Phishing ist und bleibt das größte Einfallstor für Cyber-Kriminelle. Aber wer haftet eigentlich im Schadensfall? Die Arbeitnehmer? Die Unternehmen? Wie bei allen rechtlichen Fragen kommt es auf den Einzelfall an. Von Unachtsamkeit bis zu grober Fahrlässigkeit können Mitarbeiter für das Anklicken von Phishing bestraft und im Zweifelsfall sogar verklagt werden. [...]
Im Jahr 2023 wurde ein Geschäftsführer verklagt, weil er auf Phishing hereingefallen war und dadurch mehr als 130.000 US-Dollar an einen Cyberkriminellen in Südkorea überwiesen hatte, wo auch ein Partner des Unternehmens ansässig ist. Vor Gericht wurde der Geschäftsführer freigesprochen, da der Richter des OLG Zweibrücken entschied, dass: „Die Geschäftsführerin hat bei den Überweisungen leicht fahrlässig gehandelt, da ihr die falsch geschriebenen Buchstaben in der Absenderadresse der Phishing-E-Mails hätten auffallen können und müssen, wenn sie die im geschäftlichen Zahlungsverkehr erforderliche Sorgfalt bei der Überweisung größerer Geldbeträge angewandt hätte. Dies führt jedoch nicht zu einer Haftung des Geschäftsführers. Denn das Verhalten der Geschäftsführerin steht nicht im Zusammenhang mit ihren offiziellen Aufgaben als Vorstandsmitglied. Tätigkeiten, die nur aus Anlass der Geschäftsführung vorgenommen werden, also ebenso gut von einem Dritten hätten vorgenommen werden können, führen jedoch nicht zu einer Haftung nach § 43 II GmbHG. Dies war bei den in Rede stehenden Geldtransfers der Fall. Sie erfolgten jeweils in einer Höhe, die für Zahlungen an den wahren Geschäftspartner üblich war. Solche üblichen Zahlungen wurden in der Regel von der Buchhaltung der Klägerin vorgenommen. Die ordnungsgemäße Ausführung solcher Zahlungen gehörte daher nicht zu den besonderen Vorstandspflichten.“
Dafür gibt es viele Beispiele, aber auch viele Freisprüche, wie im Fall einer Buchhalterin einer Bäckereikette, die auf den Betrug des Geschäftsführers hereinfiel und auf falsche Anweisung eine große Summe auf ein Konto im Ausland überwies. Am Ende verlor sie ihren Job.
Keine klare Rechtslage
Immer noch klicken Mitarbeiter auf Phishing-Links. Selbst wenn dies nicht absichtlich geschieht, kann man in bestimmten Fällen sogar von einer Verletzung der vertraglichen Pflichten sprechen. Allerdings muss das Unternehmen beweisen, dass der Mitarbeiter den Sicherheitsvorfall verursacht hat. Mit anderen Worten: Die forensische Untersuchung muss dieses Fehlverhalten nachweisen können. Dieser Nachweis ist aber deshalb so schwierig, weil eine entsprechende Untersuchung meist ergibt, dass Patches fehlten oder die Infrastruktur veraltet war. Ein versehentlicher Klick auf eine Phishing-E-Mail wird daher selten zu einer sofortigen Kündigung führen.
Andererseits können sich Mitarbeiter nicht auf eine klare Rechtslage verlassen, die sie aus der Verantwortung entlässt. Beide Parteien müssen ihren vertraglichen Verpflichtungen nachkommen. Die Unternehmen müssen wirksame Schulungen anbieten, und die Mitarbeiter müssen sich daran beteiligen. Die Mitarbeiter müssen also nach bestem Wissen und Gewissen handeln, es sei denn, es liegt grobe Fahrlässigkeit oder gar Vorsatz vor.
Die Frage, ob eine Schulung zum Sicherheitsbewusstsein wirksam ist oder nicht, ist nicht leicht zu beantworten. Es ist unklar, wie dies gemessen werden soll. Wenn es „nur“ darum geht, die Compliance-Anforderungen zu erfüllen, dann ist beispielsweise eine Schulung pro Jahr ausreichend. ISO27001 ist also ausreichend. In der Praxis zeigt sich jedoch, dass eine jährliche Phishing-Schulung in etwa so effektiv ist wie gar keine Schulung. Dies wird durch Zahlen belegt, die im Rahmen von Phishing-Simulationen erhoben werden.
Eine alternative Kennzahl kann die Anzahl der gemeldeten E-Mails sein. Letztendlich sollten die Mitarbeiter motiviert werden, sich aktiv an der Cyberabwehr zu beteiligen. Ob es sich um eine präventive Meldung oder eine Meldung im Schadensfall handelt, Unternehmen profitieren immer von einer schnellen Meldung. Durch die kurzfristige Meldung eines Vorfalls können Angreifer möglicherweise gestoppt werden, bevor weiterer Schaden entsteht.
Die Praxis zeigt auch, dass regelmäßige Schulungen in Verbindung mit Phishing-Simulationen eine sehr effektive Maßnahme sind. Das liegt vor allem daran, dass das im Training erlernte Wissen in Simulationen getestet werden kann. Dennoch werden Phishing-Simulationen oft vermieden, vor allem dann, wenn die Simulationen nicht als Training, sondern als Test angesehen werden. Aus Sicht der Mitarbeiter ist dies verständlich, denn wer will schon bei der Arbeit getestet werden? Auf jeden Fall sollte nicht der Anschein einer Leistungsbeurteilung entstehen.
Schlussfolgerung
Unternehmen müssen einen ganzheitlichen Ansatz für die Cybersicherheit wählen. Cybersicherheitsrisiken müssen identifiziert und dann durch drei Initiativen gezielt angegangen werden: Technologie, Compliance und Schulung. E-Mail-Sicherheitslösungen reduzieren Phishing durch Filter und Authentifizierung. Phishing-E-Mails werden dennoch die Posteingänge der Mitarbeiter erreichen. In diesen Fällen ist die richtige Schulung der Mitarbeiter wichtig. Diejenigen Mitarbeiter, die den sicheren Umgang mit dubiosen E-Mails in Simulationen erprobt haben, treffen bessere Entscheidungen. Die Rahmenbedingungen für Schulungsmaßnahmen, Meldeprozesse und den sicheren Einsatz von Technik sind in Richtlinien festgelegt.
Richtig durchgeführte Schulungsmaßnahmen versetzen die Mitarbeiter in die Lage, sichere Entscheidungen zu treffen. Die Schulungen sollten mindestens vierteljährlich, idealerweise sogar monatlich durchgeführt werden. Phishing-Simulationen sind Trainingseinheiten mit direktem Praxisbezug und sollten das Gelernte wöchentlich auf den Prüfstand stellen.
*Der Autor Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.
Be the first to comment