Ein (un)wichtiges Thema?
Auch das beste IT-Sicherheitsmanagement kann keinen 100%igen Schutz gegen Angriffe auf die Sicherheitslücke Mensch bieten. Wie wir bereits berichteten, sind unterschiedliche Angriffsszenarien auf Unternehmen und deren Personal kein potentielles Zukunftsszenario mehr, sondern ein imminenter Risikofaktor für Ihre Betriebsgeheimnisse mit hohem finanziellen Schadenspotential.
Beim Social Engineering wird nach der gezielten Informationsrecherche, z.B. über öffentlich zugängliche Informationen auf Ihrer Webseite oder durch gezielte direkte Kontaktaufnahmen z.B. bei Raucherpausen, versucht, möglichst viele relevante Informationen zu sammeln, um entweder physischen Zutritt zu Ihrem Unternehmen bzw. Zugriff auf Ihr IT-Netzwerk zu erhalten. Im letzten Schritt versucht der Social Engineer, Ihre Informationen zu vervielfältigen und / oder zu vernichten. [1]
Social Engineers können wegen der Nachlässigkeit von Angestellten, deren mangelnder Sensibilisierung oder trügerischem Sicherheitsempfinden oft effektiv Informationen ausspionieren. Um dies zu vermeiden, ist sowohl eine umfassende Aufklärung als auch ein regelmäßiges Training zum Social Engineering wichtig.
Pflicht der Geschäftsführung
Bisher wurde das Thema Social Engineering nicht explizit geregelt, jedoch stellt diese Thematik einen wichtigen Aspekt des IT-Sicherheitsmanagement dar. Die Prävention von Social Engineering-Angriffe ist eine technische und organisatorische Maßnahme zur Schutz personenbezogener Daten, die aktuell nach § 9 Bundesdatenschutzgesetz (BDSG)-alt bzw. ab Mai 2018 nach den Grundsätzen der Verarbeitung nach § 47 Nr. 6 BDSG-neu umzusetzen ist. Im Rahmen geltender unternehmensinterner Compliance- sind technische und organisatorische Maßnahmen angemessen betriebsintern umzusetzen.
Nach objektiven Sorgfaltsmaßstab ist es den Organen und Aufsichtsräten bzw. Beiräten untersagt, sich mit der mangelnden Fähigkeit zur Verhinderung von Social Engineering-Angriffen zu entschuldigen. Dies widerspricht der Sorgfalt eines ordentlichen Geschäftsmannes einer Gesellschaft mit beschränkter Haftung (GmbH) nach § 43 Abs. 1 GmbHG bzw. nach § 93 Abs. 1 AktG bei Aktiengengesellschaften sowie Kommanditgesellschaften auf Aktien der Sorgfaltspflicht der Vorstandsmitglieder. Eine Aufklärungspflicht zur präventiven Verhinderung von Gesetzesverstößen wird abgeleitet aus § 130 Gesetz über Ordnungswidrigkeiten, bei Kapitalgesellschaften aus §§ 76, 93 Aktiengesetz bzw. § 43 Gesetz betreffend die Gesellschaften mit beschränkter Haftung. Bei Nachlässigkeit kann unter Umständen nach § 93 Abs. 2 Aktiengesetz ein persönliches Haftungsrisiko für die Führungsebene gegenüber der Gesellschaft entstehen.[2] Zum Ausschluss dieses Risikos ist es notwendig, die Mitarbeitersensibilisierung zum Social Engineering nicht weiter stiefmütterlich zu behandeln.
Betriebsrat?
Die Aufgabe des Betriebsrats beinhaltet nach § 80 Abs. 1 Betriebsverfassungsgesetz (BetrVG) die Überwachung der Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen. In weiter Auslegung könnte dies, die Implementierung technischer und organisatorischer Maßnahmen als gesetzliche Vorgabe und somit auch Schutzmaßnahmen vor Social Engineering-Angriffen beinhalten.
Es besteht für den Betriebsrat nach § 80 Abs. 1 Nr. 2 BetrVG ein Initiativrecht, das dem Betriebsrat erlaubt, Handlungen zum Betriebswohl der gesamten Belegschaft und einzelner Arbeitnehmer zu beantragen.[3] Selbst wenn die Geschäftsführung noch nicht die Bedeutung von Sensibilisierungsmaßnahmen zum Social Engineering erkannt hat, könnte der Betriebsrat diese selbstständig beantragen. Zudem gehört die Beschäftigungssicherung nach § 92 a Abs. 1 BetrVG mit u.a. Qualifizierung der Arbeitnehmer zu den Aufgaben des Betriebsrats.[4] Das Risiko potentieller finanzieller Schädigungen durch den Diebstahl von Betriebsgeheimnissen könnte durch die Sensibilisierung der Mitarbeiter reduziert und so die Beschäftigung der Arbeitnehmer gesichert werden.
Wie kann die Geschäftsführung oder der Betriebsrat die gesetzlichen Pflichten erfüllen?
Zum Schutz vor Social Engineering Angriffen sind klar verständliche, stets aktualisierte Leitlinien in Form von Sicherheitsregeln erforderlich. Falls in Ihrem Unternehmen keine Sicherheitsrichtlinien zur Prävention von Social Engineering-Angriffen bestehen, sollten sie dies entwickeln. Die Thematik ist auch für kleine und mittelständische Unternehmen relevant, da auch diese Opfer von Social Engineering-Angriffen sein könnten. Der beste Angriff ist der, der nicht von dem Opfer des Social Engineers entdeckt wurde.
Selbst das beste Compliance-Programm kann keine Social Engineering-Angriffe präventiv verhüten, wenn es nicht in der betrieblichen Praxis umgesetzt wird. Die Angriffstechniken der Social Engineers werden immer ausgefeilter, sodass eine einmalige Sensibilisierungsmaßnahme meist nicht ausreicht, da die fortschreitende Digitalisierung gleichsam neue Angriffsmöglichkeiten des menschlichen Hackings ermöglicht.
Wichtig ist es nicht, dass Ihre Mitarbeiter einmalig eine Schulung erhalten, sondern die Sicherheit ein gelebter Aspekt Ihrer Unternehmenskultur wird. Gern beraten wir Sie zur Einführung konzernentsprechender Awareness-Schulungen, die Ihre Mitarbeiter hinsichtlich dieses Themas sensibilisieren können.
Prävention statt Detektion
Oftmals relevant ist es, die Kenntnis darüber zu erhalten, dass der eigene Betrieb Opfer eines „Human Hackings“ geworden ist. Doch viel relevanter ist die Prävention, um möglichen finanziellen Schäden, dem potentiellen Haftungsrisiko der Geschäftsführung und etwaigen Datenverlusten oder der Preisgabe von Betriebsgeheimnissen entgehen zu können. Es empfiehlt sich unbedingt einen Fokus der internen Weiterbildung auf Mitarbeiter hinsichtlich des Social Engineerings zu legen.
[1] Vgl. Lardschneider, DuD 2008, S. 577.
[2] Für weitere Informationen, siehe: Rodewald/ Unger, BB 2006, S.113.
[3] ErfK/Kania, 17. Aufl. 2017, § 80 BetrVG, Rn. 8.
[4] ErfK/Kania, 17. Aufl. 2017, § 80 BetrVG, Rn. 16a.
Holger Keilholz
7. September 2017 @ 21:40
Die Überwachungsfunktion des Betriebsrates gemäß § 80 Abs. 1 BetrVG erstreckt sich nicht auf die gegenüber den AN geltenden Gesetzen, sondern auf die zugunsten der AN geltenden Gesetze u. ä.
Stefanie Wojak
12. September 2017 @ 15:07
Sehr geehrter Herr Keilholz,
vielen Dank für Ihren hilfreichen Hinweis. Eine entsprechende Änderung des Artikels wurde vorgenommen.
Mit freundlichen Grüßen
Stefanie Wojak
Herr Dehde
31. August 2017 @ 12:37
Moin!
Betriebsfremde Personen in der Raucherpause? Bei „uns“ schwer vorstellbar.
Stefan R. Seiter
7. September 2017 @ 17:12
Guten Tag Herr Dehde,
und vielen Dank für Ihren Kommentar. Auf dem „heimischen“ Betriebsgelände mag die Gefahr sicherlich überschaubar sein. Aber wie sieht es aus, wenn beispielsweise Mitarbeiter auf dem Heimweg an der Bushaltestelle in ein „zwangloses Gespräch“ verwickelt werden?
Oder denken Sie an Mitarbeiter, die auswärtig bei Kunden oder auf Tagungen unterwegs sind. Auch dort steht man gerne mal in kleiner Runde für einen Plausch beisammen.
Wie in dem Artikel bereits erwähnt: Angreifer beim Social Engineering sind in der Regel sehr kreativ … 😉
Mit freundlichen Grüßen,
Ihre Blogredaktion