Ransomware: Schadensersatz vom IT-Dienstleister
Wenige Unternehmen geben offen zu, Opfer eines Cyberangriffs geworden zu sein, und noch weniger Unternehmen finden die Ursache letztlich bei ihrem eigenen IT-Dienstleister. Der Geschäftsführer eines Mittelständlers berichtet über den langen Weg bis zur Entschädigung.
„Wer ist schuld?“ ist eine Frage in der Cybersicherheit, deren Antwort schnell in einer gewissen Vielschichtigkeit der Zuständigkeiten zerfasert. Das Schuldgefühl des einzelnen unglücklichen Mitarbeiters, der versehentlich einen Phishing-Link anwählt, ist beispielsweise eine Cyberangriffsfolge, die das BSI mittlerweile in seinen aktuellen Report zur Lage der IT-Sicherheit in Deutschland aufnimmt und als ernste Konsequenz bezeichnet. Auch Geschäftsführer können persönlich haften, wenn sie keine angemessenen Sicherheitsmaßnahmen im Unternehmen umsetzen. Dazwischen liegen viele Abstufungen, bei denen die Verantwortung innerhalb des betroffenen Unternehmens vermutet wird. Aber was, wenn die Schuld dort liegt, wo die Infrastruktur herkommt, nämlich beim eigenen IT-Dienstleister?
Ludwig Hintermaier ist Geschäftsführer der Huber Metallguss GmbH, eines mittelständischen Familienbetriebs in einer bayerischen Mittelstadt, der Gussformen und Vorserienteile für unterschiedlichste Industriezweige fertigt. Am 14. Juni 2021 ereilte den Betrieb das Schicksal vieler kleiner bis mittlerer Unternehmen (KMU) – eine unerwartete Vollverschlüsselung der Unternehmens-IT nebst Lösegeldforderung. So etwas ist kein Einzelfall – das BSI betont, dass es gerade Mittelständler sind, die mittlerweile vermehrt Opfer von Cyberangriffen werden, denn sie sind groß genug, um bei ihnen Lösegeld abzuschöpfen, aber noch so klein, dass sie sich selbst nicht als lohnenswertes Ziel begreifen und die Cybersicherheit deshalb nicht besonders hoch priorisieren.
