Cyberangriffe und Online-Betrug:
Welche rechtlichen Konsequenzen?
Wie kann man vorbeugen und sich versichern?
November 2023, eine Co-Redaktion von Roederer & EPP Rechtsanwälte Avocats
Eine Co-Redaktion von Groupe Roederer und EPP Rechtsanwälte Avocats
Dieser Artikel ist wie folgt untergliedert:
- Einleitung und Begriffserklärung
- Was sind die häufigsten Arten von Betrug und Cyberangriffen?
- Was sind die rechtlichen Folgen eines Betrugs oder Cyberangriffs und welche Schritte sind zu unternehmen?
- Kann ich mich gegen Cyber- und Betrugsrisiken versichern?
- Unsere Ratschläge für den Schutz vor Cyberangriffen und Betrugsversuchen
Seit mehr als zehn Jahren nimmt das Phänomen der Cyberangriffe und Online-Betrügereien immer größere Ausmaße an und betrifft eine stetig steigende Zahl von Unternehmen.
Die Art der Angriffe und die betroffenen Unternehmen haben sich jedoch in den letzten Jahren verändert.
Vor 2020 beobachteten wir Cyberangriffe vor allem auf sehr große Unternehmen (typischerweise die CAC-40-Unternehmen in Frankreich). Die Angreifer sahen darin eine Möglichkeit, schnell hohe Gewinne zu erzielen. Angesichts dieses Trends haben die sehr großen Unternehmen ausgefeiltere Schutzsysteme entwickelt und viel Geld in den Schutz ihrer Daten und Computersysteme investiert, wodurch es für Hacker wesentlich schwieriger geworden ist, ihre Ziele zu erreichen.
2020 kehrte sich der Trend um, und es erfolgte eine extrem hohe Anzahl von Angriffen auf mittlere und kleine Unternehmen. Diese organisierten und gezielten Angriffe brachten alle Prognosen ins Wanken und machten mittelständische Unternehmen anfälliger, obwohl die meisten von ihnen sich stets geweigert hatten, sich gegen dieses Risiko zu versichern, und daher über keinen Versicherungsschutz im Fall eines Cyberangriffs verfügten.
Einige Unternehmen waren versichert, aber diese zahlreichen Angriffe destabilisierten den Versicherungsmarkt und führten in dem betroffenen Versicherungsbereich zu Defiziten. Es stellte sich ganz klar die Frage, ob das Cyberrisiko weiterhin versichert werden kann. Das Geschäftsmodell dieser Versicherungssparte wurde in Frage gestellt, da die Anzahl der Schadensfälle viel höher war als die eingenommenen Prämien, wodurch das Versicherungsmodell defizitär wurde.
Der Versicherungsmarkt reagierte sehr schnell: Einige Versicherer zogen sich einfach vom Versicherungsmarkt zurück, andere überarbeiteten ihr Modell und wandten verschärfte Versicherungsbedingungen an (Verringerung der gewährten Versicherungssummen, erhebliche Prämienerhöhungen, Erhöhung der Selbstbehalte usw.).
Zum Zeitpunkt der Verfassung dieses Artikels, im August 2023, war das Verhältnis zwischen Schadensfällen und Prämien im Jahr 2022 wieder ausgeglichen, sodass der Versicherungsmarkt erneut rentabel wurde. Die Bedingungen für den Abschluss von Cyber-Versicherungen wurden leicht gelockert, sodass ein Ende der Cyber-Versicherung nicht mehr zu befürchten ist.
Auch wenn das Cyber-Risiko versicherbar bleibt, ist es wichtig, Cyberangriffe besser zu verstehen, die rechtlichen Konsequenzen, die sich aus solchen Angriffen ergeben, zu kennen und sich so gut wie möglich zu schützen.
Begriffserklärung:
In der Umgangssprache werden die Begriffe „Betrug“ und „Cyberangriff“ häufig verwechselt. Man muss sich vor Augen halten, dass die Risiken nicht dieselben sind und dass auch die angebotenen Versicherungsverträge nicht identisch sind.
Betrug: Es handelt sich um eine Handlung, die darauf abzielt, zu täuschen, indem man sich z. B. als Auftraggeber, Leistungserbringer oder Kunde ausgibt. Beispiel: Betrug durch Identitätsdiebstahl und -missbrauch der Geschäftsleitung (fraude au président), Unterschlagung von Beständen…
Betrug betrifft Güter und Werte (Geld, Waren).
Cyberangriff: Eine böswillige Handlung gegen ein fremdes Computersystem, die von einer Einzelperson oder einer Gruppe von Personen (sogenannten Hackern) ausgeführt wird. Beispiel: Ransomware.
Bei einem Cyberangriff werden Daten oder Systeme attackiert.
Betrug und Cyberangriffe beruhen auf verschiedenen Strategien und Angriffsarten, die mehr oder weniger leicht zu erkennen sind, insbesondere:
- Identitätsdiebstahl: Eine Person kontaktiert Sie und gibt sich als eine andere Person aus als sie tatsächlich ist (z. B. Leiter eines Einzelhandelsunternehmens) und bekundet ein plötzliches Interesse am Vertrieb Ihrer Produkte.
- Interceptor-Angriff: (man in the middle attack): Der Angreifer mischt sich unbemerkt in den Kommunikationsfluss zwischen Ihnen und Ihrem üblichen Ansprechpartner ein.
- Hacken einer Mailbox: Übernahme der Kontrolle über die Mailbox Ihres üblichen Ansprechpartners durch eine böswillige Person; dies wird als Phishing bezeichnet.
In der Regel zielen diese Cyberangriffe und Betrügereien darauf ab, entweder die Lieferung von Waren zu erwirken, die dann nie bezahlt werden, eine Zahlung auf ein betrügerisches Bankkonto umzuleiten oder in das Zielcomputersystem einzudringen, um es zu blockieren und die Zahlung von Lösegeld zu erzwingen (z. B. Blockierung der Produktionslinie einer Fabrik über ihr Computersystem).
Angesichts der rechtlichen und wirtschaftlichen Folgen für die Opfer solcher Betrügereien ist im Internet äußerste Vorsicht geboten.
Sie glauben, Opfer eines Cyberangriffs oder eines Betrugs geworden zu sein:
Welchen Nutzen hat die Erstattung einer Strafanzeige?
Zunächst sollten Sie sich vergewissern, dass es sich tatsächlich um einen Betrug handelt und nicht um die einfache Nichtzahlung eines Kunden oder einen Fehler in der Buchhaltung Ihres Vertragspartners, der Ihre Zahlung nicht berücksichtigt hat.
Wenn sich der Betrugsfall bestätigt hat, ist der erste zu unternehmende Schritt die schnellstmögliche Erstattung einer Strafanzeige. Der zeitliche Aspekt kann hier entscheidend sein, denn eine frühzeitig eingeleitete polizeiliche Ermittlung kann in manchen Fällen dazu führen, dass Waren, die von den Tätern noch nicht weiterverkauft wurden, gefunden und wiederbeschafft werden können.
Wenn der oder die Täter des Betrugs identifiziert werden, kann das Opfer im Rahmen der Strafverfolgung als Nebenkläger auftreten und Schadensersatz geltend machen.
Um den Cyber-Versicherungsvertrag aktivieren zu können, muss innerhalb von 48 Stunden nach Bekanntwerden des Cyber-Angriffs Strafanzeige erstattet werden. Andernfalls können die Versicherungsleistungen nicht in Anspruch genommen werden (mit Ausnahme der Leistungen „Notfallmaßnahmen“ und „Haftpflicht“).
Kann man für den Schaden haftbar gemacht werden, den die Person erleidet, deren Identität missbraucht wurde?
Nur in seltenen Fällen kann die Person, deren Identität missbraucht wurde, in die Haftung genommen werden.
Im Hinblick auf die Vertragshaftung wird der Abschluss eines Vertrags zwischen der Person, deren Identität missbraucht wurde, und dem Betrugsopfer unmöglich zu beweisen sein, da er nicht existiert.
Hinsichtlich der Deliktshaftung ist es oft schwierig, den Beweis zu erbringen für einen Fehler der Person, deren Identität missbraucht oder deren Mailbox gehackt wurde, und für einen Kausalzusammenhang zwischen diesem angeblichen Fehler und dem Schaden, den das Betrugsopfer erlitten hat, da das Opfer in der Regel selbst eine gewisse Unvorsichtigkeit oder Fahrlässigkeit an den Tag gelegt hat.
Bei einem Identitätsdiebstahl kann Sie die französische Datenschutzbehörde CNIL in Frankreich beim Schutz Ihrer Identität unterstützen: https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions
Doch auch wenn die rechtlichen Risiken beim Identitätsdiebstahl eines Dritten begrenzt sind, ist es durchaus möglich, dass man als Inhaber von persönlichen Daten, die durch einen Hackerangriff offengelegt werden, für die Offenlegung dieser Daten haftbar gemacht werden kann.
Kann man aufgrund der Offenlegung von persönlichen Daten eines Dritten infolge eines Hackerangriffs haftbar gemacht werden?
Alle Unternehmen haben heute vertrauliche/sensible Informationen in ihren Computerdateien gespeichert.
Dies kann z. B. bei einer Gesundheitseinrichtung oder einer Krankenzusatzversicherung der Fall sein, die medizinische Daten über ihre Versicherten oder Patienten haben, welche bei einem Computerangriff (meist durch Ransomware, d. h. Hacker blockieren das Computersystem in Erwartung von Lösegeldzahlungen) offengelegt werden können.
Als Verantwortlicher für die Verarbeitung personenbezogener Daten oder als Subunternehmer müssen sie im Fall der Verletzung personenbezogener Daten bestimmte Verpflichtungen einhalten.
Die Schritte, die bei einer Verletzung personenbezogener Daten unternommen werden müssen, hängen von dem Risiko ab, das die Verletzung für die Rechte und Freiheiten der betroffenen Personen darstellt. Sie reichen von einer einfachen internen Dokumentation im „Register der Datenschutzverletzungen“ (wenn kein Risiko besteht) über eine Meldung an die CNIL innerhalb von 72 Stunden (wenn ein Risiko besteht) bis hin zur zusätzlichen Information der betroffenen Personen (wenn ein hohes Risiko besteht).
Werden diese Verpflichtungen nicht eingehalten, kann der für die Datenverarbeitung Verantwortliche von Opfern, die durch die Offenlegung ihrer personenbezogenen Daten einen Schaden erlitten haben, deliktisch (wegen Verschuldens) haftbar gemacht werden. Gleichzeitig drohen ihm strafrechtliche Sanktionen.
Weitere Informationen zu diesen Schritten finden Sie auf der Website der CNIL oder erhalten Sie bei einem Anwalt: https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
Möchten Sie wissen, ob Ihr Versicherungsvertrag die Deckung dieser Schadenspositionen vorsieht? Wir antworten Ihnen hierauf in der Folge.
Bankbetrug: Hat die Zahlung auf ein betrügerisches Konto eine befreiende Wirkung gegenüber dem Gläubiger?
Laut dem französischen Recht ist die Zahlung an den Gläubiger oder an eine Person zu leisten, die für den Zahlungsempfang bestimmt wurde (Artikel 1342-2 des französischen Zivilgesetzbuchs Code civil). Darüber hinaus gilt, dass die Zahlung an eine Person, die zum Zahlungsempfang nicht berechtigt war, dennoch gültig ist, wenn sie vom Gläubiger bestätigt wurde.
Somit hat eine Zahlung, die auf ein betrügerisches Bankkonto erfolgt, dessen Bankverbindung infolge eines Cyberangriffs kommuniziert wurde, keine befreiende Wirkung gegenüber dem Gläubiger, da dieser nicht von der Zahlung profitiert hat.
Die französische Rechtsprechung vertritt grundsätzlich folgende Auffassung: Auch wenn die Ehrlichkeit des Unternehmens, das Opfer des Betrugs wurde, nicht bestritten werden kann, kann der Betrüger nicht als angeblicher Gläubiger bezeichnet werden, an den eine Zahlung mit befreiender Wirkung (im Sinne von Artikel 1342-3 Code civil) möglich wäre, da der Anschein nicht vom Gläubiger selbst erweckt wurde, der seinerseits bereits seine Bankdaten kommuniziert hatte (vgl. beispielsweise: Entscheidung Nr. 20/01402 des Berufungsgerichts von Caen, 2. Kammer für Zivil- und Handelssachen, 25. März 2021).
Das Betrugsopfer bleibt also Schuldner gegenüber seinem Vertragspartner mit der Folge, dass es vertraglich verpflichtet ist, den geschuldeten Betrag ein zweites Mal zu zahlen.
Je nach Höhe der an einen Betrüger gelieferten Waren oder des Betrags einer Zahlung, die zugunsten eines betrügerischen Kontos getätigt wurde, kann der Schaden für Betrugsopfer also erheblich sein.
Glücklicherweise kann man sich durch den Abschluss einer Cyber- und/oder Betrugsversicherung sowie durch die Einhaltung bestimmter Verhaltensregeln in der Regel wirksam gegen das Betrugsrisiko schützen.
In Frankreich wie auch in Deutschland oder weltweit gibt es Versicherungslösungen gegen das Cyber-Risiko.
Die Roederer-Gruppe kann Sie in allen geografischen Gebieten begleiten, um die technischen Unterlagen zusammenzustellen, die für die Analyse dieses Risikos durch den Versicherungsmarkt notwendig sind, sodass die beste Versicherungslösung mit einem optimalen Preis-Leistungs-Verhältnis für Sie gefunden werden kann.
Zu diesem Zweck arbeitet die Gesellschaft Roederer in ihrer Eigenschaft als Versicherungsmakler mit zahlreichen Spezialisten auf dem Markt zusammen: mit sogenannten „Standardangeboten“ für kleine und mittlere Unternehmen (STOIK, DATTAK etc.) oder mit „maßgeschneiderten“ Angeboten für größere Risiken (AXA, CHUBB, HISCOX, AIG etc.).
Sämtliche Versicherer auf diesem Markt bieten ein Produktpaket an, das in den allermeisten Fällen drei Risiken abdeckt:
=> Assistance-Garantie: Bei einem Cyberangriff erhält der Versicherte Zugriff auf Experten, die von den Versicherungsgesellschaften zugelassen sind: IT-Experten, die bei der Lösung des Vorfalls und der Einrichtung von Notfallmaßnahmen helfen; Rechtsexperten, die den Versicherten bei den erforderlichen Schritten, insbesondere gegenüber der französischen Datenschutzbehörde CNIL, beraten oder die verschiedenen Aspekte des Vorfalls in den Medien verwalten.
=> Haftpflichtversicherung: Übernahme des Schadens, der von Dritten eventuell geltend gemacht wird, insbesondere aufgrund der Offenlegung persönlicher Daten nach einem Cyberangriff.
Einige Versicherer auf dem Markt bieten zusätzlich zu einer Haftpflichtversicherung auch eine Versicherung zur Deckung der Verwaltungssanktionen an. Diese ermöglicht unter anderem die Übernahme der Kosten für die Begleitung durch einen Rechtsberater im Fall einer Untersuchung oder derjenigen für die Übernahme von Sanktionen (CNIL) oder Vertragsstrafen (PCI-DSS).
Allerdings stellt sich die Frage der Versicherbarkeit von Verwaltungssanktionen; zu diesem Thema wird eine Klarstellung des Gesetzgebers erwartet.
=> Betriebsunterbrechungsversicherung zur Deckung des Rückgangs der Bruttomarge infolge eines Cyberangriffs und zur Absicherung der Stilllegung des Produktionssystems des betroffenen Unternehmens. Diese Garantie ist oftmals zeitlich begrenzt (auf 2 bis 6 Monate).
Je nach Versicherer kann in den Versicherungsverträgen eine zusätzliche Deckung für das sogenannte „Lösegeld“ gewährt werden. Zu diesem Thema hat sich eine europaweite Debatte auf dem Versicherungsmarkt entfacht, insbesondere über die Frage, ob die Erstattung von Lösegeld legal ist oder zur Finanzierung von Terrorismus beiträgt. Zum aktuellen Stand gilt diese Garantie in Frankreich als völlig legal und ermöglicht es den Versicherern, eine entsprechende Deckung anzubieten. Einige Versicherer begrenzen jedoch den Betrag dieser Garantie. Eine genaue Analyse dieser Klausel ist daher notwendig, um den genauen Deckungsumfang zu bestimmen.
Interessant ist auch, dass einige Versicherer neben der versicherungstechnischen Antwort auch Zusatzleistungen zum Versicherungsvertrag anbieten, wie externe oder sogar interne Scans von Informationssystemen oder Phishing-Simulationskampagnen.
Bei großen Risiken gewähren spezialisierte Versicherer ihren IT-Experten auch ein- bis mehrmals jährlich Zugang zu den Informationssystemen ihrer Versicherungsnehmer, um eine Bestandsaufnahme der Entwicklung der IT-Präventionspolitik im Unternehmen vorzunehmen.
Laut der jüngsten LUCY-Studie von AMRAE haben heutzutage zahlreiche große französische Unternehmen eine Cyber-Versicherung abgeschlossen; bei kleineren Unternehmen ist die Situation jedoch eine andere. Versichert sind:
– 94 % der großen Unternehmen (Umsatz von mehr als 1,5 Mrd. €),
– 10 % der Unternehmen mittlerer Größe (Umsatz zwischen 50 Mio. und 1,5 Mrd. €),
– 3,2 % der mittelgroßen Unternehmen (Umsatz zwischen 10 und 50 Mio. €),
– 0,2 % der Klein- und Kleinstunternehmen.
Unabhängig von der Größe Ihres Unternehmens ist es heute von entscheidender Bedeutung, eine entsprechende Versicherung abzuschließen. Gerne können wir Sie beraten.
Bei der Betrugsversicherung, die mit einem vom Cyber-Vertrag getrennten Vertrag abgeschlossen werden kann, und zwar insbesondere für Betrugsfälle, die nicht mit einem Computerangriff in Verbindung stehen, handelt es sich oftmals um einen Vertrag, der „alle Risiken außer“ abdeckt: Schadensfälle im Zusammenhang mit Betrug sind versichert, sofern in den Vertragsbedingungen kein Ausschluss genannt ist.
So sind z. B. Ereignisse im Zusammenhang mit Identitätsdiebstahl oder Unterschlagung von Waren oder Missbrauch von Zahlungsmitteln versichert.
Mit diesen Garantien sind Nebengarantien verbunden, wie z. B. Kosten für die Wiederherstellung des Images, Gerichtskosten für ein Verfahren gegen den Betrüger oder auch in Rechnung gestellte Bankzinsen.
Es ist wichtig zu wissen, dass die von den Versicherern gewährten Deckungssummen oftmals begrenzt sind und die Selbstbeteiligungen hoch angesetzt sind.
In beiden Fällen, Cyber- oder Betrugsversicherung, hängen die Versicherungsprämien, die angeboten werden, von mehreren Faktoren ab, z. B. von der Versicherungssumme oder der gewünschten Höhe der Selbstbeteiligung. Die Versicherbarkeit und der Beitrag hängen jedoch direkt vom Schutz- und Präventionsniveau des Unternehmens ab, das den Versicherungsvertrag abschließt. Je besser ein Unternehmen seine Risiken im Griff hat und eine ausgereifte Präventionspolitik vorweisen kann, desto niedriger ist der Tarif. Es wird den Versicherern nämlich darum gehen, nur „Restrisiken“ abzudecken, nicht aber einen „fast sicheren“ Schadensfall aufgrund des unzureichenden Schutzes des Unternehmens.
Die Versicherer werden daher die Antragsunterlagen ihrer potenziellen Kunden von Fall zu Fall analysieren und Bedingungen für den Vertragsabschluss stellen, bevor sie ein Versicherungsprodukt anbieten.
Es ist daher unerlässlich, in seinem Unternehmen eine Präventionspolitik hinsichtlich Cyber- und Betrugsrisiken zu betreiben, nicht nur, um sich vor solchen Ereignissen zu schützen, sondern auch, um dem Unternehmen die Möglichkeit zu geben, eine Versicherungslösung zu einem wettbewerbsfähigen Preis zu finden.
Um sich vor Betrug zu schützen, sind zunächst ein vorsichtiges Handeln sowie die Ausarbeitung und die Umsetzung einer Präventionspolitik auf allen Funktionsebenen des Unternehmens ausschlaggebend. Denn wir dürfen nicht vergessen, dass die Hauptursache für Cyberangriffe nach wie vor das Phishing ist, d. h. das Anklicken einer betrügerischen E-Mail, um Hacker in das eigene Computersystem zu schleusen.
Um Ihnen zu helfen, die richtigen Reflexe in Ihren Alltag zu übernehmen, finden Sie hier eine – nicht erschöpfende – Liste von Praxistipps:
-
- Ankündigung einer Änderung der Kontoverbindung eines üblichen Vertragspartners:
-
- Überprüfung, ob die E-Mail-Adresse Ihres Ansprechpartners genau dieselbe ist wie sonst; wenn nicht, handelt es sich wahrscheinlich um einen Betrugsversuch. Benachrichtigung Ihres üblichen Ansprechpartners per Telefon.
-
- In jedem Fall: Überprüfung der Informationen durch Anruf unter der Telefonnummer, die in früheren und nicht zweifelhaften E-Mails angegeben ist.
-
- Kontaktaufnahme durch einen potenziellen Neukunden, der sein Interesse an Ihren Produkten ankündigt:
-
- Achten Sie auf die Funktion Ihres Gesprächspartners. In der Regel haben die Betrüger nur Zugang zur Identität des CEO (Geschäftsführer) des Unternehmens oder Konzerns. In der Praxis ist es jedoch nie der Geschäftsführer einer Handelskette, der direkt mit den Lieferanten Kontakt aufnimmt und die Verhandlungen führt.
-
- Achten Sie auf die angewandte Vorgehensweise: Zwar ist es nicht ungewöhnlich, dass ein Einzelhandelskonzern die Leistung einer Anzahlung auf eine Bestellung verweigert, doch ist der Prozess der Listung von Produkten bei großen französischen Handelsketten langwierig und sehr schwerfällig.
Keine französische Supermarktkette bestellt mittels eines einfachen Bestellscheins! Wenn es sich hingegen nicht um eine große Handelskette, aber um eine Erstbestellung handelt, sollten Sie darauf bestehen, dass vor der Lieferung eine Anzahlung geleistet wird.
-
- Achten Sie auch auf die Rechtschreibung in den ausgetauschten E-Mails.
-
- Überprüfen Sie systematisch auf offiziellen Webseiten (z. B Infogreffe) die Informationen in E-Mail-Signaturen, auf Briefköpfen und Stempeln. Es ist nicht ungewöhnlich, dass hier Fehler zu finden sind. Achtung: Da diese Informationen öffentlich zugänglich sind, kann die Tatsache, dass sie korrekt sind, einen Betrugsverdacht nicht ausschließen.
- Führen Sie Kampagnen zur Schulung der Mitarbeiter in Bezug auf Betrugs- und Cyberrisiken durch, insbesondere zur Bekämpfung von Phishing, indem Sie z. B. Testkampagnen mit gefälschten betrügerischen E-Mails durchführen, um im Unternehmen die richtigen Reflexe zu entwickeln.
- Einrichtung im Unternehmen einer sogenannten Abteilung für Informationssysteme (Direction des Systèmes d’information), die für folgende Bereiche zuständig ist:
- Richtlinien für die Datensicherung,
- Richtlinien für die Verwaltung der Administrator- und Benutzerkonten der Mitarbeiter,
- Entwicklung von MFA-Systemen (Multifaktor-Authentifizierungen),
- Wachsamkeit beim externen Zugriff auf Ihr WLAN-Netzwerk,
- Systematische Aktualisierung der Computersoftware, insbesondere der Produktionssoftware an den Industriestandorten,
- etc.
Ihr Anwalt und Ihr Versicherungsmakler können Sie in jedem Fall bei diesen Schritten begleiten. Zögern Sie nicht, sich mit uns in Verbindung zu setzen!
Wenn Sie Fragen haben oder einen Kostenvoranschlag anfordern möchten, können Sie sich sehr gern an unsere Experten wenden.