Cyber-Risk-Management ist (nicht nur) Chefsache
Die deutsche Wirtschaft befindet sich in einem digitalen Transformationsprozess. Unternehmen nutzen Plattformen, Blockchain, Smart Contracts und digitale Zahlungsmethoden, was einerseits Effizienzsteigerungen und neue Geschäftsmodelle ermöglicht. Die Vernetzung mit Kooperationspartnern, Kunden und Kommunikationsplattformen führt aber auch zu neuen Risiken.
Laut einer Studie des Digitalverbands Bitcom haben 68 Prozent der befragten Unternehmen innerhalb der vergangenen zwei Jahre eine Cyberattacke registriert. Die deutsche Wirtschaft ist ein beliebtes Angriffsziel. 2017 betrugt der Gesamtschaden aufgrund von Cyberangriffen in Deutschland schätzungsweise 55Mrd.?. Neben vorsätzlichen Angriffen drohen aber auch Risiken für IT-Systeme durch höhere Gewalt, technisches Versagen, Fahrlässigkeit oder organisatorische Mängel. Das Internet der Dinge (Industrie 4.0) führt zu einer erheblichen Risikoerhöhung im Zuge der Verwendung internetfähiger Geräte, die nicht ausreichend geschützt sind.
Rechtspflichten der Unternehmensleitung
Für einen Hackerangriff oder sonstige vorsätzlich von anderen begangene Cyber Crimes ist der Unternehmer selbstverständlich nicht verantwortlich. Dafür, dass die Attacke erfolgreich ist, aber schon, wenn die IT-Sicherheit in seinem Unternehmen nicht dem Stand der Technik entspricht. Täter werden selten erwischt. Oftmals sitzen diese im Ausland. Haftungsansprüche gegen andere (z.B. Dienstleister) greifen nicht, wenn diese nachweisen können, dass sie den Stand der Technik eingehalten haben. Damit rückt die Haftung des Managements natürlich in den Fokus.
Haftungsrisiko auch für Mitarbeiter
Cyber Risk ist nicht nur Chefsache. Auch ein Risikobewusstsein von Mitarbeitern ist gefordert. Denn allzu oft ist der Mitarbeiter die Schwachstelle im Netz. Diesen Mitarbeitern droht eine erhebliche Haftung, auch wenn es für Arbeitnehmer im Zusammenhang mit betrieblich veranlassten Tätigkeiten Haftungsprivilegierungen gibt. Bei grob fahrlässigen Verstößen besteht nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) eine Haftung bis zur Höhe eines Jahresgehalts.
Haftung in einem CEO-Fraud-Fall
Das LAG Sachsen hatte mit Urteil vom 13.6.2017 einen Fall gegen eine leitende Mitarbeiterin eines Unternehmens zu entscheiden. Diese Mitarbeiterin war auf einen sogenannten CEO-Fraud hereingefallen. Das sind Fälle, in denen sich der Täter als Firmenchef (CEO) oder Finanzchef (CFO) oder als sonstiger Vorgesetzter ausgibt. Ausgenutzt wird das Bedürfnis des Mitarbeiters, dem Chef zu gefallen und zu zeigen, dass Aufgaben ohne ‚wenn und aber‘ erledigt werden. Zielpersonen sind oftmals Personen aus der Buchhaltung oder sonstige Personen mit Zahlungsbefugnissen. Dem Automobilzulieferer Leonie entstand so im Jahr 2016 ein Schaden in Höhe von 40Mio.? durch CEO-Betrug. In dem vom LAG entschiedenen Fall hatte die Mitarbeiterin aus der Buchhaltung 400.000? zu Lasten des Unternehmens an das von den Cybertätern angegebene Konto transferiert. Diese Mitarbeiterin wurde zur Erstattung von 150.000? verurteilt. Sie habe grob fahrlässig gehandelt, da sich die Fälschung der E-Mails habe aufdrängen müssen.
Unternehmen mitschuldig
Anspruchsmindernd wurde vom LAG Sachsen berücksichtigt, dass das Unternehmen keine ausreichenden Schutzmaßnahmen implementiert hatte. Und hier schließt sich der Kreis zur Haftung der Unternehmensleitung. Diese muss nämlich für ein ordnungsgemäßes Risk-Management sorgen. Dazu sind Schulungen der Mitarbeiter erforderlich und eine Kommunikationskultur im Unternehmen, die den Austausch entsprechender Erfahrungen erlaubt. Schulungen werden auch von entsprechend spezialisierten Kanzleien angeboten. Dabei werden auch Testangriffe durch Phishing-Kampagnen vorgenommen. Vorsicht also! Vielleicht werden auch Sie getestet.
Hochachtungsvoll