Nicht minder weitreichend können die rechtlichen Konsequenzen aus möglichen Schäden sein: Neben Lieferausfällen, Prozessverzögerungen und ähnlichem kann beispielsweise der Zugriff durch nicht autorisierte Dritte auf Kunden- oder Mitarbeiterdaten zu hohen Schadensersatzansprüchen führen. Dies betrifft insbesondere Fälle, bei denen aufgrund des Bekanntwerdens von personenbezogenen Kunden- oder Mitarbeiterdaten das allgemeine Persönlichkeitsrecht verletzt wird oder Fälle, wo Geschäftsgeheimnisse bekannt werden.
Gefahrenquelle Mensch
Das wichtigste Kommunikationsmedium in Unternehmen ist die E-Mail. Im Jahr 2017 wurden in Deutschland rund 771 Milliarden E-Mails versendet. Für das Jahr 2018 wird prognostiziert, dass sich die Zahl der versendeten E-Mails auf rund 917 Milliarden belaufen wird. (Quelle: Statista). Eine erhebliche Anzahl der Mails in Unternehmen sind Spam, diverse Anhänge bringen Ransomware mit ins Unternehmen und Phishing boomt auch bei Unternehmensmails. Und trotz einer zuletzt großen Aktions- und Aufklärungswelle rund um die neue EU-Datenschutzgrundverordnung ist längst nicht jeder ist im Bilde, was Trojaner und Phishing sind, wie ein sicheres Passwort aussieht und welche allgemeinen Sicherheitskriterien man beachten muss. Auch juristische Rahmenbedingungen sind nicht jedem hinreichend bewusst. Darf er etwa den nicht fertig geschriebenen Text auf seinen privaten USB-Stick ziehen? Oder eine E-Mail mit sensiblen Daten an einen externen Dienstleister versenden? Zudem erfordert die hohe Arbeitsverdichtung schnelle Reaktionen. Deswegen kleben für den raschen Zugriff Passworte an Post-it’s am Computer. Vertragsunterlagen landen im Papierkorb statt im Schredder, Adressen werden auf der Schreibtischunterlage notiert. Social Engineering kann hier sehr kreativ werden. Und mintunter gefährlich für Unternehmen und Mitarbeiter – dann nämlich, wenn der Mitarbeiter auf diese Weise grob fahrlässig oder sogar vorsätzlich sensible Daten preisgegeben hat.
Aufklärung ist Pflicht – aber einfach, klar und verständlich
Es ist Sache des Arbeitgebers, dafür Sorge zu tragen, dass der Mitarbeiter über die Gefahren, die mit dem Umgang sensibler (Kunden-)Daten einhergehen, aufgeklärt ist. Versäumt der Unternehmer die Aufklärung seiner Mitarbeiter, spricht man von einem sogenannten Organisationsverschulden, das dem Unternehmer zugerechnet wird. Für die Haftung aufgrund Organisationsverschuldens spielt es auch grundsätzlich keine Rolle, ob der Unternehmer die oben genannten Pflichten vorsätzlich oder fahrlässig verletzt hat. Wird der Mitarbeiter durch seinen Arbeitgeber nachweislich über den Umgang mit den Daten eingewiesen, kommt je nach den Umständen des Einzelfalles, die Haftung des Mitarbeiters gegenüber seinem Arbeitgeber im Rahmen eines sog. Regressanspruches in Betracht.
Für den Mitarbeiter wirklich verständliche Sicherheitsrichtlinien sind hier hilfreich. "Hier muss die Devise lauten: einfach, klar und wirksam", sagt Michael Veit, Security Experte bei Sophos. "Ein Mitarbeiter, der die Richtlinie nicht versteht oder sie für zu aufwändig hält, um seine Arbeit effizient erledigen zu können, wird sie nicht umsetzen. Eine komplizierte Sicherheitsrichtlinie ist dann quasi eine nicht existente Sicherheitsrichtlinie. Übersichtliche und begründete Maßnahmen, auf 2-5 Seiten als Orientierungshilfe zusammengefasst, erhöhen die Akzeptanz der Mitarbeiter, sich an diese zu halten." Diese Richtlinien sollten als Anlage im Arbeitsvertrag beigefügt werden. Dadurch werden die Maßnahmen verbindlicher Bestandteil des Arbeitsvertrages und erwachsen – je nach konkreter Ausgestaltung – zu sogenannten Haupt- oder Nebenleistungspflichten des Arbeitnehmers.
Tipps, um das Sicherheitsrisiko durch Mitarbeiter zu verringern
Zusätzlich zu technischen Instrumenten zur IT-Sicherheit können organisatorische Aspekte das Sicherheitsniveau deutlich verbessern:
1. Sicherheitsbewusstsein schaffen – im gesamten Unternehmen
Sicherheit sollte im Unternehmen zum Leitgedanken werden. Und sowohl für Mitarbeiter, Dienstleister und Führungskräfte gelten. Diese sollten die Belegschaft nicht alleine lassen mit der Sicherheitsbedrohung oder sie mit rechtlichen Schritten unter Druck setzen. Wichtige Rahmenbedingungen können Unternehmen mit regelmäßigen Schulungen schaffen. Sie bauen nicht nur Unsicherheiten und Unkenntnis ab, sondern zeigen den Mitarbeitern auch, dass sie vom Unternehmen bei der Bewältigung von Sicherheitsproblemen unterstützt werden.
2. Kenntnisse erweitern
Zusätzlich zum Sicherheitsbewusstsein benötigt der Mitarbeiter grundlegende Kenntnisse zur Gefahrenlage. Diese können natürlich keinen Security-Experten aus ihm machen. Aber sie können dafür sorgen, dass er wachsam bleibt und selbstständig kritische Situationen erkennt. Workshops können Szenarien durchspielen, konkrete Handlungsempfehlungen geben und somit eine Routine bei der Anwendung von Sicherheitsmaßnahmen aufbauen. Juristische Grundlagen sollten in einem separaten Papier verfasst werden, die der Rechtsklarheit dienen. Unternehmen sollten - schon zur eigenen rechtlichen Sicherheit – darauf achten, dass die Mitarbeiter das Papier nicht nur kennen, sondern auch unterzeichnen.
3. Keine Vermischung von Betriebs- und Privatgeräten
Soll der Mitarbeiter auch von unterwegs Zugriff auf seine Emails und Daten haben, empfiehlt es sich, ihm dafür ein Betriebs-Gerät mitzugeben. So ist die Trennung von Firmen- und Privatdaten sichergestellt. Das Unternehmen kann hier eigene Verschlüsselungslösungen (bei Diebstahl oder Verlust) und Schutzsoftware (vor Viren) installieren und so den Zugriff Fremder auf vertrauliche Daten minimieren. Auch die Verpflichtung zur Nutzung von Betriebsgeräten unter gleichzeitigem Verbot der geschäftlichen Kommunikation mit privaten Endgeräten sollte bereits im Rahmen des Arbeitsvertrags geregelt werden.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de