Am 12. Mai 2017 kam es zu dem bislang größten Hackerangriff, bei dem über 200.000 Rechner in 150 Ländern mit der Schadsoftware WannaCry infiziert wurden. 1http://www.bbc.com/news/technology-39913630 Ziel der Attacke waren vor allem Unternehmen wie beispielsweise FedEx in den USA, Telefonica in Spanien, die Deutsche Bahn in Deutschland aber auch Krankenhäuser, wobei hier vor allem Einrichtungen in Großbritannien betroffen waren. 2http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyber-angriff-a-1147523.html Bei der  Schadsoftware handelt es sich um eine sogenannte „Ransomware“, die bestimmte Daten verschlüsselt und bei Nichtzahlung eines Lösegelds mit dem Verlust dieser Daten droht. Die Lösegelder sollten innerhalb weniger Tage in Form der Kryptowährung Bitcoin bezahlt werden. Möglich war der Hackerangriff aufgrund einer Sicherheitslücke im Betriebssystem Windows von Microsoft, die bereits zuvor durch den US-Geheimdienst NSA entdeckt und genutzt worden war. 3http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyber-angriff-a-1147523.html Laut Microsoft ist die Sicherheitslücke inzwischen geschlossen worden.

Diese Cyberattacke lenkt die Aufmerksamkeit  wieder auf die Bedeutung der IT Sicherheit für Unternehmen und kritische Infrastrukturen und nicht nur auf Regierungseinrichtungen und Privatpersonen, welche in der Vergangenheit primäres Ziel von derartigen Angriffen waren. Durch Hackerangriffe dieser Art sehen sich Unternehmen erheblichen Gefahren des dauerhaften Verlusts wichtiger Daten oder der Weitergabe von Betriebsgeheimnissen ausgesetzt. Cyberattacken auf kritische Infrastrukturen bergen die Gefahr das öffentliche Leben lahmzulegen, indem die Versorgung mit Energie oder Wasser oder die Gesundheitsversorgung unterbrochen wird.

Aufgrund des Ausmaßes der Cyberattacke und der Gefahr ähnlicher Vorkommnisse in der Zukunft steht das IT-Sicherheitsrecht auf dem Prüfstand. Es stellt sich die Frage, ob die bestehenden rechtlichen Regelungen in Deutschland ausreichend sind oder ob es einer Nachregulierung bedarf. Dabei ist zwischen kritischen und nicht kritischen Infrastrukturen zu unterscheiden.

Für nicht kritische Infrastrukturen, wie etwa privatwirtschaftlich tätige Unternehmen, bestehen keine rechtlichen Regelungen bezüglich der IT-Sicherheit. Im Rahmen der Führung des Betriebs ist es den Verantwortlichen freigestellt, ein IT-Sicherheitskonzept zu etablieren oder nicht. Im Interesse der jeweiligen Unternehmen wird jedoch regelmäßig ein hoher IT-Sicherheitsrechtsstandard liegen. Hierbei ist darauf zu achten, dass immer die jeweils aktuellste Software im Unternehmen genutzt wird. Denn die Sicherheitslücke, die zu dem Hackerangriff am 12. Mai führte, betraf primär Nutzer mit älteren Betriebssystemen wie Windows XP.

Für kritische Infrastrukturen bestehen hingegen mit § 8a Abs. 1 BSIG konkrete rechtliche Regelungen. Die Verpflichtung organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen müssen unter Einhaltung des technischen Fortschritts umgesetzt werden. Bei konsequenter Beachtung dieser Vorgaben haben Cyberattacken wie die kürzlich erfolgte aufgrund der Aktualität der Software keinen Erfolg. Aus diesem Grund und aufgrund der Tatsache, dass gesetzliche Regelungen immer abstrakt generell formuliert sein müssen, erscheint der rechtliche Rahmen ausreichend.4Kipker,  WannaCry: Weltweit größte Cyberattacke zeigt Handlungsbedarf für KRITIS-Betreiber bei der Umsetzung gesetzlicher Vorgaben zur ...continue Es liegt vielmehr an den Betreibern kritischer Infrastrukturen selbst, die rechtlichen Bestimmungen auch umzusetzen. Eine vollumfängliche IT-Sicherheit kann im Übrigen nie gewährleistet werden, da Hacker immer in der Lage sein werden Schadsoftware zu entwickeln, die auch neueste Sicherheitssysteme umgehen kann. Der Schlüssel liegt also nicht in einer stärkeren rechtlichen Regulierung, sondern vielmehr in der Weiterentwicklung von bereits bestehenden technischen IT-Sicherheitskonzepten.

Referenzen   [ + ]

1. http://www.bbc.com/news/technology-39913630
2. http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyber-angriff-a-1147523.html
3. http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyber-angriff-a-1147523.html
4. Kipker,  WannaCry: Weltweit größte Cyberattacke zeigt Handlungsbedarf für KRITIS-Betreiber bei der Umsetzung gesetzlicher Vorgaben zur Cybersicherheit