Die Gefahren und potentiellen wirtschaftlichen Schäden, die von Cyberangriffen ausgehen, sind mittlerweile in jeder Unternehmensführung bekannt. Aktuelle Meldungen, wie die jüngst erfolgte Cyberattacke auf den Automobil-Zulieferer Eberspächer, dürften in vielen „Chefetagen“ erneut für Sorgenfalten gesorgt haben.
Umso mehr verwundert es, dass Unternehmen – und auch Behörden- noch immer zögern, die notwendigen Maßnahmen zu ergreifen, um sich gegen Cyberangriffe zu schützen. Tatsächlich gibt es solche effektive Maßnahmen. Das Thema muss nur angepackt werden.
Wenn ein Unternehmen das Thema Cybersicherheit „anpacken“ möchte. Was sind die ersten grundsätzlichen Weichenstellungen?
Cybersecurity wird noch immer überwiegend als Kostentreiber und nicht als Notwendigkeit angesehen. Das erklärt, warum Hardware und Software oft nicht auf dem neuesten Stand sind. Tatsächlich übersteigen aber doch die wirtschaftlichen Schäden im Falle einer Attacke, die finanziellen Aufwendungen für eine effektive Cybersicherheit um ein Vielfaches. Zum einen muss also die Erkenntnis da sein, das „Sparen“ hier im Zweifel ein „Sparen an der falschen Stelle“ bedeutet.
Die offene Flanke eines Unternehmens ist zudem oftmals nicht allein die IT, sondern der Mensch. Die Unternehmensleitungen müssen zum Zweiten verinnerlichen, dass Cybersicherheit die Voraussetzung für eine erfolgreiche Digitalisierung ist. Neben der Investition in sichere Hard- und Software einschließlich einem professionellen Patchmanagement und getrennten Backupsystemen führt an einem regelmäßig wiederkehrenden Sicherheitstraining für Mitarbeiter zur Erhöhung der Sensibilität für die Gefahren von Cyberattacken kein Weg vorbei.
Und was sind dann wirksame konkrete Maßnahmen bei einem Cyberangriff?
Im Falle eines Cyberangriffs auf das IT-System ist eine rasche Reaktion existenziell. Hierbei hilft gute Vorbereitung. Sinnvoll ist die Erstellung einer Liste von Maßnahmen, die u.a. folgende Punkte adressiert:
-
die Aufstellung eines kleinen Teams aus den Bereichen Management, Recht, IT, Datenschutz, Presse und Betriebsrat
-
Beauftragung eines spezialisierten IT-Sicherheitsunternehmens zur Unterstützung bei der Abwehr des laufenden Angriffs, der Beweissicherung, der Datensicherung und Wiederherstellung der Arbeitsfähigkeit
-
Erstellung des Konzeptes für die Krisenkommunikation nach innen und außen
-
Aufstellung von Verhaltens- und Kommunikationsrichtlinien für Mitarbeiter und Führungskräfte
-
Gegebenenfalls Beteiligung von Staatsanwaltschaft, Kriminalpolizei und des BSI
-
Prüfung einer Meldepflicht gegenüber den Datenschutzbehörden (Art. 33 DSGVO) – das muss innerhalb von 72 Stunden erfolgen – und den Betroffenen (Art. 34 DSGVO)
-
Verhinderung zukünftiger Angriffsrisiken
-
Kontaktaufnahme mit der Versicherung, sofern eine Cyberpolice vorhanden ist
-
Abwehr möglicher Haftungsansprüche von Kunden
-
Prüfung von Ansprüchen gegenüber dem bisherigen IT-Dienstleister
Dringend zu empfehlen ist außerdem, den Ablauf im Unternehmen zu testen, damit im Ernstfall und unter großem Druck nichts vergessen wird.
Welche Haftungsfragen stellen sich für Arbeitnehmer*innen bzw. Geschäftsführung?
Haftungsfragen können sich schlagartig stellen, etwa wenn ein Mitarbeiter:innen unbedacht den Anhang einer Phishing-Mail öffnet. Generell gilt jedoch: Arbeitnehmer:innen haften für Schäden, die sie bei Ausübung ihrer Arbeit verursachen, nur eingeschränkt gegenüber ihrem Arbeitgeber. Bei einfacher Fahrlässigkeit scheidet eine Haftung komplett aus, bei mittlerer Fahrlässigkeit wird eine Quotelung vorgenommen. Eine volle Haftung kommt also nur bei Vorsatz und grober Fahrlässigkeit in Betracht. Eine Inanspruchnahme von Arbeitnehmer:innen für den vollen Schaden wird daher in der Regel ausscheiden. Ihnen drohen eher andere arbeitsrechtliche Konsequenzen wie etwa eine Abmahnung oder sogar eine Kündigung.
Anders sieht es auf der geschäftsführenden Ebene aus. Geschäftsführer:innen haften dann, wenn sie bei der Unternehmensführung die Sorgfalt verletzen, die von einem „ordentlichen und gewissenhaften Geschäftsmann zu erwarten“ ist. Dazu gehört heutzutage auch, das Unternehmen so zu organisieren, dass datenschutzrechtliche Bestimmungen eingehalten werden und das Unternehmen vor Cyberangriffen geschützt ist. Selbstverständlich müssen sie sich um diese Angelegenheiten nicht selbst kümmern. Vielmehr müssen sie dafür Sorge tragen, dass entsprechende Fachbereiche im Unternehmen eingerichtet und anschließend darauf überwacht werden, dass sie ihre Aufgaben ordnungsgemäß erfüllen. Auch aus Haftungsgründen müssen sich Unternehmen daher gegen Cyberangriffe schützen.
Welche Maßnahmen müssen Unternehmen für Mitarbeiter im Homeoffice etablieren?
Für die Arbeit im Homeoffice gelten die gleichen Anforderungen an den Datenschutz und die IT-Sicherheit wie an jedem anderen Arbeitsort auch. Die Herausforderung besteht also darin, dass bei einer Tätigkeit im Homeoffice die gleiche Sicherheit für die Daten des Unternehmens gewährleistet wird wie bei einer Tätigkeit im Büro. Insbesondere muss für einen sicheren Zugang zum Netzwerk des Arbeitgebers gesorgt werden, beispielsweise durch eine VPN-Verbindungen. Einen guten Schutz erreicht man, dass Mitarbeiter, beispielsweise durch Schulungen, im Hinblick auf diese Gefahren sensibilisiert werden. Oft wird eine Kombination aus Schulungen und vertraglichen Pflichten die beste Variante sein.
Autoren: Jonas Puchelt ist Fachanwalt für Informationstechnologierecht und Zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS und Daniel Hammes ist als Rechtsanwalt bei FPS tätig.
www.fps-law.de/de