{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Yan Borboën
Partner, Digital Assurance & Cybersecurity und Privacy, PwC Schweiz
Die grössten Bedrohungen in Sachen Cybersicherheit für Unternehmen aller Regionen und Branchen sind Ransomware-Angriffe und damit einhergehende Erpressungen. Sie haben sich für Cyberkriminelle zu einem lukrativen Geschäft entwickelt. In unserer Blog-Serie «Ransomware als Geschäftsmodell» behandeln wir die verschiedenen Phasen von Ransomware-Angriffen (Vorbereitung, Angriff, Ausbreitung und Infektion) und zeigen auf, wie diese funktionieren und wie darauf reagiert werden muss. Unser heutiger Blog befasst sich mit den rechtlichen Aspekten von Lösegeldzahlungen.
Wozu Sie heute mehr erfahren werden
Ransomware-Angriffe waren auch im Jahr 2021 die grösste Bedrohung für die Cybersicherheit von Unternehmen – in allen Regionen und Branchen. Die Zahl der gemeldeten Ransomware-Angriffe, bei denen Kriminelle versuchten, Unternehmen zu erpressen, stieg von 1300 im Jahr 2020 auf 2435 im Jahr 2021.
Cybersecurity und Datenschutz
Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.
Entscheidungsfaktoren für Lösegeldzahlungen
Wurde ein Unternehmen angegriffen, so muss es entscheiden, ob es das Lösegeld bezahlen will oder das System selbst wiederherstellen kann. Eine Risikoabwägung sollte dabei auf der Basis von vier Entscheidungsfaktoren erfolgen:
- Machbarkeit: Kann das Unternehmen seine Systeme und Informationen zeitnah von seinen Datensicherungen wiederherstellen?
- Aufwand: Wieviel Aufwand wird zur Wiederherstellung der Systeme und Informationen benötigt? Hat das Unternehmen die personellen Ressourcen und entsprechenden Werkzeuge? Wieviel kostet es?
- Auswirkung: Welche Auswirkungen haben Verzögerungen in der Wiederherstellung auf die Geschäfte, Kunden und Mitarbeitenden des Unternehmens?
- Gesetzmässigkeit: Lässt sich das Lösegeld ohne Gesetzesverletzung bezahlen? Welche rechtlichen Risiken ergeben sich für das Unternehmen?
Diese Faktoren müssen Teil einer pragmatischen Risikoanalyse sein. PwC empfiehlt, von Lösegeldzahlungen abzusehen, denn es gibt keine Garantie, dass die Daten nach der Zahlung wiederhergestellt oder gestohlene Daten nicht an Dritte verkauft oder weitergegeben werden. Zudem finanzieren Lösegeldzahlungen weitere Aktivitäten der Cyberkriminellen.
Ist das Unternehmen jedoch der Ansicht, dass es sein System nicht wiederherstellen kann oder der Aufwand zu gross und die Kosten um einiges höher als die Lösegeldforderungen sind, muss sich die Geschäftsführung mit rechtlichen Fragen in Bezug auf die Lösegeldzahlung befassen.
Cyber incident response and recovery
Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.
Rechtliche Aspekte von Lösegeldzahlungen
Gemäss Schweizer Strafgesetzbuch ist die Zahlung eines Lösegeldes nicht per se eine Straftat. Aber sie könnte anderweitige rechtliche Folgen haben:
- Angreifer verlangen häufig eine Zahlung in Kryptowährung, welche normalerweise anonym erfolgt. Dabei stellt sich die Frage, ob eine Lösegeldzahlung in einem solchen Fall nicht als Geldwäscherei betrachtet werden kann, insbesondere weil das Unternehmen und die Bank wissen, dass die Zahlung für eine illegale Tätigkeit ist und deshalb mit grosser Wahrscheinlichkeit auch Geldwäscherei beinhaltet.
- Auch könnten durch eine Lösegeldzahlung internationale Sanktionen und Massnahmen im Kampf gegen Terrorismus und seine Finanzierung verletzt werden. Das Office of Foreign Assets Control (OFAC) des U.S. Finanzministeriums beispielsweise kann eine Lösegeldzahlung durch eine Person, die der US-Gerichtsbarkeit unterliegt, als Verletzung von Sanktionen betrachten und zivilrechtliche Strafen aufgrund von verschuldensunabhängiger Haftung auferlegen.1 Unternehmen könnten mit behördlichen Kontrollen oder gar Gerichtsverfahren konfrontiert werden, was ihre künftigen Geschäftstätigkeiten in Ländern mit solchen Vorschriften beeinträchtigen könnte.
- Wurde die IT-Umgebung nicht genügend unterhalten und/oder nicht alle notwendigen Massnahmen in Sachen Cybersicherheit getätigt, stellt sich ausserdem die Frage bezüglich der Sorgfaltspflicht von Verwaltungsrat (VR) und Unternehmen. Im Allgemeinen wird vom Verwaltungsrat ein angemessenes Risikomanagement verlangt, welches das Unternehmen, seine Aktionäre, Mitarbeitenden und Kunden vor Schäden infolge eines Ransomware-Angriffes schützt. Einige der wichtigsten Punkte sind dabei die Identifizierung, Abschwächung und Überwachung von Risiken, die sich aus Ransomware-Angriffen ergeben.
Weitere Risiken bei Lösegeldzahlungen und Datenverlust
Das grösste Risiko besteht darin, dass das Unternehmen trotz Lösegeldzahlung keinen Zugang zu seinen Daten erhält und/oder die gestohlenen Daten dennoch publiziert werden. Zudem erhalten die Angreifer –und andere Gruppen, mit denen sie in Kontakt stehen – durch die Lösegeldzahlung ein Signal der Schwäche, was zu weiteren Angriffen führen könnte.
Des Weiteren bestehen rufschädigende, betriebliche und strafrechtliche Risiken sowie für beaufsichtigte Unternehmen wie Banken und Versicherungen auch regulatorische Risiken.
Ein weiteres Problem betrifft die Logistik der Lösegeldzahlung. Die wenigsten Unternehmen haben ein Kryptokonto und ein entsprechendes Kryptoguthaben. Auch kann es sein, dass die Bank die Zahlung nicht ausführt, da sie gegen Mechanismen verstösst, die der Bekämpfung von Geldwäscherei und Terrorismusfinanzierung oder der Einhaltung von Sanktionen dienen.
Wurde auf die Daten eines Unternehmens unrechtmässig zugegriffen, wurden sie gestohlen oder verschlüsselt, so verlangen die DSGVO und das revidierte Bundesgesetz über den Datenschutz, welches am 1. September 2023 in Kraft treten wird, eine Meldepflicht gegenüber den Datenschutzbehörden und den betroffenen Personen. Für Unternehmen, die von der Eidgenössischen Finanzmarktaufsicht (FINMA) überwacht werden, besteht zusätzlich eine Auskunfts- und Meldepflicht solcher Vorkommnisse an die FINMA. Dies kann insgesamt einen nicht zu unterschätzenden logistischen Aufwand zur Folge haben.
Klar definierter Entscheidungsprozess
Die oben genannten Punkte sollten vom Unternehmen in einen klar definierten Entscheidungsprozess integriert werden. Die Schritte müssen bestimmt und von der Unternehmensführung im Voraus genehmigt werden. Auch müssen sie von der Rechtsabteilung geprüft und freigegeben werden. Der Entscheidungsprozess kann dabei Teil einer übergeordneten Firmenpolitik in Sachen Ransomware-Angriffe sein. Die für Recht und Compliance zuständigen Funktionen müssen:
- in die Vorbereitung zur Reaktion auf Vorfälle einbezogen werden,
- die rechtlichen Aspekte von Lösegeldzahlungen sowie die Position des Unternehmens bezüglich Compliance darlegen und die rechtlichen Risiken vorab analysieren, einschliesslich der Risiken im Zusammenhang mit Zahlungen an Akteure mit Verbindungen zu Nationalstaaten, sowie der potenziell extraterritorialen Anwendung von Gesetzen in Bezug auf Lösegeldzahlungen,
- die Änderungen der Cyber- und Datenschutzvorschriften in den Ländern, in denen das Unternehmen tätig ist, überwachen, und
- geschult und vorbereitet sein, da im Falle eines Angriffes normalerweise keine Zeit für längere rechtliche Abklärungen bleibt.
Wie kann PwC Sie in Ihrer Vorbereitung auf Ransomware-Angriffe unterstützen?
Im Idealfall sind Sie nicht nur vorbereitet, sondern können Ihr Unternehmen auch gegen einen Ransomware-Angriff verteidigen – und dazu gehört auch die entsprechende Vorbereitung der für Recht und Compliance zuständigen Funktionen innerhalb des Unternehmens.
Unsere Experten unterstützen Sie mit ihrem fundierten Fachwissen mit folgenden Dienstleistungen:
- Ransomware Readiness Assessment
- Entwicklung von Ransomware-Richtlinien, Verfahren und Abläufen
- Prüfung der Entscheidungsfähigkeit von Führungskräften mittels Krisenmanagementübungen, die auf Ransomware-Angriffe zugeschnitten sind
- Beratung zur Einhaltung von Vorschriften über die Geldwäscherei und Terrorismusfinanzierung, Sanktionen oder anderen Gesetzen
- Risikomanagement / Corporate-Governance-Beratung
- Unterstützung der für Recht und Compliance zuständigen Funktionen
Sollten Sie trotzdem Opfer eines Cyberangriffes werden, unterstützen wir Sie mit unserem breiten Fachwissen zur raschen Reaktion auf Cybervorfälle, navigieren Sie durch den Sturm und helfen Ihnen mit den folgenden Dienstleistungen auf ein solches Ereignis zu reagieren und sich davon zu erholen:
- Cyber Incident Response-Retainer mit Einbezug von Experten für IT, Business, Recht und Compliance
- Unterstützung im Kontakt mit Behörden (Polizei, FINMA, Datenschutzbehörden u.a.)
- Forensische Analyse des Vorfalls und des Verlaufs der Lösegeldzahlung
- Wiederherstellung von Daten und Infrastruktur
#social#
Mit Vertrauen zum Erfolg
Angetrieben durch Passion und unterstützt durch Technologie ist es unser Ziel, gemeinsam mit Ihnen die Sicherheit, Resilienz und Compliance Ihres Unternehmens zu steigern.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Kontaktieren Sie uns
Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland
Tel.: +41 58 792 84 59
