Bedrohungen für die Cybersicherheit und U.S. Regulierung: Das Risiko ist größer, als man denkt
Durch einen Angriff auf die Cybersicherheit entstehende Schäden können für Unternehmen bereits kostspielig und weitreichend sein. Hinzu kommt in den USA ein Flickenteppich von cyberbezogenen Vorschriften, welche Unternehmen dem Risiko erheblicher zivilrechtlicher Sanktionen aussetzen. Die U.S. Bundesregierung hat sich in diesem Jahr besonders intensiv mit der Bekämpfung potenzieller Cyber-Bedrohungen für die Infrastruktur des Landes befasst. Darüber hinaus wurden viele bereits bestehende Gesetze um Bestimmungen zur Cybersicherheit und zum Datenschutz ergänzt. Die Regulierungsbehörden bemühen sich, zeitnah die Guidelines zu den Vorschriften zu aktualisieren.
Jüngste Cyberangriffe als Auslöser
Hauptursache ist der drastische Anstieg von Cyberangriffen. So sah sich im Juli 2021die Howard University mit einem Ransomware-Angriff konfrontiert, der sie dazu veranlasste, alle Vorlesungen abzusagen, das FBI und die Regierung in Washington um Hilfe zu bitten und Online-Sicherheitsmaßnahmen zu implementieren. Im April war ein Cyberangriff auf die Colonial Pipeline Co. mit anschließender Lösegeldforderung vorausgegangen, welcher die Abschaltung der gesamten Pipeline zur Folge hatte. Die daraus resultierenden Gasausfälle wirkten sich im Süden und Osten der USA verheerend aus. Mit Unterstützung des FBI zahlte die Colonial Pipeline Co. schließlich ein Lösegeld in Höhe von USD 4.400.000 an die Hacker, die einer mit Russland in Verbindung gebrachten Cybercrime-Gruppe namens DarkSide angehörten. Vor dem Colonial-Angriff hatte unter anderem der SolarWinds-Hack neun U.S. Behörden und Dutzende private Organisationen gefährdet, Schwachstellen in Microsoft Exchange-Servern wurden ausgenutzt und in Florida war eine Wasseraufbereitungsanlage Ziel eines Cyberangriffs.
Neue Vorschriften auf Bundesebene
Die derzeitige U.S. Regierung reagierte am 12.05.2021 mit der Unterzeichnung einer Executive Order on Improving the Nation’s Cybersecurity (Exekutiverlass zur Verbesserung der nationalen Cybersicherheit) auf die zunehmende Häufigkeit und Raffinesse von Cyberangriffen. Dieser Erlass erlegt Regierungsbehörden und ihren Vertragspartnern unter anderem neue Anforderungen an die Cybersicherheit auf. Zudem soll das sogenannte Cyber Security Review Board, das sich aus Bundesbeamten und Vertretern des Privatsektors zusammensetzt, bedeutende Cybervorfälle überprüfen und bewerten. Das Gremium ist mit dem derzeitigen National Transportation Safety Board (NTSB) vergleichbar.
Die U.S. Bundesregierung richtete im November 2018 mittels des Cybersecurity and Infrastructure Security Agency Act of 2018 auch die unter der Aufsicht des Department of Homeland Security (DHS) stehende Cybersecurity and Infrastructure Security Agency (CISA) ein. Die CISA soll mit dem öffentlichen und privaten Sektor zusammenarbeiten, um Cyberbedrohungen durch Informationsaustausch, Berichterstattung und gegenseitige Unterstützung frühzeitig zu erkennen und zu entschärfen. Im Juni richtete die CISA eine Website ein, auf der sie „Bad Practices“ katalogisiert, die sie als besonders riskant für national oder allgemein kritische Infrastrukturen erachtet. Darüber hinaus kündigte die Transportation Security Administration (TSA) Anfang Oktober an, dass sie beabsichtige, Vorschriften einzuführen, die bestimmte Betreiber von Bahnhöfen, Flughäfen und Flugzeugen in den USA dazu verpflichten, einen Cyber-Beauftragten zu benennen, Hackerangriffe gegenüber der Regierung offenzulegen und Konzepte zu entwickeln, die im Falle eines Angriffs zur Wiederherstellung verwendet werden können.
Anpassung des bestehenden Bundesrechts
Die U.S. Bundesregierung hat zudem viele bestehende Gesetze aktualisiert, um Bestimmungen zur Cybersicherheit aufzunehmen oder die Datenschutzbestimmungen zu optimieren. Eines dieser Gesetze ist der Health Insurance Portability and Accountability Act (HIPAA) von 1996. Dieser schreibt in seiner neuen Fassung vor, dass erfasste Einrichtungen und ihre Geschäftspartner Datenschutzverstöße den Betroffenen, dem U.S. Gesundheitsministerium (HHS) und, wenn mehr als 500 Personen betroffen sind, einem bekannten Nachrichtenmedium in dem betroffenen Bundesstaat melden müssen. Verzögerungen einer solchen Meldung können sehr teuer werden. Die Höchststrafe für einen Verstoß liegt bei USD 1.500.000 oder mehr, wenn die Verzögerung mehr als ein Jahr beträgt.
Ein weiteres bestehendes Gesetz ist der Children's Online Privacy Protection Act of 1998 (COPPA). Der COPPA legt Regeln für Internetdienste fest, die sich an Kinder unter 13 Jahren richten. Im Juli verkündete die Federal Trade Commission (FTC) eine Aktualisierung der Übersicht zu häufig gestellten Fragen (FAQs) zum COPPA. Diese umfassen nun auch den Inhalt eines Vergleichs mit YouTube aus dem Jahr 2019, in dem der Begriff „an Kinder gerichtet“ und die Pflichten von Websites und Diensten, die sich an ein „gemischtem Publikum“ richten, definiert werden. Die FAQs wurden auch dahingehend aktualisiert, dass sie Internet of Things-Geräte wie z. B. vernetztes Spielzeug, intelligente Lautsprecher und Sprachassistenten in den Geltungsbereich des COPPA einbeziehen. Die COPPA-Geldbußen können ebenfalls empfindlich hoch sein. Im Jahr 2020 warf die FTC den Betreibern einer Malbuch-App, konkret deren Muttergesellschaften einschließlich des CEO und des Geschäftsführers vor, personenbezogene Daten von Kindern unter 13 Jahren zu sammeln. In einem Vergleich stimmte das Unternehmen einer Strafe in Höhe von USD 4.000.000 zu. Die Vollstreckung dieser Strafe wurde jedoch wegen Zahlungsunfähigkeit nach Zahlung von USD 150.000 vorläufig ausgesetzt.
Im Finanzbereich existieren weitere Bundesgesetze wie der Gramm-Leach-Bliley Act of 1999 (GLBA), der regelt, wie Finanzinstitute Kundendaten verwenden dürfen, und den Sarbanes Oxley Act of 2002, der Unternehmen verpflichtet, interne Sicherheitskontrollen einzuführen. Die Securities and Exchange Commission (SEC) hat zudem Leitlinien zur Cybersicherheit und Offenlegungspflichten herausgegeben und 2017 eine „Cyber Unit“ eingerichtet, die Cyberstandards aufstellt und durchsetzt.
Neue Vorschriften in einzelnen Bundesstaaten
Verschiedene Bundesstaaten haben ebenfalls Vorschriften zur Cybersicherheit erlassen. New York war seiner Zeit voraus, als es am 17.03.2017 die New York Department of Financial Services Cybersecurity Regulation (23 NYCRR 500) („NYDFS“) erließ (die aufgrund von Übergangsfristen für bestimmte Vorschriften zum 01.03.2019 vollständig in Kraft tritt), die besondere Anforderungen an Finanzinstitute und Finanzdienstleistungsunternehmen stellt. Diese Regulation umfasst insgesamt 23 Paragraphen und verpflichtet betroffene Unternehmen, eine Cybersicherheitsstrategie und einen Krisenbewältigungsplan aufzustellen, die Behörden innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren, jährliche Berichte über Cybersicherheitsrisiken und Präventivmaßnahmen zu erstellen und die Risiken für autorisierte Nutzer und Drittanbieter zu steuern. Am 30.06.2021 veröffentlichten die NYDFS eine Ransomware Guidance für Unternehmen, um das Risiko eines Ransomware-Angriffs zu verringern. Zusätzlich gaben die NYDFS Anfang 2021 ein Cyber Insurance Risk Framework (Rechtsrahmen für die Versicherung von Cyberrisiken) heraus, um Versicherungsunternehmen bei der Bewältigung der Risiken von Cyberversicherungen zu unterstützen. Auch Kalifornien hat mit dem California Consumer Privacy Act (CCPA) und dem California Privacy Rights and Enforcement Act (CPRA) neue Vorschriften eingeführt, die im Januar 2023 in Kraft treten werden. In diesem Sommer erließ ferner Connecticut ein Gesetz, das einen safe harbor für bestimmte Unternehmen einführte, wenn diese eine schriftliche Cybersicherheitsstrategie aufstellen und einhalten. Das Gesetz stellt anerkannte Rahmenbedingungen für eine solche Strategie auf. Unternehmen können Strafschadensersatz (punitive damages) für etwaige Versäumnisse bei der Umsetzung von Cybersicherheitsmaßnahmen vermeiden, indem sie diese Rahmenbedingungen erfüllen. Darüber hinaus hat Connecticut die Frist für die Meldung von Datenschutzverletzungen verkürzt und die Definition von „personenbezogenen Daten“, die eine Meldepflicht für Datenschutzverletzungen auslösen können, weiter gefasst. Texas und Nevada aktualisierten ebenfalls bestehende Gesetze, um den neuen Meldepflichten bei Datenschutzverletzungen Rechnung zu tragen.
Auch die Nichteinhaltung bestimmter bundesstaatlicher Gesetze, wie z. B. des 23 NYCRR 500, kann kostspielige zivilrechtliche Sanktionen nach sich ziehen. So verhängte die NYDFS im März eine Geldbuße in Höhe von USD 1.500.000 gegen eine zugelassene Hypothekenbank, weil sie einen Cybersicherheitsvorfall nicht gemeldet hatte. Im April verhängte die NYDFS gegen die National Securities Corporation, eine Versicherungsgesellschaft, eine Geldbuße in Höhe von USD 3.000.000, nachdem das Unternehmen es versäumt hatte, Verstöße gegen die Cybersicherheit im Zeitraum zwischen 2018 und 2020 zu melden.
Fazit
Der Fokus auf die Cybersicherheit wird vermutlich bestehen bleiben. So fördert bereits eine kurze Internetsuche nach Vorschriften zum Thema Cybersicherheit Dutzende aktueller Artikel über neue Gesetze zur Cybersicherheit zu Tage, die demnächst in Kraft treten werden. Es scheint daher unerlässlich, dass Unternehmen sowohl Änderungen bestehender Rechtsvorschriften als auch neue Gesetze zu Cybersicherheit und Datenschutz in ihrem jeweiligen Sektor aufmerksam verfolgen.