Eine gute Frage: Was wäre, wenn jeder für Sicherheitsvorfälle persönlich haften müsste?

Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder Datenverlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen.

 

Illustration: Geralt Absmeier

 

Einige Fälle aus den letzten beiden Jahren senden zwar aufgrund ihrer Seltenheit nur ein schwaches Signal an die Allgemeinheit, sind aber bedeutsame Präzedenzfälle: Bei einem Angriff im Jahr 2017 auf das US-Unternehmen Equifax, das auf Finanzdienstleistungen spezialisiert ist, wurden personenbezogene Daten von 143 Millionen US-Bürgern publik. Die Firma wurde wegen säumiger Sicherheitsvorkehrungen öffentlich verklagt und dessen Geschäftsführer aufgrund der immensen Rufschädigung von seinen Aktionären seines Amtes enthoben. Im März 2018 wurde der Finanzleiter der niederländischen Tochtergesellschaft von Pathé entlassen, nachdem er einem »Chefbetrug« zum Opfer gefallen war, der dem Unternehmen einen Schaden in Höhe von 21 Millionen Euro verursachte. Zur gleichen Zeit urteilte das französische Kassationsgericht im Falle des Antrags eines Privatanwenders auf Rückerstattung eines durch eine Phishing-Mail entstandenen Schadens. Den Kläger beschuldigte das Gericht »der schweren Fahrlässigkeit beim Schutz und bei der Verwahrung seiner Daten«. Das Urteil bestätigte die Haftbarkeit der Privatperson. Der Antrag wurde abgelehnt.

Bewegen wir uns allmählich in Richtung einer systematischen Verhängung von Sanktionen gegen Mitarbeiter und Privatpersonen wegen unzureichender digitaler Hygiene?

 

Von der DSGVO vorgesehene Sanktionen

Seit Mai 2018 sieht die Datenschutzgrundverordnung zahlreiche Sanktionen vor, die gegen Unternehmen und Behörden verhängt werden können. Artikel 58 der europäischen Verordnung erteilt den EU-Ländern die Befugnis, gegen Compliance-Verstöße vorzugehen und abschreckende Mittel umzusetzen. Artikel 83 führt die Bedingungen auf, die die Verhängung einer Geldbuße erlauben, die bis zu 4 % des weltweit erzielten Unternehmensumsatzes betragen kann. Und die (hohen) Beträge tummeln sich so langsam. Im Januar 2019 wurde Google eine Geldbuße von 50 Millionen Euro in Frankreich auferlegt. Die Datenschutzbehörde des Vereinigten Königreichs erklärte zudem noch im vergangenen Sommer ihre Absicht, der Fluggesellschaft British Airways eine Geldbuße in Höhe von über 200 Millionen Euro zu verhängen. Und das ist nur der Anfang. Weniger bekannt ist, dass Artikel 84 der DSGVO ebenfalls strafrechtliche Sanktionen vorsieht. Bislang ist jedoch noch kein konkreter Fall hervorgetreten.

 

Präventionsmechanismen und Regulierung

Unternehmen stehen bereits zahlreiche Hilfsmittel zur Verfügung, um dieses Risiko auf ein Mindestmaß zu reduzieren. »Als Tochtergesellschaft des Konzerns Airbus Defence and Space sind unsere internen Sicherheitsrichtlinien sehr strikt. Unternehmensweit werden Tools zum Schutz der Netzwerkzugriffe, der Messaging-Dienste, des Internetverkehrs, der Arbeitsplätze und der mobilen Geräte eingesetzt«, bestätigt Uwe Gries, Country-Manager DACH bei Stormshield. Doch dies reicht nicht immer aus. »Aufgrund der sich stark verändernden Arbeitspraktiken, des steigenden Anteils an Home-Office-Mitarbeitern und der zunehmenden Mobilität sind neben den Sicherheitsmaßnahmen auch die Sensibilisierung und Aufklärung der Mitarbeiter von grundlegender Bedeutung.«

Dafür werden wiederum erste juristische Tools wie beispielsweise IT-Chartas benötigt, die bewährte Praktiken festlegen, sämtliche grundlegenden Verhaltensregeln erfassen [müssen], an die sich der Nutzer bei Verwendung der IT-Ressourcen halten soll, sowie jegliche grundlegenden Regeln für die digitale Kommunikation definieren, darunter auch die Rechte der Nutzer selbst. Doch oftmals werden diese Leitfäden zur digitalen Hygiene nicht in die Praxis umgesetzt. Der Rückgriff auf Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder schlechter digitaler Hygiene könnte in den kommenden Jahren deshalb häufiger vorkommen – und jeden Mitarbeiter treffen, egal welche Position er im Unternehmen bekleidet.

 

Verzweifelte Zeiten, verzweifelte Maßnahmen?

Beispiele dafür, dass ein Unternehmen für Compliance-Verstöße haften und anschließend für den Schaden einen seiner Arbeitnehmer oder seinen Geschäftsführer zur Verantwortung ziehen kann, gibt es zur Genüge. »Je nach Fall kann es von der Suspendierung über die Auflösung des Arbeitsvertrags bis hin zur Klageerhebung gehen«, unterstreicht Gries. Die Rechtslage ist klar, wie auch die Tatsache, dass die interne Verhängung von Sanktionen dem Ermessen eines jeden Unternehmens obliegt. Es ist jedoch ziemlich wahrscheinlich, dass sich in den kommenden Jahren das Rahmenwerk für die Haftbarmachung einzelner Personen durch die Regulierung und die Rechtsprechung verändern wird.

Obgleich tatsächlich immer wieder in Erinnerung gerufen wird, dass es noch nie umfangreichere Risiken gab und dass die Aufgabe, eine Cybersicherheitskultur im Unternehmen zu etablieren, noch nie so wichtig war, werden Ransomware- und Phishing-Attacken nach wie vor sehr erfolgreich geführt. Die Cyberkriminalität kommt Privatpersonen wie Unternehmen immer teurer zu stehen. Angesichts dessen ist fraglich, ob im Fahrlässigkeitsfall überhaupt noch ein Weg an der Haftbarmachung des Einzelnen vorbeiführt.

 

153 Artikel zu „Sicherheit Haftung“

Online-Shops: Richtige Server-Konfiguration entscheidet über Sicherheit und Haftungsfrage

Neben geeigneter Software ist für jeden Online-Shop Betreiber auch ein funktionierender Server ausschlaggebend für den wirtschaftlichen Erfolg. Häufig fällt dabei die Wahl auf Managed- oder Root-Server, denn wer einen Server für sich allein nutzt, dem steht die volle Performance auch bei Lastspitzen zur Verfügung. Die schnelleren Ladezeiten wirken sich positiv auf die Suchmaschinenoptimierung und damit…

Sicherheit kostet

Erinnern Sie sich an Equifax? Die Kreditauskunftei wurde 2017 Opfer einer der größten Datenschutzverletzungen aller Zeiten. Daten von rund 145 Millionen US-Verbrauchern als auch von Millionen von Menschen aus anderen Ländern wurden kompromittiert. Auch zwei Jahre nach der Datenschutzverletzung spürt Equifax die Auswirkungen seiner Mängel in der Cybersicherheit. Die Ratingagentur Moody’s hat das Unternehmen im…

Sicherheitsmythen, Fragestellungen und Lösungsansätze – Ratgeber zur 5G-Sicherheit

Experten empfehlen Etablierung eines ganzheitlichen Sicherheitsansatzes, um der 5G-Evolution den Weg zu bereiten. Bei der allgegenwärtigen 5G-Diskussion um die Kosten, die Verantwortung der Netzbetreiber sowie die Verfügbarkeit und Leistungsfähigkeit des neuen mobilen Datennetzes erscheint die Frage nach der Sicherheit nur als Randthema. Palo Alto Networks warnt aber davor, hier Abstriche zu machen oder das Thema…

Sicherheitsprognosen für 2019

  Kaum zu glauben, aber (auch) 2018 ist wieder wie im Flug vergangen. Das Jahr war geprägt von Sicherheitslücken und Datenschutzverletzungen. Betroffen nicht zuletzt die einflussreichsten Sozialen Medien der Welt. Die Mutter aller sozialen Medien, Facebook, hatte in dieser Hinsicht ein ziemlich desaströses Jahr. Ende September gab das Unternehmen bekannt, dass bis zu 50 Millionen…

Cybersicherheit in deutschen IT- und Kommunikationsunternehmen

Die Gefahr von Cyberattacken wird von vielen IT- und Kommunikationsexperten unterschätzt. Darauf deutet die aktuelle Studie »Cybersicherheit in deutschen IT- und Kommunikationsunternehmen« hin, die von dem Berliner Unternehmen CyberDirekt in Auftrag gegeben und dem Marktforschungsinstitut Innofact AG durchgeführt wurde. Demnach empfinden 70 Prozent der befragten Unternehmer keine bis lediglich eine geringe reelle Bedrohung durch Cyberangriffe…

Datenschutz und Datensicherheit bei Kaufentscheidungen

85 Prozent der befragten Verbraucher verlangen besseren Datenschutz. Für 73 Prozent spielt Datensicherheit bei der Kaufentscheidung eine zentrale Rolle. Wer persönliche Daten nutzt, muss diese auch umfassend schützen können – diese Auffassung vertritt ein Großteil der Teilnehmer, die für die aktuelle Studie zur Datensicherheit befragt wurden [1]. In der Studie, die vom US-amerikanischen Marktforschungsinstitut Harris…

Bundesregierung muss IT-Sicherheit konsequenter umsetzen

Für das Regierungsnetz muss es eine konsequentere Umsetzung der IT-Sicherheitsmaßnahmen geben. Dabei müssen die nachgeordneten Behörden gleichermaßen berücksichtigt werden. Zudem ist dem vertraulichen Umgang mit Informationen über laufende Angriffe erheblich höhere Bedeutung zu geben. VOICE verweist auf seine kürzlich veröffentlichten 14 Forderungen zur Digitalpolitik, die sich intensiv mit aktuellen Sicherheitsfragen befassen.   Die Bundesregierung ist…

Zypries: Neuer Kompass zur IT-Verschlüsselung sorgt für mehr Sicherheit für Unternehmen

Der Einsatz von Verschlüsselungslösungen, beispielsweise für E-Mails und Datenträger, ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe zu minimieren. Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz nicht recht voran. Eine Studie im Auftrag des BMWi kommt zu dem Ergebnis, dass insbesondere bei…

Politik und Cybersicherheit: 4 große Trends für 2018

Das Jahr ist gerade noch jung genug sich einigen der wichtigsten Trends zu widmen, die dieses Jahr aller Wahrscheinlichkeit nach prägen werden. Es sind im Wesentlichen vier große Bewegungen.   Anbieter von IT-Sicherheitslösungen werden sich stärker vor dem Gesetzgeber zu verantworten haben Schwerwiegende und folgenreiche Angriffe wie WannaCry und Datenschutzverletzungen in der Größenordnung von Equifax…

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Jüngste Vorfälle zeigen Notwendigkeit effizienter Sicherheits-Tools für Unternehmen und Endanwender. Sicherheitsexperten warnen vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und Endanwender sollten Maßnahmen ergreifen, um sich vor Cyberkriminalität zu schützen. Das WPA2-Security-Protokoll galt mehr als zehn Jahre lang als die sicherste Art und Weise, das WLAN zu nutzen. Jetzt stellte sich allerdings heraus, dass WPA2…

Director & Officers-Versicherung (D&O-Versicherung): Sicherheitsnetz für Manager

Der Geschäftsführer einer Gesellschaft mit beschränkter Haftung (GmbH) trägt viel Verantwortung. Und ein hohes Risiko. Er ist es, der für die korrekte Führung der Geschäfte zuständig und voll verantwortlich ist. »Ein einziger Fehler kann für den Geschäftsführer im schlimmsten Fall in den finanziellen Ruin führen«, warnt Michael Staschik von der Nürnberger Versicherung. Umso wichtiger ist…