Ransomware – Incident Response aus rechtlicher Sicht

Erste Schritte im Ernstfall

Im Falle eines Cyberangriffs – wie etwa einer Ransomware-Attacke – müssen Sie sowohl technische als auch rechtliche Sofortmaßnahmen treffen.

Technische Sofortmaßnahmen

Nach der Entdeckung eines Ransomware-Angriffs ist schnelles und koordiniertes Handeln entscheidend. Betroffene Systeme müssen isoliert werden, um eine Ausbreitung der Schadsoftware und ein Abfließen von Daten möglichst zu verhindern.

Netzverbindungen sollten getrennt und externe Speichergeräte entfernt werden. Gleichzeitig sollten ggf. Spezialisten für IT-Forensik und Recovery-Maßnahmen hinzugezogen werden, um Spuren zu sichern und den Angriffsweg zu rekonstruieren, sofern die entsprechenden Kompetenzen nicht bereits im Unternehmen vorhanden sind. Die Beweissicherung ist sowohl für die interne Aufklärung als auch für rechtliche Nachweise und Versicherungsfragen von erheblicher Bedeutung.

Auch die technische Wiederherstellung bedarf regelmäßig spezieller Expertise, um hier Fehler zu vermeiden und sicherzustellen, dass nicht gleich der nächste Angriff ermöglicht wird (etwa wenn auch Backups infiziert waren und Schadsoftware daraus in die neu aufgesetzten Systeme zurückgespielt wird).

Notwendige rechtliche Schritte

Parallel zu den technischen Sofortmaßnahmen sind auch rechtliche Schritte zu prüfen und ggf. einzuleiten. Insbesondere können datenschutzrechtliche Melde- und Informationspflichten bestehen, sobald personenbezogene Daten betroffen sein könnten. Dass keine personenbezogenen Daten betroffen sind, geschieht nur in absoluten Ausnahmefällen.

Wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, muss die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden informiert werden. Besteht sogar ein hohes Risiko – etwa bei einer möglichen Exfiltration sensibler Daten – müssen auch die betroffenen Personen unverzüglich informiert werden. Tritt der Vorfall bei einem Auftragsverarbeiter auf, sind auch Meldepflichten an den Verantwortlichen zu prüfen.

Neben dem Datenschutzrecht kann auch aus diversen anderen Rechtsakten eine Meldepflicht bestehen, z. B. aus dem Cyber-Resilience-Act, dem BSI-Gesetz bzw. der NIS2-Umsetzung oder dem Digital Operational Resilience Act (DORA). Hier gelten teils noch kürzere Fristen als im Datenschutzrecht (z. B. 24 Stunden).

Darüber hinaus sollten betroffene Unternehmen prüfen, inwieweit sie ggf. ihre Vertragspartner informieren müssen, sofern etwa vertragliche Meldepflichten vereinbart wurden oder dies zur Schadensminimierung erforderlich ist. Auch eine Abstimmung mit der Cyber-Versicherung ist im Zweifel notwendig, da viele Versicherungsverträge eine unverzügliche Anzeige eines Vorfalls verlangen.

Schließlich kann auch eine Strafanzeige und die Ansprache der Zentralen Ansprechstellen Cybercrime (ZAC) der Polizeien sinnvoll sein, um die Strafverfolgungsbehörden einzubinden und die Beweislage zu sichern.

Rechtliche Grundlagen und Pflichten

Ransomware-Angriffe berühren eine Vielzahl rechtlicher Regelungen, insbesondere die Datenschutz-Grundverordnung (DSGVO).

Datenschutzrechtliche Vorgaben

Der Verantwortliche trägt die Hauptverantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben. Er muss geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen und im Falle eines Datenschutzvorfalls die gesetzlichen Melde- und Informationspflichten gegenüber Datenschutzaufsichtsbehörden und ggf. betroffenen Personen erfüllen.

Auftragsverarbeiter sind verpflichtet, den Verantwortlichen unverzüglich über Sicherheitsvorfälle zu informieren, damit dieser seinerseits die erforderlichen Schritte einleiten kann.

Meldepflichten

Verpflichtete nach dem BSI-Gesetz, NIS2, DORA oder dem Cyber-Resilience-Act müssen Sicherheitsvorfälle bei Vorliegen der rechtlichen Voraussetzungen an die zuständigen Stellen (z. B. das Bundesamt für Sicherheit in der Informationstechnik, BSI) melden.

Sanktionen und Bußgelder

Bei Verstößen gegen die Meldepflichten sind Bußgelder möglich. Bußgelder sind aber auch denkbar, wenn Umstände zutage treten, die den Cyberangriff erst möglich gemacht haben – z. B. wenn versäumt wurde, sachgerechte technische und organisatorische Maßnahmen zur Vermeidung und Behandlung von Ransomware-Angriffen umzusetzen.

Strafrechtliche Aspekte

Ein Ransomware-Angriff kann zudem strafrechtliche Relevanz haben. Zwar ist ein betroffenes Unternehmen nicht verpflichtet, eine Strafanzeige zu erstatten, doch kann dies aus Gründen der Beweissicherung und zur Schadensregulierung empfehlenswert sein. Auch Versicherer verlangen häufig eine Anzeige bei der Polizei.

Zivilrechtliche Haftung und Regress

Zivilrechtlich drohen vor allem Schadensersatzansprüche von betroffenen Personen und/oder Geschäftspartnern. Betroffene Personen können unter Umständen Ersatz für materielle und immaterielle Schäden verlangen.

Zwischen Geschäftspartnern können darüber hinaus Regressansprüche entstehen, etwa wenn ein Auftragsverarbeiter seine Pflichten zur Sicherung von Daten aus dem Auftragsverarbeitungsvertrag verletzt hat oder vertraglich zugesicherte Leistungen aufgrund eines angriffsbedingten Ausfalls nicht (rechtzeitig) erbracht werden können. Diese Risiken gilt es zu kennen, Ansprüche zu prüfen und ggf. abzuwehren bzw. durchzusetzen.

Versicherungsschutz und Obliegenheiten

Besteht eine Cyber-Versicherung, so ist zu prüfen, welche Pflichten und Obliegenheiten sich aus dem Versicherungsvertrag ergeben, um den Versicherungsschutz nicht zu gefährden und ggf. weitere Maßnahmen abzustimmen.

Unterschiedliche Themen in verschiedenen Szenarien

Wichtig ist auch, sich verschiedene Szenarien vor Augen zu führen, in denen Ransomware-Angriffe relevant werden können. Denn auch wenn der Angriff nicht im eigenen Unternehmen, sondern etwa bei einem Dienstleister auftritt, kann dies erhebliche Konsequenzen für das eigene Unternehmen haben.

Eigener Sicherheitsvorfall: Pflichten und Kommunikation

Wird ein Unternehmen selbst Opfer eines Ransomware-Angriffs, bei dem etwa eigene Kunden- oder Beschäftigtendaten verschlüsselt und/oder entwendet werden, liegt in der Regel eine Datenschutzverletzung vor. In dieser Situation muss ein verantwortliches Unternehmen eigene Pflichten prüfen, z. B. ob eine Meldung an die Aufsichtsbehörde erforderlich ist.

Ggf. muss zusätzlich auch eine Benachrichtigung der betroffenen Personen und/oder von Geschäftspartnern erfolgen. Eine transparente Kommunikation mit Kunden und Behörden kann helfen, Reputationsschäden zu begrenzen. Die Strategie zur Kommunikation nach innen und außen sollte jedoch gründlich abgestimmt und insbesondere vor dem Hintergrund etwaiger haftungsrechtlicher Risiken rechtlich begleitet werden.

Auch sollten Reports von Forensik-Dienstleistern und ähnliche Dokumentationen rechtlich geprüft werden, da hier z. B. kleinere sprachliche Ungenauigkeiten erhebliche Auswirkungen auf Haftungs- und Versicherungsfragen haben können.

Im Vorfeld sollten Unternehmen vor allem interne Notfallpläne bereithalten, die klare Verantwortlichkeiten und Abläufe vorsehen. Diese sollten unter Ernstfallbedingungen erprobt werden.

Vorfall beim Dienstleister oder Auftragsverarbeiter

Wenn ein Dienstleister oder Auftragsverarbeiter Opfer eines Ransomware-Angriffs wird, ist die Lage komplexer. Er ist einerseits selbst betroffen und hat eigene Pflichten (z. B. als datenschutzrechtlich Verantwortlicher für eigene Beschäftigtendaten), andererseits aber möglicherweise auch besondere Pflichten gegenüber seinen Geschäftskunden. So muss der Auftragsverarbeiter den Verantwortlichen „unverzüglich“ über einen Vorfall informieren (und nicht erst binnen 72 Stunden wie der Verantwortliche selbst).

Neben Bußgeld- und Haftungsrisiken gegenüber betroffenen Personen kann eine verspätete Information auch gegenüber dem Vertragspartner gravierende vertragliche Folgen haben. Viele Verträge enthalten konkrete Meldefristen, Vorgaben zu Kommunikationswegen und Haftungsregelungen. Ein gut organisiertes und dokumentiertes Vorgehen ist daher unerlässlich.

Der Dienstleister sollte sämtliche Schritte frühzeitig rechtlich begleiten lassen, um Haftungsrisiken zu minimieren. Auch hier kommt es neben dem „Ob“ und „Wann“ der Information maßgeblich auf das „Wie“ und „Was“ an, um eigene Haftungsrisiken zu steuern, keine anderweitigen Vertraulichkeitspflichten zu verletzen und Geschäftsbeziehungen zu schützen. Einerseits kann es ratsam sein, nicht allzu offenherzig über eigene Versäumnisse zu kommunizieren (die ggf. nicht einmal ursächlich für den Angriff sind), andererseits fördert transparente Kommunikation das Vertrauen geschädigter Vertragspartner oder Betroffener.

Gesetzlich vorgesehene Meldepflichten müssen selbstverständlich vollständig erfüllt werden. Gerade bei der eigenen Meldung an die Aufsichtsbehörde ist jedoch Vorsicht geboten. Hier voreilig über ebenfalls betroffene Verantwortliche zu informieren, kann bspw. dazu führen, dass deren Ermittlungen durch die Aufsichtsbehörde ausgesetzt werden.

Mitbetroffenheit durch Vorfälle in der Lieferkette

Wird ein Unternehmen von einem seiner Dienstleister darüber informiert, dass dieser Opfer eines Ransomware-Angriffs geworden ist, kann das Unternehmen selbst betroffen sein, weil seine Daten beim Dienstleister gespeichert oder verarbeitet werden.

Erhält das Unternehmen vom Dienstleister eine Mitteilung über den Vorfall, muss es unverzüglich prüfen, ob die eigenen Daten betroffen sind und ob eine Meldepflicht besteht. Es genügt nicht, sich auf die Information des Dienstleisters zu verlassen. Außerdem kann sich die Frage stellen, ob das Unternehmen seine Auswahl- und Kontrollpflichten gegenüber dem Dienstleister ordnungsgemäß erfüllt hat.

Ist die Sicherheitsprüfung oder laufende Kontrolle des Dienstleisters unzureichend erfolgt, drohen Aufsichtsmaßnahmen und Bußgelder wegen Auswahlverschuldens. Daher sollten Unternehmen in solchen Fällen sowohl den Auftragsverarbeitungsvertrag als auch die getroffenen technischen und organisatorischen Maßnahmen sorgfältig überprüfen.

Auch sollten vertragliche Regelungen geprüft und sichergestellt werden, dass für eigene Pflichten erforderliche Informationen vom Dienstleister rechtzeitig und aussagekräftig bereitgestellt werden sowie dass nötige Unterstützungsleistungen erbracht werden. Hier ist es hilfreich, wenn im Vorfeld konkrete und umfangreiche Vereinbarungen getroffen wurden, die Cyberangriffe und ihre Folgen berücksichtigen.

Strategische Prävention und richtige Handlung im Ernstfall

Ransomware lässt sich kaum vollständig vermeiden, doch rechtliche und organisatorische Vorbereitung kann den Schaden erheblich begrenzen.

Wesentlich ist eine sorgfältige Vertragsgestaltung. In Auftragsverarbeitungs- und Dienstleistungsverträgen sollten klare Incident-Response-Klauseln enthalten sein, die Fristen, Eskalationsstufen und Kommunikationswege regeln. Haftungsbeschränkungen und Regressmechanismen sollten präzise formuliert werden, um im Schadensfall eine rechtssichere Grundlage zu haben.

Technische und organisatorische Schutzmaßnahmen

Auch technisch-organisatorische Maßnahmen sind unerlässlich. Dazu gehören u. a. Verschlüsselungsmaßnahmen, strenge Zugriffs- und Rechtekonzepte, regelmäßige Datensicherungen, Netzwerksegmentierung und der Einsatz von Multi-Faktor-Authentifizierung. Regelmäßige Sicherheitsprüfungen und Penetrationstests helfen, Schwachstellen frühzeitig zu erkennen. Aussagekräftige System-Logs ermöglichen eine Aufarbeitung von Ursache, Hergang und Umfang von Cyberangriffen.

Ein wirksames Sicherheitsmanagement umfasst zudem Schulungen und Sensibilisierungen der Mitarbeitenden. Viele Angriffe beginnen mit Phishing-E-Mails oder Social-Engineering-Versuchen. Wer die Belegschaft regelmäßig schult, reduziert das Risiko.

Vorbereitung und Handlungsfähigkeit im Ernstfall

Schließlich ist auch die Vorbereitung auf den Ernstfall Teil der Prävention. Unternehmen sollten klare Notfall- und Kommunikationspläne entwickeln, externe Experten (IT-Forensiker, spezialisierte Rechtsanwälte, PR-Berater) vorab benennen und prüfen, ob eine Cyber-Versicherung mit ausreichender Deckung besteht.

Ein Audit bestehender Verträge und Vertragsmuster ermöglicht darüber hinaus, strukturiert eigene Pflichten zu kennen und sicherzustellen, dass sachgerechte Pflichten mit Vertragspartnern vereinbart sind – um im Ernstfall agil und handlungsfähig zu sein, sowohl während als auch im Nachgang eines Angriffs sowie bei der späteren Aufarbeitung und etwaigen rechtlichen Folgethemen.

Fazit

Ein Ransomware-Angriff ist nicht nur eine technische Krise, sondern immer auch ein rechtlicher Ernstfall. Unternehmen müssen innerhalb kürzester Zeit zahlreiche Entscheidungen treffen, die rechtliche Konsequenzen haben – von der Meldung über die Information betroffener Personen über die Kommunikation mit Behörden und Geschäftspartnern bis hin zur Durchsetzung und/oder Abwehr rechtlicher Ansprüche.

Etablierte und getestete Notfallkonzepte mit klaren Zuständigkeiten und Abläufen, die ordnungsgemäße Dokumentation des Vorfalls und eine transparente, aber rechtlich geprüfte Informationspolitik sind zentrale Elemente einer rechtssicheren Reaktion. Wer frühzeitig Vorsorge trifft, Pflichten und Obliegenheiten zwischen allen denkbaren Stakeholdern klärt und regelt sowie juristisch belastbare Prozesse etabliert, kann rechtliche Risiken im Vorfeld steuern und im Ernstfall schnell und kontrolliert handeln – und so die wirtschaftliche Lage und Reputation des Unternehmens schützen.