Der nackte Bieber ist wieder aufgetaucht. Ende August sorgten Fotos für Aufregung, die Popstar Justin Bieber ohne Badehose zeigen. Die zwei Jahre alten Paparazziaufnahmen erschienen auf der Instagram-Seite seiner einstigen Flamme Selena Gomez. Hacker hatten den Account der Internetikone, den 128 Millionen Fans rund um den Globus regelmäßig anklicken, gekapert und die Schnappschüsse von Justin dort eingestellt.

Eine Schwachstelle in der Software der Facebook-Tochter verschaffte den Cyberkriminellen Zugang zu den Daten von Millionen Nutzern. Im Anschluss an ihren digitalen Diebstahl boten sie über eine Seite namens Doxagram für jeweils zehn Dollar Telefonnummern und Mailadressen von rund 1000 Promis an – darunter jene von Designerin Victoria Beckham, den Musikerinnen Beyoncé und Adele sowie den Fußballern Zinedine Zidane und Neymar.

Ziemlich blöd für die VIPs. Für Instagram-Mitgründer Mike Krieger indes hielten sich die Folgen des Hacks in Grenzen. Er bat um Verzeihung — „Very sorry this happened“ — und ertrug den Spott der Branche.

Noch kommen Unternehmen damit durch. Ab kommendem Frühjahr aber kratzt die Verletzung von Persönlichkeitsrechten nicht mehr nur am Image. Dann macht sich strafbar, wer nicht für die Sicherheit privater Daten sorgt. Zumindest bei EU-Bürgern wie dem Franzosen Zidane. Ob die attackierte Firma in Europa sitzt, im Silicon Valley oder in China, ist irrelevant.

Die Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse. Wer ab diesem Tag gegen die Regeln für den Umgang mit personenbezogenen Informationen von EU-Bürgern verstößt, dem drohen drakonische Strafen. Die Übergangsfrist ist dann abgelaufen.

Die zuständige Justiz- und Verbraucherschutzkommissarin Véra Jourovå hat bereits effiziente „Durchsetzungsmöglichkeiten“ für die Behörden in den 28 Mitgliedstaaten angekündigt: „Die Bußgelder können sich auf bis zu 4 Prozent des Jahresumsatzes belaufen.“ Als Grundlage dient der Gesamterlös eines Konzerns, nicht nur der Umsatz der Vertriebstochter vor Ort. Das Gesetz hat also das Potenzial, Firmen, die ihre IT nicht in den Griffbekommen, auszuschalten.

Mit den schmerzhaften Sanktionen will Brüssel sicherstellen, dass die Regeln auch wirklich eingehalten werden. „Eine abschreckende Wirkung bei Verstößen ist explizit gewünscht“, warnt Katharina Küch1er, Anwältin beim Internetverband Eco.

Ein Cyberrisiko der anderen Art, das einer Vielzahl von Unternehmen die Bilanzen zu verhageln droht. Denn laut dem Datenspezialisten Veritas hat sich weltweit jede zweite Organisation noch gar nicht auf die neuen EU-Sicherheitsvorschriften vorbereitet. Besonders schlecht sieht es nach einer aktuellen Umfrage des Branchenverbands Bitkom in Deutschland aus. Gerade einmal 13 Prozent aller Firmen haben hierzulande damit begonnen, ihre IT-Systeme den neuen Regeln anzupassen. Und das, obwohl 98 Prozent der Befragten durchaus „schon von der DSGVO gehört“ haben (Bitkom-Geschäftsleitungsmitglied Susanne Dehmel).

„Brandgefährlich“ sei diese Nachlässigkeit, klagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Er warnt: Wer das Thema Cybersecurity nicht schleunigst ernst nehme, setze die Existenz seiner Firma aufs Spiel. Viel Zeit bleibt nicht mehr.

Welche Schäden Hackerangriffe schon heute anrichten, war zuletzt mehrfach zu beobachten. Im Mai befiel die Ransomware WannaCry 75 000 IT-Anlagen in rund 150 Ländern – darunter bei der Deutschen Bahn. Renault musste an mehreren Standorten sogar die Produktion einstellen. Wer den Trojaner loswerden wollte, sollte Lösegeld zahlen. Ein anderer Datendieb stahl einer Schönheitsklinik OP-Protokolle. Für deren Nichtveröffentlichung verlangte er von den Patienten jeweils bis zu 2000 Euro.

Im Juni schlugen erneut Cybererpresser zu. Dieses Mal erwischte es den Logistiker T NT und den Reedereikonzern Maersk. TNT konnte keine Sendungen mehr verfolgen, Maersk keine Aufträge mehr annehmen. Die Dänen rechnen mit einem Schaden von bis zu 300 Millionen Euro.

Erst im Juli bekam der Markenriese Reckitt Benckiser (Calgon, Sagrotan) die Folgen eines 45-minütigen Ausfalls von rund 500 Computersystemen in den Griff. CEO Rakesh Kapoor bezifferte die Folgekosten des Peyta-Virus aufmehr als 100 Millionen Pfund. Er mahnte seine Kollegen: „Solche Hackerangriffe werden immer üblicher und immer ausgefeilter.“

So wie die Anfang September bekannt gewordene Attacke auf Equifax. Bei der US-Wirtschaftsauskunftei erbeuteten Hacker Sozialversicherungs- und Kreditkartennummern von bis zu 143 Millionen Bürgern, fast jedem zweiten Amerikaner.

Die Beispiele belegen die Verwundbarkeit selbst hochgerüsteter Konzerne. Hierzulande wurde einer Bitkom-Erhebung zufolge in den vergangenen beiden Jahren die Hälfte aller Firmen angegriffen. Durch Wirtschaftsspionage, Sabotage und Datendiebstahl entsteht der heimischen Wirtschaft jährlich ein Schaden von rund 55 Milliarden Euro – ein Anstieg um 8 Prozent gegenüber der vorherigen Untersuchung. „Jeder kann Opfer eines Cyberverbrechers werden“, warnt Verbandspräsident Achim Berg.

Künftig kommen auf die Schäden auch noch Strafzahlungen drauf. Viele hiesige Unternehmen glauben, dass die DSGVO sich an die existierenden deutschen Datenschutzvorgaben anlehnt und sie daher nur wenig ändern müssen. Weit gefehlt.

Das neue EU-Gesetz regelt nicht nur, welche personenbezogenen Daten von wem gespeichert, verarbeitet und weitergegeben werden dürfen und in welchen Fällen um Erlaubnis gebeten werden muss. Die für alle 28 EU-Mitgliedsländer vereinheitlichten Regeln definieren auch, dass die datenerhebenden Unternehmen die volle Verantwortung für die Integrität und Sicherheit der persönlichen Informationen tragen. Sie müssen beweisen, dass sie alles getan haben, um Cybergefahren zu erkennen und abzuwehren. Bei neuen Systemen muss dokumentiert werden, wie Datenschutz und -sicherheit von vornherein in die IT-Prozesse eingebaut wurden.

Solche umfassenden Sicherheitsgarantien lassen sich nicht delegieren. Auch Unternehmen, die ihre Datenverarbeitung zu Cloud- oder Outsourcinganbietern verlagern, stehen in der Pflicht. Sie müssen dafür sorgen, dass sich die Servicefirma DSGVO-konform verhält. Schlimmstenfalls haften beide – Auftraggeber und Dienstleister.

Mehr noch: Sind personenbezogene Daten von einem Hackerangriff betroffen, ist die attackierte Firma verpflichtet, umgehend den zuständigen Landesdatenschutzbeauftragten zu informieren. Gleiches gilt bei selbst verschuldeten Datenpannen. Für die Meldung haben Unternehmen in der Regel nicht mehr als 72 Stunden Zeit. Zudem müssen die betroffenen „Datensubjekte“ (alias Kunden) über den Vorfall informiert werden – je nachdem, wie stark ihre Rechte und Freiheiten gefährdet sind. Diese Nachricht darf „keinesfalls schuldhaft verzögert“ werde.