Die juristische Bedeutung der Cybersicherheit

Categories:AllgemeinCyber SecurityRisikomanagement
by Fabian Schild |
on Dezember 20, 2023

Ein europäischer Blickwinkel

Die Securities and Exchange Commission (SEC) hat SolarWinds und seinen ehemaligen Chief Information Security Officer (CISO), Timothy Brown, wegen Fehlverhaltens im Bereich der Cybersicherheit angeklagt. Dies stellt einen bedeutenden Wandel in der Herangehensweise der SEC an die Cybersicherheit dar, da es das erste Mal ist, dass die Behörde Anklage gegen eine Einzelperson wegen eines solchen Fehlverhaltens erhebt. Dies ist ein bedeutender Wandel in der Vorgehensweise der SEC im Bereich der Cybersicherheit, da die Behörde zum ersten Mal Anklage gegen eine Einzelperson wegen eines solchen Fehlverhaltens erhoben hat. Die Anklagen werden genauso streng geprüft und möglicherweise bestraft wie bei Insiderhandel oder anderen schweren Finanzverbrechen. Dies verdeutlicht die wachsende unternehmerische Bedeutung von Informationssicherheit und wirft ein Schlaglicht auf die steigende Verantwortung von Unternehmen für Cybersicherheit und deren Einfluss auf die Geschäftswelt, auch in Europa. Damit wird klar: Entscheider finden sich im Fokus juristischer Verfolgung.
Die Anklage unterstreicht die Notwendigkeit für Unternehmen, transparent über ihre Cybersicherheitspraktiken zu berichten. Europäische Unternehmen könnten ähnlichen rechtlichen Herausforderungen gegenüberstehen, wenn sie ihre Cybersicherheitsrisiken nicht angemessen managen oder darüber berichten. Zivilrechtliche und strafrechtliche Konsequenzen können Unternehmen treffen, die ihre Cybersicherheitsverantwortung vernachlässigen. Das gilt für eigenständig erbrachte Leistungen, aber insbesondere auch im Kontext Outsourcing.

Straf- und zivilrechtliche Konsequenzen

Die strafrechtlichen Konsequenzen können von Geldstrafen bis hin zu Freiheitsstrafen reichen, je nach Schwere des Verstoßes und der geltenden Gesetzgebung. Unternehmen und ihre Entscheidungsträger können strafrechtlich verfolgt werden, wenn nachweislich gegen Gesetze oder Vorschriften verstoßen wurde.
Zivilrechtlich können Unternehmen mit wesentlichen Konsequenzen konfrontiert werden, diese können verschiedene Formen annehmen, darunter:

  • Schadensersatzklagen: Unternehmen können von Kunden, Partnern oder anderen betroffenen Parteien verklagt werden, wenn durch unzureichende Sicherheitsmaßnahmen ein Schaden entstanden ist. Dies kann besonders relevant sein, wenn es zu Datenlecks oder Sicherheitsverletzungen kommt, die persönliche oder sensible Daten betreffen.
  • Vertragsstrafen: In vielen Geschäftsverträgen sind Klauseln enthalten, die Sicherheitsstandards definieren. Die Nichteinhaltung dieser Standards kann zu Vertragsstrafen oder zum Verlust von Geschäftsbeziehungen führen.
  • Regulatorische Strafen: Abgesehen von den Strafen, die von Datenschutzbehörden im Rahmen von Gesetzen wie der DSGVO verhängt werden können, können Unternehmen auch mit anderen regulatorischen Strafen konfrontiert werden, wenn sie nachweislich gegen Sicherheitsvorschriften verstoßen haben.
  • Reputationsschäden: Ein oft unterschätzter, aber signifikanter Aspekt sind die Reputationsschäden, die ein Unternehmen erleiden kann. Diese können langfristige finanzielle Auswirkungen haben und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen.
  • Rückgang des Aktienwerts: Für börsennotierte Unternehmen kann eine schwerwiegende Sicherheitsverletzung zu einer negativen Beeinträchtigung des Aktienwerts führen, was direkte finanzielle Auswirkungen auf das Unternehmen und seine Aktionäre hat.

Neben den Aufsichtsbehörden können verschiedene Akteure eine rechtliche Verfolgung auslösen:

  • Strafverfolgungsbehörden: Polizei und spezialisierte Cybercrime-Einheiten können Ermittlungen aufnehmen und Anklagen erheben.
  • Geschädigte Parteien: Betroffene von Sicherheitsverletzungen können Klagen einreichen, insbesondere bei Datenschutzverletzungen oder Betrug.
  • Datenschutzbehörden: In Europa können diese Behörden bei Verstößen gegen die DSGVO Strafverfolgungsmaßnahmen einleiten.
  • Finanzaufsichtsbehörden: Bei börsennotierten Unternehmen können diese Behörden Ermittlungen einleiten, wenn der Verdacht auf Täuschung der Investoren besteht.
  • Arbeitnehmer und Whistleblower: Sie können unethische oder illegale Praktiken melden. In Europa gibt es zunehmend gesetzliche Regelungen, die Whistleblower schützen.
  • Zivilgesellschaftliche Organisationen: NGOs oder Verbraucherschutzorganisationen können Fälle aufdecken oder zur Anzeige bringen.
  • Externe Auditoren und Prüfer: Bei regulären Prüfungen können diese Akteure auf Probleme stoßen, die sie den Behörden melden können oder müssen.


Der Fall SolarWinds ist ein deutliches Beispiel dafür, wie die Unternehmenssicherheit und der Umgang mit Vorfällen unmittelbare Auswirkungen auf die Geschäftspraktiken und regulatorischen Rahmenbedingungen haben können. Dabei gilt zu beachten, dass in Deutschland kein allgemeines Unternehmensstrafrecht existiert, im Sinne eines eigenständigen rechtlichen Systems zur Bestrafung von Unternehmen, sondern ein Personenstrafrecht.
Es gibt dennoch Mechanismen und gesetzliche Regelungen, die es ermöglichen, Unternehmen für Straftaten, die von ihren Mitarbeitern oder im Namen des Unternehmens begangen wurden, zur Verantwortung zu ziehen. Diese Regelungen fallen in den Bereich des Wirtschaftsstrafrechts und anderer relevanter Rechtsgebiete.

Die wichtigsten Instrumente in diesem Kontext sind:

  • Bußgeldverfahren gegen juristische Personen und Personenvereinigungen: Nach dem deutschen Ordnungswidrigkeitengesetz (OWiG) können Unternehmen mit Geldbußen belegt werden, wenn Mitarbeiter des Unternehmens Straftaten begehen, die dem Unternehmen zugutekommen oder bei denen Aufsichtspflichten verletzt wurden.
  • Compliance-Verpflichtungen und -Maßnahmen: Unternehmen sind zunehmend angehalten, wirksame Compliance-Systeme zu implementieren, um sicherzustellen, dass sie und ihre Mitarbeiter gesetzliche Vorschriften einhalten. Bei Verstößen können Unternehmen haftbar gemacht werden, insbesondere wenn festgestellt wird, dass unzureichende Compliance-Strukturen zu dem Verstoß beigetragen haben.
  • Zivilrechtliche Haftung: Unternehmen können auch zivilrechtlich für Schäden haftbar gemacht werden, die durch das rechtswidrige Verhalten ihrer Mitarbeiter entstanden sind.

Extremfall: Supply-Chain

Die zunehmende Vernetzung und Abhängigkeit von Lieferketten hat zu einem Anstieg von Supply Chain Attacken geführt, bei denen Angreifer Schwachstellen in der Lieferketten ausnutzen, dieser Trend scheint ungebrochen. Der Fall SolarWinds ist ein prominentes Beispiel für solche Attacken. Insbesondere diese Art von Cyberangriffen kann weitreichende und komplexe juristische Konsequenzen nach sich ziehen, vor allem dann, wenn die Steuerung der Lieferanten unzureichend ausgeprägt ist.

  • Haftung von Zulieferern: Wenn ein Zulieferer als Eintrittspunkt für den Angriff identifiziert wird, kann dieser u.U. für die daraus resultierenden Schäden haftbar gemacht werden. Dies könnte Klagen wegen (grober) Fahrlässigkeit oder Nichterfüllung von vertraglichen Sicherheitsanforderungen umfassen.
  • Haftung des betroffenen Unternehmens: Selbst wenn das betroffene Unternehmen nicht direkt für die Sicherheitslücke verantwortlich ist, kann es dennoch rechtliche Konsequenzen tragen, insbesondere wenn es nicht angemessen auf den Vorfall reagiert oder die Risiken nicht ordnungsgemäß kommuniziert hat.
  • Regulatorische Untersuchungen: Aufsichtsbehörden können Untersuchungen einleiten, um zu überprüfen, ob Unternehmen ihre Sorgfaltspflicht in Bezug auf die Auswahl und Überwachung ihrer Zulieferer erfüllt haben. Dies kann insbesondere dann relevant sein, wenn personenbezogene Daten betroffen sind.
  • Internationale juristische Herausforderungen: Da Supply Chain Attacken oft grenzüberschreitend sind, können sie komplexe juristische Fragen aufwerfen, einschließlich der Anwendbarkeit verschiedener nationaler Gesetze und der internationalen Rechtsdurchsetzung.

Die Entwicklungen in den USA dienen als Warnsignal und Weckruf für eine verstärkte Auseinandersetzung mit Cybersicherheitsrisiken im europäischen Wirtschaftsraum. Die Bedeutung von Cybersicherheit, Governance, Compliance, 3rd-Party Risiken und Transparenz in Bezug auf diese kann nicht hoch genug eingeschätzt werden.

Cyber-RisikoOutsourcingRisiko-Management