Kategorie: News
Unternehmerhaftung durch mangelnde IT Sicherheit
Viele Firmen sehen den Ernst der Lage nicht, wenn es um die wachsende Bedrohung im Bereich der Cyberkriminalität geht. Auf Veranstaltungen der Allianz Prävention IT Kriminalität haben wir für die rechtlichen Konsequenzen einen eigenen Abschnitt erarbeitet.
Firmen unterschätzen immer noch viel zu oft die Bedrohungen im Bereich Cyberkriminalität. Viele kleine und mittelständige Unternehmen fürchten in Ihrer Größe keine Wirtschaftsspionage und unterlassen wichtige Maßnahmen, um den Schutz zu verbessern oder überhaupt zu integrieren. Allerdings vergessen diese Unternehmen das gravierende finanzielle Folgen auf Sie zukommen, wenn die Regeln angemessener IT-Sicherheit einfach ignoriert werden. Beginnend bei Bußgeldern, Kosten für Rechtsbeistand, verlorengegangener Versicherungsschutz und Vertragsstrafen, bis hin zur persönlichen Haftung und in einigen Fällen bis zum einzelnen Mitarbeiter.
IT-Sicherheitslösungen alleine langen nicht zur Vorbeugung. So empfehlen wir immer wieder auf Schulung und Sensibilisierung der eigenen Mitarbeiter zu setzen um präventiv auch den internen Gefahren vorzubeugen. Immer wieder stelle ich fest, dass es keine konsequenten Zugriffsberechtigungen im Dateisystem gibt und Berechtigungen zu großzügig vergeben wurden. Aber auch klare interne Regeln und betriebliche IT-Nutzungsvereinbarungen helfen bei der Einhaltung gesetzlicher Bestimmungen.
Wenn Daten erst verloren sind, liegen Verstöße gegen das Datenschutzgesetz und vereinbarten Vertragsklauseln vor und die damit verbundenen Schadenersatzansprüche sind nicht weit entfernt.
Die Risiken sind auch intern zu suchen
Cyberkriminelle, die versuchen von extern einzudringen, sind nicht alleine die Gefährdung. Ein großes Gefahrenpotential geht vor allem auch von den eigenen, internen Mitarbeitern aus. Es muss nicht immer der absichtliche Datenklau sein, oftmals ist es auch die Unwissenheit mit dem Umgang der IT. So verwenden Mitarbeiter den Zugang zu öffentlichen WLAN-Hotspots mit gelassener Selbstverständlichkeit und freuen sich über kostenlose Nutzungsmöglichkeiten, während der Kriminelle Gespräche mithört und Daten mitliest. Einmal das Handy an einen fremden USB-Anschluss gesteckt um es kurz aufzuladen, kann schnell zu Datenklau führen. In diesem Falle ist man dem sogenannten Juice Hacking erlegen. Auch wenn das mobile Arbeiten voll im Trend ist und das Tablet zu keiner Minute fehlen darf, mangelt es in den meisten Firmen schon an klaren Regeln zum Handling mit Bring Your Own Device (BYOD).
Ein weiteres unterschätztes Risiko bergen die Cloudangebote Office 365, Dropbox und Co., die man nur zu gerne nutzt um interne Reglements einfach zu umgehen und um Unternehmensdaten, in welcher Form auch immer, mit anderen zu teilen. Auch hier fehlt es zu meist an klaren Regeln und Mitarbeitersensibilisierung. Ein weiteres großes Thema in meiner Beratertätigkeit ist auch die Nutzung sozialer Netzwerke. Mitarbeiter nutzen Facebook und Google+ während der üblichen Arbeitszeiten mit einer Selbstverständlichkeit, wodurch den Arbeitgebern finanzielle Schäden entsteht, die über das Monat und Anzahl der Mitarbeiter nicht zu unterschätzen ist.
Fazit
Ignorieren Sie als Geschäftsführer oder IT-Leiter die Grundregeln der IT-Sicherheit, können Sie persönlich haftbar gemacht werden. Diese Regeln der Haftung gelten nicht nur für Aktiengesellschaften, sondern auch für sämtliche anderen Unternehmensformen.
Gerne stehen wir Ihnen über die Allianz Prävention IT Kriminalität beratend zur Seite oder stellen, wenn notwendig, den Kontakt zu den behördlichen Ansprechpartnern oder den kooperierenden Rechtsanwälten her.