– Herr Dr. von dem Bussche, deutsche Banken geraten zunehmend ins Visier von Cyber-Kriminellen. Handelt es sich noch um Einzelfälle, oder ist es eine systematische Bedrohung?Es handelt sich um eine permanente und systematische Bedrohung. Allein im Banken- und Versicherungssektor sind im August circa 1 500 Angriffe in Europa registriert worden. Angesichts dieser Entwicklung kann definitiv nicht mehr von Einzelfällen gesprochen werden; dies wird ernsthaft auch von keiner Stelle mehr behauptet.- Wer haftet, wenn die Konten von Bankkunden durch Hacker abgeräumt werden?Natürlich haften zuvorderst die Cyber-Kriminellen, die jedoch trotz Einschaltung der Ermittlungsbehörden regelmäßig nicht auffindbar sind. Weiter können die Bankkunden als primär Geschädigte Ersatzansprüche gegenüber den “gehackten” Finanzinstituten geltend machen, sofern die maßgeblichen Geldabflüsse nicht von ihnen autorisiert worden sind. Die Banken hingegen können sich an Hersteller eingesetzter Sicherheitssoftware wenden, sofern Mängel daran ursächlich für den Angriff waren. Schließlich ist eine Haftung verantwortlicher Einzelpersonen im Unternehmen denkbar, zum Beispiel bei schwerwiegenden Pflichtverletzungen eines Sicherheitsbeauftragten.- Vor einem Jahr ist das IT-Sicherheitsgesetz in Kraft getreten. Ist der Rahmen ausreichend, damit Banken die notwendigen Sicherheitsstandards einhalten?Das Gesetz enthält viele gute Ansätze und ist grundsätzlich ein wichtiges Zeichen, denn bis dahin waren Unternehmen lediglich auf Grundlage abgeleiteter “Compliance-Anforderungen” zur Herbeiführung von IT-Sicherheit angehalten. Aufgrund dieser nur vagen Verpflichtungen wurde das haftungsrechtliche Risiko in der Vergangenheit – häufig aus kurzfristigen Kostenersparnisgründen – schlicht in Kauf genommen. Das Thema IT-Sicherheit drang regelmäßig erst nach einem erlittenen Cyber-Angriff als neue Managementaufgabe in das Bewusstsein der Geschäftsführung.- Und heute?Jetzt werden mit dem IT-Sicherheitsgesetz die bisherigen repressiven Verpflichtungen zur IT-Sicherheit durch präventive Vorschriften ergänzt. Verstöße gegen das neue Gesetz sind bußgeldbewährt. Jedoch gilt das IT-Sicherheitsgesetz zunächst nur für Betreiber sogenannter “kritischer Infrastrukturen”, also für Unternehmen der unmittelbaren Daseinsvorsorge (Energie, IT, TK, Wasser, Ernährung). Andere Industrien werden sukzessive nachfolgen. Eine weitere Schwäche des Gesetzes ist, dass zentrale Begriffe wie der für Anforderungen an die IT-Sicherheit maßgebliche “Stand der Technik” nicht ausreichend definiert sind.- Das zuständige Bundesamt für Sicherheit in der Informationstechnik wird als zurückhaltend bei der Durchsetzung von Mindeststandards beschrieben. Zu Recht?Die vergleichsweise geringe Bußgeldandrohung mit einer Obergrenze von lediglich 100 000 Euro könnte ein Indiz dafür sein; so werden zum Beispiel im Datenschutz ab 2018 20 Mill. Euro als Obergrenze für Bußgelder ausgerufen. Ich gehe davon aus, dass das BSI sich an die neuen Aufgaben und Kompetenzen erst einmal herantasten wird. Erst im Laufe der Zeit und mit zunehmender Erfahrung in der Rolle als zentrale Aufsichtsbehörde wird das BSI seine mit dem IT-Sicherheitsgesetz deutlich erweiterten Befugnisse ausschöpfen.- Womit sollten sich Banken vor dem Hintergrund der jüngsten Hackerangriffe an vorderster Stelle befassen?Zunächst gehören die Sicherheitskonzepte auf den Prüfstand. Auch können simulierte Hackerangriffe von spezialisierten Anbietern helfen, Schwachstellen aufzuspüren. Schließlich sind regelmäßige Schulungen von Mitarbeitern als präventive Maßnahme zur Gefahrenabwehr sehr empfehlenswert. Festgestellte Sicherheitslücken müssen dann tatsächlich auch behoben werden, die Umsetzung sollte also nicht im Planungsstadium verharren. Dafür ist eine Unterstützung von höchster Management-Ebene unerlässlich. Ohne ein entsprechendes “Commitment” von oberster Stelle – auch in Hinblick auf Budget und Personal – sind die guten Vorsätze zum Scheitern verurteilt.—-Dr. Axel Freiherr von dem Bussche ist Leiter der Praxisgruppe Technology, Media & Telecommunications bei Taylor Wessing in Hamburg. Die Fragen stellte Sabine Wadewitz.