13
03/2016 ·
MIDRANGE
MAGAZIN
US-amerikanische Kontrollbehörde für
Unternehmen, die Federal Trade Com-
mission, gewann im Rechtsstreit gegen
Wyndham Hotels. Das Gericht urteilte,
die Hotelkette habe „die personenbezo-
genen Daten der Kunden unnötig und
aus nicht nachvollziehbaren Gründen
unautorisierten Zugriffen und Dieb-
stahl ausgesetzt“, was von drei erfolg-
reichen Cyber-Angriffen in zwei Jahren
schmerzlich bewiesen worden war.
Die Entscheidung des Berufungs-
gerichts zementiert nun das Recht der
US-Kontrollbehörde, Unternehmen zur
sicheren Speicherung von Kundendaten
zu zwingen und sie abzustrafen, sollten
sie die Vorgaben nicht einhalten. Doch
welche Vorgaben das genau sind, darü-
ber werden die Unternehmen im Unkla-
ren gelassen – sie wissen oft nur, dass
sie nach einem Sicherheitsvorfall zur
Verantwortung gezogen werden können.
In Deutschland sollte das IT-Sicher-
heitsgesetz für höhere Standards sorgen,
doch lange Verhandlungen und eine un-
klare Sprache brachten der Regierung
bisher viel Kritik ein. So ist im Gesetz
zum einen von „kritischen Infrastruktu-
ren“ die Rede, zu denen nun nicht mehr
nur Straßen, Strom und Krankenhäuser
gehören, sondern durchaus auch spezi-
elle Internet- und Softwaredienstleister.
Der Fachanwalt für IT-Recht und Heise-
Justiziar Joerg Heidrich bescheinigte
dem Gesetz sogar, dass es prinzipiell auf
jede geschäftsmäßig betriebene Website
angewendet werden könne
1
. Im Gesetz
ist die Rede von „angemessenen Vorkeh-
rungen“ und der Verwendung von mo-
dernen Technologien, um die IT-Sicher-
heit zu gewährleisten. Was jedoch genau
darunter zu verstehen ist, bleibt offen.
Versicherungen am Steuer
Die Legislative mag also nicht der zu-
verlässigste Treiber sein, um Standards
für verantwortungsvolle IT-Sicherheit
1
zu setzen. Diese Rolle wird vielmehr
den Versicherungen zufallen, genauer
den Cyber-Versicherungen. Viele Un-
ternehmen sind bereits gegen Schäden
durch IT-Sicherheitslücken versichert
und der Markt dafür soll sich laut Ana-
lysten in den nächsten fünf Jahren auf
7,5 Milliarden USD verdreifachen. Ein
Unternehmen, das in solche Versiche-
rungspolicen einzahlt, wird auf klare
Vorgaben bestehen – um sicherzuge-
hen, dass es im Falle eines Hacks das
geforderte Level eingehalten und damit
seinen Anspruch auf Versicherungs-
leistung nicht verwirkt hat.
Heute setzen die meisten Unter-
nehmen auf Cyber-Versicherungen,
um Verluste aus Haftungsklagen aus-
zugleichen, doch die Versicherungen
werden bald eine weitaus bedeutende-
re Rolle einnehmen und den IT-Sicher-
heitsansatz der Unternehmen grund-
legend verändern. Die Entwicklung
der Brandschutzversicherung trieb die
Ausarbeitung und Durchsetzung von
Brandschutzmindeststandards in Neu-
bauten voran. Die Cyber-Versicherung
wird analog dazu für neue Maßstäbe
hinsichtlich Best Practices in der IT-
Sicherheit sorgen. Den entstehenden
Druck werden Unternehmen vermehrt
auch an Lieferanten und Software-
Anbieter weiterreichen: 65 Prozent
der von der NYSE befragten Vorstände
haben bereits angefangen oder planen,
Haftungsklauseln in die Verträge mit
Drittanbietern einzubauen.
Weder Versicherungen noch staatli-
che Regulierungen werden eine perfek-
te Strategie liefern, wie Unternehmen
auf Cyber-Kriminalität reagieren soll-
ten. Keine Infrastruktur ist vollständig
gegen Eindringlinge geschützt, und
Vorschriften werden Cyber-Angriffe
sicher weder verhindern noch den
vollumfänglichen finanziellen Scha-
den abdecken, mit dem ein Unterneh-
men nach einem Hack zu kämpfen
hat, etwa durch Schädigung der Marke
oder fallende Aktienkurse. Doch ohne
klare Standards, die definieren, was
„angemessene Vorkehrungen gegen
Sicherheitslücken“ sind, werden Un-
ternehmen weiterhin grundlegende Si-
cherheitsmaßnahmen missachten und
unter den Folgen von vermeidbaren
Hacks leiden. Angesichts der wachsen-
den Zahl an Cyber-Angriffen muss da-
von ausgegangen werden, dass Unter-
nehmen mit dem Schutz personenbe-
zogener Daten schlichtweg überfordert
sind. Wenn schon Jugendliche in der
Lage sind, Millionen von Kundendaten
mit Hacksoftware von der Stange zu
stehlen, ist klar, dass in diesem Unter-
nehmen zuvor keine Sicherheitsprü-
fung erfolgt ist. Es ist daher an der Zeit,
die Verantwortung dafür einzufordern,
um Unternehmen aller Branchen klar
zu machen, dass ihre Cyber-Hygiene
einer Prüfung standhalten muss.
Arved Graf von Stackelberg
ó
A N Z E I G E
One.indd 1
26.08.2014 10:27:28
