epa03400460 A Filipino journalist reads smartphone messages while using a laptop computer with internet features at a local district press office in Quezon City, east of Manila, Philippines, 17 September 2012. Local media reported that Philippine President Benigno Aquino III signed into law on 12 September the Republic Act 10175 or the Cybercrime Prevention Act of 2012, a measure aimed at punishing online libel and crimes or offenses committed using the internet. EPA/ROLEX DELA PENA

© APA/ROLEX DELA PENA

B2B
07/01/2016

Sofortmaßnahmen für Unternehmen bei Cyberangriffen

Die ersten 72 Stunden nach einem Cyber-Angriff können für die Rechtsverfolgung entscheidend sein, erklärten Wolf Theiss–Rechtsexperten vor Journalisten.

Bei Cyberangriffen sei Zeit das bedeutendste Element, wie Angelika Hellweger von der Anwaltskanzlei Wolf Theiss erklärt. "Lässt man sich zu lange Zeit, würde man bald nicht mehr Herr der Lage sein. Auch die Rückholung überwiesener Gelder könne eher erfolgen, wenn zeitgerecht reagiert würde", warnt die Expertin.

Personenbezogene Daten

Ab Mai 2018 gibt es in ganz Europa eine Verpflichtung von Meldungen an die Datenschutzbehörde, Cyberangriffe binnen 72 Stunden zu melden. Das sieht die Datenschutzverordnung, die dann in Kraft tritt, vor. "Die 72 Stunden sind dann eine 'harte' Deadline, wenn von der Cyberattacke auch personenbezogene Daten betroffen sind," erklärt Roland Marko von Wolf Theiss.

Aber schon nach dem heute anwendbaren Datenschutzgesetz 2000 hätten Unternehmen, wenn ihnen bekannt wird, dass Daten aus einer ihrer Datenanwendungen (i) "systematisch und schwerwiegend unrechtmäßig verwendet wurden" und (ii) den Betroffenen Schaden droht, darüber unverzüglich die Betroffenen in geeigneter Form zu informieren, so der Datenschutz-Experte von Wolf Theiss. Das geschieht jedoch in der Praxis manchmal erst viel später.

Hohe Strafen

Durch den neuen Strafrahmen nach der DSGVO, der Strafen bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes vorsieht, erhält die Frist von 72 Stunden aber völlig neue Dimension. Die Anwaltskanzlei rät betroffenen Unternehmen vor allem dann, wenn auch Gelder transferiert wurden wie etwa bei SWIFT-Angriffe oder „Fake President“-Cases, sofortige Rückholmaßnahmen bei der Bank zu starten. Sobald klar ist, wohin Gelder überwiesen wurden (meistens außerhalb des Landes) sollten geeignete "Asset Tracer" vorab informiert werden, Das sind Dienstleister, die beim Nachverfolgen und Auffinden der Gelder behilflich sind.

Sind personenbezogene Daten betroffen, sollen Nutzer, Lieferanten und Personen, denen ein Schaden droht, sofort darüber in Kenntnis gesetzt werden. Die Kanzlei rät zudem zum Check, ob es eine Cyber-Versicherung gibt. Laut aktueller Cybercrime-Studie von KPMG ist fast jedes zweite (!) österreichische Unternehmen bereits Ziel von Cyberangriffen gewesen.