Cloud und IT-Sicherheit:
Erhöhung, Verlagerung oder Abmilderung der Haftungsrisiken?
Aus dem Gesellschaftsrecht ergibt sich ein allgemeiner Pflichtenapell zur sorgfältigen Unternehmensführung an das Management. Bei der Erfüllung der Pflichten bestehen in Bezug auf dynamische Risikofaktoren wie namentlich IT- und Cyberrisiken Ermessensspielräume. Als Bottom Line kann auf Industriestandards bzw. den jeweiligen Stand der Technik zurückgegriffen werden. Sicherheit in der Informationstechnik im Sinne des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) meint in diesem Zusammenhang die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.
Eine absolute Sicherheit kann nicht gewährleistet werden und wird vom Gesetzgeber auch nicht zugrunde gelegt. Maßgebend ist vielmehr, wie IT-Systeme ihre Robustheit und Resilienz gegen potenzielle Cyberrisiken sicherstellen. Hier muss im Rahmen des Risikomanagements der Schutzbedarf hinsichtlich der eingesetzten IT-Systeme und der betroffenen Daten festgestellt und im personenbezogenen Bereich eine Datenschutzfolgenabschätzung im Sinne der DSGVO durchgeführt werden.
Cloud-Provider sind, um ihre Services anbieten und aktuell halten zu können, darauf angewiesen, komplexe Systeme zu betreiben, die aus unterschiedlichen Komponenten zusammengesetzt sind. Dies erleichtert die Möglichkeit eines Angriffs auf der Ebene einer womöglich zunächst nur einzelnen Komponente, und erschwert bzw. verzögert die Entdeckung und Schließung der Sicherheitslücke bzw. des stattfindenden Angriffs. Die größte Gefahr geht von Schadsoftware aus, die die Kontrolle über Prozesse oder ganze IT-Systeme übernimmt. Die Auslöser sind dabei oft gering und deshalb unauffällig. Es genügt ein Softwarefehler, ein unsicheres Passwort, die Fehlkonfiguration von Systemkomponenten, ein falsch aufgesetztes Berechtigungskonzept, nicht mehr unterstützte Betriebssysteme, unverschlüsselte Verbindungen oder Schwachstellen in Anwenderprogrammen, um Angriffe mit bestandsgefährdender Wirkung nicht mehr verhindern zu können.
Für dieses Szenario müssen die betroffenen Organisationen einen Notfallplan zur Identifizierung und Isolierung der betroffenen Systemteile sowie zur Wiederherstellung und Fortsetzung der operativen Prozesse bereithalten. Es ist der exakte Zeitpunkt des Sicherheitsvollfalls zu ermitteln, da sämtliche Anwendungen, Systeme und Daten nach diesem Zeitpunkt unbrauchbar oder schadhaft geworden sein können.
Zu den Basisanforderungen an die IT-Sicherheit gehört, dass ein Grad an Absicherung implementiert sein muss, der es nur mit außergewöhnlichen und unbekannten Angriffsmethoden ermöglichen würde, in das Netzwerk einzudringen. Auch adäquate Maßnahmen gegen absichtsvolle oder fahrlässige „Angriffe“ innerhalb des Netzwerks müssen implementiert sein. Und schließlich gilt es, die technischen Maßnahmen abzusichern und zu verfestigen durch organisatorische Maßnahmen, unter anderem im personellen Bereich. Sämtliche Maßnahmen sind kontinuierlich zu überwachen, auf Wirksamkeit zu überprüfen und zu verbessern. Anwendungssoftware muss ihre Sicherheit bereits „eingebaut“ haben (security by design, siehe BGB-Reform: Haftung bei fehlender IT-Sicherheit und Datenschutzkonformität | esb Rechtsanwälte (kanzlei.de)).
All dies gilt auch – und gerade – für die Anbieter von Cloud-Services, die die Sicherheit ihrer Systeme und Prozesse bspw. durch Zertifizierungen nachweisen können. Dies dient auch der Haftungsfreistellung für Defizite in der Sicherheitsarchitektur des Systems bzw. der verwendeten Komponenten, wohingegen umgekehrt auf der Nachfragerseite erwartet wird, durch die Migration in die Cloud sich einem gegenüber der on premise-Lösung technisch-fachlich überlegenen Anbieter mit haftungsentlastender Wirkung anvertrauen zu können. Die Verpflichtung, eigene angemessene technische und organisatorische Vorkehrungen zum Schutz des Unternehmens zu treffen, kehrt sich in diesen Fällen um in eine Pflicht zur ordnungsgemäßen Auswahl, Überprüfung und Überwachung geeigneter Anbieter von Cloud-Services.
Cloud ist im Wesentlichen Bereitstellung und Dauerbetrieb und unterfällt daher dem Mietrecht. Die insoweit maßgebende Vorschrift des § 535 BGB verpflichtet den Cloud-Provider dazu, die bereitgestellten Systeme in einem zum vertragsgemäßen Betrieb geeigneten Zustand zu überlassen und sie während der Mietzeit in diesem Zustand zu erhalten.
Allerdings ist in alle weiteren Haftungsüberlegungen einzubeziehen, dass die vom Mietrecht „verhängte Garantiehaftung“ für den störungsfreien Dauergebrauch den kurzen Zyklen von IT-Systemen und deren Komponenten sowie von Anwendungsprogrammen und deren Updates der heutigen Wirtschaftswelt nicht mehr gerecht wird. Es ist daher eine Aufteilung der juristischen Verantwortung nach „Risikosphären“ vorzunehmen. Diese „Sphärentheorie“ besagt, dass die Haftung entlang der Risikosphäre verläuft, die die jeweilige Partei entweder vertraglich übernommen hat oder die sich außervertraglich aus der abstrakten Beherrschbarkeit einer bestimmten Risikoquelle ergibt. Wer also bspw. die technische Verantwortung trägt für eine bestimmte Komponente, steht analog in der rechtlichen Verantwortung.
Die Auf- und Abgabe der technischen Verantwortung an den Cloud-Provider fällt daher nicht notwendig zusammen mit der Loslösung von der rechtlichen Verantwortung. Diese verwandelt sich in eine Pflicht zur sorgfältigen Auswahl, Steuerung und Überwachung auf der Basis des verpflichtenden Risikomanagements einschließlich Früherkennung, Wiederherstellung und Wiederanlaufen bzw. Weiterbetrieb der Systeme bei einem Datensicherheitsvorfall.
Die Haftung für Sicherheitslücken entstammt der Risikosphäre des Cloud-Providers. Von höherer Gewalt dürfte bei Cyber-Attacken nicht auszugehen sein, wenn diese nur durch Sicherheitslücken ermöglicht oder begünstigt werden. Denn bereits das geringste Verschulden schließt laut Rechtsprechung das Vorliegen höherer Gewalt aus, sodass nicht davon ausgegangen werden kann, dass es sich bei einem solchen Angriff um ein Ereignis handelt, das auch durch äußerste Sorgfalt nicht hätte verhütet werden können. Demgemäß fällt das Ereignis nicht in die Risikosphäre des Cloud-Kunden, da dieser lediglich die Sorgfalt eines ordentlichen Kaufmannes hinsichtlich seines Risikomanagements walten lassen muss.
Von Seiten der Cloud-Provider wird dagegen die Unbeherrschbarkeit der Sicherheit im Verlauf der Vertragsbeziehung eingewandt, bzw. dass Sicherheitslücken in IT-Systemen üblich seien und daher zur vorhersehbaren Mietbeschaffenheit von Clouds gehören. Vom Gesetz werde nur eine Mietbeschaffenheit mittlerer Art und Güte verlangt, die bereit gestellt werden müsse, woraus zu folgern sei, dass ein solches Mittelmaß zwangsläufig Sicherheitslücken erwartbar mache.
Wir bevorzugen folgenden Ansatz: Bei der Multi-Komponenten-Architektur einer Cloud gilt es zunächst, die risikorelevante Komponente zu ermitteln, bspw. die fehlerhafte Verschlüsselungskomponente auf Softwareebene. Ob diese sodann mangelhaft ist, weil sie von der mittleren Mietbeschaffenheit abweicht, ist eine Frage der Betrachtung im Einzelfall. Ist zur Risikorelevanz oder besonderen Sensibilität zwischen Kunde und Cloud-Provider (subjektiv) nichts vereinbart, kommt es auf die gewöhnliche (objektive) Verwendung der konkret herausgefilterten sicherheitsrelevanten Komponente an. Ist also ein subjektiver Maßstab ausgeschlossen, ist nach der gewöhnlichen (objektiven) Verwendung zu fragen. Dies gilt jedenfalls im Bereich B2B.
Regulatorische Anforderungen wie DSGVO-Konformität, Erfüllung der BSI-Standards etc. werden bei objektiver Betrachtungsweise zum allgemein anerkannten Stand der Technik zählen müssen. Dies darf unter dem Oberbegriff der „Legal Compliance“ im Bereich B2B als bekannt vorausgesetzt werden. Eine weitere Abschichtung folgt dem Anwendungszweck der konkreten Komponente und seiner Einsatzumgebung. So werden bestimmte sicherheitssensible Steuerungsprogramme in betreiberkritischer Infrastruktur naturgemäß einen – auch dem Cloud-Provider bekannten – höheren Anforderungsstandard haben als klassische Anwenderprogramme ohne sensibles Umfeld.
Die in einem durchschnittlichen Unternehmen eingesetzten IT-Systeme und deren Komponenten müssen aber zumindest dem Stand der Technik genügen. Dieser bestimmt sich danach, was technisch notwendig, geeignet, angemessen und vermeidbar zur Vermeidung typischer Schäden ist. Dementsprechend fordert die DSGVO in Art. 32 Abs. 1 lit. b) die „Belastbarkeit“, die auf die Effektivität der technischen Sicherheitsmaßnahmen abzielt. IT-Systeme mit bekannten Sicherheitslücken fallen daher von vorneherein als erfüllungstauglicher Vertragsgegenstand aus. Um der heutigen Dynamik der tatsächlichen Verhältnisse und der jeweiligen Vertragszwecke Rechnung zu tragen, wird als mittleres objektives Kriterium die „Freiheit von bekannten Sicherheitslücken nach dem jeweiligen und anwendbaren Stand der Technik“ vorgeschlagen. Ein Rückzug auf die althergebrachte Verteidigungslinie der „unmöglichen Fehlerfreiheit von Software“ wäre hiernach nicht möglich.
Den Cloud-Provider trifft auch eine (Dauer-)Erhaltungspflicht (§ 535 BGB). Dies beinhaltet die Freiheit von bekannten Sicherheitslücken über die gesamte Vertragsdauer. Sie reduziert sich nach wohl vorherrschender Rechtsmeinung nicht auf den Stand der Technik zum Zeitpunkt der Bereitstellung: Die weitere Entwicklung ist also nicht das „Verwendungsrisiko“ des Nutzers. Dieses Verwendungsrisiko meint die infolge nachträglicher Veränderung der Ausgangsumstände einhergehende Einschränkung oder Aufhebung der Gebrauchstauglichkeit der Cloud-Services, da die ursprünglichen Vertragszwecke nicht mehr verwirklicht werden können. Auf Sicherheitslücken dürfte dieses Verwendungsrisiko allerdings in dieser Allgemeinheit nicht anwendbar sein – zumindest laut Rechtsprechung des BGH dann nicht, sofern die durch die geänderten Umstände bewirkte Gebrauchseinschränkung unmittelbar mit der Eigenschaft der Mietsache im Zusammenhang steht. Dieses Ergebnis entspringt wiederum der vorgenannten „Sphärentheorie“ und führt zu einer Gewährleistungspflicht für den vertragsgemäßen Gebrauch über die gesamte Laufzeit des Cloud-Mietverhältnisses.
Auch die Fälligkeit von Sicherheitsupdates bestimmt sich nach den Umständen des Einzelfalles und vor dem Hintergrund des jeweiligen Standes der Technik. Bekannt gewordene Angriffsmethoden abzuwehren gehört zu der zu gewährleistenden „Freiheit von bekannten Sicherheitslücken nach dem jeweiligen und anwendbaren Stand der Technik“. Eine entdeckte Diskrepanz zwischen Status Quo und Stand der Technik führt dazu, dass eine unverzügliche Beseitigungspflicht für bekanntwerdende Sicherheitslücken besteht. Der Cloud-Provider wird hier ggf. in Eigeninitiative und auf eigene Kosten und Risiken die entsprechenden Updates in Auftrag geben und implementieren müssen. Im Rahmen seiner allgemeinen Schutzpflichten bedarf es darüber hinaus der Warnung der Cloud-Kunden und – soweit möglich und zumutbar – der Bereitstellung von Workarounds zur Eliminierung von Angriffsrisiken.
Gefordert ist ein unverzügliches Handeln ab Bekanntwerden der Sicherheitslücke. Hier wird eine vollständige Sicherungspflicht binnen 2 Wochen vorgeschlagen. Da der Cloud-Provider die Sicherheit der von ihm eingesetzten Technik nur nach ihrem jeweiligen und anwendbaren Stand schuldet und nicht die absolute Freiheit von Sicherheitslücken, fällt die Zwischenzeit zwischen Bekanntwerden der neuen Angriffsmöglichkeit und der fristgerechten Bereitstellung von Sicherheitsupdates in die Risikosphäre des Cloud-Kunden und beinhaltet demnach keine Pflichtverletzung des Cloud-Providers, da erst mit dem Bereitstehen des Sicherheitsupdates ein neuer Stand der Technik entsteht. Für Angriffe, die in diese Zwischenzeit fallen, können aus Gewährleistungsrecht keine Ansprüche erhoben werden. Schadensersatz wäre allenfalls denkbar aus der Verletzung von allgemeinen Informations- und Schutzpflichten (insbes. der o.g. Warnhinweise an die Cloud-Kunden). Weitergehende Haftungsansprüche sind erst dann eröffnet, wenn der Cloud-Provider mit der Bereitstellung der Sicherheitsaktualisierung in Verzug gerät.
Autor: Dr. Jens Bücking
Rechtsanwalt
Fachanwalt für IT-Recht
Senior Partner bei esb Rechtsanwälte Emmert Bücking Speichert Matuszak-Lesny (Adwokat) Partnerschaftsgesellschaft mit beschränkter Berufshaftung
Veröffentlicht am 21.11.2022
unter #Allgemein, #Datenschutz, #Haftungsrecht, #IT-Recht
Thema suchen:
Nach Kategorie filtern: