Anzeige

Cyber Camera

Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder -verlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen.

Einige Fälle aus den letzten beiden Jahren senden zwar aufgrund ihrer Seltenheit nur ein schwaches Signal an die Allgemeinheit, sind aber bedeutsame Präzedenzfälle: Bei einem Angriff im Jahr 2017 auf das US-Unternehmen Equifax, das auf Finanzdienstleistungen spezialisiert ist, wurden personenbezogene Daten von 143 Millionen US-Bürgern publik. Die Firma wurde wegen säumiger Sicherheitsvorkehrungen öffentlich verklagt und dessen Geschäftsführer aufgrund der immensen Rufschädigung von seinen Aktionären seines Amtes enthoben.

Im März 2018 wurde der Finanzleiter der niederländischen Tochtergesellschaft von Pathé entlassen, nachdem er einem „Chefbetrug“ zum Opfer gefallen war, der dem Unternehmen einen Schaden in Höhe von 21 Millionen Euro verursachte. Zur gleichen Zeit urteilte das französische Kassationsgericht im Falle des Antrags eines Privatanwenders auf Rückerstattung eines durch eine Phishing-Mail entstandenen Schadens. Den Kläger beschuldigte das Gericht „der schweren Fahrlässigkeit beim Schutz und bei der Verwahrung seiner Daten“. Das Urteil bestätigte die Haftbarkeit der Privatperson. Der Antrag wurde abgelehnt.

Bewegen wir uns allmählich in Richtung einer systematischen Verhängung von Sanktionen gegen Mitarbeiter und Privatpersonen wegen unzureichender digitaler Hygiene?

Von der DSGVO vorgesehene Sanktionen

Seit Mai 2018 sieht die Datenschutz-Grundverordnung zahlreiche Sanktionen vor, die gegen Unternehmen und Behörden verhängt werden können. Artikel 58 der europäischen Verordnung erteilt den EU-Ländern die Befugnis, gegen Compliance-Verstöße vorzugehen und abschreckende Mittel umzusetzen. Artikel 83 führt die Bedingungen auf, die die Verhängung einer Geldbuße erlauben, die bis zu 4 % des weltweit erzielten Unternehmensumsatzes betragen kann. Und die (hohen) Beträge tummeln sich so langsam. Im Januar 2019 wurde Google eine Geldbuße von 50 Millionen Euro in Frankreich auferlegt. Die Datenschutzbehörde des Vereinigten Königreichs erklärte zudem noch im vergangenen Sommer ihre Absicht, der Fluggesellschaft British Airways eine Geldbuße in Höhe von über 200 Millionen Euro zu verhängen. Und das ist nur der Anfang. Weniger bekannt ist, dass Artikel 84 der DSGVO ebenfalls strafrechtliche Sanktionen vorsieht. Bislang ist jedoch noch kein konkreter Fall hervorgetreten.

Präventionsmechanismen und Regulierung

Unternehmen stehen bereits zahlreiche Hilfsmittel zur Verfügung, um dieses Risiko auf ein Mindestmaß zu reduzieren.

Uwe Gries„Als Tochtergesellschaft des Konzerns Airbus Defence and Space sind unsere internen Sicherheitsrichtlinien sehr strikt. Unternehmensweit werden Tools zum Schutz der Netzwerkzugriffe, der Messaging-Dienste, des Internetverkehrs, der Arbeitsplätze und der mobilen Geräte eingesetzt“, bestätigt Uwe Gries (im Bild), Country-Manager DACH bei Stormshield. Doch dies reicht nicht immer aus. „Aufgrund der sich stark verändernden Arbeitspraktiken, des steigenden Anteils an Homeoffice-Mitarbeitern und der zunehmenden Mobilität sind neben den Sicherheitsmaßnahmen auch die Sensibilisierung und Aufklärung der Mitarbeiter von grundlegender Bedeutung.“

Dafür werden wiederum erste juristische Tools wie beispielsweise IT-Chartas benötigt, die bewährte Praktiken festlegen, sämtliche grundlegenden Verhaltensregeln erfassen [müssen], an die sich der Nutzer bei Verwendung der IT-Ressourcen halten soll, sowie jegliche grundlegenden Regeln für die digitale Kommunikation definieren, darunter auch die Rechte der Nutzer selbst. Doch oftmals werden diese Leitfäden zur digitalen Hygiene nicht in die Praxis umgesetzt. Der Rückgriff auf Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder schlechter digitaler Hygiene könnte in den kommenden Jahren deshalb häufiger vorkommen – und jeden Mitarbeiter treffen, egal welche Position er im Unternehmen bekleidet.


Das könnte Sie auch noch interessieren:

LIVE-WEBINAR AM 23.10.2019 UM 11:00 UHR

DIE ROLLE PROAKTIVER TECHNOLOGIEN BEI DER ABWEHR VON CYBERANGRIFFEN

Wenn Sie mit veralteten Anwendungen und Betriebssystemen arbeiten müssen und mit einer sich ständig verändernden IT-Infrastruktur konfrontiert sind, erweist sich die Bereitstellung einer proaktiven Netzwerksicherheitslösung als unabdingbare Schutzmaßnahme gegen unbekannte Bedrohungen.

>> JETZT ANMELDEN


Verzweifelte Zeiten, verzweifelte Maßnahmen?

Beispiele dafür, dass ein Unternehmen für Compliance-Verstöße haften und anschließend für den Schaden einen seiner Arbeitnehmer oder seinen Geschäftsführer zur Verantwortung ziehen kann, gibt es zur Genüge. „Je nach Fall kann es von der Suspendierung über die Auflösung des Arbeitsvertrages bis hin zur Klageerhebung gehen“, unterstreicht Gries. Die Rechtslage ist klar, wie auch die Tatsache, dass die interne Verhängung von Sanktionen dem Ermessen eines jeden Unternehmens obliegt. Es ist jedoch ziemlich wahrscheinlich, dass sich in den kommenden Jahren das Rahmenwerk für die Haftbarmachung einzelner Personen durch die Regulierung und die Rechtsprechung verändern wird.

Obgleich tatsächlich immer wieder in Erinnerung gerufen wird, dass es noch nie umfangreichere Risiken gab und dass die Aufgabe, eine Cybersicherheitskultur im Unternehmen zu etablieren, noch nie so wichtig war, werden Ransomware- und Phishing-Attacken nach wie vor sehr erfolgreich geführt. Die Cyberkriminalität kommt Privatpersonen wie Unternehmen immer teurer zu stehen. Angesichts dessen ist fraglich, ob im Fahrlässigkeitsfall überhaupt noch ein Weg an der Haftbarmachung des Einzelnen vorbeiführt.

www.stormshield.com

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cyber Security

IT-Sicherheit im Pandemiejahr: Auf den richtigen Fokus kommt es an!

Vielen war es klar, jetzt ist es quantifiziert: Die Zahl der erfolgreichen Cyberattacken auf Unternehmen ist in diesem Jahr auf 78 Prozent und damit deutlich im Vergleich zu 2018, gestiegen. Das zeigt die aktuelle IDC-Studie zum Thema IT Sicherheit 2020. Im…
Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!