Der Ausfall von Millionen von Windows-Computern durch ein fehlerhaftes Update des IT-Sicherheitsunternehmens Crowdstrike am 19. Juli 2024 war ein Weckruf für mehr Cybersicherheit. Zum richtigen Zeitpunkt, denn mit dem Inkrafttreten neuer EU-Regeln stehen Unternehmen vor großen Herausforderungen. Wer die Zeichen der Zeit nicht erkennt, riskiert empfindliche Haftungsfolgen.

Einleitung

Als am 19. Juli 2024 weltweit geschätzte 8,5 Millionen Windows-Computer durch ein fehlerhaftes Softwareupdate von Crowdstrike ausfielen, wurde schlagartig in einem bisher nicht gekannten Umfang für jeden ersichtlich, wie verwundbar unsere vernetzte Welt ist. Der Vorfall traf Unternehmen aus praktisch allen Branchen und verursachte Milliardenschäden.

Unternehmen sollten den Vorfall zum Anlass nehmen, um sich die Bedeutung der Cybersicherheit ins Gedächtnis zu rufen: Zum einen müssen in Kürze verschärfte gesetzliche Vorgaben für Cybersicherheit beachtet werden. Zum anderen sollten Unternehmen ihre Verträge und Versicherungen prüfen, ob Cybersicherheitsvorfälle hier hinreichend berücksichtigt sind, um im Falle eines Vorfalls keine zu großen finanziellen Einbußen zu erleiden. 

Was ist passiert und warum?

Der bei Unternehmen beliebte und als zuverlässig bekannte Hersteller von Cybersicherheitssoftware Crowdstrike spielte am 19. Juli 2024 ein Update auf. Ein fehlerhaft programmierter Speicherzugriff führte zu sich ständig wiederholenden Systemabstürzen von Windowscomputern, sodass diese gar nicht mehr starteten. Da das Update gleichzeitig an Millionen Rechnern ausgespielt wurde, kam es zu einem Dominoeffekt, der Unternehmen und Organisationen aus Schlüsselbranchen wie Luftfahrt, Finanzen, Einzelhandel, Produktion, Logistik und Gesundheitswesen über Stunden an der Geschäftstätigkeit hinderte. Entsprechend weitreichend und verheerend waren die Folgen.

Cybersicherheit für Unternehmen

Der Vorfall ruft kurz vor Ablauf der Umsetzungsfrist für die NIS2-Richtlinie am 17. Oktober 2024 die Bedeutung der Cybersicherheit für Unternehmen in Erinnerung. Die NIS2-Richtlinie, deren Umsetzung in Deutschland wohl erst im Frühjahr 2025 erfolgt, verschärft die Anforderungen an die IT-Sicherheit erheblich.

Neben den bisher bereits als „kritische Infrastruktur“ (KRITIS) an Vorgaben zur Cybersicherheit gewöhnten Unternehmen, werden künftig zehntausende weitere Unternehmen Cybersicherheitsanforderungen zwingend einhalten müssen. Dies betrifft eine Vielzahl von Unternehmen, die als wichtige oder besonders wichtige Einrichtungen eingestuft werden. Wichtige Unternehmen sind dabei schon solche, die 50 Mitarbeiter haben.

Betroffene Unternehmen müssen künftig erhöhte technische und organisatorische Sicherheitsmaßnahmen ergreifen und regelmäßig überprüfen. Besonders brisant: Die Verantwortung hierfür liegt explizit bei der Geschäftsleitung. Vorstände und Geschäftsführer müssen die Umsetzung aktiv steuern und überwachen und haften sogar persönlich bei Verstößen. Es ist also höchste Zeit, die internen Prozesse und Notfallpläne auf den Prüfstand zu stellen. Wer die Anforderungen unterschätzt, riskiert empfindliche Bußgelder und Schadensersatzforderungen.

In einem ersten Schritt sollte geprüft werden, ob ein Unternehmen unter die neuen Regelungen fällt. Dazu bietet das Bundesamt für die Sicherheit in der Informationstechnik (BSI) eine unverbindliche Ersteinschätzung an. Die Prüfung kann aber im Einzelfall schwierig sein, weil das Gesetz naturgemäß zum Teil sehr abstrakt formuliert ist. Kommen Zweifel auf, sollte anwaltlicher Rat von erfahrenen IT-Rechtsexperten eingeholt werden, um auf der sicheren Seite zu sein.

Steht fest, dass ein Unternehmen den neuen Cybersicherheitsanforderungen unterfällt, muss geprüft werden, welche Maßnahmen umzusetzen sind. Das hängt von zahlreichen Faktoren ab, insbesondere davon, welchen Betreibergruppen und Sektoren das Unternehmen unterfällt. Auch bei der Identifikation der Maßnahmen sollte Rechtsrat erfahrener IT-Rechtsexperten in Anspruch genommen werden.

Die neuen Anforderungen reichen von bestimmten Registrierungs- und Meldepflichten für Vorfälle über die Einrichtung von Schulungsmaßnahmen bis zur Implementierung von Risikomanagementsystemen und Security Operation Centers.

Schließlich müssen die Maßnahmen implementiert werden und es muss regelmäßig geprüft werden, dass die implementierten Maßnahmen noch ausreichen.

Wer gegen die Vorgaben verstößt, muss mit Bußgeldern sowohl für das Unternehmen als auch Folgen für Geschäftsleiter rechnen. Daneben kommen Schadensersatzforderungen in Betracht.

IT-Verträge, Haftung und Cybervorfälle

Cybersicherheit muss daneben aber auch umfassender gedacht werden. Der Crowdstrike-Vorfall zeigt, dass es praktisch jeden treffen kann und auch etablierten und als zuverlässig bekannten Softwareherstellern Fehler unterlaufen können. Das kann weitreichende auch indirekte Auswirkungen haben.

Unternehmen sollten daher bei der Gestaltung ihrer Verträge darauf achten, ein Haftungsregime auszuhandeln, das insbesondere auch Cybervorfälle im eigenen Unternehmen oder beim Geschäftspartner berücksichtigt. Dazu gehören zum einen angemessene Haftungsausschlüsse und Freistellungsklauseln, aber auch eine angemessene Definition von wechselseitigen Pflichten. Bei Verträgen mit Cybersicherheits-Anbietern ist darauf zu achten, dass die Haftungsklauseln auch sämtliche Folgeschäden für verursachte Betriebsausfälle abdecken; gerade bei US-Standardverträgen sind diese Folgeschäden oftmals explizit ausgeschlossen.

Hinzu tritt das Erfordernis Durchsetzungsmechanismen zu etablieren, mit deren Hilfe der Vertrag im Streitfalle auch effektiv durchgesetzt werden kann. Können die Ansprüche z.B. nur vor bestimmten US-Gerichten geltend gemacht werden, kann dies für manches kleinere europäische Unternehmen möglicherweise prohibitiv hohen Aufwand für die Rechtsdurchsetzung auslösen.

IT-Sicherheitsthemen spielen zwar vorrangig in IT-Verträgen (z.B. Softwarekauf) eine Rolle. Der Crowdstrike-Vorfall zeigt aber, dass IT-Vorfälle auch erhebliche indirekte Auswirkungen haben können und sich auf Vertragsbeziehungen auswirken, die nicht unmittelbar IT-Leistungen zum Gegenstand haben. Entsprechend sollten eventuelle IT-Vorfälle auch in anderen Verträgen mitbedacht werden.

Sinnvoll ist es darüber hinaus, eine Cyberversicherung abzuschließen, um im Schadensfall abgesichert zu sein. Je nach Police übernimmt eine Cyberversicherung dabei nicht nur direkte Schäden, sondern erstattet zum Teil auch Beraterkosten, wie etwa Anwaltskosten für den konkreten Vorfall.

Fazit: Cybersicherheit ernst nehmen

Der Crowdstrike-Vorfall hat verdeutlicht, wie abhängig wir von einer funktionierenden IT-Infrastruktur sind. Cybersicherheit ist daher Chef-Sache und muss auf höchster Ebene verankert werden. Mit den neuen EU-Regeln steigen die Compliance-Anforderungen und Haftungsrisiken. Unternehmen und ihr Leitungspersonal sind gefordert, der IT-Sicherheit höchste Priorität einzuräumen. IT-Sicherheit ist dabei nicht mehr nur Grundvoraussetzung für den nachhaltigen Betrieb von Unternehmen, sondern wird auch zunehmend aus Rechtsgründen gefordert. Daneben durchdringen Überlegungen zur IT-Sicherheit auch andere Funktionen von Unternehmen. So muss IT-Sicherheit insbesondere auch bei der Vertragsgestaltung und bei der Wahl von Versicherungen mitbedacht werden.