Ein Gesamtschaden von 223 Milliarden Euro jährlich entsteht der deutschen Wirtschaft laut Digitalverband Bitkom durch Diebstahl, Sabotage und Spionage bei Cyberangriffen. Seit den Jahren 2018 und 2019 hat sich die Schadenssumme verdoppelt. Bei einem Großteil der Angriffe nutzen Kriminelle den „Faktor Mensch“ als vermeintlich schwächstes Glied in der Sicherheitskette aus, um an sensible Daten wie Passwörter zu kommen. Vermehrtes Homeoffice infolge der Corona-Pandemie gilt als zusätzliches Einfallstor.
Um gegenzusteuern, bedarf es vor allem Investitionen in Technologie für mehr IT-Sicherheit und Know-how-Schutz sowie Schulungen, um die Mitarbeiter*innen für ständig neue und immer raffiniertere Tricks der Hacker zu sensibilisieren. Doch auch den Arbeitsverträgen gilt ein Augenmerk. Denn nach dem Geschäftsgeheimnisgesetz, das seit 2019 gilt, können Unternehmen den Schutz ihres Know-hows nur geltend machen, wenn sie entsprechende juristische, technische und organisatorische Sicherheitsmaßnahmen nachweisen können.
IT-Sicherheit gehört in den Arbeitsvertrag
Wichtig sind also beispielsweise Regelungen in Arbeitsverträgen und Betriebsvereinbarungen bezüglich der Vertraulichkeit und Nichtweitergabe von Geschäftsgeheimnissen wie Kundenlisten, Margen, Geschäftsstrategien, Rezepturen oder Herstellungsverfahren, sogenannte Non-Disclosure Agreements. Aber Vorsicht: Pauschale Catch-all-Klauseln schützen nicht. Unternehmen müssen definieren, was geheim zu halten ist.
Es gibt keine gesetzliche Pflicht für Arbeitnehmer, ein bestimmtes Sicherheitsniveau einzuhalten, wenn sie mit Unternehmensdaten auf technischen Geräten umgehen. Ratsam sind deshalb Leitfäden zum Daten- und Geheimnisschutz im Rahmen einer Betriebsvereinbarung oder als Zusatzvereinbarung zum Arbeitsvertrag. Darin lässt sich beispielsweise regeln, dass der Bildschirmschoner passwortgeschützt und die Virenschutzsoftware aktiviert sein muss sowie regelmäßiger Updates bedarf. Und welche Kriterien gelten für Kennwörter? Wie oft sind sie zu wechseln?
Homeoffice erleichtert Hackerangriffe
Viele Angriffspunkte bietet Cyberkriminellen das Homeoffice. Auch dort bleibt der Arbeitgeber dafür verantwortlich, dass seine Beschäftigten die rechtlichen Vorgaben für Datenschutz und IT-Sicherheit einhalten. Groß ist die Gefahr beispielsweise immer dann, wenn sich Arbeitnehmer*innen über private Laptops oder PCs ohne zuverlässigen Virenschutz ins Firmennetzwerk einwählen. Es empfiehlt sich daher nicht nur, einen Datentransfer über Virtuelle Private Netzwerk (VPN)-Verbindungen sicherzustellen. Zudem sollte eine Betriebsvereinbarung für die Arbeit im Homeoffice oder eine entsprechende Zusatzvereinbarung auch die IT-Sicherheitsanforderungen für die Arbeit zu Hause regeln, wie wir bereits berichtet haben. Wichtig ist beispielsweise, die Nutzung privater Geräte oder USB-Sticks genauso strikt zu verbieten wie die private Speicherung von Daten und den Zugriff anderer Bewohner oder Besucher.
Abmahnung oder Kündigung bei Verstößen gegen IT-Sicherheitsvorgaben
Wenn Unternehmen ihre Beschäftigten regelmäßig zu Fragen der Cybersicherheit schulen und entsprechende Leitfäden verteilen, ist der Chef im Fall von Verstößen berechtigt, eine Abmahnung auszusprechen. Schlimmstenfalls droht gemäß der Rechtsprechung gar die Kündigung, wenn IT-Sicherheitsvorgaben nicht beachtet werden. Unter Umständen kann der Arbeitgeber auch Schadensersatz geltend machen. Zwar lässt sich ein Vermögensschaden infolge des Reputationsverlustes bei Kunden und Geschäftspartner oft schwer beziffern. Leichter ist dies dagegen etwa mit Blick auf eine Lösegeldforderung von Hackern, um wieder Zugriff auf die Firmendaten zu bekommen.
Beim Schutz gegen Cyberkriminelle ist ein enger Schulterschluss im Unternehmen notwendig – vom Management über die IT-Sicherheits- und Datenschutzverantwortlichen, Compliancebeauftragte bis zu Rechtsabteilung und Personalbereich. Fragen der IT-Sicherheit müssen sich in Arbeitsverträgen, Betriebsvereinbarungen und Regelungen zu mobilem und hybridem Arbeiten wiederfinden. Außerdem sollten HR-Manager bestehende Arbeitsverträge und Betriebsvereinbarungen einem regelmäßigen Checkup unterziehen, ob sie den aktuellen Anforderungen an IT-Sicherheit und Geheimnisschutz noch genügen.