16. November 2018
Was ist bei Cyberangriffen wann zu tun?
Bei einem Cyberangriff ist ruhig und schnell zu entscheiden. Wichtig ist, im Voraus einen Plan für den Umgang mit Cyberangriffen zu erarbeiten. Die folgende Checkliste zeigt, was dabei zu beachten ist:
- Anwaltsgeheimnis
Bei einem Cyberangriff wird oft ein Anwalt eingeschaltet. Kommunikationen mit dem Anwalt sollten zwecks Wahrung des Anwaltsgeheimnisses stets mit dem Vermerk «Confidential attorney-client correspondence» oder «Confidential attorney work product» gekennzeichnet sein. Für alles, was das Unternehmen während des Cyberangriffs macht, gilt: Dokumentieren. Dokumentieren. Dokumentieren.
- Cyberangriff überprüfen
Bevor feststeht, dass ein Cyberangriff stattgefunden hat, soll darüber nach aussen nicht kommuniziert werden.
- Cyberangriffreaktions-Schlüsselteam zusammenstellen
Dazu gehören je ein
- IT-Experte
- Datenschutzbeauftragter
- Sicherheitsexperte
- HR-Verantwortlicher
- Leiter der von der Verletzung betroffenen Geschäftseinheit(en)
- Mitglied des Risiko-, internen Audit- oder Compliance-Teams
- Mitglied des Kommunikationsteams (PR)
- Untersuchung durchführen
Folgende Punkte sind dabei zu klären: Art, Ursprung und Dauer des Cyberangriffs. Was für Informationen und Personendaten sind betroffen?
- Risiken bewerten
Hierbei sind Versicherungpolicen und Verträge mit Drittanbietern sowie mit Kunden zu überprüfen. Ist mit Rechtsstreitigkeiten zu rechnen? Sind evtl. disziplinarische Massnahmen gegen fehlbare Mitarbeiter zu ergreifen?
- Benachrichtigungsplan
Sind Personen, Unternehmen (z.B. Kunden und Lieferanten), Organisationen oder Behörden aufgrund gesetzlicher oder vertraglicher Verpflichtungen zwingend zu benachrichtigen oder liegt das Mitteilen im Ermessen des vom Cyberangriff betroffenen Unternehmens? Beim Entwerfen der Mitteilung sind alle gesetzlichen oder vertraglichen Inhaltsanforderungen zu beachten, und es ist eine Liste der zu benachrichtigenden Personen, Unternehmen, Organisationen und Behörden zu erstellen.
- Kommunikationsplan
Wie und wann soll intern und extern über den Cyberangriff kommuniziert werden? Transparenz und Konsistenz sind der Schlüssel, um die Reputation des Unternehmens nicht zu schädigen. Für Rückfragen (z.B. der Medien) ist ein Ansprechpartner zu benennen.
- Entschädigung Betroffener?
Verlorener Goodwill bei Betroffenen (insbesondere Kunden) lässt sich evtl. durch freiwillig angebotene Entschädigungen wiederherstellen. Dabei ist jedoch stets darauf hinzuweisen, dass solche Angebote ohne Anerkennung einer Rechtspflicht und bloss aus Kulanz erfolgen.
- Analyse
Am Ende sind der Cyberangriff und die Reaktion darauf zu analysieren. Hätte die Attacke vermieden werden können? Welche Schritte sollten künftig proaktiv unternommen werden?
- Cyberangriffreaktionsplan
Für die Zukunft ist ein schriftlicher Cyberangriffreaktionsplan zu erstellen. Besteht ein solcher Plan bereits, ist er evtl. aufgrund der neuen Erfahrungen zu revidieren. Der Plan dient dem Unternehmen als Leitfaden für die Reaktion auf künftige Cyberangriffe. Sollte das von einem Cyberangriff betroffene Unternehmen später z.B. von geschädigten Kunden eingeklagt werden, können ein Cyberangriffreaktionsplan und die Dokumentation über die unternommenen Schritte vor Gericht aufzeigen, dass das Unternehmen vor und während des Angriffs sorgfältig gehandelt hat.
Disclaimer:
Diese Kolumne erschien erstmals in der «Computerworld» Nr. 11/2018. swissICT berichtet in der Kolumne «Recht & IT» mehrmals jährlich über aktuelle juristische Themen im digitalen Bereich.
Zum Autor:
Alesch Staehelin ist Mitglied der Rechtskommission von swissICT. Der Rechtsanwalt ist Partner bei TIMES Attorneys in Zürich.