Startseite > Security > Juristische Folgen für Opfer von Cyberattacken häufen sich

Cyberresilienz

Juristische Folgen für Opfer von Cyberattacken häufen sich

27. August 2024, 8:13 Uhr | Autor: Mark Molyneux / Redaktion: Diana Künstler

Mehrere Parteien haben in den USA eine Sammelklage gegen Change Healthcare erhoben und fordern Schadensersatz für einen erfolgreichen Cyberangriff im März. Auch die Klage gegen Solarwinds passt ins Bild, auch wenn der Richter alle Anklagepunkte bis auf einen jüngst abgewiesen hat.

Der Artikel beantwortet unter anderem folgende Fragen:

Warum wurden Sammelklagen gegen Change Healthcare eingereicht?
Welche Rolle spielt die UnitedHealth Group (UHG) in diesem Fall?
Wie hoch waren die Kosten des Angriffs für UHG?
Was ist die Bedeutung des Solarwinds-Falls?
Welche Lehren kann Europa aus diesen Fällen ziehen?
Was sind die wichtigsten Anforderungen von NIS2 an Führungskräfte?
Welche Strafen drohen bei Verstößen gegen NIS2?
Wie hilft die DSGVO bei der Umsetzung von NIS2 und DORA?
Welche Rolle spielt KI bei der Stärkung der Cyberresilienz?

Change Healthcare und deren Muttergesellschaft UnitedHealth Group (UHG) spielen in den USA eine zentrale Rolle bei der Abwicklung von Zahlungen an Apotheken und andere Dienstleister aus dem Gesundheitssektor. Der erfolgreiche Ransomware-Angriff am 21. Februar dieses Jahres gegen den bedeutenden Dienstleister habe wichtige Zahlungen verzögert, große Instabilität verursacht und einige Arztpraxen in die Insolvenz getrieben. Rezepte seien nicht abgerechnet, Genehmigungsanträge nicht bearbeitet und Berechtigungsprüfungen nicht abgeschlossen worden. Die Sammelklage wirft dem Dienstleister schlechte Sicherheitspraktiken vor, die einen erfolgreichen Angriff erleichtert haben.

Die Muttergesellschaft UHG gab die derzeitigen Kosten des Ransomware-Angriffs mit 2.3 bis 2,45 Milliarden US Dollar in diesem Jahr an. UHG hat bereits mehr als 2 Milliarden Dollar ausgegeben, um auf den Ransomware-Angriff zu reagieren und die Ausfälle zu beseitigen.

Zu befürchten ist, dass noch weitere Risiken auf die Opferfirma zukommen. Im Rahmen des Angriffs haben die Hacker der AlphV/Blackcat-Gruppe wohl sechs Terabyte an Patientendaten gestohlen, darunter Sozialversicherungsnummern und Führerscheinnummern. Einer von drei Amerikanern sei möglicherweise betroffen, was rund 110 Millionen Bürger wären. Andrew Witty, CEO von UnitedHealth, hat ein Lösegeld in Höhe von 22 Millionen US-Dollar in Bitcoin gezahlt, um diese Patienteninformationen zu schützen.

Immer häufiger kommt es zu juristischen Folgen für Opfer von Cyberangriffen. Bekanntestes Beispiel war die Klage der amerikanischen Börsenaufsicht SEC gegen die Firma Solarwinds, der Angriff mit dem Namen Sunburst wurde gegen Ende 2020 publik. Der Richter hat nun alle Klagepunkte bis auf einen abgewiesen. Das Gericht wird weiter untersuchen¹, ob Solarwinds in der eigenen „Sicherheitserklärung“ zu verschiedenen Cybersicherheitspraktiken auf der ihrer Unternehmenswebsite Wertpapierbetrug begangen habe.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wichtige Lektionen für Europa

In beiden Fällen zeigt sich ein gleiches Muster. Sicherheitspraktiken sollten nach bestem Wissen und Gewissen umgesetzt werden, denn mögliches Fehlverhalten wird spätestens vor Gericht thematisiert. Genau hier setzen die beiden Regelwerke Digital Operational² Resilience Act (DORA), auf die Finanzindustrie fokussiert, und NIS-2 Directive³ an. Sie sind entwickelt worden, um von Firmen in Europa mehr operative Cyberresilienz zu fordern. NIS2 führt die persönliche Haftung von Führungskräften ein, wenn diese gegen die Richtlinie verstoßen (siehe Artikel 20⁴). Zu den Pflichten der Führungskräfte gehört, selbst an Cybersicherheitsschulungen teilzunehmen und solche Schulungen regelmäßig allen Mitarbeitern anzubieten.

Führungskräfte sind also aktiv in die Umsetzung von Cybersicherheitsmaßnahmen eingebunden, die ihrerseits grundlegende Sicherheitsmethoden wie Multifaktor-Authentifizierung oder eine Segmentierung des Netzes fordern. Kann man Firmenleitern in diesen Punkten nach einer Attacke Versäumnisse nachweisen, drohen Bußgelder. Die Geldbußen bei NIS2 können von 100.000 Euro bis zu 20 Millionen Euro für juristische Personen erreichen. Die Bußgelder haben sich seit dem IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 bei Verstößen deutlich erhöht. Es ist zudem zu erwarten, dass die Behörden Verstöße ähnlich konsequent verfolgen werden, wie sie es bei der DSGVO tun.

Von Vorarbeiten profitieren

In Europa hat die Einführung der DSGVO von Firmen bereits ein besseres Datenmanagement verlangt, indem die Firmen personenbezogene Daten strenger und sorgfältiger verwalten mussten als alle anderen Informationen. Die Auskunftspflicht wie das Recht auf Vergessen sowie die Meldepflicht bei Datenverlust haben von Unternehmen bereits Prozesse und Workflows gefordert, die in ähnlicher Weise bei NIS2 und DORA im Falle eines Angriffs greifen können. Der Einsatz einer KI-getrieben Data-Security- und Management-Plattform kann Firmen immens helfen, diese Prozesse skalierbar und effizient im Unternehmen umzusetzen.

Die Regelwerke NIS-2 und DORA sind wichtig für Europa und die Wirtschaft, denn sie stärken die Cyberresilienz der Firmen und Behörden. Sie spiegeln auch die Realitäten wider. KI und Service-Modelle wie Ransomware as a Service haben nicht nur die Menge von Cyberkriminalität wachsen lassen, sondern auch deren Qualität. Unsere digitale Infrastruktur muss robuster werden gegen erfolgreiche Angriffe. Dazu müssen Firmen grundlegende Sicherheitspraktiken implementieren und all jene Prozesse und Workflows überarbeiten und optimieren, die mit Daten hantieren.

^{Sammelklage gegen Change Healthcare: https://www.cysecurity.news/2024/07/pharmacy-network-sues-change-healthcare.html

Klage gegen Solarwinds: https://www.huntonak.com/privacy-and-information-security-law/judge-dismisses-most-of-sec-case-against-solarwinds-and-its-ciso

1 https://www.huntonak.com/privacy-and-information-security-law/judge-dismisses-most-of-sec-case-against-solarwinds-and-its-ciso

2 https://www.digital-operational-resilience-act.com/

3 https://www.nis-2-directive.com/

4 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555#d1e3318-80-1}