Direkt zum Inhalt
Profilbild
Markus Klepp, KNH Rechtsanwälte, Linz
Markus Klepp, KNH Rechtsanwälte, Linz
SABINE STARMAYR

Markus Klepp: Schuld, Sühne & Cybercrime

27.05.2024 um 14:09, Klaus Schobesberger
min read
Wenn sich der Staub nach einer Cyberattacke gelegt hat, beginnt nicht selten die große Schlacht vor Gericht. Warum, erklärt der Linzer Anwalt Markus Klepp.

Ba-Ba-Banküberfall“ ist eine Hymne aus einer schon fast verblichenen Austropop-Ära. Heutzutage könnten die österreichischen Rock-Oldies von der EAV vermutlich Songs über digitale Gauner schreiben. Denn die modernen Versionen von „Bonny & Clyde“ überfallen keine Geldinstitute mehr, sondern verstecken sich in der Anonymität des Darknets und verursachen Schäden in ­Milliardenhöhe. Ein Blick in die ­Statistiken unterstreicht den ­alarmierenden Anstieg dieser De­­likte. Laut BMI und Bundeskriminalamt wurden im Jahr 2022 allein in Österreich mehr als 60.000 Fälle von Cyberkriminalität gemeldet, im Vergleich zu nur 16.800 im Jahr 2017. Oftmals handelt es sich um vertrauenerweckende Phishing-E-Mails, die nach ihrer Aktivierung private Daten ausspionieren – oder um Ransomware-Angriffe, bei denen Hacker ganze Unternehmen lähmen und erst nach einer Lösegeldzahlung das System freigeben. Die Täter operieren meist unerkannt aus Ländern wie Russland, aus Afrika oder Asien und können nur selten zur Rechenschaft gezogen werden. Daher versuchen Unternehmen häufig, ihren Schaden durch Regressansprüche gegenüber Dritten auszugleichen, sagt der Linzer Anwalt Markus Klepp, einer der wenigen Experten in diesem Rechtsbereich: „Die Zahl der ­Fälle explodiert, das spüren wir in unserer Kanzlei sehr deutlich. Denn nach einem Cyberangriff stellt sich unweigerlich die Schuldfrage: Wer ist dafür verantwortlich, dass so etwas passieren konnte?“

Wachsende Herausforderung
Klepp fungiert als einer von acht juristischen Spezialisten innerhalb des renommierten Anwaltsteams Klepp & Nö­bauer Hintringer (KNH Rechtsanwälte). Seit ihrer Gründung in den 1950ern hat sich die Linzer Kanzlei im Bereich der Litigation – also der zivilrechtlichen Durchsetzung und Abwehr von Ansprüchen – einen beachtlichen Ruf über Oberösterreich hinaus erarbeitet. Aktuell handhabt sie eine vierstellige Anzahl von offenen Verfahren, die von einfachen Gewährleistungsfällen bis hin zu komplexen Schadenersatzprozessen mit Streitwerten in Millionenhöhe reichen – ­beispielsweise im Falle kostspieliger Cyberattacken. „Da vom unmittelbaren Täter meist ­keine Entschädigung zu erwarten ist, wird das Cyberkriminalitätsthema häufig auf die zivilrechtliche Ebene verlagert“, erläutert der Experte. Er führt das aktuelle Beispiel eines IT-Dienstleisters an, der vor Gericht erfolgreich vertreten wurde. Rund ein Drittel seiner Kunden, hauptsächlich Klein- und Mittelbetriebe, fiel einer Ransomware-Attacke zum Opfer. Für die Wiederherstellung der gesperrten Daten oder für Lösegeldzahlungen wurden erhebliche Geldsummen aufgebracht. Am Ende stellten alle Geschädigten dieselbe Frage: Wer trägt die Schuld und kommt für den Schaden auf? Man hatte schnell – wie so oft bei Cyberattacken – den IT-Dienstleister im Visier, der nach Meinung der Geschädigten den Angriff hätte verhindern können. „Plötzlich sieht sich ein Unternehmen mit einer Vielzahl von zivilrechtlichen Schadenersatzforderungen konfrontiert, die nicht selten das Potenzial haben, es zu ruinieren“, sagt Klepp. 

Markus Klepp

Jeder kann zum Opfer werden. Von der Privatperson bis zum börsennotierten Unternehmen.

Markus Klepp, KNH Rechtsanwälte, Linz

Die Aufgaben des Anwalts
In solchen Situationen ist der Gang zum Rechtsanwalt unverzichtbar. Im Fall des IT-Dienstleisters zeigte sich, dass dieser selbst bei größter Sorgfalt das Eindringen der Angreifer nicht hätte verhindern können. Hier ist es Aufgabe des Rechtsanwalts, diese haftungsbefreienden Umstände herauszuarbeiten und überzeugend vor Gericht vorzutragen. Besonders die gewissenhafte Prozessvorbereitung gemeinsam mit dem Mandanten ist für den Ausgang eines Rechtsstreits oft entscheidend. „Unsere primäre Aufgabe sehen wir darin, Klienten über ihre rechtlichen Möglichkeiten aufzuklären, ihnen eine realistische Einschätzung ihrer Erfolgsaussichten an die Hand zu geben und eine effiziente Verhandlungsstrategie zu erarbeiten. In manchen Fällen verstehen wir uns – im Interesse unserer Mandanten – als eine Art Präventivfilter. Wenn ein Fall ­aussichtslos erscheint, raten wir mitunter auch von einer Prozessführung ab und bewahren unsere Mandanten so vor aussichtslosen, aber kosten- und zeitintensiven Rechtsstreitigkeiten“, erklärt Klepp. Aber in den meisten Erstberatungen zeigt sich: Wenn eine Chance besteht, Schadenersatz zu erstreiten, wird sie auch genutzt – selbst wenn die Gefahr besteht, dass der Cyber­angriff öffentlich wird. Die Furcht vor Reputationsschäden nach dem Verlust von Geld, Know-how, Betriebs- und Geschäftsgeheimnissen ist einer der Gründe, warum viele Angriffe erst gar nicht in der Statistik auftauchen. „Jeder kann zum Opfer werden. Von der Privatperson, die auf einen Betrug bei Tinder reinfällt, bis hin zum großen börsennotierten Unternehmen“, betont der Rechtsexperte. Hinzu kommt, dass die Betrugsmethoden immer ausgefeilter werden und die IT-Security meist hinterherhinkt. Vor allem künstliche Intelligenz kann im Bereich Cyberkriminalität noch eine Potenzierung des Schadens zur Folge haben. Hacker, die sich teilweise wochenlang im IT-System eines Unternehmens aufhalten, trainieren die KI, E-Mails im Stil eines Managers oder CEOs zu verfassen. Der nächste Schritt sind Deepfakes mit Videos oder Audios der Geschäftsleitung.

Haftungsfallen, Regelungen mit Partnern
Was also tun? Cyberversicherungen sind derzeit stark im Trend, da das Bewusstsein für Cyberangriffe gestiegen ist. Allerdings können die Kosten dafür hoch sein und nicht immer wird Versicherungsdeckung gewährt. Insbesondere große Unternehmen müssen einen komplexen Underwriting-Prozess durchlaufen, bei dem ihr Cybersicherheitsniveau gründlich geprüft wird. Ein Mindestmaß an dokumentierter Präventionsarbeit ist Teil der Sorgfaltspflichten des ordentlichen Unternehmers, denn mit ihr steht und fällt die Frage über Wahrscheinlichkeit und Höhe der Haftung für Vorstand oder Geschäftsführung nach einem Cyberangriff. Ein weiterer wichtiger Punkt: Um sich rechtlich abzusichern, sollten Unternehmen das Risiko von Cyberattacken schon im Rahmen der vertraglichen Vereinbarungen mit ihren Geschäftspartnern berücksichtigen. Laut Klepp sei es ratsam, „Verträge abzuschließen, die konkrete Regelungen zur Risikoverteilung und Haftung im Falle eines Cyberangriffs enthalten. Oft führt nämlich ein Betriebsstillstand aufgrund einer Ransomware-Attacke dazu, dass Verpflichtungen gegenüber Kunden oder Lieferanten nicht eingehalten werden können. Daher ist es wichtig, vorzusorgen und sich angemessen abzusichern.

more