versicherungswesen an der TH Köln - mit der erwartbaren Aussage "längst nicht alles gut". Er stellte die Bestandteile der sehr unterschiedlich am Markt angebotenen Versicherungen für Cyberattacken vor. Haftpflicht (für Schäden bei Dritten, wenn die eigene IT Schadstoff verteilt) und bei der Vertrauensschaden-Versicherung sind die Versicherungsaspekte Eigenschaden, Betriebsunterbrechung und Lösegeld ganz unterschiedlich geschneidert. Es gibt nirgends die "Allgefahrenversicherung", sondern die Versichertenrisiken sind exakt zu beschreiben. Zu achten ist auf die Ausschlüsse, wobei im Moment das Thema "Krieg" gerade bei kritischen Infrastrukturen und dem Thema "Cyberwar" eine Rolle spielt - wenn staatliche Angreifer am Werk sind, zahlt die Versicherung nicht. Lösegeldversicherungen werden noch angeboten, wobei allerdings die staatliche Diskussion möglicherweise dahin führt, dass es zukünftig verboten sein soll, auf Lösegeldforderungen einzugehen. Ausgeschlossen ist die Versicherungsleistung bei Vorsatz oder wissentlicher Pflichtverletzung, letzteres meint zum Beispiel auch, dass man von der Möglichkeit einer Schwachstelle weiß und denkt, es werde schon gut gehen. Ein weites Feld sind die Obliegenheiten, die ein Versicherungsnehmer einhalten muss, um den Versicherungsschutz nicht zu verlieren. Da ist der umfangreiche Fragebogen vor Abschluss der Versicherung, den man genau ausfüllen muss - hat man etwas vergessen, kann das je nach Fallkonstellation die Versicherungsleistung gefährden. Auch Gefahrerhöhungen während der Laufzeit müssen genannt werden - was immer das bei unserem Thema so genau ist. Das führte den Referenten zu dem eingangs beschriebenen Hinweis auf die persönliche Haftung. Die kann auch darin bestehen, eine Versicherung unterlassen zu haben - was nicht den Zwang für eine Versicherung meint, aber zur dokumentierten Abschätzung, ob es eine Versicherung gibt und welche Vor- und Nachteile sie hat. Auch Schadenersatzansprüche Betroffener im Fall eines Angriffs, bei dem Daten Betroffener abfließen, wurde genannt - der immaterielle Schaden reicht. Praxisrelevant war der Hinweis, dass man prüfen muss, wie viel Cyberversicherung etwa in bestehenden Versicherungen für Betriebsunterbrechungen, Elektronik oder D&O enthalten ist. Auf die Frage von Enno Santjer wurde bestätigt, dass Versicherungen oft auch mit Forensikern zur Seite stehen, wenn etwas passiert ist - die dann aber auch feststellen, wo Obliegenheiten verletzt wurden, wäre hinzuzufügen.

Robert Dorsch knüpfte an den technischen Details Maschinenraum an und referierte über die "digitale Verkehrssicherungspflicht". Erforderlich sei eine Bestandsaufnahme, daraus abgeleitet ein Konzept und eine Dokumentation dazu. Er stellte die Bestandteile eines IT-Sicherheitskonzepts vor. Die Kosten selbst bei kleinen Vorfällen könnten schnell in die Höhe gehen, weil man meist die IT-Infrastruktur neu aufbauen muss, um nicht Gefahr zu laufen, dass sich Schadsoftware irgendwo versteckt und wieder von vorne loslegt. Die Kosten für Sicherheitskonzepte und Maßnahmen seien dagegen moderat, sie seien allerdings ständig anzupassen. Denn: IT-Sicherheit ist kein Zustand, sondern ein Wettlauf, so die Einschätzung. Es gehe auch nicht um Absolutlösungen, sondern um ein vernünftiges Mittelmaß - er vergleich das mit Spamfiltern bei E-Mails, die entweder zu lasch eingestellt sind und Nerviges durchlassen, oder aber zu stramm und Vieles erreicht einen nicht mehr.

Lutz Schmidt, Geschäftsführer der AGILOS GmbH behandelte die nächste Stufe der Eskalation: Was tun, wenn alle IT-Sicherheit versagt hat und der Feind im Netz ist? Er berichtete von mittelständischen Industriefirmen, die er bei Konzepten begleitet hat, sofort jedenfalls notfallmäßig die Arbeit wieder zu starten. Ausgangspunkt der Überlegung ist, dass die eigene Infrastruktur verloren ist, also zunächst die Kommunikation über eine eigens dafür geschaffene, isolierte Infrastruktur zu starten und in der Cloud die Wiederherstellung der Produktion zu beginnen. Er berichtete anschaulich von einem simplen Beispiel: Ein Neukunde sei nach einem Angriffe hilfesuchend mit einer Excel-Liste der Telefonnummern seiner Mitarbeiter angekommen, nachdem alles andere platt war. Die Liste musste zuerst einmal zeitaufwendig strukturiert werden, damit man sie als Basis für eine notfallmäßige Kommunikationsstruktur verwenden konnte - das hat im Notfall gedauert, während das als Vorsorgemaßnahme ohne Hektik möglich wäre, man hätte einen Tag an Ausfall gespart.

Dr. Uwe Jendricke vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht als Trend der jüngeren Zeit, dass das Thema Cybersicherheit immer komplexer wird und immer mehr zur Chefsache. Auch wenn die Medien und etwa das Radio zur kritischen Infrastruktur gehören, würden keine gesetzlichen Vorgaben gelten, was technisch konkret umzusetzen sei. Es bleibt bei den unternehmerischen Überlegungen, der Staat gibt nichts vor. Gleichwohl können die Medienunternehmen bei UP KRITIS im Erfahrungsaustausch mitmachen und sich im Informationsfluss - auch über die APR halten. Jendricke berichtete von der Möglichkeit, sich an das BSI zu wenden, wenn man Opfer eines Cyberangriffs wird, in schweren Fällen seien auch Teams vor Ort - andererseits sei der Staat nicht dazu da, IT-Beratern die Arbeit wegzunehmen, sondern man betrachte schwere Fälle, auch um davon zu lernen und die Warnungen zu verbessern.

Am Ende des Webinars griff Kristin Benedikt, Vorstandsmitglied des EMR, das Thema Datenschutz, Fernmeldegeheimnis und Arbeitsrecht auf. Auf der einen Seite seien Maßnahmen für die Cybersicherheit gefordert, die auch auf Datenpakete schaut und Kommunikationsabläufe etwa durch die Auswertung von Logfiles aufarbeitet. Andererseits bestünden Datenschutz, das Fernmeldegeheimnis der Kommunikationspartner und auf betriebsverfassungsrechtlicher Ebene das Mitbestimmungsrecht bei all den Maßnahmen, die auch die Möglichkeit eröffneten, die Arbeitsleistung von Mitarbeitern zu kontrollieren. Ein Unternehmen müsse sich entscheiden, ob es die Kommunikationsinfrastruktur auch für Privates öffnet, dann sei das Fernmeldegeheimnis zu wahren. Oder das ist verboten und jenes Verbot wird auch kontrolliert, dann ist das ein wenig einfacher. Wenn private Kommunikation erlaubt sei, rät sie zur Betriebsvereinbarung, in der auch das Thema der Maßnahmen wie DPI (Deep Package Inspection) und das Verwerfen sicherheitskritischer Informationen - die Mail wird den User nicht erreichen - anspricht. Bei der Auswertung von Logfiles, die verraten, wer im IT-Netz was tut, bedürfe es keiner Einwilligung, denn das diene der Erfüllung der rechtlichen Pflicht, technische und organisatorische Maßnahmen zu ergreifen, die ja auch der Sicherheit der Mitarbeiter diene. Notwendig sei allerdings eine transparente Information, was da geschieht. Auf betriebsverfassungsrechtlicher Ebene gilt § 87 BetrVG mit der Mitbestimmung, wo es um die Möglichkeit der Leistungskontrolle geht. Auch hier rät die Referentin zu Betriebsvereinbarungen mit abstrakter Beschreibung dessen, was geschieht - wer darf Logfiles durchsuchen, ist der Datenschutzbeauftragte zu beteiligen? Schließlich gehe es auch darum, Mitarbeiter aufzudecken, die selbst (bewusst oder unbewusst) ein System kompromittieren, um dann die Sicherheitslücken zu schließen.

Release 31. Januar 2022, 15:37 - OR

Download zu diesem Thema

Sorry, Ihr Browser unterstützt keine eingebetteten Vidos, aber sie können es herunterladen.

 Präsentation Fortmann
 Präsentation Dorsch
 Präsentation Jedricke
 Präsentation Benedikt