16. März 2019
Cyberattacken – Meldung bei den Behörden?
Als Trittbrettfahrer der zunehmenden Digitalisierung haben sich professionelle Hacker auf gezielte Cyberangriffe auf Unternehmen und deren Top-Management spezialisiert. Vorfälle wie die schwerwiegende Beeinträchtigung und teilweise Lahmlegung der IT-Infrastruktur von grossen Unternehmen und öffentlichen Einrichtungen (z.B. Spitäler) durch die Verschlüsselungsmalware NotPetya machen deutlich, wie gross die Risiken sind. Nebst finanziellen Einbussen (z.B. infolge Ransomware), der Beeinträchtigung des Geschäftsbetriebs und der Beschädigung bzw. des Verlusts sensitiver Daten stellen insbesondere mögliche Reputationsschäden hohe Risiken dar, die es durch das Management adäquat zu adressieren gilt. Für Unternehmen ist es daher entscheidend zu wissen, welche rechtlichen Handlungsoptionen (und -pflichten) bei Cybervorfällen bestehen.
Meldepflicht: Nein, aber …
Zunächst stellt sich bei einem Cybervorfall die Frage, ob dieser einer Behörde zu melden ist, und wenn ja, welcher. Nach heutiger Gesetzeslage besteht im Falle eines Cybervorfalls grundsätzlich keine Meldepflicht an eine Schweizer Behörde. Eine Ausnahme hiervon bilden sektorspezifische Meldepflichten für Anbieter kritischer Infrastrukturen (z.B. regulierte Finanzinstitute oder Unternehmen im Telekommunikations- und Gesundheitsbereich) aufgrund von Spezialgesetzen.
Zudem kann eine Pflicht zur Notifikation innerhalb von nur 72 Stunden bei mit einem Cybervorfall einhergehenden Datenschutzverletzungen unter der EU-Datenschutz-Grundverordnung (DSGVO) bestehen. Die Einführung einer solchen Pflicht ist auch für das in Revision befindliche Schweizer Datenschutzgesetz (DSG) vorgesehen.
Kooperation mit MELANI
Auf freiwilliger Basis können Cybervorfälle per Meldeformular der Melde- und Analysestelle Informationssicherung des Bundes (MELANI) gemeldet werden. Solche Meldungen ermöglichen MELANI ein gut informiertes Lagebild über Cyberangriffe in der Schweiz. Aktive Unterstützung bei der Bewältigung des Vorfalls bietet MELANI heute indes im Regelfall nur den Betreibern kritischer Infrastrukturen. Derzeit wird erwogen, das Mandat von MELANI auf Leistungen zu erweitern, die sich an die gesamte Wirtschaft richten.
Umgehend Strafanzeige stellen
Zur rechtlichen Aufarbeitung eines erfolgten (oder noch andauernden) Cyberangriffs kann es angezeigt sein, Strafanzeige bei einer spezialisierten Cyber-Strafverfolgungsbehörde einzureichen. In vielen Kantonen sowie auf Bundesebene existieren fachkundige Stellen, deren Involvierung zur Eruierung der Täterschaft und zur Rückführung entwendeter Vermögenswerte (z.B. in Form von Bitcoins) hilfreich sein kann. Oftmals besteht jedoch eine gewisse Zurückhaltung, aktiv auf Strafverfolgungsbehörden zuzugehen, da Cyberangriffe sensitive Bereiche des Unternehmens wie z.B. deren IT-Infrastruktur betreffen. Solchen Bedenken kann begegnet werden, indem mit der zuständigen Staatsanwaltschaft vorab das Gespräch gesucht wird. Dies trägt dazu bei, dass die Reputation des betroffenen Unternehmens keinen Schaden nimmt. In jedem Fall müssen die Strafverfolgungsbehörden möglichst schnell involviert werden, um die Erfolgschancen der Ermittlungen zu erhöhen.
Fazit
Unternehmen sind gut beraten, sich technisch, organisatorisch und rechtlich auf Cyberangriffe vorzubereiten, um im Notfall rasch und adäquat reagieren zu können. Bei einem Vorfall ist umgehend zu prüfen, ob eine Meldepflicht besteht und ob Strafanzeige gestellt werden soll.
Disclaimer:
Dieser Beitrag erschien erstmals in der «Computerworld» vom 13. März 2019. swissICT berichtet in der Kolumne «Recht & IT» mehrmals jährlich über aktuelle juristische Themen im digitalen Bereich.
Autoren:
Rechtsanwalt Roland Mathys ist Co-Leiter der Rechtskommission von swissICT und leitet als Partner das Praxisteam ICT, Daten, Digital und Cyber der Anwaltskanzlei Schellenberg Wittmer.
Co-Autor Andreas Hösli ist ebenfalls Rechtsanwalt bei Schellenberg Wittmer und Spezialist für Mandate im Bereich Cyber- und Wirtschaftskriminalität.