Eine Checkliste aus rechtlicher Sicht

Dimension: Die Dimension eines Cybervorfalls ist in persönlicher, örtlicher und sachlicher Dimension zu analysieren. Beispielsweise stellt sich die Frage, welche Unternehmen in welchen Staaten betroffen sind; bei Involvierung eines Drittstaats besteht möglicherweise Bedarf zum Einbezug lokaler Behörden oder Anwälte. In sachlicher Hinsicht ist das Ausmass des Cybervorfalls abzustecken: Sind Personen- oder andere Daten (z. B. Geschäftsgeheimnisse) tangiert? Liegt ein Verstoss gegen Sicherheits- oder Aufbewahrungsvorschriften vor? Wurden kritische Infrastrukturen beeinträchtigt?

Risikovektoren: Zu prüfen ist, welche Gefahren nach einem Cybervorfall konkret drohen. In Bezug auf Daten ist etwa fraglich, ob deren Verfügbarkeit (z. B. infolge Verschlüsselung oder Löschung), Vertraulichkeit (etwa bei Androhung, Daten zu leaken) oder Integrität (z. B. durch Manipulation) gefährdet sind.

Meldepflichten: Meldepflichten bestehen zunächst aufgrund des Datenschutzes (z. B. unter der EU-Datenschutz-Grundverordnung oder dem revidierten Schweizer Datenschutzgesetz). Darüber hinaus sehen Spezialgesetze schon heute oder in naher Zukunft Meldepflichten vor (z. B. für Anbieter von Kommunikationsdiensten). Bei börsenkotierten Unternehmen kann zudem eine Ad-hoc-Meldung aufgrund der Kursrelevanz eines gravierenden Cybervorfalls notwendig sein. Schliesslich können vertragliche Meldepflichten vereinbart worden sein; gerade hier fehlt häufig der Überblick, weshalb eine vorgängige Inventarisierung aller Verträge mit Meldepflichten empfohlen wird.

Ransomware: Häufig werden Unternehmen nach einem Cybervorfall mit Lösegeldforderungen konfrontiert (z. B. um Daten wieder entschlüsseln zu können oder einem Leaking von Daten zuvorzukommen). Generell wird von der Zahlung von Lösegeld abgeraten, denn es stellen sich hierbei beispielsweise Fragen nach der strafrechtlichen Zulässigkeit und der Versicherbarkeit.

Interne Untersuchung: Die Einleitung einer inter-nen Untersuchung ist dann geboten, wenn ein Cybervorfall möglicherweise auf Fehlverhalten von Mitarbeitenden oder Dienstleistern zurückzuführen ist. Im Rahmen der Unter­suchung soll deren Verantwortlichkeit geklärt werden, etwa um Disziplinarmassnahmen auszusprechen oder zivil- und strafrechtliche Schritte einzuleiten.

Strafanzeige: Besteht der Verdacht auf Begehung einer Straftat (z. B. Hacking, Datenklau oder -beschädigung), ist die Erhebung einer Strafanzeige zu erwägen. Diese sollte nach Möglichkeit an eine Behörde mit spezialisierter Cybercrime-Abteilung gerichtet sein. Die Strafanzeige dient nicht nur der allfälligen Ermittlung der Täterschaft, sondern auch der Beweissicherung und der Reputation.

Zivilklage: Entsteht durch einen Cybervorfall ein finanzieller Schaden (z. B. Kosten für die Datenwiederherstellung oder Gewinneinbusse infolge eines Betriebsunterbruchs), kann mittels Zivilklage gegen den Schädiger vorgegangen werden. Wichtig ist hierbei, dass der entstandene Schaden
hinreichend nachgewiesen wird, was bei Cybervorfällen oft eine Herausforderung darstellt.

Drittansprüche: Ein von einem Cybervorfall betroffenes Unternehmen kann auch in die Situation geraten, dass ­Dritte (z. B. Vertragspartner) geschädigt werden und Ansprüche erheben, gegen die man sich wehren muss. Um für den Ernstfall gerüstet sein, empfiehlt es sich, präventiv alle Verträge mit den wichtigsten Geschäftspartnern auf mögliches Gefahrenpotenzial zu prüfen.

Versicherung: Das von einem Cybervorfall betroffene ­Unternehmen sollte möglichst bald klären, ob allfällige Schäden durch eine allgemeine oder spezifische Cyber­versicherung abgedeckt sind. Zugleich ist zu prüfen, welche Obliegenheiten im Schadensfall gelten (z. B. betreffend Dokumentation, Beweissicherung, Strafanzeige).

Lessons Learned: Nach der rechtlichen Bewältigung eines Cybervorfalls sollte das Unternehmen die wichtigsten Erkenntnisse, Probleme und Schwachstellen analysieren und notwendige Lehren daraus ziehen, um für einen künftigen Vorfall rechtlich (noch) besser aufgestellt zu sein.