https://www.faz.net/asv/it-sicherheit-1/haftung-bei-it-sicherheitsverstoessen-15799391.html
Verlagsspezial

: Haftung bei IT-Sicherheitsverstößen

  • -Aktualisiert am

Sicherheitsanforderung: Der Hersteller muss nur Schwachstellen absichern, deren Ausnutzung durch Hacker vorherzusehen sind. Bild: Boggy/AdobeStock

In immer mehr Betrieben laufen heute Maschinen, die Abläufe messen, steuern und regeln. Diese Maschinen sind vernetzt. Damit drohen neue IT-Gefahren und Sicherheitslücken. Doch wer haftet eigentlich, wenn die Technik nicht „wasserdicht“ ist?

          3 Min.

          Im Frühjahr 2016 hielt so etwa eine bis dahin beispiellose Welle von IT-Sicherheitsvorfällen die Republik in Atem. Tausende Unternehmen wurden über Tage lahmgelegt. Dokumente gingen verloren. Fließbänder standen still. Krankenhäuser konnten keine Patienten aufnehmen. Grund: Der Erpressungstrojaner „Locky“ hatte die Festplatten der PCs verschlüsselt.

          Auch wenn nach einem solchen Vorfall „nur“ Vermögensschäden zu beklagen sind, beginnt die Ursachenforschung. Und an die daraus gewonnenen Erkenntnisse schließt sich fast immer die Frage an, ob jemand für die entstandenen Schäden haftbar ist.

          Die Antwort auf diese Frage ist meist sehr komplex. Denn es gibt nicht „das“ IT-Sicherheitsrecht. Neben Sondervorschriften für Spezialbereiche überlagern sich hier öffentlich-rechtliche Produktvorschriften mit zivil- und strafrechtlichen Haftungsregimen. Häufig ergibt sich auch nach der Analyse keine eindeutige Zuweisung der Verantwortlichkeit.

          Instinktiv richten Betroffene den Blick zunächst auf den Hersteller des betroffenen Gerätes. Doch: Ein Hersteller muss mit seinem Produkt nicht unbedingt die maximale Sicherheit bieten. Er kann sein Sicherheitskonzept an der für ihn erkennbaren Verwendung des Produkts ausrichten. Der Hersteller muss nur solche Schwachstellen absichern, deren Ausnutzung durch Hacker nach dem Stand von Wissenschaft und Technik vorherzusehen ist. Das gilt insbesondere dann, wenn der Kunde diese Gefahren nicht selbst abwenden kann. Dabei gilt: Je größer die drohende Gefahr, desto höher sind die gestellten Anforderungen.

          Sicherheitsstandard vertraglich festschreiben

          Jeder Hersteller darf grundsätzlich Anweisungen geben, wie ein Produkt gebraucht und bedient werden muss. Wenn die Geräte dabei nicht die Sicherheit und Gesundheit von Personen gefährden, dürfen sie verkauft werden. Absolute IT-Sicherheit ist nicht gefordert. Viele Hersteller nutzen die Produktdokumentation, um durch Warnhinweise und Leistungsausschlüsse besonders riskante Einsatzszenarien auszuschließen. So finden sich in vielen Bedingungswerken US-amerikanischer Hersteller Regelungen, die den Einsatz des Produkts – etwa einer Software – in besonders gefährlichen Umgebungen (beispielsweise Kernkraftwerken oder in militärischen Einrichtungen) untersagen oder einschränken.

          Ein Produktfehler führt nicht zwingend zu Schadenersatz. Rechtlich gesehen liegt ein Produktfehler nämlich nur vor, wenn die Maschine nicht die Sicherheit bietet, die ein Kunde berechtigterweise erwarten kann. Nur in diesem Fall können Kunden vom Hersteller Schadenersatz fordern. Die bloße Möglichkeit, einen höheren Sicherheitsgrad zu erreichen, oder die Verfügbarkeit anderer Produkte, die ein geringeres Risiko darstellen, ist für sich kein ausreichender Grund, ein Produkt als gefährlich anzusehen.

          Betreiber bleibt verantwortlich

          Wer höhere Erwartungen an die IT-Sicherheit pflegt oder Geräte in einer Weise einsetzen oder kombinieren möchte, die in dieser Form vom Hersteller nicht vorgesehen ist, tut deshalb gut daran, sich einen höheren Standard vertraglich festschreiben zu lassen. Denn wenn der Lieferant trotz ausdrücklicher Verpflichtung zur Einhaltung besonders hoher Standards ein unsicheres Produkt liefert, ist die Leistung mangelhaft. Der Erwerber kann den Lieferanten dann an der Zusage festhalten und im Schadensfall haftbar machen.

          Das gilt auch, wenn der Hersteller den Kunden bewusst über die fehlende Sicherheit seiner Produkte täuscht oder nicht aufklärt. In diesem Fall drohen neben der zivilrechtlichen Haftung sogar Geld- und sogar Haftstrafen.

          Doch auch wenn der Hersteller beziehungsweise Lieferant haftet, ist der Betreiber einer Anlage nicht aus dem Schneider: Zum einen ist er in der Verantwortung, die für seinen Bedarf passenden Komponenten zu beschaffen und den Hersteller über die von ihm vorgesehenen Verwendungszwecke zu informieren. Zum anderen darf der Betreiber bei für ihn erkennbaren Sicherheitslücken nicht einfach untätig bleiben. Wird beispielsweise in der Presse über bestimmte Sicherheitslücken berichtet, muss er die notwendigen Maßnahmen treffen, zum Beispiel ein vom Hersteller angebotenes Sicherheitspatch einspielen oder die Komponente notfalls austauschen.

          Dabei ist die IT-Sicherheit „Chefsache“: Denn die Geschäftsleitung haftet gegenüber dem Unternehmen dafür, geeignete organisatorische Maßnahmen getroffen zu haben, um IT-Sicherheitsrisiken zu vermeiden. Daher sollten im Unternehmen Anweisungen und Maßnahmen existieren, um die IT-Sicherheit zu gewährleisten. Ansatzpunkte für solche Maßnahmen bieten anerkannte Normen (z. B. IEC 62443) oder der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene IT-Grundschutzkatalog.

          Jens Nebel ist Rechtanwalt und Fachanwalt für IT-Recht. Er ist Partner bei der Kanzlei Kümmerlein in Essen und unter anderem Experte für das IT-Sicherheitsrecht.

          Topmeldungen

          Cyberangriffe: Wenn die Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, gibt es in gerade einmal 43 Prozent der Unternehmen ein Notfallmanagement.

          : Feind auf der Festplatte

          Spionage, Sabotage, Datendiebstahl: Einige unbedachte Klicks, der Aufruf einer attackierenden Website oder der unvorsichtige Umgang mit USB-Sticks und schon hat sich der Aggressor Zugang zur Festplatte verschafft. Immer wieder gelingt es kriminellen Hackern, in Netzwerke und Rechner von Unternehmen und Organisationen einzudringen.

          : Clouds verschiedener Anbieter

          Diskussionen darüber, ob Unternehmen für ihren zukünftigen Erfolg Multi-Cloud-Strategien benötigen, sind müßig. Der Einsatz von Multi-Cloud-Konzepten, also IT-Infrastrukturen, in denen verschiedene Cloud-Computing-Systeme nebeneinander zum Einsatz kommen, ist längst Realität.
          Cybersecurity: Für Hacker bietet die vernetzte Medizintechnik ein lohnendes Feld. Durch Angriffe können oftmals umfassende Gesundheits- und Patientendaten erbeutet werden.

          : Per Mausklick ins Jenseits

          Moderne Medizintechnik ist vernetzt, selbst Implantate funken ins Internet. Deshalb können Sicherheitslücken in digitaler Medizintechnik tödliche Folgen haben.