IT-Sicherheit und die Vertrauensschaden-Versicherung

Vertrauensschäden versichern: Schutz vor krummen Touren von innen

Eine Vertrauensschadenversicherung deckt den Vertrauensbruch von innen ab. Genauer: Das Unternehmen versichert sich gegen Schäden aus unerlaubten Handlungen von Unternehmensangehörigen und anderen Vertrauensträgern und Vertretern.

Einige typische Beispiele:

  • Ein Mitarbeiter späht die Zugangsdaten der Personalbuchhalterin aus und nutzt sie, um die Erstattung für seine Spesenabrechnungen zu manipulieren.
  • Eine scheinbare Flirt-Bekanntschaft wird auf den Prokuristen angesetzt. Sie bringt ihn dazu, entgegen den Sicherheitsvorschriften Dateien von ihr auf seinem Firmen-Tablet zu öffnen. Kriminelle erhalten so Zugriff auf die Firmendaten.
  • Als Reaktion auf seine Kündigung löscht ein IT-Administrator sämtliche Daten auf den Servern der Entwicklungsabteilung einschließlich der Backups. Die notwendigen Zugriffsrechte besitzt er.
  • Ein Außendienstmitarbeiter auf Dienstreise lässt sich abends im Strip-Club den Firmen-Laptop mit sensiblen, wichtigen Daten stehlen.

Eine Vertrauensschadenversicherung schützt auch gegen IT-basierten Missbrauch

Eine Vertrauensschadenversicherung deckt digitale wie analoge Unterschlagungen, Sachbeschädigungen, Sabotagehandlungen und andere unerlaubte Handlungen von Unternehmensangehörigen und -vertretern ab, die das Unternehmen finanziell schädigen.

Da Unternehmen im Regelfall für Pflichtverletzungen ihrer Arbeitnehmer gegenüber Dritten haften, sind mit den Vertrauensschäden auch Schadenersatzforderungen von Außenstehenden gedeckt: beispielsweise die Ansprüche von Kunden, deren Daten von einem Mitarbeiter entwendet und anschließend missbraucht wurden.

Die Beispiele oben waren etwas tendenziös. Bei allen ging es um digitale Daten oder Hardware. Aber dieser Punkt ist wichtig: Vertrauensschadenversicherungen helfen bei Schäden, die zwar mit der Unternehmens-IT zu tun haben, in der es aber keinen unerlaubten Eingriff in die IT gab.

Der Mitarbeiter, der seinen eigenen Zugriff zum Firmennetz nutzt, um das Unternehmen zu schädigen, der sich sein Passwort stehlen lässt oder weitergibt, außerdem Fälle von CEO Fraud, all das wird eine Cyber-Versicherung nicht unbedingt decken. Es fällt in der Regel aber unter die Vertrauensschadenversicherung.

Vertrauensschadenversicherung: Schutz vor Wirtschaftskriminalität

Eine betriebliche Vertrauensschadenversicherung schützt vor vielen Fällen von Wirtschaftskriminalität. Und zwar auch dann, wenn bei der unerlaubten Handlung keine Hackerangriffe oder sabotiert wurden und auch keine IT-Fehlfunktion für Pannen sorgte.

Damit ist die Vertrauensschaden-Police eine wichtige Ergänzung zur Cyber-Versicherung. Allerdings muss man dabei genau hinschauen:

  • darauf, welchen Risiken das Unternehmen tatsächlich ausgesetzt ist,
  • auf das Kleingedruckte in den Versicherungsverträgen
  • auf die effektiven Kosten für den gesamten Versicherungsschutz bzw. darauf, wie sich beide Versicherungstypen in konkreten Fall kostensparend kombinieren lassen

Als Spezialmakler für IT-Risiken können wir von acant Ihr Unternehmen dabei zielgerichtet und kompetent beraten. Ein Anruf genügt: 030 863 926 990

Faktor Mensch in der IT-Sicherheit - Symbolbild von User 024-657-834 via Pixabay

Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn sich niemand Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie oft im Wesentlichen gelöst – und in der Praxis ein großes Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

Sorglose Mitarbeiter und Ransomware - Risiko (Symbolbild) - Foto: rawpixel via Pixabay

Cyberangriffe durch Ransomware: Ihre Mitarbeiter sind das Hauptrisiko – und Ihre Präventionschance

Ransomware und kleinere Unternehmen

Heute möchte ich gern drei Erfahrungen zur Diskussion stellen, die Ransomware-Angriffe auf kleinere Unternehmen betreffen – und wie man sie erfolgreich verhindert.

Schließlich sind wir davon als Versicherungsmakler mit betroffen: Wir von acant vermitteln seit vielen Jahren Cyber-Versicherungen, die auch die Schäden durch Ransomware abedecken. Und zur Betreuung gehört es selbstverständlich, dass wir uns im Schadensfall kümmern.

Die ganz kurze Version:

  • Ransomware bedroht auch kleinere Unternehmen von überschaubarer Größe.
  • Schwachstelle Nr. 1 für solche Cyberangriffe: Ihre Mitarbeiter. Diese Sicherheitslücke lässt sich nicht dadurch schließen, dass die Technologie auf aktuellem Stand ist.
  • Ihr großer Vorteil als kleinerer Betrieb: Sie erreichen Ihre Leute und haben sie im Blick. Das lässt sich zur Prävention nutzen!

Ransomware, Erpresser-Software, verschlüsselt still und heimlich auf dem befallenen Rechner und im gesamten Netzwerk alle Dateien, auf die sie Zugriff bekommt. Dann erscheint ein Hinweisfenster mit der Aufforderung, Geld zu zahlen, wenn man den Schlüssel zum Wiederlesbarmachen der Daten haben will. In Folge von Ransomware-Angriffen fallen ganze Firmennetzwerke oft tage- und wochenlang aus. Selbst beim Bezahlen der Forderung hat man keine Garantie, dass man die Daten wiederbekommt. Und häufig werden die Daten nicht nur verschlüsselt, sondern auch entwendet, z. B. Bankzugänge und Zahlungsinformationen.

Für Ihr Unternehmen ist Ransomware kein Thema?

Selbst wenn eine Firewall installiert ist und Aktualisierungen sofort eingespielt werden, wenn regelmäßige Backups gemacht werden und überall Virenschutz läuft: Sind Sie sicher, dass keines der folgenden Szenarien bei Ihnen stattfinden kann?

  • Ein Mitarbeiter bekommt eine etwas verwirrend formulierte Nachricht geschickt. Absender ist ein langjähriger Geschäftspartner. Er öffnet die mitgeschickte Datei, um herauszufinden, was dahintersteckt – und installiert damit den Trojaner.
  • Oder: Einer Ihrer Leute flirtet seit einiger Zeit mit einer Zufallsbekanntschaft aus dem Internet. Heute schickt sie ihm endlich ein paar Fotos von sich … Rest: Siehe oben.
  • Dritte Variante: Jemand nutzt das Firmennetz für private Downloads. Leider ist die heruntergeladene Datei nicht das, was sie vorgibt …

Wenn so etwas auch bei Ihnen denkbar ist, wie übrigens in den meisten Unternehmen, dann hat Sie bisher nur Ihr Glück vor einer Infektion mit Ransomware bewahrt.

Es geht ganz schnell. Und es trifft nicht nur Idioten.

Verschärfend kommt hinzu, dass die Angriffe immer hinterhältiger werden und oft so gut getarnt sind, dass auch normal intelligente Menschen leicht ins Netz gehen. Zu den neueren Tricks gehören Mails mit dem Handy-Foto eines Dokuments. Das ist gerade etwas zu klein, um lesbar zu sein. Da klickt man doch fast automatisch auf das Bild, um es zu vergrößern, nicht wahr? Und schon ist man infiziert.

Besonders heimtückisch ist sogenannte „polymorphe“ Malware: Schadprogramme, die bei jedem neuen Angriffsziel interne Dateibezeichnungen, die Verschlüsselung, die Kompression oder andere Merkmale verändern, um unter dem Radar der Virenscanner hindurch zu fliegen. Identisch bleibt allerdings die Schadfunktion, die dann beispielsweise alle Daten im System verschlüsselt.

Ganz wichtig: Risikobewusstsein

Im Grund hilft gegen Ransomware und andere Cyber-Attacken nur das, was ältere Menschen vor Enkeltrick-Betrügern schützt: fest verwurzeltes, gesundes Misstrauen, und das Wissen um das Risiko. Das dürfte dem einen oder anderen Arbeitnehmer von Haus aus jedoch fehlen.

Deshalb tut Aufklärungsarbeit Not. Natürlich müssen nicht sämtliche Kollegen IT-Experten werden. Aber sie müssen die Gefahr im Hinterkopf haben, die hinter jeder E-Mail und jedem Dateiaustausch lauern kann. Sie müssen lernen, im Zweifel nicht zu klicken. Und dass sie jederzeit fragen können, wenn ihnen etwas merkwürdig vorkommt.

Maßnahme eins: Awareness-Schulungen

„Security Awareness“-Schulungen bringen wenig, wenn ein großer Experte eine Stunde lang unverständlich daher redet und die Mitarbeiter derweil die Gehirnwindungen baumeln lassen.

Aber es geht ja auch anders: mit Praxisbezug und eindringlichen Beispielen, damit die Zuhörer etwas für ihren Arbeitsalltag mitnehmen. Dann können Schulungen das praktische Sicherheits-Level im Betrieb wirklich erhöhen und sind allemal ihr Geld wert. (Wenn Sie niemand kennen, der solche Schulungen durchführt, kann ich gern Empfehlungen geben.)

Im Idealfall wissen Ihre Leute hinterher nicht nur, wie Ransomware verbreitet wird. Sie verstehen auch, dass man den Befall gar nicht sofort bemerkt, sondern meistens erst dann, wenn die ominöse Nachricht auf dem Bildschirm austauscht, alle Dateien verschlüsselt und erreichbare Backups gelöscht sind.

Natürlich sollte der Chef persönlich auch teilnehmen. Damit alle sehen, dass ihm das Thema wirklich wichtig ist.

Maßnahme zwei: Einfache Verhaltensregeln aufstellen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat gerade eine „IT-Notfallkarte für KMU“ herausgebracht. Die soll in kleineren Unternehmen neben der Notfallkarte zum Verhalten im Brandfall hängen, so die Idee. Darauf stehen Leitfragen wie „Wer meldet?“ oder „Welches IT-System ist betroffen?“

Na ja. Sinnvoller erscheint mir, dass es ein paar feste Grundsätze gibt, die jeder verstehen und umsetzen kann.

  • Einen Ansprechpartner, den man fragen kann, wenn man sich bei einem Dokument nicht sicher ist.
  • Fragen ist erlaubt – lieber einmal zu viel als einmal zu wenig.
  • Einfache Hinweise wie: „Wenn mir die Datei, die ich gerade geöffnet habe, komisch vorkommt, und ich befürchte, dass es sich um Ransomware handelt: Gerät aus, WLAN-Router aus, Netzstecker ziehen, alle informieren.“
  • Und natürlich alle üblichen Regeln zur IT-Sicherheit – angemessener Passwortschutz, systematische Datensicherung, alle Updates installieren, Rechte vergeben, damit nicht jeder überall Zugriff hat etc. etc.

Maßnahme drei: Ihre Leute im Blick behalten

Der große Vorteil in einem kleineren Unternehmen: Sie kennen Ihre Leute persönlich. Sie können einschätzen, wer unvorsichtig genug sein könnte, triebgesteuert auf angebliche scharfe Videos zuzugreifen. Oder für wen die Technik ohnehin so kompliziert ist, dass er weder Datei-Typen unterscheiden noch Header-Zeilen in einer E-Mail verstehen wird.

Sie können Ihre Mitarbeiter individuell vergattern, und dafür sorgen, dass für bestimmte Kandidaten besondere Regeln gelten. Sorgen Sie dafür, dass jedem einzelnen klar wird, wie schnell digitale Dämlichkeit zu fünf- oder sechsstelligen Einbußen führt. Alle Firmendaten weg, der Betrieb tagelang geschlossen, die Kunden vergrault – dass man sich damit keine Freunde macht, verstehen Ihre Mitarbeiter dann schon.

Maßnahme vier: Versichern

Schäden durch Ransomware und andere Cyber-Angriffe versichern ist die Sicherheitsmaßnahme überhaupt. Die Kosten für eine Cyber-Versicherung liegen in den meisten Fällen im Promillebereich des Jahresumsatzes. Gemessen am Risiko ist es das allemal wert.

Eine Cyber-Versicherung deckt als Querschnittsversicherung verschiedene Schadensfolgen ab. Der genaue Deckungsumfang hängt vom Produkt und der konkreten Police ab. In Bezug auf Ransomware wären dies beispielsweise:

  • Sachschäden (die etwa dadurch entstehen, dass im Wortsinn der Stecker gezogen und der Server nicht korrekt heruntergefahren wird.
  • Die Haftpflicht: das ist bei solchen Angriffen oft mit der teuerste Posten, denn Schadenersatz kann jeder fordern, dessen persönliche Daten entwendet wurden, aber auch Geschäftspartner und Kunden, denen gegenüber Fristen nicht eingehalten werden und dergleichen mehr
  • Rechtsschutz: Anwalts- und Gerichtskosten, die in Folge der Verschlüsselung vestehen
  • Flankierende Leistungen zur Schadensminderung: Die Versicherung bezahlt IT-Experten zur Behebung der Schäden und zur Aufklärung des Vorfalls, Anwälte und PR-Leute, die Sofortmaßnahmen ergreifen etc. In vielen Fällen vermittelt die Versicherungsgesellschaft diese Experten auch gleich selbst.

Rufen Sie einfach an, wenn Sie Fragen haben, oder schicken Sie uns eine kurze Nachricht. Bei acant gilt: Beratung ist Ehrensache. Und selbstverständlich kostenlos.

Cyber-Versichert – auch gegen die eigenen Mitarbeiter

Wer das Cyber-Risiko durch eigene Mitarbeiter versichern will, braucht eine Vertrauensschadenversicherung, die eine Computermissbrauchversicherung einschließt.

Beides ist in vielen gängigen Cyber-Policen enthalten und schützt Ihr Unternehmen vor Schäden durch unvorsichtige oder pflichtvergessene Mitarbeiter – ein Risiko, das sich grundsätzlich nicht ausschließen lässt.

Der Mitarbeiter als IT-Risiko

Das zeigt auch ein Posting vom Datenschutzblog29, das Schusseligkeit (unterwegs verlorene Laptops), schlechte Passwörter und Phisingmails beklagt. Natürlich kann man mit Mitteln der IT etwas dagegen tun.

  1. Man kann lange Passworte mit Sonderzeichen, Großbuchstaben und Zahlen erzwingen. Aber dann klebt das Ergebnis eben als gelbe Haftnotiz am Schreibtisch. (Kann sich ja keiner merken …)
  2. Man kann die Speicher sämtlicher Firmenlaptops verschlüsseln. Aber: siehe Punkt 1.
  3. Man kann und soll die Mitarbeiter über Phishing und Sicherheit informieren. Aber bleibt der E-Mail-Anhang von der jungen, charmanten, neuen Bekannten aus dem Branchenforum deshalb ungeöffnet? Eben.

Und das waren nur Sicherheitsverletzungen aus Dummheit. Ganz schwer kontrollierbar ist ein Mitarbeiter, der dem Unternehmen mit Absicht schaden will – ob aus Rachsucht oder zum eigenen Vorteil.

Die Grenzen der Technik … sind der Beginn des Versicherungsbedarfs

Fazit: Die IT-Administration kann gegen Sicherheitsverletzungen durch Mitarbeiter einiges ausrichten. Allein dadurch das Risiko unter Kontrolle zu halten, ist illusorisch. Das lässt sich jedoch durch speziellen Versicherungsschutz sicherstellen.

  • Eine Vertrauensschadenversicherung zahlt bei Schäden durch Veruntreuung, Unterschlagung, Diebstahl, Geheimnisverrat oder Betrug durch eigene Mitarbeiter – auch Straftaten Dritter lassen sich einschließen.
  • Die Computermissbrauchsversicherung erweitert diesen Schutz auf IT-bezogene Taten wie die Veränderung von Software, das unbefugte Kopieren oder Löschen von Daten oder das Zerstören von Datenspeichern.

Unvorsichtige oder böswillige Mitarbeiter mögen Laptops verlieren, die Firewall umgehen oder Ihre Daten klauen. Eine Versicherungspolice im Unternehmenssafe ist vor ihnen sicher.

Wie teuer ist eine Vertrauensschadenversicherung und/oder eine Computermissbrauchsversicherung speziell für Ihr Unternehmen? Für eine schnelle Auskunft schicken Sie mir eine kurze Nachricht oder rufen mich einfach an.

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.

Wer haftet, wenn IT-Mitarbeiter Fehler machen – das Unternehmen oder der Mitarbeiter selbst?

Shit happens.

Wenn man im IT-Bereich arbeitet, sollte man als Arbeitnehmer natürlich dafür sorgen, dass Schäden so weit wie irgend möglich vermieden werden – dem eigenen Unternehmen zuliebe, der Kunden wegen, und ganz besonders im eigenen Interesse. Aber was passiert, wenn jemand dann doch „Mist gebaut” hat?

Viele IT-ler – vom Support-Mitarbeiter bis hin zum Vorstand oder Geschäftsführer – wissen nicht wirklich über die persönlichen Haftungsrisiken Bescheid, die der Beruf jeden Tag mit sich bringt.

Der Arbeitnehmer haftet gegenüber seinem Arbeitgeber.

Das gilt um so umfassender, je höher er in der Hierarchie steht. Wie für jeden Arbeitnehmer gelten für den IT-Leiter, den Sicherheitsbeauftragten oder Administratoren so genannte „arbeitsvertragliche Nebenpflichten” in Form von Schutz-, Mitwirkungs-, Geheimhaltungs- oder Aufklärungspflichten. Dabei wird juristisch ein „fiktiver“ Maßstab angelegt – als Vergleich dient ein „typischer” Mitarbeiter mit durchschnittlichen Fähigkeiten in einer vergleichbaren Position. Mit anderen Worten: An den leitenden Mitarbeiter werden höhere Anforderungen gestellt als an den gewöhnlichen Mitarbeiter.

Wenn der Arbeitnehmer seine Pflichten aus dem Arbeitsvertrag verletzt und beim Arbeitgeber deshalb ein Schaden eintritt, dann haftet der Mitarbeiter. Im Gesetz (§ 619a BGB) ist für solche Fälle allerdings eine Umkehr der Beweislast verankert: Der Arbeitgeber muss das Verschulden des Arbeitnehmers beweisen.

Die Haftung gegenüber dem Arbeitgeber richtet sich nach dem Grad der Fahrlässigkeit.

Die juristischen Kriterien für die Haftung von Arbeitnehmern im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs wurden von der Rechtsprechung ursprünglich für „gefahrgeneigte Arbeit“ entwickelt. Die neuere Rechtsprechung hat sie aber längst auf jede Tätigkeit ausgeweitet, einschließlich von IT-Berufen. Sie bestimmen, dass der Arbeitnehmer nur beschränkt für Schäden haftet, die er im Rahmen seiner beruflichen Tätigkeit fahrlässig verursacht hat, und zwar abhängig vom Ausmaß der Fahrlässigkeit. (Der Begriff der „Gefahrgeneigtheit“ geistert trotzdem noch immer durch das Vokabular im Arbeitsrecht, er wird im eigentlichen Sinn jedoch heute nur noch dafür benutzt, um in bestimmten Fällen den Schaden zwischen Arbeitnehmer und Arbeitgeber aufzuteilen.)

Juristen unterscheiden zwischen leichter, mittlerer und grober Fahrlässigkeit sowie Vorsatz.

  • Bei leichter Fahrlässigkeit (Kategorie: „Passiert jedem mal”, etwa ein zu Boden gefallenes und deshalb kaputtes iPad) haftet der Arbeitnehmer nicht gegenüber seinem Arbeitgeber.
  • Bei mittlerer Fahrlässigkeit wird es komplizierter. Die liegt dann vor, wenn der Arbeitnehmer seine Sorgfaltspflicht missachtet hat. Ein Beispiel könnte sein, dass ein Gerät mit dem falschen Netzteil verbunden und durch Überspannung beschädigt wurde. In diesem Fall wird der Schaden zwischen Arbeitnehmer und Arbeitgeber aufgeteilt, wobei je nach den Gegebenheiten im konkreten Fall eine Quote (z. B. 40/60 oder 50/50) festgelegt wird. Die Kriterien dafür sind u. a. das Ausmaß des Fehlverhaltens (Wie blöd muss man sich anstellen, damit so etwas passiert?), die Gefahrgeneigtheit der konkreten Arbeit (Wie leicht kann dabei etwas schief gehen?) und die Person des Arbeitnehmers (Wie viel Erfahrung hat er, ist ihm so etwas schon öfter passiert?). Aber auch die Frage nach dem Mitverschulden des Arbeitgebers ist wichtig (Wurde dafür gesorgt, das konkrete Risiko wenn möglich zu verringern, z. B. durch Informationen? Hätte der Arbeitgeber die Möglichkeit gehabt, diese Art Schaden zu versichern, aber darauf verzichtet?) All das fließt in die Beurteilung ein und ergibt dann die Quote der Schuldzuteilung, die im Streitfall vom Gericht festgelegt wird.
  • Einfacher ist der Fall wieder bei grober Fahrlässigkeit („Darf nicht passieren”) oder gar bei Vorsatz. Wer betrunken die Datenbank verwalten will und dabei zerschießt, oder gar bewusst Passwörter an Dritte verrät, der haftet seinem Arbeitgeber in der Regel voll für den Schaden, den dieser dadurch erleidet. Vorsatz ist allerdings nur dann gegeben, wenn Sie als Arbeitgeber beweisen können, dass der Arbeitnehmer den Schaden bewusst herbeiführen wollte. Und auch hier kann die Haftungspflicht des Angestellten dadurch geringer werden, wenn der Arbeitgeber zur Schadenhöhe beitragen hat – weil er zum Beispiel mögliche und zumutbare Versicherungen nicht abgeschlossen hat.

Gegenüber Kunden, Kollegen und unbeteiligten Dritten haftet der Arbeitnehmer voll.

Anders sieht es bei der Haftung gegenüber Dritten wie beispielsweise Kunden des Unternehmens aus. Für die dort eingetretenen, von ihm verschuldeten Schäden haftet der IT-Mitarbeiter persönlich und in voller Höhe.

Bei leichter Fahrlässigkeit, im Einzelfall sogar bei mittlerer und grober Fahrlässigkeit, hat der Mitarbeiter allerdings einen Freistellungsanspruch gegen seinen Arbeitgeber, soweit er nach den gerade genannten Kriterien nicht haften muss.

Versichern!

Noch einmal: Wenn der Mitarbeiter bei seiner Arbeit für das Unternehmen mittelmäßig fahrlässig handelt und dadurch beim Kunden einen Schaden für das Unternehmen verursacht, dann aber ins Feld führen kann, dass diese Tätigkeit ja problemlos hätte versichert werden können, dann hat er sehr gute Chancen, mit diesem Argument vor Gericht Gehör zu finden, soweit ein Rückgriff des Versicherers auf den Mitarbeiter vertraglich ausgeschlossen ist  – das ist gängige Rechtsprechung.

Generall hat das Unternehmen im Streit um die Haftung gegenüber dem Arbeitnehmer immer das Problem der Beweislast.

Dazu kommt, dass die Chancen für Zahlungsfähigkeit im Vergleich bei der Versicherung deutlich besser aussehen – diese kann sich ja rückversichern. Dagegen kann gerade in der IT-Branche ein einfacher Angestellter ganz schnell Schäden anrichten, die seine finanziellen Ressourcen weit übersteigen. Ein Schadenersatzanspruch, den Sie mangels Zahlungsfähigkeit nicht durchsetzen können, nützt Ihnen wenig.

Fazit: Auch die Risiken, die sich aus möglichen Fehlern Ihrer Mitarbeiter ergeben, sollten unbedingt angemessen versichert sein.

Wenn Sie Fragen dazu haben

Ich berate Sie gerne. Rufen Sie mich an oder schicken Sie mir eine Nachricht.

Bring your own device (BYOD): Bring Dein eigenes Gerät, die Firma haftet?

Drei Studien, ein Problem

  • Fast ein Drittel aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hat durch BYOD bereits wichtige Daten verloren. Das besagt eine Studie, über die Heise berichtet.
  • Andererseits erlaubt mit  43 % annähernd die Hälfte der IT-Unternehmen hierzulande den Mitarbeitern, eigene Geräte für die Arbeit zu nutzen, von denen wiederum nur 60 % dafür feste Regeln aufstellen –  so eine andere Studie vom Branchenverband Bitkom.
  • Wobei Betriebsvereinbarungen etc. oft ohnehin wenig bringen: Fast die Hälfte der Arbeitnehmer bis 32 schert sich schlichtweg nicht um Verbote und Einschränkungen und nutzt die eigenen Geräte einfach trotzdem. Das ergab eine Fortinet-Umfrage zum BYOD-Verhalten der „Generation Y“.

Kaum noch ohne BYOD

Dass BYOD für  die Rechner- und Datensicherheit des Unternehmens  ein Horror ist, liegt auf der Hand. Heterogene Hardware, unterschiedliche Betriebssysteme, eine völlig uneinheitliche Ausrüstung  mit Firewalls, Virensoftware und Backup-Programmen, wenn überhaupt vorhanden. Dazu Nutzer, die das jeweilige Gerät als Teil ihrer persönlichen Ausrüstung begreifen, an allen möglichen Orten im Internet unterwegs sind, unkontrolliert herunterladen und installieren, mit weiß wem Kontakt haben und fleißig Wechseldatenträger nutzen …

Arbeitsrechtlich bzw. juristisch ist BYOD ebenfalls ein Alptraum. Arbeit und Privatsphäre, persönliche und Unternehmensdaten, Privatbesitz und Firmeneigentum – alles vermischt sich. Da freut sich der Anwalt, wenn es zu Konflikten kommt …

Dazu kommen die steuerlichen Unklarheiten, wenn Privat- und Firmeneigentum, berufliche und private Nutzung sich vermischen.

Trotzdem kann man BYOD oft kaum noch wirksam verbieten – s.o. Außerdem macht ein BYOD-VErbot die Suche nach jungen Talenten für den „Mangelberuf Anwendungsentwickler“  und ähnliche Jobs sehr viel schwieriger.  Daneben ist BYOD der Preis (und der Köder) für die erhöhte Verfügbarkeit wichtiger Leute und spart oft Anschaffungskosten.

Schutzmaßnahmen festklopfen

Ganz wichtig: Eine verbindliche und arbeitsrechtlich wirksame Richtlinie zu BYOD etablieren.

Wichtig ist aber auch, die einschlägigen Risiken klar zu erfassen und versichert zu haben. Gerade an dieser Front ist das Unternehmen abhängig vom Verhalten Dritter und anfällig für Pleiten, Pech und Pannen.

Wenn das ganz große Datenleck oder der Komplettverlust wichtiger Firmendaten da ist, hilft Ihnen auch ein Haftungsanspruch gegen den Sündenbock  nicht mehr viel.  Dann retten  Sie nur noch gute Nerven und eine ausreichende Deckung in Ihrer Versicherungspolice.

Punkte für eine BYOD-Richtlinie

Dennoch: Die arbeitsrechtliche Absicherung von  BYOD ist absolut zentral – schon deshalb, um das Bewusstsein der Mitarbeiter zu schärfen und um Rechtsstreitigkeiten mit dem eigenen Personal von vornherein den Boden zu entziehen. Welche Punkte  in Sachen BYOD im Arbeitsvertrag oder per Betriebsvereinbarung zu klären sind, haben die Rechtsanwälte Sebastian Dramburg und Matthias Sziedat in einem Gastbeitrag für Deutsche-Startups.de aufgelistet. Die von ihnen genannten Punkte kurz zusammengefasst:

  • Klare Regeln dazu, wer wie viel bezahlt für Anschaffung, Zubehör und Reparaturen
  • Haftung bei Softwarenutzung ohne Lizenz
  • Regeln für Verlust oder Beschädigung
  • Klare Abmachungen zum Umgang mit persönlichen Daten des Mitarbeiters auf dem Gerät
  • Regeln für den Fall des Ausscheidens des Mitarbeiters oder bei akuten Konflikten

Fragen an Ihren Versicherer

Zusätzlich sollten Sie sich aber bei jedem dieser Punkte auch fragen: Wie steht mein Unternehmen da, wenn die Richtlinie nicht greift?

Ist das neue iPhone, das der Marketingchef auf der Messe liegen lässt, versichert? Wenn der Entwickler im Streit geht und das Unternehmen keinen Zugriff mehr auf den bislang erstellten Code auf dessen Laptop hat, wer bezahlt dann die Vertragsstrafe an den Kunden? Wie steht es, wenn der Vertriebsmitarbeiter sich einen Trojaner einfängt und die Kunden verteilt, die dann Schadensersatz fordern? Kann man für den Schaden vorsorgen, der entsteht, wenn ein Mitarbeiter die Kundendaten auf „seinem“ Laptop für ein eigenes Unternehmen nutzt?

Wie immer gilt: Das sind zum einen Themen für Ihre IT-Sicherheit. Das alles sind aber auch Versicherungsfragen.  Sie sollten Sie Ihrem Versicherungsmakler oder Ihrem Versicherer stellen, bevor es passiert.

Fazit

BYOD ist ein Risiko, an dem Sie aber vermutlich kaum vorbeikommen. Um das Risiko zu begrenzen, müssen Sie es auf drei Ebenen angehen:

  1. auf Ebene der  IT-Sicherheit: in Bezug auf die Geräte selbst,
  2. auf arbeitsrechtlicher Ebene: in Bezug auf Ihre Mitarbeiter
  3. auf Unternehmensebene:  in Bezug auf Ihre betrieblichen Versicherungen

Außerdem sollten Sie mit dem Steuerberater über dieses Thema sprechen.

Links