Ransomware ist nach wie vor ein beliebtes Mittel der Cyberkriminalität. Wem drohen rechtliche Konsequenzen aus dem entstandenen Schaden? Sophos klärt auf.

Verschlüsselung von Daten ist für die Sicherheit von sensiblen und personenbezogenen Informationen die beste Lösung zum Schutz. Im Falle eines zunehmend beliebten und ganz perfiden Cyberkriminellen-Szenarios ist sie dagegen die Bedrohung: Ransomware. Von Cyberkriminellen perfide ins Unternehmen geschleust, entfaltet Ransomware seine schädliche Wirkung. Sofort beginnt die Ransomware Dateien auf dem Rechner oder Server inklusive der vorhandenen Backups zu verschlüsseln. Die Unternehmensdaten werden quasi in Geiselhaft genommen. Gegen die Zahlung eines Lösegelds versprechen die Kriminellen, die Daten wieder zu entschlüsseln. Der Schaden für den Zeitraum, in dem die Daten nicht zugänglich sind, kann je nachdem, um welche Branche und Art der Daten es sich handelt, verheerend sein: Prozesse könnten eingefroren werden, Termine und Lieferungen platzen, Löhne nicht ausgezahlt, lebenswichtige Behandlungen nicht fortgeführt werden. Die Liste ließe sich endlos weiterführen.

Aus technischer Sicht sind die nächsten Schritte in einem solchen Fall klar: Aufgrund der eingeschleusten Ransomware müssen die betroffenen Systeme isoliert und im nächsten Schritt gesäubert werden. Im folgenden Schritt gilt es, die Daten wieder verfügbar zu machen. Rechtlich mag es komplizierter aussehen. Ein Kunde kann grundsätzlich etwa wegen nicht eingehaltener Liefertermine vom Vertrag zurücktreten und im Voraus gezahlte Beträge zurückfordern. Zudem kann er Schadensersatz wegen Nichterfüllung der vereinbarten Leistung verlangen. Dies gilt insbesondere dann, wenn der Kunde durch die späte Lieferung selbst einen Schaden nachweisen kann.

Und nicht nur das Unternehmen, durch das der Schaden ausgelöst wird, sondern auch der Unglücksrabe aus der Belegschaft, der beispielsweise eine schadhafte E-Mail geöffnet hat, kann unter Umständen mit Haftungsansprüchen konfrontiert werden.

Die Rechtslage: Konsequenzen für den Arbeitgeber und den Mitarbeiter

Schäden durch Ransomware (Verzögerungen in der Lieferung etc.) können sowohl für das verursachende Unternehmen als auch für den einzelnen Mitarbeiter, der etwa fahrlässig (was der Arbeitgeber im Bestreitensfall nachweisen muss) eine E-Mail geöffnet und damit den Schaden für seinen Arbeitgeber verursacht hat, erhebliche rechtliche Folgen haben. Können geschädigte Kunden den Eintritt des Schadens beweisen und dessen Höhe beziffern und wurde vertraglich nicht etwas Abweichendes vereinbart, dann sind sie in der Lage, vom schädigenden Unternehmen Schadensersatz zu fordern. Auch dem verursachenden Mitarbeiter drohen dann erhebliche Haftungsrisiken.

War der betreffende Mitarbeiter zuvor durch seinen Arbeitgeber nachweislich und hinreichend über die Gefahren sowie den Umgang mit den Daten belehrt worden, könnte ihm folgende Situation drohen: Im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs kann sich der Arbeitgeber den Betrag des Schadensersatzes, den er an einen geschädigten Kunden zu zahlen hatte, von seinem Mitarbeiter zurückfordern. Dies gilt aber nach gefestigter Rechtsprechung des Bundesarbeitsgerichts uneingeschränkt dann, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat. Im Falle der sogenannten mittleren Fahrlässigkeit setzt das Gericht im Streitfall eine sogenannte Haftungsquote nach billigem Ermessen fest, nach der bestimmt wird, zu welchen Anteilen der Arbeitnehmer und der Arbeitgeber den Schaden tragen müssen. Hierbei werden sämtliche Umstände des Einzelfalles, wie etwa das Maß des Verschuldens, als auch das Einkommen aufseiten des Arbeitnehmers, berücksichtigt.

Damit trägt der Arbeitgeber letztlich dennoch das Hauptrisiko, denn selbst, wenn das Gericht den Mitarbeiter wegen vorsätzlicher oder grob fahrlässiger Schädigung verurteilt, seinem Arbeitgeber den Schadensbetrag zurückzuzahlen, ist kaum davon auszugehen, dass dieser die volle Summe erhalten wird.

„Ein Schadenfall in Millionenhöhe wird von einem Arbeitnehmer mit durchschnittlichem Verdienst kaum realisierbar sein. Da hilft auch ein gerichtlich erwirkter Titel nicht weiter,“ so Rechtsanwalt Sebastian Müller aus Magdeburg. Dennoch wird ein Fehlverhalten sicher nicht ohne weitere Konsequenzen für den Mitarbeiter bleiben, da neben finanziellen Haftungsrisiken auch arbeitsrechtliche Konsequenzen, wie Abmahnung und Kündigung drohen.“

Sensibilisierung und Eigenverantwortung auch von Mitarbeitern

Unternehmen stehen in der Pflicht, ihre eigenen Daten wie auch die Daten von Dritten zu schützen. Dies gilt seit der Datenschutz-Grundverordnung (EU-DSGVO) umso mehr. Unternehmen müssen in jedem Fall sogenannte technische und organisatorische Maßnahmen (TOMs) zur Gewährleistung des Schutzes personenbezogener Daten durchführen. Entsprechende technische Lösungen für die Datensicherheit sind daher obligatorisch. Zu den organisatorischen Maßnahmen gehört hingegen das Schulen von Mitarbeitern und Implementieren von Sicherheitsrichtlinien innerhalb des Unternehmens.

Viele Unternehmer sind sich auch nach Inkrafttreten der EU-DSGVO ihrer Rolle als verantwortliche Stelle für die Datenverarbeitung nicht bewusst. Ein Schadensfall, bei dem Daten unrechtmäßig verarbeitet werden, indem sie insbesondere in Hände von Kriminellen kommen, stellt eine Verletzung des Grundsatzes der Datenintegrität dar und kann mit empfindlichen Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr sanktioniert werden. Hierbei ist auch zu beachten, dass der Unternehmer auch für das Verschulden seiner eigenen Arbeitnehmer haftet, da er insoweit die verantwortliche Stelle im Sinne der EU-DSGVO darstellt.

Es ist daher unerlässlich, auch an die Mitarbeiter zu appellieren: Lieber einmal mehr nachfragen, Schulungen einfordern und wahrnehmen und sich vielleicht auch zusätzlich zu informieren kann jedem Einzelnen dabei helfen, die Gefahr eines Fehlers und die Haftbarkeit aller Beteiligten auf ein vertretbares Minimum zu reduzieren.

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.