Ein weiterer Blick auf die Rechenschaftspflicht in der Cybersicherheit
- Cybersicherheitsvorfälle sind mehr als Verfügbarkeitsprobleme
- Böswillige Akteure nutzen den Rechtsweg zu ihrem Vorteil
- Persönliche Haftung für Fehlverhalten im Bereich der Cybersicherheit wird immer häufiger
Vorfälle im Bereich der Cybersicherheit, die einst als geringfügige Störungen abgetan wurden, haben sich zu erheblichen Bedrohungen mit weitreichenden Folgen entwickelt. Anfangs wurden sie als vorübergehende Rückschläge betrachtet und ihre Auswirkungen auf den Geschäftsbetrieb unterschätzt. Im Laufe der Zeit wurden die finanziellen Auswirkungen, wie Lösegeldzahlungen und Bußgelder, immer deutlicher. Diese veränderte Wahrnehmung wurde noch verstärkt, als die rechtliche Verantwortlichkeit für Versäumnisse im Bereich der Cybersicherheit auf strafrechtliche Haftung ausgedehnt wurde, was die Landschaft erheblich veränderte und die Anforderungen an das Cybersicherheitsmanagement erhöhte.
Historischer Kontext: Ein "schlechter Tag im Büro"
In der Vergangenheit wurden Vorfälle im Bereich der Cybersicherheit als "schlechte Tage im Büro" betrachtet, die zwar den Geschäftsbetrieb störten, aber keine dauerhaften Schäden verursachten. Diese Sichtweise führte zu einer Entkopplung zwischen der digitalen Welt des Cyberspace und den realen Folgen. Unternehmen konzentrierten sich auf die kurzfristige Wiederherstellung und übersahen dabei oft die Notwendigkeit langfristiger Cybersicherheitsstrategien. Dieser Ansatz führte zu wiederholten Vorfällen, die jeweils als isolierte Ereignisse und nicht als Symptome für systemische Schwachstellen behandelt wurden.
Aktueller Stand: Von der Betriebsgefahr zur strafrechtlichen Verantwortlichkeit
Die Tendenz, Versäumnisse im Bereich der Cybersicherheit als potenzielle Gründe für strafrechtliche Anklagen zu betrachten, wird durch den Fall von Ex-CEO von Vastaamo in Finnland. Nach einer massiven Datenpanne, bei der sensible Patientendaten in Gefahr gerieten, wurde der Ex-CEO angeklagt und erhielt eine Gefängnisstrafe (auf Bewährung).
Durch den Verstoß wurden persönliche Daten und Aufzeichnungen von Therapiesitzungen von Zehntausenden von Patienten offengelegt, von denen einige im Dark Web veröffentlicht wurden. Das Gericht stellte fest, dass der ehemalige CEO die Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht einhielt, indem er die Patientendaten nicht verschlüsselte, sich der Cybersicherheitslücken seit Jahren bewusst war und versuchte, die Verstöße zu verbergen - was zu seiner strafrechtlichen Verantwortung führte.
Neuartige Taktiken von Cyberkriminellen: Ausnutzung von Rechtssystemen
Cyberkriminelle werden immer raffinierter und nutzen Rechtssysteme, um ihre Angriffe zu verstärken. Eine Ransomware-Bande, ALPHV/BlackCat, reichte eine SEC-Klage gegen MeridianLink ein, ihr eigenes Opfereingereicht, weil sie es versäumt hatten, eine erhebliche Datenverletzung zu melden, die von ALPHV/BlackCat selbst verursacht worden war. Diese innovative Taktik, gesetzliche Vorschriften für die obligatorische Offenlegung von Cybersicherheitsvorfällen gegen die Opfer zu nutzen, unterstreicht einen besorgniserregenden Trend, bei dem Cyberkriminelle rechtliche Schlupflöcher nutzen, um den Druck auf ihre Ziele zu erhöhen und die Regeln der digitalen Erpressung neu zu definieren.
Dabei handelt es sich um denselben Bedrohungsakteur, der Berichten zufolge hinter dem Hack der Kasinos in Las Vegas (MGM und Caesars im September) stand.
Die SEC hat auf die Meldung des Bedrohungsakteurs nicht reagiert, was zum Teil darauf zurückzuführen ist, dass eine kürzlich erlassene Regelung noch nicht in Kraft war (ein neuer Zeitrahmen für die Berichterstattung wurde von der SEC genehmigt, tritt aber erst Mitte Dezember in Kraft). Dies wirft Bedenken hinsichtlich der vom Bedrohungsakteur ausgenutzten Lücke auf, aber auch hinsichtlich der Wirksamkeit der Aufsichtsbehörde - hinter der Beschwerde schien Tatsachenmaterial zu stehen, das zu Maßnahmen der Aufsichtsbehörde hätte führen müssen, in einer Situation, die am besten durch ein denkwürdiges Filmzitat beschrieben wird: "(...)Hunde und Katzen leben zusammen(...)".
In einer etwas unerwarteten Wendung der Ereignisse können alle diese Vorfälle zu einer reduzierten (obligatorischen) Berichterstattungführen, da CEOs/CIOs/CISOs die potenzielle rechtliche Haftung gegen die potenziellen Risiken einer Nichtmeldung abwägen.
Dies hängt auch mit einem anderen Problem zusammen, nämlich der Zeit, in der eine Sicherheitsverletzung nach dem ersten Zugriff unentdeckt bleibt (Schätzungen zufolge liegt diese Zahl bei über 270 Tage, laut einem IBM-Bericht aus dem Jahr 2022). Wenn diese Gesetzeslücke weiterhin zugelassen wird, dann ist diese unentdeckte Zeit mehr als genug, um eine Beschwerde über eine nicht gemeldete Sicherheitsverletzung einzureichen - und sie wird faktisch korrekt sein.
Fallstudie: SolarWinds und die verschärfte rechtliche Kontrolle
Der Fall SolarWinds ist ein Paradebeispiel für die zunehmende rechtliche Kontrolle im Bereich der Cybersicherheit. Die SEC beschuldigt SolarWinds und seinen CISO, schlechte Cybersicherheitspraktiken und -risiken verheimlicht Dies ist das erste Mal, dass die SEC Klagen gegen eine Einzelperson im Bereich der Cybersicherheit erhebt.
In der Klage wird behauptet, dass SolarWinds seit dem Börsengang 2018 bis mindestens Dezember 2020 irreführende öffentliche Erklärungen über seine Cybersicherheitspraktiken abgegeben, bekannte Schwachstellen und Sicherheitsverletzungen nicht offengelegt und keine angemessenen Kontrollen zum Schutz seiner kritischen Vermögenswerte unterhalten hat. Dieser Fall unterstreicht die Erwartung einer genauen Offenlegung von Cybersicherheitsrisiken und die persönliche Verantwortlichkeit von Führungskräften und Sicherheitsbeauftragten.
Eine neue Ära der Rechenschaftspflicht im Bereich der Cybersicherheit
Die Entwicklung von Vorfällen im Bereich der Cybersicherheit von einer Betriebsgefahr zu einem Grund für strafrechtliche Haftung stellt einen bedeutenden Wandel in der Art und Weise dar, wie Unternehmen und ihre Führungskräfte die Cybersicherheit angehen müssen. Es ist eine klare Botschaft an Unternehmen und ihre Führungskräfte, robusten Cybersicherheitsmaßnahmen Vorrang einzuräumen, die gesetzlichen Vorschriften einzuhalten und ihre Cybersicherheitspraktiken transparent zu gestalten. Wenn sie dies nicht tun, kann dies zu schwerwiegenden rechtlichen und finanziellen Folgen führen, nicht nur für das Unternehmen, sondern auch für die Verantwortlichen persönlich. Da sich die Landschaft der Cyber-Sicherheitsbedrohungen ständig weiterentwickelt, müssen sich auch die Strategien zu ihrer Bekämpfung weiterentwickeln, wobei Prävention, Transparenz und Verantwortlichkeit im Vordergrund stehen.
Vielleicht ist dies der Anstoß, der die Belange der Cybersicherheit endlich branchenübergreifend in den Vordergrund rückt.