Betreiber von Hotels und Apartmenthäusern im Cyber-Angriffsfokus

Cyber-Kriminalität ist ein äußerst lukratives Geschäftsmodell und wird weltweit vernetzt in professionellen – unternehmensartigen – Strukturen betrieben. Nach Schätzungen betragen die Schäden durch Cyber-Kriminalität pro Jahr weltweit mehr als 8 Billionen USD und in Deutschland mehr als 200 Milliarden Euro.

Cyber-Angriffe können in der heutigen Zeit jedes Unternehmen treffen. Nach dem diesjährigen Global Risk Report des Weltwirtschaftsforums zählen Cyber-Risiken bereits jetzt zu den fünf größten globalen Bedrohungen überhaupt. Durch stetige technologische Entwicklungen, wie etwa auch das Fortschreiten künstlicher Intelligenz, wird Cyber-Kriminalität in den nächsten Jahren voraussichtlich sogar weiter an Bedeutung gewinnen. Die Frage ist also nicht, ob sich ein Angriff ereignet, sondern wann und wie.

Cyber-Angriffe im Hospitality Bereich richten sich meist gegen das IT-System des Betreibers und sind dann häufig auf die Erlangung oder Verschlüsselung von Gästedaten oder die Erpressung von „Lösegeld“, etwa für die Entschlüsselung vorher verschlüsselter Daten (Ransomware), gerichtet. Schwachstellen sind oftmals auch vernetzte Drittanbieter, Schnittstellen zu vernetzten Systemen sowie Fehler von Mitarbeitern. Denkbar sind auch Angriffe auf die Gebäudeinfrastruktur – etwa das Zugangskontrollsystem oder auch die Sprinkleranlage. Selbst solche Angriffe können auf eine Erpressung des Unternehmens abzielen: Es wird mit konkretem Zugriff auf das Gebäude gedroht, um eine Geldzahlung des Unternehmens zu erreichen. Nur so lohnt sich das Geschäft für die Angreifer.

Der wirtschaftliche Schaden durch einen Cyber-Angriff liegt schnell in Millionenhöhe. Doch welche rechtlichen Konsequenzen hat er? Und wie können sich Unternehmen bestmöglich vor solchen Angriffen schützen?

Vorbereitung auf den Ernstfall: Incident Response Plan

Neben den technischen und organisatorischen Sicherheitsmaßnahmen zur möglichen Verhinderung eines Sicherheitsvorfalls, die auch vertraglich abgesichert sein sollten, bilden gerade die Richtlinien, Standards und Prozesse für die angemessene Reaktion auf einen Cyber-Angriff einen wesentlichen Bestandteil eines umfassenden Informationssicherheits-Managementsystems (ISMS).

Wenn ein Unternehmen trotz umfassender Sicherheitsvorkehrungen zum Opfer wurde, ist schnelles Handeln gefragt. Der Sachverhalt muss aufgeklärt, die Sicherheitslücke identifiziert und geschlossen und Daten müssen gesichert werden. Informations- und Meldepflichten sind zu beachten und sämtliche notwendigen Akteure (IT-Sicherheit, Rechtsabteilung, Kommunikation, Datenschutz, Strafverfolgung, Forensik, Versicherung, etc.) zu beteiligen. Innerhalb des Unternehmens sind eine gute Kommunikation und eine umfassende Aufarbeitung und Begleitung der rechtlichen Anforderungen erforderlich. Ein vorab ausgearbeiteter und eingeübter sogenannter Incident Response Plan ist essentiell.

Informations- und Meldepflichten

Das von einem Cyber-Angriff betroffene Unternehmen hat umfangreiche Informations- und Meldepflichten, etwa nach der EU-Datenschutz-Grundverordnung (DSGVO). Diese gelten sowohl für die Betreiber als auch für Subunternehmen, die mit den Gäste- und Mitarbeiterdaten in Berührung kommen, wie etwa Buchungsportale oder Franchise-Geber. Nach Cyber-Angriffen, die personenbezogene Daten betreffen, müssen die verantwortlichen Unternehmen grundsätzlich binnen 72 Stunden die Datenschutzbehörden informieren. Bei einem voraussichtlich hohen Risiko für persönliche Rechte und Freiheiten sind auch die von einer Datenschutzverletzung betroffenen Personen – also etwa betroffene Gäste – „unverzüglich“ zu benachrichtigen. Daneben bestehen potentielle weitere gesetzliche und vertragliche Informations- und Meldepflichten, etwa gegenüber betroffenen Gruppenunternehmen, Vertragspartnern oder der Cyber-Versicherung.

Schadensersatzansprüche gegen betroffene Unternehmen

Angegriffene Unternehmen können von weitreichenden Schadensersatzansprüchen verschiedenster Seiten wie Gästen, Arbeitnehmern oder Investoren sowie von durch Aufsichtsbehörden auferlegten Bußgeldern betroffen sein. Die DSGVO begründet insofern eine umfassende datenschutzrechtliche Haftung und erleichtert die Geltendmachung von Ansprüchen für betroffene Personen.

Schadensersatzansprüche betroffener Personen gegen verantwortliche Unternehmen oder Auftragsverarbeiter können vor allem auf Art. 82 DSGVO gestützt werden. Anspruchsberechtigt ist nach dieser Vorschrift jede auch mittelbar betroffene Person, der ein materieller oder immaterieller Schaden entstanden ist. Hierbei profitieren potentielle Anspruchssteller insbesondere von einer „verbraucherfreundlichen“ Auslegung der DSGVO-Bestimmungen durch den Europäischen Gerichtshof (EuGH). Insbesondere setzt die Rechtsprechung die Anforderungen an die Geltendmachung eines immateriellen Schadens sehr niedrig an, um den von einem Cyber-Angriff betroffenen Personen einen „vollständigen und wirksamen Schadensersatz“ zu gewährleisten, und sieht die verantwortlichen Unternehmen, etwa die von einem Angriff betroffenen Hotelbetreiber, in der Pflicht, die Geeignetheit der getroffenen technischen und organisatorischen Schutzmaßnahmen nachzuweisen. Für Unternehmen bedeutet dies, dass sie sich für den Fall eines Cyber-Angriffs auf eine Vielzahl von Verfahren betroffener Gäste einstellen müssen, was entsprechende Strategien zur angemessenen Vorbereitung und effektiven Verteidigung erfordert.

Regressansprüche ausloten

Das angegriffene Unternehmen wiederum kann bei verschiedenen Akteuren Regress nehmen. Da sich die Ermittlung der Person des Angreifers oft als aussichtslos erweist, kommen – bei Fehlverhalten von IT-Dienstleistern oder Lieferanten – vor allem vertragliche Ansprüche in Betracht. Insofern stellen sich allerdings oft Beweisfragen und man ist mit vertraglichen Haftungsbeschränkungen konfrontiert, etwa der Vereinbarung einer Haftungshöchstgrenze, eines Haftungsmaßstabs oder etwaiger Ausschlussfristen.

Der frühzeitige Abschluss einer Versicherung kann sich deshalb als sinnvoll erweisen. In Betracht kommt insbesondere eine Cyber-Risikoversicherung. Teilweise werden die Risiken jedoch auch von anderen Versicherungen mit abgedeckt. Im Falle mangelnder Vorbereitung auf Cyber-Angriffe kommt etwa auch eine Pflichtverletzung der Geschäftsleitung in Betracht, für die wiederum eine D&O-Versicherung in Anspruch genommen werden kann.

Vorsorge ist auch hier besser als Nachsorge

IT- und Datensicherheit sollten als Grundprinzip bei sämtlichen digitalen Maßnahmen und Vorgängen im Unternehmen Priorität haben und regelmäßig überprüft und aktualisiert werden. Angesichts der enormen Kosten eines Cyber‑Angriffs und der zunehmenden Häufung solcher Vorfälle lohnen sich Investitionen in Sicherheitsmaßnahmen und der Fokus auf „security by design“. Die Möglichkeiten zum Schutz vor Cyber-Angriffen und die Abmilderung ihrer Auswirkungen reichen von internen Standards, Richtlinien und Prozessen, über eine entsprechende Gestaltung der Verträge, etwa mit IT-Dienstleistern, Zulieferern von Soft- und Hardware und Versicherungen, oder die interne und externe Kommunikation bis hin zu einer umfassenden Datensicherung.

Eine effektive Prävention erfordert eine kontinuierliche Auseinandersetzung mit der IT- und Datensicherheit im Unternehmen. Dies umfasst die Zusammenarbeit von IT-Sicherheit mit anderen Abteilungen und Branchen. Verantwortlichkeiten, Strukturen und Prozesse sollten in der Business Continuity Planung sowie insbesondere im Incident Response Plan klar geregelt sein. Die Effektivität der Prozesse ist regelmäßig zu testen, überprüfen und aktualisieren. Daneben sollten alle Mitarbeiter regelmäßig zur Cybersecurity Awareness geschult werden.

Entscheidend ist immer die Betrachtung der gesamten Wertschöpfungskette. Sicherheit ist nur dann gewährleistet, wenn Maßnahmen auf jeder Stufe ergriffen werden. Deshalb sollten unbedingt auch vernetzte Partner in Sicherheitskonzepte einbezogen werden. Durch vertragliche Regelungen in Bezug auf Geheimhaltung, Datenhoheit, IT Sicherheit, Haftung sowie Kontroll- und Auditrechte kann eine gewisse Absicherung erreicht und Haftungsrisiken abgemildert werden.

Inwiefern wird die NIS-2 Richtlinie relevant?

Neue und strengere Anforderungen an IT-Sicherheit ergeben sich zukünftig aus den Anforderungen der NIS-2 Richtlinie der Europäischen Union, welche bis Oktober 2024 in das nationale Recht umzusetzen sind. Hier bleibt abzuwarten, in welchem Umfang der deutsche Gesetzgeber von seiner Befugnis Gebrauch machen wird, ggf. überschießende Regelungen in das nationale Recht umzusetzen. Betreiber von Hotels und Apartmenthäusern sollten aber in der Regel nicht hiervon betroffen sein, sofern sie nicht als Cloud Computing Dienst oder Anbieter digitaler Dienste (etwa als Online-Marktplatz, soziales Netzwerk oder Suchmaschine) ergänzende digitale Services erbringen oder Leistungen in kritischen Bereichen zur Verfügung stellen (etwa als Erzeuger von Energie mit Photovoltaikanlagen). Auch versucht der deutsche Gesetzgeber (zumindest in gegenwärtigen Entwurfsgesetzen) im Hinblick auf die für den Anwendungsbereich der Regelungen notwendige Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz nur auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen, um eine zu weitgehende Anwendung auf deutsche Unternehmen zu verhindern.

Fazit

In jedem Fall gilt: Betreiber von Hotels und Apartmenthäusern sollten gut vorbereitet sein. Die Vielzahl an Aspekten, die im Rahmen einer effektiven Prävention von Cyber-Angriffen beachtet werden muss, wirkt enorm, ist jedoch mit professioneller Hilfe sowohl auf technischer als auch auf rechtlicher Ebene gut in den Griff zu bekommen. Dabei sollten sowohl IT-Experten als auch spezialisierte Rechtsanwälte einbezogen werden. In vielen Fällen unterstützt auch die Cyber-Versicherung. Einen Cyber-Angriff ohne ausreichende vorherige Vorbereitung und Absicherung aufzuarbeiten, ist weitaus aufwändiger und kostenintensiver und birgt deutlich höhere Risiken und Schäden. Daher sollten Präventionsmaßnahmen vorausschauend implementiert werden, um im Falle eines Angriffs bestmöglich vorbereitet zu sein.

Verfasst von Dr. Martin Pflüger, Dr. Martin Strauch, Ulrike Janssen und Ulrike Cunze.