Cyberrisiken in Österreich: Ein Überblick

Die Bedrohung durch Hackerangriffe, Datendiebstahl und Sabotage nimmt stetig zu und stellt Unternehmen vor große Herausforderungen. Neben technischen Schutzmaßnahmen ist es besonders wichtig, die rechtlichen Rahmenbedingungen zu kennen und die eigenen Pflichten zu erfüllen, um im Ernstfall Haftungsrisiken zu vermeiden.

In diesem Beitrag möchten wir einen Überblick über die aktuelle Gesetzeslage in Österreich, die wichtigsten Handlungsempfehlungen für Unternehmen und den richtigen Umgang mit Cyberangriffen geben. Der Artikel eignet sich auch gut als Grundlage für ein Erstgespräch mit Kunden, um diese grundlegend über das Cyber-Risiko zu informieren.

Wie sieht die aktuelle Bedrohungslage in Österreich aus?

Österreich ist, wie viele andere Länder auch, zunehmend von Cyberangriffen betroffen. Ransomware-Attacken, bei denen Daten verschlüsselt und Lösegeld gefordert wird, sind besonders häufig und stellen eine massive Bedrohung für Unternehmen dar. Weitere Risiken bestehen durch Phishing-Angriffe, Datendiebstahl und Sabotage. Betroffen sind nicht nur globale Konzerne, sondern zunehmend auch kleine und mittelständische Unternehmungen in Österreich, die oft über geringere Abwehrmöglichkeiten verfügen.

Die Folgen eines erfolgreichen Cyberangriffs können gravierend sein:

• Betriebsunterbrechungen und Produktionsausfälle: Bei Cyberangriffen mit schwerwiegenden Auswirkungen stehen die betroffenen Unternehmen mehrere wochenlang still. Bis sich ein Unternehmen vollständig von einem Cyber-Angriff erholt vergehen oft Monate, wenn nicht sogar Jahre.
• Verlust von sensiblen Daten und Geschäftsgeheimnissen: Die Motive der Angreifer sind völlig unterschiedlich, das Vorgehen jedoch eine gemeinsame Handschrift. Es erfolgt immer der Versuch sich mit möglichst hohen Rechten im Netzwerk des Opfers festzusetzen. Häufig wird jahrelang spioniert (siehe beispielweise VW) oder auch das System sofort verschlüsselt – je nachdem welche Absichten dahinter stehen.
• Reputations- und Vertrauensverlust bei Kunden und Geschäftspartnern: Ein Datenleck kommt niemals gut an – es schmälert den Firmenwert und die betroffenen Unternehmen kämpfen lange gegen den erlittenen Vertrauensverlust an.
• Hohe Kosten für die Wiederherstellung der Systeme und die Behebung der Schäden: Wenn die Daten zerstört sind und kein verwertbares Backup vorhanden ist, muss die Datenerfassung oft händisch nachgeholt werden. Dies kann Unsummen an Geld verschlingen, ohne die ursprüngliche Qualität wiederherstellen zu können.
• Rechtliche Konsequenzen und Haftungsrisiken: Beim Verlust von personenbezogenen Daten sind rechtliche Konsequenzen zu befürchten, einerseits durch die zuständigen Behörden aber auch Ansprüche von betroffenen Personen stehen dann im Raum. Je sensibler die verwahrten Daten sind, desto mehr Aufwand sollte betrieben werden, um diese zu sichern.

Welche rechtliche Grundlagen und Anforderungen bestehen in Österreich?

In Österreich existieren verschiedene Gesetze und Verordnungen, die Regelungen zur Cybersicherheit und zum Datenschutz enthalten. Die wichtigsten rechtlichen Grundlagen sind:

• Datenschutzgesetz (DSG): Schützt personenbezogene Daten und fordert angemessene technische und organisatorische Maßnahmen (TOMs) zur Gewährleistung der Datensicherheit.
• DSGVO: Die Datenschutzgrundverordnung der EU stellt ein einheitlichen Datenschutzniveau innerhalb der EU sicher und sieht auch entsprechende Konsequenzen und Meldepflichten bei Verstößen vor.
• NIS-Gesetz (Netz- und Informationssystemsicherheitsgesetz): Setzt die EU-NIS-Richtlinie in Österreich um und regelt Anforderungen für Betreiber wesentlicher Dienste. Dazu zählen Unternehmen aus den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur – wird voraussichtlich noch 2024 aufgrund der NIS2-Richtlinie wesentlich erweitert, sodass deutlich mehr Unternehmen unter den Anwendungsbereich fallen.
• DORA-Verordnung: Der Digital Operational Resilience Act (DORA) ist ab 17. Jänner 2025 direkt anwendbar. Mit dieser Verordnung  sollen die unterschiedlichen Vorschriften für den Finanzsektor, welche digitale Risiken betreffen konsolidiert werden.
• Strafgesetzbuch (StGB): Stellt verschiedene Cyberdelikte wie Datenbeschädigung, Computersabotage und Datendiebstahl unter Strafe.
• GmbHG, AktG: Verpflichtet Geschäftsführer und Vorstände zur sorgfältigen Führung der Geschäfte und beinhaltet somit auch die Pflicht zur Gewährleistung der Cybersicherheit. Explizite Erwähnung dieser Verpflichtungen wird auch im Rahmen der NIS2-Richtlinie erfolgen.
• Telekommunikationsgesetz (TKG): Dieses Gesetz beinhaltet Bestimmungen zur Sicherheit und Integrität von Kommunikationsnetzen und -diensten. Es legt fest, wie Telekom-Unternehmen Daten schützen müssen und wie sie im Fall von Sicherheitsverletzungen zu reagieren haben.

Welche konkreten Maßnahmen empfehlen wir zur Cybersicherheit?

Als Unternehmen sollte man die unten stehenden Maßnahmen im Blick haben, um einen gewissen Standard hinsichtlich Cybersicherheit zu gewährleisten – wie die Maßnahmen konkret aussehen sollten und wie diese umsetzbar sind, entscheidet das Unternehmen und der kundige IT-Dienstleister. Der IT-Dienstleister beschäftigt sich nicht mit IT-Security oder kann kein schlüssiges Security-Konzept vorweisen? – Im eigenen Interesse sollte man sich dann einen Neuen suchen.

• Risikoanalyse und Sicherheitskonzept: Identifizieren Sie die relevanten Cyberrisiken für Ihr Unternehmen und erstellen Sie ein umfassendes Sicherheitskonzept, welches technische, organisatorische und personelle Maßnahmen umfasst.
• Zugangskontrollen und Berechtigungskonzept: Implementieren Sie ein Berechtigungskonzept, um den Zugriff auf sensible Daten und Systeme auf autorisierte Personen zu beschränken.
• Verschlüsselung: Verschlüsseln Sie sensible Daten, sowohl bei der Speicherung als auch bei der Übertragung.
• Sichere Passwörter und Multi-Faktor-Authentifizierung: Verwenden Sie starke Passwörter und implementieren Sie Multi-Faktor-Authentifizierung für den Zugang zu kritischen Systemen.
• Sicherheitsupdates und Patch-Management: Installieren Sie zeitnah Sicherheitsupdates für Betriebssysteme, Software und Anwendungen, um bekannte Schwachstellen zu schließen.
• Backups und Recovery-Plan: Erstellen Sie regelmäßig Backups Ihrer Daten und entwickeln Sie einen Wiederherstellungsplan für den Ernstfall.
• Awareness-Schulungen für Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für Cyberrisiken und schulen Sie sie im sicheren Umgang mit IT-Systemen und Daten.
• Penetrationstests und Sicherheitsüberprüfungen: Führen Sie regelmäßig Penetrationstests durch, um die Sicherheit Ihrer IT-Systeme zu überprüfen und Schwachstellen zu identifizieren.
• Incident Response Plan: Erstellen Sie einen Plan für den Umgang mit Cyberangriffen, der klare Verantwortlichkeiten, Meldewege und Maßnahmen zur Schadensbegrenzung beinhaltet.

Welche Meldepflichten bestehen bei Cyberangriffen?

Im Falle eines Cyberangriffs bestehen in Österreich verschiedene Meldepflichten – kommende Gesetzgebungsverfahren werden die Meldepflichten massiv ausweiten. Jedes Unternehmen sollte darüber informiert sein, welche Verpflichtungen im Falle zu erfüllen sind.

• Datenschutzbehörde: Bei Datenschutzverletzungen, die ein Risiko für die Rechte und Freiheiten von Personen darstellen, muss die Datenschutzbehörde innerhalb von 72h informiert werden.
• CERT.at: Das nationale Computer Emergency Response Team ist die zentrale Meldestelle für Cybervorfälle gem. NIS-Gesetz in Österreich, nimmt aber auch freiwillige Meldungen entgegen.
• Strafverfolgungsbehörden: Cyberdelikte müssen bei der Polizei oder Staatsanwaltschaft angezeigt werden. Dies ist häufig auch Voraussetzung für Leistungen der Versicherer im Zusammenhang mit Erpressungshandlungen.
• Betroffene Personen: In vielen Fällen müssen auch die betroffenen Personen über die Datenschutzverletzung informiert werden.

Welche Haftungsrisiken und finanzielle Folgen gibt es ?

Die Nichteinhaltung der gesetzlichen Pflichten und die unzureichende Absicherung gegen Cyberrisiken können zu erheblichen Haftungsrisiken und finanziellen Folgen führen:

• Bußgelder: Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes vor. Auch nach dem NIS-Gesetz können hohe Bußgelder verhängt werden.
• Schadenersatzansprüche: Betroffene Personen und Unternehmen, die durch einen Cyberangriff geschädigt wurden, können Schadenersatzansprüche geltend machen.
• Vertragsstrafen: Verträge mit Kunden oder Geschäftspartnern können bei Nichteinhaltung von Sicherheitsstandards oder bei Ausfällen aufgrund von Cyberangriffen Strafzahlungen vorsehen.
• Reputationsverlust: Ein erfolgreicher Cyberangriff kann zu einem erheblichen Reputationsverlust führen und das Vertrauen von Kunden und Geschäftspartnern schädigen.
• Versicherungsprämien: Cyberversicherungen können einen wichtigen Beitrag zur Risikominimierung leisten, jedoch können die Prämien bei unzureichenden Sicherheitsmaßnahmen steigen oder in gravierenden Fällen zum Verlust des Versicherungsschutzes führen.

Fazit

Cybersecurity ist eine zentrale Herausforderung für Unternehmen in Österreich. Die Verantwortung für Cybersicherheit liegt als Kardinalspflicht beim Management und kann nicht an die IT-Abteilung oder den IT-Dienstleister abgetreten werden. Die Kenntnis der rechtlichen Rahmenbedingungen und die Umsetzung von angemessenen Sicherheitsmaßnahmen sind entscheidend, um die Risiken von Cyberangriffen zu minimieren und im Ernstfall Haftungsrisiken für das Unternehmen, aber auch für die Geschäftsführung zu vermeiden.

Hinweis: Dieser Blogbeitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Er erhebt auch keinen Anspruch auf Vollständigkeit.