B2B
01.07.2016

Sofortmaßnahmen für Unternehmen bei Cyberangriffen

Die ersten 72 Stunden nach einem Cyber-Angriff können für die Rechtsverfolgung entscheidend sein, erklärten Wolf Theiss–Rechtsexperten vor Journalisten.

Bei Cyberangriffen sei Zeit das bedeutendste Element, wie Angelika Hellweger von der Anwaltskanzlei Wolf Theiss erklärt. "Lässt man sich zu lange Zeit, würde man bald nicht mehr Herr der Lage sein. Auch die Rückholung überwiesener Gelder könne eher erfolgen, wenn zeitgerecht reagiert würde", warnt die Expertin.

Personenbezogene Daten

Ab Mai 2018 gibt es in ganz Europa eine Verpflichtung von Meldungen an die Datenschutzbehörde, Cyberangriffe binnen 72 Stunden zu melden. Das sieht die Datenschutzverordnung, die dann in Kraft tritt, vor. "Die 72 Stunden sind dann eine 'harte' Deadline, wenn von der Cyberattacke auch personenbezogene Daten betroffen sind," erklärt Roland Marko von Wolf Theiss.

Aber schon nach dem heute anwendbaren Datenschutzgesetz 2000 hätten Unternehmen, wenn ihnen bekannt wird, dass Daten aus einer ihrer Datenanwendungen (i) "systematisch und schwerwiegend unrechtmäßig verwendet wurden" und (ii) den Betroffenen Schaden droht, darüber unverzüglich die Betroffenen in geeigneter Form zu informieren, so der Datenschutz-Experte von Wolf Theiss. Das geschieht jedoch in der Praxis manchmal erst viel später.

Hohe Strafen

Durch den neuen Strafrahmen nach der DSGVO, der Strafen bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes vorsieht, erhält die Frist von 72 Stunden aber völlig neue Dimension. Die Anwaltskanzlei rät betroffenen Unternehmen vor allem dann, wenn auch Gelder transferiert wurden wie etwa bei SWIFT-Angriffe oder „Fake President“-Cases, sofortige Rückholmaßnahmen bei der Bank zu starten. Sobald klar ist, wohin Gelder überwiesen wurden (meistens außerhalb des Landes) sollten geeignete "Asset Tracer" vorab informiert werden, Das sind Dienstleister, die beim Nachverfolgen und Auffinden der Gelder behilflich sind.

Sind personenbezogene Daten betroffen, sollen Nutzer, Lieferanten und Personen, denen ein Schaden droht, sofort darüber in Kenntnis gesetzt werden. Die Kanzlei rät zudem zum Check, ob es eine Cyber-Versicherung gibt. Laut aktueller Cybercrime-Studie von KPMG ist fast jedes zweite (!) österreichische Unternehmen bereits Ziel von Cyberangriffen gewesen.