Leadership & Karriere FAQ zum Arbeitsrecht: Hafte ich, wenn ich im Job auf einen Phishing-Link klicke?

FAQ zum Arbeitsrecht: Hafte ich, wenn ich im Job auf einen Phishing-Link klicke?

Arbeitsunfähigkeitsbescheinigung, Verschwiegenheitsklausel und Urlaubsanspruchsberechnung: Das Arbeitsrecht in Deutschland ist kompliziert. Damit auch Normalsterbliche in Zukunft verstehen, was sie bei der Arbeit dürfen, können, müssen, sollen und was nicht, fragen wir Expert:innen, was hinter den gängigen Mythen steckt.

Derzeit häufen sich die Fälle von Cyberkriminalität. Sei es durch Phishing-Mails oder kuriose Whats-App-Nachrichten. Fast immer mit dabei: ein Link zum Anklicken. Was ist Cyberkriminalität und was passiert, wenn man auf eine Spam-Mail klickt, das beantworten Nadia Schaff, Associate und Rechtsanwältin mit Schwerpunkt auf den Beratungsfeldern Informationstechnologie (IT) und Datenschutz und Sarah Klachin, Senior Associate und Rechtsanwältin im Bereich Arbeitsrecht und Fachanwältin für Arbeitsrecht.

Wen betrifft CyberCrime überhaupt?

Bei der Nutzung des Internets kann jede Person Opfer von CyberCrime werden – egal ob als Mitarbeiter:in während der Arbeit oder auch als Privatperson in der Freizeit. CyberCrime ist weder auf das Darknet beschränkt, noch geht es ausschließlich von hochspezialisierten Hacker:innen aus.

Ein Cyber-Angriff kann zum Beispiel mittels einer unscheinbaren Spam- oder Phishing-E-Mail erfolgen. Dabei handelt es sich um E-Mails mit maliziösen Inhalten, das heißt mit Schadsoftware versehenen Anhängen. Die E-Mails sollen die Opfer zum Herunterladen oder Anklicken der Schadsoftware verleiten. Und „schwupps“ können die Angreifer:innen Daten ausspionieren oder abgreifen – zum Beispiel Passwörter, E-Mail-Adressen oder Bankdaten. Diese Daten werden dann weiterverkauft oder für eigene kriminelle Zwecke genutzt.

Haben Angreifer:innen einmal Zugriff auf einzelne Accounts oder gar das ganze System, ist das Schadenspotential enorm. Sie können den Datenverkehr manipulieren (beispielsweise beim Online-Banking), Daten verschlüsseln und anschließend Lösegeld für die Entschlüsselung fordern, Geschäftsgeheimnisse und persönliche Daten ausspähen, Geschäftsprozesse und Lieferketten lahmlegen und vieles mehr.

Gerade im Unternehmensumfeld sind, neben Schwachstellen in der IT-Infrastruktur, vor allem die Systemnutzenden, mithin die Mitarbeiter:innen, der größte Risikofaktor, über den sich Angreifer:innen Zugang verschaffen. Unwissenheit, (leichte) Fahrlässigkeit und mangelndes Problembewusstsein von Mitarbeiter:innen sind potenzielle Einfallstore. Die Schaffung eines Problembewusstseins ist daher das A und O bei der Internetnutzung – sowohl bei der IT-Nutzung im Privatbereich als auch im beruflichen Kontext. 

Wie schützen sich Unternehmen und ihre Mitarbeiter:innen?

Der Schlüssel zum Erfolg liegt hier in der Prävention. Es muss verhindert werden, dass Angreifer:innen überhaupt ein Einfallstor in das System finden. Gerade für Unternehmen gilt: Technischer und organisatorischer Schutz der IT-Infrastruktur ist unerlässlich. Gemeinsam mit IT, Management, den Fachabteilungen, einschließlich der Rechtsabteilung sollte eine Sicherheitsstrategie erarbeitet werden, die unter anderem Handlungsanweisungen zur IT-Nutzung beziehungsweise Aufrechterhaltung beinhalten (zum Beispiel die Einführung einer Multi-Faktor-Authentifizierung, die Pflicht Updates durchzuführen und bestimmte Sicherheitsstandards bei Passwörtern einzuhalten).

Daneben sollten sich Unternehmen und ihre Mitarbeiter:innen aber auch schon im Vorhinein mit dem „Ernstfall“ beschäftigen. Nur so kann im Falle eines Cyber-Angriffs schnell und effizient reagiert und mögliche Schäden eingedämmt werden. Es lohnt sich daher, vorab einen so genannten Incident Response Plan zu erarbeiten (und diesen regelmäßig zu testen), in dem Kommunikationswege, Gefahrabwehrmaßnahmen und sonstige Handlungsanweisungen für den Ernstfall definiert werden.

Außerdem sollte die Belegschaft durch ein breites Angebot von regelmäßigen Schulungen und Trainings sowie leicht zugänglichen und insbesondere leicht verständlichen Aufklärungs- und Informationsmaterialien sensibilisiert werden. Für Mitarbeiter:innen gilt: Schulungen und Trainings sollten (mit der notwendigen Ernsthaftigkeit) regelmäßig besucht werden. Die Unternehmens-IT-Infrastruktur sollte in jedem Fall nur so genutzt werden, wie es durch den/die Arbeitgeber:in vorgegeben beziehungsweise vereinbart ist. Arbeitsvertrag, Unternehmensrichtlinien und möglicherweise Betriebsvereinbarungen geben hierzu im Regelfall die wichtigsten Informationen. Sofern diese nicht verstanden werden, sollte nachgefragt werden.

Privatnutzung der Unternehmens-IT-Infrastruktur als Risikofaktor?

Zusätzliche Gefahr geht von der privaten Nutzung von betrieblichen Geräten oder gar der betrieblichen Nutzung von Privatgeräten (BYOD) aus. Nutzen Mitarbeiter:innen Geräte für betriebliche und private Zwecke, werden diese insgesamt häufiger genutzt, es wird eine größere Bandbreite an Webseiten besucht und es werden häufig auch mehrere E-Mail-Konten verknüpft. All dies erhöht die potentiellen Einfallstore für Cyber-Angriffe und gefährdet damit die auf dem Gerät gespeicherten Daten bzw. die damit verknüpften Systeme. Zusätzlich haben Arbeitgeber:innen aufgrund des Schutzes der Privatsphäre der Mitarbeiter:innen bei gemischtgenutzten Geräten deutlich eingeschränktere Zugriffsrechte und damit weniger Aufklärungs-/Abwehrmöglichkeiten.

Während manche Arbeitgeber:innen eine Vermischung von privat und dienstlicher Internetnutzung akzeptieren (oder zumindest dulden) beziehungsweise sogar mit BYOD-Modellen werben, untersagen viele Arbeitgeber:innen die betriebliche Nutzung von Privatgeräten beziehungsweise die Privatnutzung von betrieblichen Geräten aus oben genannten Gründen.

Sofern man als Arbeitgeber:in trotz der genannten Risiken die Privatnutzung in irgendeiner Art gewähren möchte, sollte man besonderes Augenmerk auf vorbeugende (Schutz-)Maßnahmen richten.

Was sollten Mitarbeiter:innen bei einem Cyber-Angriff tun, zum Beispiel wenn auf einen Phishing-Link geklickt wurde?

Ein Cyber-Angriff (oder auch nur der Verdacht eines solchen) sollte so schnell wie möglich gemeldet werden. Eine verspätete Meldung, die zu einer verzögerten Reaktion des Unternehmens führt, kann entstandene Schäden vervielfachen. Wichtig ist, dass Mitarbeiter:innen wissen, an wen sie sich im Ernstfall wenden können. Hier sind die Unternehmen gefragt, einerseits Informationen über Ansprechpersonen für den Ernstfall leicht zugänglich und für jeden schnell auffindbar bereitzustellen, und andererseits eine Kultur zu schaffen, in der sich die Mitarbeiter:innen auch trauen, einen Cyber-Angriff (bzw. den Verdacht) zu melden.

Dies gilt ungeachtet der grundsätzlichen Pflicht zur Meldung eines möglichen Cyber-Angriffs aufgrund der allgemeinen Rücksichtnahmepflicht. Die Vertragsparteien haben die Interessen des Vertragspartners, die mit dem Arbeitsverhältnis im Zusammenhang stehen, in dem Maße zu wahren, das nach Treu und Glauben billigerweise verlangt werden kann. Drohen im Zusammenhang mit der Arbeitsleistung der Mitarbeiter:innen Schäden, treffen diese eine Anzeige- oder sogar Schadensverhinderungspflicht, wenn dies zumutbar ist.

Betriebliche Geräte, die rein betrieblich genutzt werden, müssen in solchen Fällen in der Regel von den Mitarbeiter:innen auf Verlangen der Arbeitgeber:innen herausgegeben werden. Dies kann ebenso der Fall sein, wenn betriebliche IT-Endgeräte und/oder Netzwerke entgegen eines – von dem/der Arbeitgeber:in gelebten – Verbots der Privatnutzung privat genutzt wurden. Anders wird dies im Regelfall bei geduldeter oder erlaubter Privatnutzung sein.

Wer haftet für entstandene Schäden?

Arbeitsverträge oder Unternehmensrichtlinien sehen oftmals vorsorgliche Haftungsregelungen und Vertragsstrafen für entstandene Schäden vor.

Haftungsvereinbarungen scheitern aber häufig an den Grundsätzen des innerbetrieblichen Schadensausgleichs, nach dem Haftungserleichterungen für das Arbeitsverhältnis bestehen. Mitarbeiter:innen tragen den vollen Schaden durch betrieblich veranlasste Tätigkeiten grundsätzlich nur bei Vorsatz oder grober Fahrlässigkeit. In anderen Fällen haften sie nicht oder nur anteilig. Im Übrigen gibt es auch eine Obergrenze für die Arbeitnehmerhaftung bei sehr hohen Schäden, welche bei Cyberangriffen schnell erreicht ist.

Die Grundsätze des innerbetrieblichen Schadensausgleichs erschweren eine Inanspruchnahme des/r Mitarbeiter:in bei von diesem oder dieser verursachten Vorfällen. In den meisten Fällen erfolgen Cyber-Angriffe aufgrund von Unaufmerksamkeit, nicht vorwerfbaren mangelnden Problembewusstsein oder überzeugender Täuschung. Mit der Folge, dass leichte bis mittlere Fahrlässigkeit vorliegt und der/die Mitarbeiter:in gar nicht oder nur anteilig haftet. Klicken Mitarbeiter:innen zum Beispiel auf einen Link in einer an den betrieblichen E-Mail-Account gerichteten unauffälligen Phishing-E-Mail, wird regelmäßig nur leichte Fahrlässigkeit anzunehmen sein.

Ein anderes Ergebnis ist möglich, wenn die Grundsätze des innerbetrieblichen Schadensausgleichs nicht greifen, weil der Mitarbeiter oder die Mitarbeiterin beispielsweise vorsätzlich Schutzmaßnahmen des Unternehmens umgangen hat.

Welche weiteren arbeitsrechtlichen Konsequenzen sind möglich?

Klassische arbeitsrechtliche Konsequenzen sind Ermahnung, Abmahnung oder gar Kündigung. Dabei gilt grundsätzlich, je konkreter Pflichten an die Mitarbeiter:innen zuvor kommuniziert wurden und je schwerwiegender die Pflichtverletzung ist, desto erfolgsversprechender ist regelmäßig die arbeitsrechtliche Konsequenz. Bei der Ausschöpfung des rechtlich Möglichen sollte jedoch auf Unternehmensseite mitbedacht werden, dass die Angst vor arbeitsrechtlichen Konsequenzen dazu führen kann, dass Mitarbeiter:innen Cyber-Angriffe oder auch nur den Verdacht eines solchen nicht oder nur verspätet melden.

Kann eine Versicherung helfen?

Es gibt spezielle Cyber-Versicherungen, die Schäden von Unternehmen aus und im Zusammenhang mit Cyber-Angriffen decken. Sie haben oftmals den zusätzlichen Vorteil, dass sie sogenannte proaktive Maßnahmen / First Response anbieten – und zwar unabhängig von einem Selbstbehalt in einem Schadenfall. Dadurch wird insbesondere sichergestellt, dass Unternehmen schnellstmöglich Zugang zu professionellen und kompetenten Ansprechpartnern erhalten. Auf diese Weise lässt sich ein größerer Schaden oftmals verhindern.

Auch für Privatpersonen werden Cyber-Versicherungen für die private Internetnutzung angeboten. Die Verbraucherzentrale NRW warnte jedoch, dass diese häufig nur einen geringen Nutzen haben und empfiehlt bereits bestehende Versicherungsverträge dahingehend zu überprüfen, ob möglicherweise schon ein Schutz besteht.

Das könnte dich auch interessieren

Jobs für Klassenclowns: 10 Karrierewege von auffälligen Mitschüler:innen Leadership & Karriere
Jobs für Klassenclowns: 10 Karrierewege von auffälligen Mitschüler:innen
Becoming CEO – unsere Kolumnistin über den Abschied von ihrem Unternehmen Leadership & Karriere
Becoming CEO – unsere Kolumnistin über den Abschied von ihrem Unternehmen
10 Vintage-Motivationsposter, die jede Office-Wand zieren Leadership & Karriere
10 Vintage-Motivationsposter, die jede Office-Wand zieren