Wer haftet beim falschen Klick?

Phishing ist und bleibt das größte Einfallstor für Cyber-Kriminelle. Aber wer haftet eigentlich im Schadensfall? Die Arbeitnehmer? Die Unternehmen? Wie bei allen rechtlichen Fragen kommt es auf den Einzelfall an. Von Unachtsamkeit bis zu grober Fahrlässigkeit können Mitarbeiter für das Anklicken von Phishing bestraft und im Zweifelsfall sogar verklagt werden. [...]

Immer noch klicken Mitarbeiter auf Phishing-Links. (c) Pexels
Immer noch klicken Mitarbeiter auf Phishing-Links. (c) Pexels

Im Jahr 2023 wurde ein Geschäftsführer verklagt, weil er auf Phishing hereingefallen war und dadurch mehr als 130.000 US-Dollar an einen Cyberkriminellen in Südkorea überwiesen hatte, wo auch ein Partner des Unternehmens ansässig ist. Vor Gericht wurde der Geschäftsführer freigesprochen, da der Richter des OLG Zweibrücken entschied, dass: „Die Geschäftsführerin hat bei den Überweisungen leicht fahrlässig gehandelt, da ihr die falsch geschriebenen Buchstaben in der Absenderadresse der Phishing-E-Mails hätten auffallen können und müssen, wenn sie die im geschäftlichen Zahlungsverkehr erforderliche Sorgfalt bei der Überweisung größerer Geldbeträge angewandt hätte. Dies führt jedoch nicht zu einer Haftung des Geschäftsführers. Denn das Verhalten der Geschäftsführerin steht nicht im Zusammenhang mit ihren offiziellen Aufgaben als Vorstandsmitglied. Tätigkeiten, die nur aus Anlass der Geschäftsführung vorgenommen werden, also ebenso gut von einem Dritten hätten vorgenommen werden können, führen jedoch nicht zu einer Haftung nach § 43 II GmbHG. Dies war bei den in Rede stehenden Geldtransfers der Fall. Sie erfolgten jeweils in einer Höhe, die für Zahlungen an den wahren Geschäftspartner üblich war. Solche üblichen Zahlungen wurden in der Regel von der Buchhaltung der Klägerin vorgenommen. Die ordnungsgemäße Ausführung solcher Zahlungen gehörte daher nicht zu den besonderen Vorstandspflichten.“

Dafür gibt es viele Beispiele, aber auch viele Freisprüche, wie im Fall einer Buchhalterin einer Bäckereikette, die auf den Betrug des Geschäftsführers hereinfiel und auf falsche Anweisung eine große Summe auf ein Konto im Ausland überwies. Am Ende verlor sie ihren Job.

Keine klare Rechtslage

Immer noch klicken Mitarbeiter auf Phishing-Links. Selbst wenn dies nicht absichtlich geschieht, kann man in bestimmten Fällen sogar von einer Verletzung der vertraglichen Pflichten sprechen. Allerdings muss das Unternehmen beweisen, dass der Mitarbeiter den Sicherheitsvorfall verursacht hat. Mit anderen Worten: Die forensische Untersuchung muss dieses Fehlverhalten nachweisen können. Dieser Nachweis ist aber deshalb so schwierig, weil eine entsprechende Untersuchung meist ergibt, dass Patches fehlten oder die Infrastruktur veraltet war. Ein versehentlicher Klick auf eine Phishing-E-Mail wird daher selten zu einer sofortigen Kündigung führen.

Andererseits können sich Mitarbeiter nicht auf eine klare Rechtslage verlassen, die sie aus der Verantwortung entlässt. Beide Parteien müssen ihren vertraglichen Verpflichtungen nachkommen. Die Unternehmen müssen wirksame Schulungen anbieten, und die Mitarbeiter müssen sich daran beteiligen. Die Mitarbeiter müssen also nach bestem Wissen und Gewissen handeln, es sei denn, es liegt grobe Fahrlässigkeit oder gar Vorsatz vor.

img-2
Martin J. Krämer
Security Awareness Advocate bei KnowBe4

Die Frage, ob eine Schulung zum Sicherheitsbewusstsein wirksam ist oder nicht, ist nicht leicht zu beantworten. Es ist unklar, wie dies gemessen werden soll. Wenn es „nur“ darum geht, die Compliance-Anforderungen zu erfüllen, dann ist beispielsweise eine Schulung pro Jahr ausreichend. ISO27001 ist also ausreichend. In der Praxis zeigt sich jedoch, dass eine jährliche Phishing-Schulung in etwa so effektiv ist wie gar keine Schulung. Dies wird durch Zahlen belegt, die im Rahmen von Phishing-Simulationen erhoben werden.

Eine alternative Kennzahl kann die Anzahl der gemeldeten E-Mails sein. Letztendlich sollten die Mitarbeiter motiviert werden, sich aktiv an der Cyberabwehr zu beteiligen. Ob es sich um eine präventive Meldung oder eine Meldung im Schadensfall handelt, Unternehmen profitieren immer von einer schnellen Meldung. Durch die kurzfristige Meldung eines Vorfalls können Angreifer möglicherweise gestoppt werden, bevor weiterer Schaden entsteht.

Die Praxis zeigt auch, dass regelmäßige Schulungen in Verbindung mit Phishing-Simulationen eine sehr effektive Maßnahme sind. Das liegt vor allem daran, dass das im Training erlernte Wissen in Simulationen getestet werden kann. Dennoch werden Phishing-Simulationen oft vermieden, vor allem dann, wenn die Simulationen nicht als Training, sondern als Test angesehen werden. Aus Sicht der Mitarbeiter ist dies verständlich, denn wer will schon bei der Arbeit getestet werden? Auf jeden Fall sollte nicht der Anschein einer Leistungsbeurteilung entstehen.

Schlussfolgerung

Unternehmen müssen einen ganzheitlichen Ansatz für die Cybersicherheit wählen. Cybersicherheitsrisiken müssen identifiziert und dann durch drei Initiativen gezielt angegangen werden: Technologie, Compliance und Schulung. E-Mail-Sicherheitslösungen reduzieren Phishing durch Filter und Authentifizierung. Phishing-E-Mails werden dennoch die Posteingänge der Mitarbeiter erreichen. In diesen Fällen ist die richtige Schulung der Mitarbeiter wichtig. Diejenigen Mitarbeiter, die den sicheren Umgang mit dubiosen E-Mails in Simulationen erprobt haben, treffen bessere Entscheidungen. Die Rahmenbedingungen für Schulungsmaßnahmen, Meldeprozesse und den sicheren Einsatz von Technik sind in Richtlinien festgelegt.

Richtig durchgeführte Schulungsmaßnahmen versetzen die Mitarbeiter in die Lage, sichere Entscheidungen zu treffen. Die Schulungen sollten mindestens vierteljährlich, idealerweise sogar monatlich durchgeführt werden. Phishing-Simulationen sind Trainingseinheiten mit direktem Praxisbezug und sollten das Gelernte wöchentlich auf den Prüfstand stellen.

*Der Autor Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.


Mehr Artikel

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

img-11
News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*