31. Juli 2024
Einer der bislang größten IT-Ausfälle der Geschichte wird Schätzungen zufolge allein die Fortune 500 Unternehmen mehr als fünf Milliarden US-Dollar an direkten Verlusten auf Grund von Produktionsausfällen, Reparatur von IT-Systemen, zusätzlichen Personalkosten und möglicherweise sogar Vertragsstrafen kosten, weil Unternehmen nicht in der Lage waren, gegenüber Vertragspartnern vereinbarte Leistungen zu erbringen.
Auf Millionen von Windows-Computern wurde am 19. Juli 2024 der gefürchtete, sog. „Blue Screen of Death“ angezeigt: „Your PC ran into a problem and needs to restart. We’re just collecting some error info, and then we’ll restart for you.”. Dazu geführt hatte ein fehlerhaftes Update der Security Software „Falcon“ des Cybersicherheitsunternehmens CrowdStrike. Weltweit wurden Unternehmen aus fast allen Industriebranchen für einige Zeit lahmgelegt. Falcon, ein beliebtes Cybersicherheits-Tool, das Bedrohungen an Netzwerk-Endpunkten wie Computern und mobilen Geräten kontinuierlich überwacht, bösartige Aktivitäten in Echtzeit erkennt und verhindert, soll vor immer raffinierteren Cyberangriffen schützen.
Im Anschluss an unseren bereits erstellten, praktischen Q&A Leitfaden mit rechtlichen Fragestellungen für betroffene Unternehmen zu Haftungs- und Schadenersatzfragen bleibt die Frage offen, was (in-)direkt betroffene Unternehmen künftig besser machen können, um sich proaktiv gegen solche Vorfälle und daraus resultierende Betriebsausfälle und Umsatzeinbußen besser abzusichern. Wir haben Antworten.
Bestehende Vertragsbeziehungen sollten überprüft werden. Insbesondere die Implementierung spezifischer Klauseln in Service Level Agreements (SLAs), also Verträgen mit einem Outsourcing- und Technologieanbieter, in denen das Serviceniveau festgelegt ist und die derartige Vorfälle, abdecken, kann präventiv wirken. SLAs geben Aufschluss über Kennzahlen wie Betriebszeit, Lieferzeit, Reaktionszeit und Lösungszeit. Ein wichtiger Aspekt ihrer Anpassung wären klare und spezifische Anforderungen an die Reaktionszeiten (Response Times), also Zeiträume, innerhalb derer der Dienstleister auf Anfragen oder Probleme reagieren muss. Dadurch soll sichergestellt werden, dass Probleme zeitnah adressiert werden und der Service den Erwartungen eines Kunden entspricht. Auch sollten SLAs um detaillierte Bestimmungen zu Betriebszeitgarantien und möglicherweise sogar Vertragsstrafen enthalten, sollten diese Garantien nicht eingehalten werden. Dadurch können Unternehmen dafür Sorge tragen, dass Angriffe oder die Nichtverfügbarkeit von Systemen rasch und effektiv beseitigt werden. Lassen sich Vorfälle nicht vermeiden, so können Unternehmen auf Grund der Nichteinhaltung der Response Times vertragliche Ansprüche gegen die Dienstleister geltend machen und somit versuchen, sich durch die Regelung von Pönalen zumindest einen Teil der durch einen Vorfall entstandenen Mehrkosten oder Schäden zurückzuholen. Sinnvoll ist es, die Vertragsstrafen nach Schwergrad oder Verschulden abzustufen.
Einen weiteren Absicherungsmechanismus bildet die Implementierung von umfassenden Haftungsregelungen. So sollen Verantwortlichkeiten einfacher zugeordnet und ersatzfähige Schäden konkretisiert werden. Besonderes Augenmerk ist auf Folgeschäden zu legen, also Nachteile, die sich als Folge eines anderen Schadens ergeben. Hierin liegt typischerweise der Schwerpunkt bei Cyber Incidents. Dazu zählen etwa finanzielle Verluste bzw. Aufwendungen im Zusammenhang mit einer Betriebsunterbrechung, Datenwiederherstellung, Erfüllung regulatorischer Vorgaben (wie etwa bestimmte Compliance-Maßnahmen oder Meldepflichten) oder auch Kosten für externe Dienstleister zur Bewältigung der Vorfälle (wie etwa Berater oder Forensiker).
In jenen Fällen, die durch SLAs, Pönalen und Haftungsklauseln möglicherweise nicht vollständig erfasst und kompensiert werden, bieten umfangreiche Cyberversicherungen Schutz. Unternehmen sollten ihre bestehenden Polizzen regelmäßig sorgfältig dahingehend prüfen, welche Risiken, in welchem Umfang, abgedeckt sind. Die meisten Polizzen decken bloß „klassische Versicherungsfälle“ ab, wie etwa Hackerangriffe oder Datenschutzverletzungen. Häufig nicht gedeckt sind Nachteile aus „zufälligen“ Ausfällen eines bereitgestellten Dienstes, insbesondere wenn die Dienstleister kein oder nur ein minderer Grad des Verschuldens treffen könnte. Da künstliche Intelligenz in naher Zukunft einen intensiven Entwicklungsschub erleben wird, sollten vor allem die damit einhergehenden Risiken evaluiert und vorgesorgt werden.
Besonders bei umfangreichen Kooperationen sollte der Auswahl eines potenziellen Vertragspartners eine gründliche Due Diligence vorangehen. Damit könnte sichergestellt bzw. überprüft werden, ob die erforderlichen Sicherheitsstandards erfüllt werden und ob potenzielle Vertragspartner beispielsweise über die erforderlichen Zertifizierungen (z.B. nach ISO 27001 – ein internationaler Standard für ein Information Security Management System, „ISMS“) verfügen. Je nach vertraglichem Machtgefüge wäre es auch denkbar, sich Einsichtsrechte in die Sicherheitsdokumentation des Vertragspartners oder regelmäßige Auditrechte und Penetrationstests vorzubehalten.
Nicht nur im Hinblick auf die bestehenden Vertragsbeziehungen, sondern auch intern, sollten in Unternehmen geeignete Schutzmaßnahmen getroffen werden. Dazu gehören etwa die Etablierung interner „Incident Response Teams“ bestehend aus Fachleuten, die solche Vorfälle rasch und effektiv isolieren und Notfallpläne in die Wege leiten können. Eine wichtige Rolle spielt auch die Einführung von sog. Data Recovery Plans, also regelmäßige Backups und Überprüfungen sowie Tests der Systeme und die Implementierung von Redundanzmaßnahmen. Letztere umfassen die Schaffung mehrfach vorhandener Systeme oder Komponenten, um die Verfügbarkeit und Zuverlässigkeit von Daten und Diensten auch bei Ausfällen zu gewährleisten.
Unternehmensintern kann auch die organisatorische Sicherstellung kurzer Kommunikationswege, etwa über bestimmte Instant Messaging Tools, festgelegte Kompetenzen sowie die Einführung von regelmäßigen Cybersicherheitsschulungen ein robustes Sicherheitsumfeld schaffen, um die Schwere allfälliger Auswirkungen mildern.
In the media
In the media
In the media
von Mag. Andreas Schütz, LL.M. und Mag. Alexander Schmiedlechner