Einer der bislang größten IT-Ausfälle der Geschichte wird Schätzungen zufolge allein die Fortune 500 Unternehmen mehr als fünf Milliarden US-Dollar an direkten Verlusten auf Grund von Produktionsausfällen, Reparatur von IT-Systemen, zusätzlichen Personalkosten und möglicherweise sogar Vertragsstrafen kosten, weil Unternehmen nicht in der Lage waren, gegenüber Vertragspartnern vereinbarte Leistungen zu erbringen.
Auf Millionen von Windows-Computern wurde am 19. Juli 2024 der gefürchtete, sog. „Blue Screen of Death“ angezeigt: „Your PC ran into a problem and needs to restart. We’re just collecting some error info, and then we’ll restart for you.”. Dazu geführt hatte ein fehlerhaftes Update der Security Software „Falcon“ des Cybersicherheitsunternehmens CrowdStrike. Weltweit wurden Unternehmen aus fast allen Industriebranchen für einige Zeit lahmgelegt. Falcon, ein beliebtes Cybersicherheits-Tool, das Bedrohungen an Netzwerk-Endpunkten wie Computern und mobilen Geräten kontinuierlich überwacht, bösartige Aktivitäten in Echtzeit erkennt und verhindert, soll vor immer raffinierteren Cyberangriffen schützen.
Im Anschluss an unseren bereits erstellten, praktischen Q&A Leitfaden mit rechtlichen Fragestellungen für betroffene Unternehmen zu Haftungs- und Schadenersatzfragen bleibt die Frage offen, was (in-)direkt betroffene Unternehmen künftig besser machen können, um sich proaktiv gegen solche Vorfälle und daraus resultierende Betriebsausfälle und Umsatzeinbußen besser abzusichern. Wir haben Antworten.
1. Status Check
Bestehende Vertragsbeziehungen sollten überprüft werden. Insbesondere die Implementierung spezifischer Klauseln in Service Level Agreements (SLAs), also Verträgen mit einem Outsourcing- und Technologieanbieter, in denen das Serviceniveau festgelegt ist und die derartige Vorfälle, abdecken, kann präventiv wirken. SLAs geben Aufschluss über Kennzahlen wie Betriebszeit, Lieferzeit, Reaktionszeit und Lösungszeit. Ein wichtiger Aspekt ihrer Anpassung wären klare und spezifische Anforderungen an die Reaktionszeiten (Response Times), also Zeiträume, innerhalb derer der Dienstleister auf Anfragen oder Probleme reagieren muss. Dadurch soll sichergestellt werden, dass Probleme zeitnah adressiert werden und der Service den Erwartungen eines Kunden entspricht. Auch sollten SLAs um detaillierte Bestimmungen zu Betriebszeitgarantien und möglicherweise sogar Vertragsstrafen enthalten, sollten diese Garantien nicht eingehalten werden. Dadurch können Unternehmen dafür Sorge tragen, dass Angriffe oder die Nichtverfügbarkeit von Systemen rasch und effektiv beseitigt werden. Lassen sich Vorfälle nicht vermeiden, so können Unternehmen auf Grund der Nichteinhaltung der Response Times vertragliche Ansprüche gegen die Dienstleister geltend machen und somit versuchen, sich durch die Regelung von Pönalen zumindest einen Teil der durch einen Vorfall entstandenen Mehrkosten oder Schäden zurückzuholen. Sinnvoll ist es, die Vertragsstrafen nach Schwergrad oder Verschulden abzustufen.
2. Absicherung durch Abschreckung
Einen weiteren Absicherungsmechanismus bildet die Implementierung von umfassenden Haftungsregelungen. So sollen Verantwortlichkeiten einfacher zugeordnet und ersatzfähige Schäden konkretisiert werden. Besonderes Augenmerk ist auf Folgeschäden zu legen, also Nachteile, die sich als Folge eines anderen Schadens ergeben. Hierin liegt typischerweise der Schwerpunkt bei Cyber Incidents. Dazu zählen etwa finanzielle Verluste bzw. Aufwendungen im Zusammenhang mit einer Betriebsunterbrechung, Datenwiederherstellung, Erfüllung regulatorischer Vorgaben (wie etwa bestimmte Compliance-Maßnahmen oder Meldepflichten) oder auch Kosten für externe Dienstleister zur Bewältigung der Vorfälle (wie etwa Berater oder Forensiker).
3. „Better safe than sorry“
In jenen Fällen, die durch SLAs, Pönalen und Haftungsklauseln möglicherweise nicht vollständig erfasst und kompensiert werden, bieten umfangreiche Cyberversicherungen Schutz. Unternehmen sollten ihre bestehenden Polizzen regelmäßig sorgfältig dahingehend prüfen, welche Risiken, in welchem Umfang, abgedeckt sind. Die meisten Polizzen decken bloß „klassische Versicherungsfälle“ ab, wie etwa Hackerangriffe oder Datenschutzverletzungen. Häufig nicht gedeckt sind Nachteile aus „zufälligen“ Ausfällen eines bereitgestellten Dienstes, insbesondere wenn die Dienstleister kein oder nur ein minderer Grad des Verschuldens treffen könnte. Da künstliche Intelligenz in naher Zukunft einen intensiven Entwicklungsschub erleben wird, sollten vor allem die damit einhergehenden Risiken evaluiert und vorgesorgt werden.
4. Wie man sich bettet, so liegt man
Besonders bei umfangreichen Kooperationen sollte der Auswahl eines potenziellen Vertragspartners eine gründliche Due Diligence vorangehen. Damit könnte sichergestellt bzw. überprüft werden, ob die erforderlichen Sicherheitsstandards erfüllt werden und ob potenzielle Vertragspartner beispielsweise über die erforderlichen Zertifizierungen (z.B. nach ISO 27001 – ein internationaler Standard für ein Information Security Management System, „ISMS“) verfügen. Je nach vertraglichem Machtgefüge wäre es auch denkbar, sich Einsichtsrechte in die Sicherheitsdokumentation des Vertragspartners oder regelmäßige Auditrechte und Penetrationstests vorzubehalten.
5. Vor der eigenen Haustür kehren
Nicht nur im Hinblick auf die bestehenden Vertragsbeziehungen, sondern auch intern, sollten in Unternehmen geeignete Schutzmaßnahmen getroffen werden. Dazu gehören etwa die Etablierung interner „Incident Response Teams“ bestehend aus Fachleuten, die solche Vorfälle rasch und effektiv isolieren und Notfallpläne in die Wege leiten können. Eine wichtige Rolle spielt auch die Einführung von sog. Data Recovery Plans, also regelmäßige Backups und Überprüfungen sowie Tests der Systeme und die Implementierung von Redundanzmaßnahmen. Letztere umfassen die Schaffung mehrfach vorhandener Systeme oder Komponenten, um die Verfügbarkeit und Zuverlässigkeit von Daten und Diensten auch bei Ausfällen zu gewährleisten.
Unternehmensintern kann auch die organisatorische Sicherstellung kurzer Kommunikationswege, etwa über bestimmte Instant Messaging Tools, festgelegte Kompetenzen sowie die Einführung von regelmäßigen Cybersicherheitsschulungen ein robustes Sicherheitsumfeld schaffen, um die Schwere allfälliger Auswirkungen mildern.
6. Ausblick
Der Vorfall vom 19. Juli 2024 hat die Verwundbarkeit der überwiegend verwendeten IT-Systeme aufgezeigt. Denn gerade der vorgesehene operative Vorteil der Plattform, nämlich dass Updates automatisch im Rahmen der Plattform und ohne Hinzutun von Nutzern eingespielt werden, führte zu einem weltweiten Stillstand und erwies sich dadurch als Schwachstelle. Angesichts dieses Vorfalls und unter Berücksichtigung der künftig immer strengeren Anforderungen, wie etwa der NIS2-Richtlinie (EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau, die bis Oktober 2024 umzusetzen ist), sollten Unternehmen ihre Cybersicherheitsstrategien sorgfältig überprüfen. Erst die Kombination robuster interner Sicherheitsmaßnahmen mit einer entsprechenden vertraglichen Absicherung nach außen kann das erforderliche Mindestmaß an Schutz bieten, um Risiken und Vorfälle effektiv zu bewältigen.
