Ein alarmierender Online-Betrug, bei dem Kriminelle 25 Millionen Dollar von einem britischen Ingenieurbüro in Hongkong mithilfe einer digitalen Klonversion eines Führungskräftekonto überwiesen, verdeutlicht die zunehmende Raffinesse von Cyberangriffen. Diese Taktik hebt die dringende Notwendigkeit hervor, das Bewusstsein und die Schutzmechanismen gegen solche Bedrohungen zu schärfen.
Laut einer aktuellen Studie der Association of Corporate Counsel, einer globalen Anwaltskammer, sehen 37 Prozent der befragten Chefjuristen in der Cybersicherheit ihre größte Sorge. Insgesamt wurden 669 Teilnehmer aus 31 Ländern befragt, und die Ergebnisse zeigen, dass Cyberbedrohungen zu den drei wichtigsten Anliegen gehören, die Rechtsexperten wach halten.
Regulierungsbehörden zeigen sich besorgt darüber, dass Unternehmen nicht genug zur Selbstverteidigung tun. Im Juli forderte die Europäische Zentralbank Banken zu besserer Cyberangriffsvorsorge auf, nachdem ein erstmaliger Cyber-Stresstest Verbesserungsmöglichkeiten aufgedeckt hatte. Lloyd's of London warnte kürzlich, dass ein Angriff auf das globale Zahlungssystem die Weltwirtschaft 3,5 Billionen Dollar kosten könnte.
Die Zahl der Ransomware-Angriffe im Finanzdienstleistungssektor stieg von 55 Prozent im Jahr 2022 auf 64 Prozent im Jahr 2023, wie ein Bericht des Cybersicherheitsunternehmens Sophos zeigt. Prominente Organisationen wie die Royal Mail, die British Library und die New Yorker Niederlassung der Industrial and Commercial Bank of China waren Ziele von Hackern.
In-house-Juristen sind inzwischen die Vorreiter beim Schutz von Unternehmen gegen Cyberattacken. Viele Unternehmen führen regelmäßig Planspiele durch, um sich auf mögliche Angriffe vorzubereiten, wobei interne Anwälte eine Schlüsselrolle spielen. David Dunn von FTI Consulting betont die Wichtigkeit von Planspielen zur Vorbereitung auf Cyberangriffe.
Im Falle eines Cyberangriffs müssen Unternehmensjuristen die Regulierungsbehörden innerhalb eines bestimmten Zeitrahmens informieren. Besonders bei Ransomware-Angriffen sind sie entscheidend in der Frage, ob ein Lösegeld gezahlt werden soll oder nicht. Diese Entscheidung sollte jedoch bereits in den Planspielszenarien berücksichtigt worden sein, um mögliche Sanktionsrisiken zu vermeiden.
Zu den Aufgaben der Rechtsabteilungen gehört auch die Schulung der Mitarbeiter, die oft als schwächstes Glied bei Cyberangriffen gelten. Kari Hietanen von Wartsila unterstreicht, dass ein jährliches, obligatorisches Cyber-Training für alle Mitarbeiter das Bewusstsein für Cyberbedrohungen erhöht hat. Zudem arbeiten Rechts- und Cybersicherheitsteams zunehmend enger zusammen, um das Risiko zu mindern.
Drittanbieter stellen ein weiteres Risiko dar, das juristische Teams berücksichtigen müssen. Wartsila setzt zunehmend auf vertragliche Anforderungen an die Cyber-Resilienz der Produkte von Drittanbietern, wie Hietanen anmerkt.
Die Regulierungslandschaft zu Cybersicherheit wird immer komplexer. Cyberangriffe sind meldepflichtige Vorfälle, bei denen bei Datenlecks potenziell hohe Bußgelder durch Regulierungsbehörden drohen. Unternehmen könnten auch mit Klagen von Kunden konfrontiert werden, deren Daten gestohlen wurden.
Im Finanzsektor bereiten sich europäische Unternehmen auf den Digital Operations Resilience Act (Dora) vor, der ab Januar 2025 gilt und die Resilienz stärken soll, um ununterbrochene Betriebsabläufe bei IT-Problemen oder Cyberangriffen sicherzustellen. Raymond Kleijmeer arbeitet an der Implementierung von Dora und betont die zunehmende Bedeutung der Rechtsabteilungen in diesem Prozess.
Die Rolle der Unternehmensjuristen hat an Bedeutung gewonnen, da sie dazu beitragen müssen, neue Regelungen proaktiv umzusetzen. Durch Dora wird von ihnen eine aktive und sogar proaktive Herangehensweise verlangt.