Thought Leadership
Die meisten Cyberangriffe erfolgen über Attacken auf Mitarbeiter, auch Datenpannen durch Mitarbeiter kommen vor. Viele Mitarbeiter sind sich dabei der Risiken und Folgen nicht bewusst, hinzu kommen Unwissenheit, Bedienungsfehler oder Ignoranz für die Risiken.
Besteht dann noch Zeitdruck, handeln viele Menschen unvorsichtiger oder übersehen Warnsignale – bei der heutigen Flut an E-Mails sind Fehler wahrscheinlicher geworden. Insbesondere wenn das Unternehmen keine konstruktive Sicherheitskultur hat oder Fehler sogar angeprangert werden, scheut sich der Mitarbeiter, diese offen zuzugeben und somit die Behebung zu beschleunigen.
Es stellen sich für die Verantwortlichen in dieser Gemengelage verschiedene Fragen: Wie kann ich Aufmerksamkeit für das Thema Cyberangriffe schaffen? Wie etabliere ich eine tragfähige Sicherheitskultur? Und kann ich ein Instrument wie die Maßregelung aus dem HR-Werkzeugkasten sinnvoll in einer solchen Kultur anwenden?
Die Grundlage: Technische Maßnahmen als erste Verteidigungslinie
Die Grundlage einer guten Cyber-Sicherheitsstrategie bilden technische Schutzmaßnahmen. Hierzu zählen moderne Firewalls, Antivirenprogramme und Multi-Faktor-Authentifizierung (MFA). Zudem sollten Netzwerke und Geräte regelmäßig auf Schwachstellen überprüft werden, um die Angriffsfläche möglichst gering zu halten.
Wichtige Sicherheitsrichtlinien wie Passwortrichtlinien oder Zugriffsrechte müssen klar kommuniziert und durchgesetzt werden. Mitarbeiter sollten wissen, welche Maßnahmen im Hintergrund laufen, und wie sie durch ihr Verhalten zur Sicherheit beitragen können.
Mitarbeiter-Sensibilisierung als Schlüssel zur Sicherheit
Technische Maßnahmen reichen jedoch nicht aus. Wie schon in der Einleitung beschrieben, ist der „Faktor Mensch“ ein entscheidender Baustein guter Cyber-Sicherheit: Cyber-Angriffe über Phishing, Social Engineering oder Malware nutzen oft die Unachtsamkeit oder das fehlende Wissen der Mitarbeiter aus. Daher ist es entscheidend, das Bewusstsein für diese Risiken zu schärfen und die Mitarbeiter zu sensibilisieren.
Regelmäßige Schulungen zu aktuellen Bedrohungen, die durch simulierte Angriffe begleitet werden, sind eine effektive Methode, die Aufmerksamkeit der Mitarbeiter zu steigern. Einmalige Schulungen genügen nicht – kontinuierliches Training und Updates sind notwendig, um die Gefahr von Routinefehlern zu minimieren.
Dabei ist es wichtig, eine offene Unternehmenskultur zu fördern, in der Fehler als Lernchance genutzt werden. Wenn Mitarbeiter keine Angst haben, Missgeschicke zu melden, kann schnell reagiert und der Schaden minimiert werden.
Maßregelung: Was ist das und kann sie Teil der Cyber-Sicherheit werden?
Der Begriff Maßregelung ist etwas antiquiert und meint eine Handlung mit dem Ziel, jemanden bezogen auf ein Fehlverhalten zurechtzuweisen und/oder zu bestrafen; im Sprachgebrauch des Personalwesens also eine disziplinarische Maßnahme.
Der Begriff lässt aufhorchen, zumal der Arbeitgeber auf der anderen Seite nach dem BGB einem Maßregelungsverbot unterliegt. Verboten ist allerdings nur, Arbeitnehmer wegen der zulässigen Ausübung ihrer Rechte zu benachteiligen.
Mit Blick auf die ISO 27001 und TISAX® ist es sogar so, dass diese Normen verlangen, dass Unternehmen Maßnahmen ergreifen, wenn Mitarbeiter gegen Sicherheitsrichtlinien verstoßen. Doch eine Abmahnung oder Kündigung sollte immer der letzte Schritt sein, nachdem andere Maßnahmen wie Schulungen und Gespräche ausgeschöpft wurden.
Eine gut strukturierte Maßregelung sollte somit in mehreren Stufen erfolgen. Kleine, einmalige Verstöße können zunächst mit Ermahnungen oder Nachschulungen beantwortet werden. Erst wenn ein Mitarbeiter wiederholt oder schwerwiegend gegen Richtlinien verstößt, sind strengere Maßnahmen notwendig. Wichtig ist dabei Fairness: Die Maßregelungen sollten transparent und nachvollziehbar sein und alle Mitarbeiter gleichbehandelt werden. Die entsprechenden Regelungen sollten zudem Teil von Arbeitsverträgen oder deren Anlagen sein, etwa mit dem Satz: „Richtlinien sind einzuhalten, der Verstoß gegen Richtlinien insbesondere im Bereich Informationssicherheit kann disziplinarische Maßnahmen zur Folge haben.“
Die bekannteste Maßregelung ist vielleicht die „Abmahnung“, eine arbeitsrechtliche „gelbe Karte“.
Eine abgestufte Reaktion: Technische und disziplinarische Maßnahmen kombinieren
Selbst bei bester Schulung und Technik lassen sich menschliche Fehler nicht vollständig ausschließen. Deshalb ist es sinnvoll, ein gestuftes Reaktionssystem einzuführen, das sowohl technische als auch disziplinarische Maßnahmen umfasst.
Fallbeispiel 1: Phishing-Angriff
Der Mitarbeiter ist einer perfekten Fake-Mail aufgesessen, hat diese geöffnet und Zugangsdaten angegeben. Deshalb besteht ein Risiko für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.
Der Fall muss auf mögliche Folgen hin analysiert werden. Zudem ist eine Schulung des Mitarbeiters (Online oder durch den Informationssicherheitsbeauftragten (ISB)) sowie ein Informationsgespräch mit dem ISB möglich. Darüber hinaus sind technische Vorkehrungen zu treffen, in erster Linie das Deaktivieren des Accounts und die MFA-Einrichtung.
In diesem Fall liegt eine kleinere Verfehlung, zudem einmalig, vor und es erfolgt noch keine Abmahnung; vermutlich ist eine Ermahnung ausreichend – im Vordergrund sollte nicht die „Angstmache“, sondern die Sensibilisierung stehen!
Fallbeispiel 2: Wiederholte Verstöße
Anders sieht es aus, wenn ein Mitarbeiter trotz Schulung mehrfach gegen Richtlinien verstößt – etwa durch wiederholte Nutzung des Arbeitsgeräts für unerlaubte Zwecke (z. B. Darknet-Besuche). Hier sollte neben einer technischen Analyse und Einschränkung des Zugangs auch eine disziplinarische Maßnahme folgen. Eine Abmahnung mit dem Hinweis auf mögliche arbeitsrechtliche Konsequenzen bei Wiederholung wäre in diesem Fall angebracht.
Für den hier genannten Fall des Darknet-Besuches ist verschärfend folgendes zu beachten: Wenn nachweisbar ist, dass der Mitarbeiter dies in der Arbeitszeit gemacht hat, läge ein wiederholter Arbeitszeitbetrug vor, bei dem je nach Einzelfall bereits eine Kündigung gerechtfertigt sein könnte. In Kombination mit dem Darknet wäre unter Umständen sogar eine fristlose Kündigung ins Auge zu fassen.
Langfristige Strategie: Eine starke Sicherheitskultur aufbauen
Eine starke Sicherheitskultur basiert auf Vertrauen, Transparenz und ständiger Weiterbildung. Mitarbeiter, die sich der Risiken bewusst sind und wissen, wie sie sich verhalten müssen, sind die beste Verteidigung gegen Cyber-Bedrohungen. Regelmäßige Schulungen und praxisnahe Übungen wie simulierte Phishing-Attacken erhöhen die Aufmerksamkeit und senken das Risiko, auf Angriffe hereinzufallen.
Darüber hinaus sollte der Maßregelungsprozess stets im Einklang mit den Anforderungen von ISO 27001 und TISAX® stehen, um sowohl rechtlich als auch organisatorisch abgesichert zu sein. Eine enge Zusammenarbeit mit der Personalabteilung und dem Betriebsrat sorgt dafür, dass alle Maßnahmen fair und transparent ablaufen.
Fazit: Prävention und Maßregelung – Hand in Hand für mehr Sicherheit
Die Sicherheit von Unternehmensdaten liegt nicht allein in technischen Lösungen. Mitarbeiter spielen eine entscheidende Rolle und ihre Sensibilisierung muss im Mittelpunkt jeder Sicherheitsstrategie stehen. Technische Maßnahmen und regelmäßige Schulungen bilden das Rückgrat eines effektiven Sicherheitskonzepts.
Maßregelungen sind ein ergänzendes Instrument, um bei wiederholten Verstößen angemessen zu reagieren. Doch ihr Einsatz sollte wohlüberlegt und immer als letzte Stufe eines umfassenden Sicherheitsmanagements betrachtet werden. Gemeinsam können Unternehmen und ihre Mitarbeiter eine Kultur der Sicherheit schaffen, die sowohl die Daten als auch die Zukunft des Unternehmens schützt.
Klaus Kilvinger, Managing Director bei Opexa Advisory
