Krieg in der Ukraine und die aktuelle Cyber Lage

Mandanteninformation der in:finitysystems

vom 17.03.2022

Krieg in der Ukraine und die aktuelle Cyber Lage

Der russische Angriff auf die Ukraine stellt nicht nur ein Novum in der europäischen Geschichte der letzten 75 Jahr dar sondern auch ein Novum in der Bewertung der aktuellen „Cyber Lage“.

Erstmals findet eine kriegerische Auseinandersetzung zwischen 2 Nationen statt, welche auch reale Auswirkungen auf die IT-Systeme deutscher Unternehmen vom Konzern bis zum Kleinunternehmer haben kann.

Warnmeldungen in Richtung deutscher Unternehmen kommen momentan aus allen Richtungen. So warnt z.B. das Hessische Ministerium für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz aktuell alle sogenannten „KRITIS“ Betreiber – also Betreiber kritischer Infrastrukturen – vor möglichen Angriffen russischer Hacker auch auf gewerbliche Ziele in Deutschland.

Gleichfalls warnt das BSI vor dem Einsatz von Kaspersky Produkten. Einer der größten IT-Security Anbieter der Welt wird also von heute auf morgen zur persona non grata in Unternehmen quer durch die EU und darüber hinaus. Als russisches Unternehmen steht hier unmittelbar der Verdacht im Raum, durch vorauseilenden Gehorsam oder auch Zwang durch den russischen Staat als Vehikel für Angriffe geeignet zu sein. Ein Verdacht, der nicht unbegründet ist, ähnliche Fälle sind in der Vergangenheit bei amerikanischen Hersteller bekannt geworden.

Welche Gefahren ergeben sich nun durch die aktuelle Situation für deutsche Unternehmen?
Generell ist mit einer Zunahme von Cyber Angriffen zu rechnen. Auch wenn die Ziele, gerade der staatlichen russischen Akteure, vermutlich zum größten Teil in der Ukraine liegen werden, muss mit „Spillover“ Effekten gerechnet werden.

So kann aus einem eigentlich zielgerichteten Angriff auf ein ukrainisches Kraftwerk oder andere Infrastruktur schnell auch ein Angriff auf einen deutschen Zulieferer entstehen. Umgekehrt kann evtl. auch ein deutscher Zulieferer oder Dienstleister das einfachere Ziel als das eigentliche Ziel in der Ukraine sein.

Wir sehen uns hier einem völlig neuem Szenario gegenüber. Das Thema der „hybriden Kriegsführung“, also Panzer in der Offlinewelt und Hacker in der Onlinewelt als Mittel zum Angriff auf einen Staat sind in dieser Form und diesem Ausmaß völlig neu. In der Vergangenheit wurden zwar bereits Cyber-Attacken als Mittel der Kriegsführung oder für gezielte Attacken (siehe z.B. die Angriffe auf iranische Uran Anreicherungsanlagen) eingesetzt, doch der aktuelle Konflikt im Osten Europas stellt eine völlig neue Größenordnung dar.

Was bleibt also zu tun?

Wie können sich Unternehmen aktuell positionieren, um auf die aktuelle Situation zu reagieren? Wir empfehlen als Ad-hoc Maßnahmen folgende Punkte:

  • Sperrung von Verbindungen nach/von Russland auf der Firewall
  • Prüfung der eingesetzten Software/Hardware und Austausch von Produkten russischen Ursprungs
  • Update der Notfallpläne und Prozess-Dokumentationen für Cyber-Angriffe
  • Erneute Sensibilisierung der Mitarbeiter (Phishing Mails etc.)
  • Überprüfung der eigenen Cyberversicherung und deren Voraussetzungen

Unabhängig von den genannten Punkten bleibt natürlich ein solider Grundschutz der IT-Infrastruktur unabdingbar. Die Themen Firewall, Endpoint Security, Patch Management, Cyberversicherung und Notfall-Management stellen die wichtigsten Grundpfeiler eines Grundschutzes dar.

An dieser Stelle möchten wir auch auf die Cyberallianz der SMK Gruppe verweisen. IT-Security und Risiko-Management werden hier aus einem Guss geliefert.

Gerne beantworten wir Ihre Fragen zur aktuellen Lage in einem persönlichen Gespräch. Kontaktieren Sie uns jederzeit, um einen Termin zu vereinbaren.

Ihre IT-Experten der in:finitysystems
Andre Befort 

Starten Sie heute

Unser Netzwerk wird Lösungen schaffen! Das garantieren wir. Wir freuen uns auf Ihre Anfrage.
Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Einwilligung zur Datenverarbeitung

2 + 3 =

Urteil OLG Dresden „GmbH-Geschäftsführer haften für Datenschutzverstöße“

Mandanten-information

GDPC

vom 08.02.2021

Urteil OLG Dresden „GmbH-Geschäftsführer haften für Datenschutzverstöße“

Die Anzahl der Urteile, die Betroffenen bei Datenschutzverstößen von Unternehmen Schadenersatz in teils beträchtlicher Höhe zugesprochen haben, sind extrem gestiegen. Aufgrund dessen möchten wir Sie heute über ein brisantes Urteil des Oberlandesgerichts Dresden v. 30.11.2021 (Az.: 4 U 1158/21) zur Haftung bei Datenschutzverstößen informieren.

I. Haftung bei Datenschutzverstößen – wer haftet eigentlich?

Der „Verantwortliche“, mithin das Unternehmen, ist Herr der Daten, entscheidet über Zwecke und Mittel der Datenverarbeitung und ist folglich auch der Adressat von etwaigen Bußgeldern der Aufsichtsbehörden (Art. 83 DSGVO) und Adressat von Schadensersatzansprüchen von Betroffenen (Art. 82 DSGVO). Dies führt zu der Frage, ob als Verantwortlicher „nur“ die Institution, z.B. die juristische Person, als solche oder auch die Geschäftsführung bzw. der Vorstand zu qualifizieren ist. Das OLG Dresden urteilte, dass der Schadensersatz vom Verantwortlichen sowohl von der juristischen Person (GmbH) als auch von ihrem gesetzlicher Vertreter (Geschäftsführer) zu leisten ist; im Klartext: – „Der Geschäftsführer ist neben der GmbH Verantwortlicher im Sinne von Art. 4 DSGVO und haftet als Gesamtschuldner mit der GmbH für Ansprüche aus Art. 82 DSGVO.“ Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer gilt dies allerdings nicht.“ Das bedeutet, dass auch Geschäftsführer hier eine direkte rechtliche Verantwortung bei datenschutzrechtlichen Verstößen tragen und neben der Institution in die Haftung gezogen werden können. Für weisungsgebundene Angestellte oder sonstige Beschäftigte gilt dies nach Ansicht des Gerichts nicht. Eine Haftung dieser Personen ist nur in Extremfällen denkbar (z.B. bei Exzess/Vorsatz).

II. Kann auch für sog. Bagatellverletzungen datenschutzrechtlicher Vorgaben ein Schadenersatzanspruch zugesprochen werden?

Das OLG Dresden äußerte sich auch zur viel diskutierten Frage nach einer möglichen Bagatellgrenze im Rahmen von Schadenersatzansprüchen wie folgt: „Wird ein Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend gemacht, erfordert dies ein Überschreiten der erforderlichen Bagatellgrenze (OLG Dresden, Urt. v. 30.11.2021 – Az.: 4 U 1158/21).“ Das bedeutet, dass für sog. „Kleinstverstöße“ kein immaterieller Schadenersatzanspruch von Betroffenen geltend gemacht werden kann. Dies sehen einige Gerichte aber anders, sodass sich zu dieser Frage noch keine abschließende Rechtsauffassung manifestiert hat. Ab wann die Bagatellschwelle überschritten ist, muss stets im Einzelfall beurteilt werden. Ein Freibrief ist das Urteil daher keinesfalls.

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Unser Netzwerk wird Lösungen schaffen! Das garantieren wir. Wir freuen uns auf Ihre Anfrage.
Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Einwilligung zur Datenverarbeitung

12 + 12 =