Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Cyber Camera

Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder -verlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen.

Einige Fälle aus den letzten beiden Jahren senden zwar aufgrund ihrer Seltenheit nur ein schwaches Signal an die Allgemeinheit, sind aber bedeutsame Präzedenzfälle: Bei einem Angriff im Jahr 2017 auf das US-Unternehmen Equifax, das auf Finanzdienstleistungen spezialisiert ist, wurden personenbezogene Daten von 143 Millionen US-Bürgern publik. Die Firma wurde wegen säumiger Sicherheitsvorkehrungen öffentlich verklagt und dessen Geschäftsführer aufgrund der immensen Rufschädigung von seinen Aktionären seines Amtes enthoben.

Im März 2018 wurde der Finanzleiter der niederländischen Tochtergesellschaft von Pathé entlassen, nachdem er einem „Chefbetrug“ zum Opfer gefallen war, der dem Unternehmen einen Schaden in Höhe von 21 Millionen Euro verursachte. Zur gleichen Zeit urteilte das französische Kassationsgericht im Falle des Antrags eines Privatanwenders auf Rückerstattung eines durch eine Phishing-Mail entstandenen Schadens. Den Kläger beschuldigte das Gericht „der schweren Fahrlässigkeit beim Schutz und bei der Verwahrung seiner Daten“. Das Urteil bestätigte die Haftbarkeit der Privatperson. Der Antrag wurde abgelehnt.

Bewegen wir uns allmählich in Richtung einer systematischen Verhängung von Sanktionen gegen Mitarbeiter und Privatpersonen wegen unzureichender digitaler Hygiene?

Von der DSGVO vorgesehene Sanktionen

Seit Mai 2018 sieht die Datenschutz-Grundverordnung zahlreiche Sanktionen vor, die gegen Unternehmen und Behörden verhängt werden können. Artikel 58 der europäischen Verordnung erteilt den EU-Ländern die Befugnis, gegen Compliance-Verstöße vorzugehen und abschreckende Mittel umzusetzen. Artikel 83 führt die Bedingungen auf, die die Verhängung einer Geldbuße erlauben, die bis zu 4 % des weltweit erzielten Unternehmensumsatzes betragen kann. Und die (hohen) Beträge tummeln sich so langsam. Im Januar 2019 wurde Google eine Geldbuße von 50 Millionen Euro in Frankreich auferlegt. Die Datenschutzbehörde des Vereinigten Königreichs erklärte zudem noch im vergangenen Sommer ihre Absicht, der Fluggesellschaft British Airways eine Geldbuße in Höhe von über 200 Millionen Euro zu verhängen. Und das ist nur der Anfang. Weniger bekannt ist, dass Artikel 84 der DSGVO ebenfalls strafrechtliche Sanktionen vorsieht. Bislang ist jedoch noch kein konkreter Fall hervorgetreten.

Präventionsmechanismen und Regulierung

Unternehmen stehen bereits zahlreiche Hilfsmittel zur Verfügung, um dieses Risiko auf ein Mindestmaß zu reduzieren.

Uwe Gries„Als Tochtergesellschaft des Konzerns Airbus Defence and Space sind unsere internen Sicherheitsrichtlinien sehr strikt. Unternehmensweit werden Tools zum Schutz der Netzwerkzugriffe, der Messaging-Dienste, des Internetverkehrs, der Arbeitsplätze und der mobilen Geräte eingesetzt“, bestätigt Uwe Gries (im Bild), Country-Manager DACH bei Stormshield. Doch dies reicht nicht immer aus. „Aufgrund der sich stark verändernden Arbeitspraktiken, des steigenden Anteils an Homeoffice-Mitarbeitern und der zunehmenden Mobilität sind neben den Sicherheitsmaßnahmen auch die Sensibilisierung und Aufklärung der Mitarbeiter von grundlegender Bedeutung.“

Dafür werden wiederum erste juristische Tools wie beispielsweise IT-Chartas benötigt, die bewährte Praktiken festlegen, sämtliche grundlegenden Verhaltensregeln erfassen [müssen], an die sich der Nutzer bei Verwendung der IT-Ressourcen halten soll, sowie jegliche grundlegenden Regeln für die digitale Kommunikation definieren, darunter auch die Rechte der Nutzer selbst. Doch oftmals werden diese Leitfäden zur digitalen Hygiene nicht in die Praxis umgesetzt. Der Rückgriff auf Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder schlechter digitaler Hygiene könnte in den kommenden Jahren deshalb häufiger vorkommen – und jeden Mitarbeiter treffen, egal welche Position er im Unternehmen bekleidet.


Das könnte Sie auch noch interessieren:

Security Schloss Erde 358844015 160

LIVE-WEBINAR AM 23.10.2019 UM 11:00 UHR

DIE ROLLE PROAKTIVER TECHNOLOGIEN BEI DER ABWEHR VON CYBERANGRIFFEN

Wenn Sie mit veralteten Anwendungen und Betriebssystemen arbeiten müssen und mit einer sich ständig verändernden IT-Infrastruktur konfrontiert sind, erweist sich die Bereitstellung einer proaktiven Netzwerksicherheitslösung als unabdingbare Schutzmaßnahme gegen unbekannte Bedrohungen.

>> JETZT ANMELDEN


Verzweifelte Zeiten, verzweifelte Maßnahmen?

Beispiele dafür, dass ein Unternehmen für Compliance-Verstöße haften und anschließend für den Schaden einen seiner Arbeitnehmer oder seinen Geschäftsführer zur Verantwortung ziehen kann, gibt es zur Genüge. „Je nach Fall kann es von der Suspendierung über die Auflösung des Arbeitsvertrages bis hin zur Klageerhebung gehen“, unterstreicht Gries. Die Rechtslage ist klar, wie auch die Tatsache, dass die interne Verhängung von Sanktionen dem Ermessen eines jeden Unternehmens obliegt. Es ist jedoch ziemlich wahrscheinlich, dass sich in den kommenden Jahren das Rahmenwerk für die Haftbarmachung einzelner Personen durch die Regulierung und die Rechtsprechung verändern wird.

Obgleich tatsächlich immer wieder in Erinnerung gerufen wird, dass es noch nie umfangreichere Risiken gab und dass die Aufgabe, eine Cybersicherheitskultur im Unternehmen zu etablieren, noch nie so wichtig war, werden Ransomware- und Phishing-Attacken nach wie vor sehr erfolgreich geführt. Die Cyberkriminalität kommt Privatpersonen wie Unternehmen immer teurer zu stehen. Angesichts dessen ist fraglich, ob im Fahrlässigkeitsfall überhaupt noch ein Weg an der Haftbarmachung des Einzelnen vorbeiführt.

www.stormshield.com

 

GRID LIST
Pishing

Die Entscheidung zwischen technischen oder organisatorischen Lösungen

Die Kombination macht‘s: Welche Maßnahmen wirklich gegen Phishing helfen. Denn:…
Tb W190 H80 Crop Int 9b015b24c2811e65f1a8f3a34499a66b

Schwachstellen kennen ist nur die halbe Miete

Zumindest nach außen hin sagen viele Unternehmen, dass der Schwerpunkt ihrer…
Tb W190 H80 Crop Int 391a76a85a3fec197190e2d4a9ad5432

Neue NIST-Richtlinien zur Zero-Trust-Architektur

Vor wenigen Wochen veröffentlichte das National Institute for Standards and Technology…
Psychologie Kopf

Psychologie trifft IT-Sicherheit

Psychologische Erkenntnisse aus den Kognitionswissenschaften lassen sich auf den…
Budgethilfe

Kostenfreies Tool für IT-Security Budget-Check

Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68…
Marriott Hotel

Ein Jahr nach dem Marriott-Breach

Ein Jahr danach: Die Lehren aus dem Marriott-Breach. Ein Experten-Kommentar von Klaus…