Ein (un)wichtiges Thema?

Auch das beste IT-Sicherheitsmanagement kann keinen 100%igen Schutz gegen Angriffe auf die Sicherheitslücke Mensch bieten. Wie wir bereits berichteten, sind unterschiedliche Angriffsszenarien auf Unternehmen und deren Personal kein potentielles Zukunftsszenario mehr, sondern ein imminenter Risikofaktor für Ihre Betriebsgeheimnisse mit hohem finanziellen Schadenspotential.

Beim Social Engineering wird nach der gezielten Informationsrecherche, z.B. über öffentlich zugängliche Informationen auf Ihrer Webseite oder durch gezielte direkte Kontaktaufnahmen z.B. bei Raucherpausen, versucht, möglichst viele relevante Informationen zu sammeln, um entweder physischen Zutritt zu Ihrem Unternehmen bzw. Zugriff auf Ihr IT-Netzwerk zu erhalten. Im letzten Schritt versucht der Social Engineer, Ihre Informationen zu vervielfältigen und / oder zu vernichten. [1]

Social Engineers können wegen der Nachlässigkeit von Angestellten, deren mangelnder Sensibilisierung oder trügerischem Sicherheitsempfinden oft effektiv Informationen ausspionieren. Um dies zu vermeiden, ist sowohl eine umfassende Aufklärung als auch ein regelmäßiges Training zum Social Engineering wichtig.

Pflicht der Geschäftsführung

Bisher wurde das Thema Social Engineering nicht explizit geregelt, jedoch stellt diese Thematik einen wichtigen Aspekt des IT-Sicherheitsmanagement dar. Die Prävention von Social Engineering-Angriffe ist eine technische und organisatorische Maßnahme zur Schutz personenbezogener Daten, die aktuell nach § 9 Bundesdatenschutzgesetz (BDSG)-alt bzw. ab Mai 2018 nach den Grundsätzen der Verarbeitung nach § 47 Nr. 6 BDSG-neu umzusetzen ist. Im Rahmen geltender unternehmensinterner Compliance- sind technische und organisatorische Maßnahmen angemessen betriebsintern umzusetzen.

Nach objektiven Sorgfaltsmaßstab ist es den Organen und Aufsichtsräten bzw. Beiräten untersagt, sich mit der mangelnden Fähigkeit zur Verhinderung von Social Engineering-Angriffen zu entschuldigen. Dies widerspricht der Sorgfalt eines ordentlichen Geschäftsmannes einer Gesellschaft mit beschränkter Haftung (GmbH) nach § 43 Abs. 1 GmbHG bzw. nach § 93 Abs. 1 AktG bei Aktiengengesellschaften sowie Kommanditgesellschaften auf Aktien der Sorgfaltspflicht der Vorstandsmitglieder. Eine Aufklärungspflicht zur präventiven Verhinderung von Gesetzesverstößen wird abgeleitet aus § 130 Gesetz über Ordnungswidrigkeiten, bei Kapitalgesellschaften aus §§ 76, 93 Aktiengesetz bzw. § 43 Gesetz betreffend die Gesellschaften mit beschränkter Haftung. Bei Nachlässigkeit kann unter Umständen nach § 93 Abs. 2 Aktiengesetz ein persönliches Haftungsrisiko für die Führungsebene gegenüber der Gesellschaft entstehen.[2]  Zum Ausschluss dieses Risikos ist es notwendig, die Mitarbeitersensibilisierung zum Social Engineering nicht weiter stiefmütterlich zu behandeln.

Betriebsrat?

Die Aufgabe des Betriebsrats beinhaltet nach § 80 Abs. 1 Betriebsverfassungsgesetz (BetrVG) die Überwachung der Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen. In weiter Auslegung könnte dies, die Implementierung technischer und organisatorischer Maßnahmen als gesetzliche Vorgabe und somit auch Schutzmaßnahmen vor Social Engineering-Angriffen beinhalten.

Es besteht für den Betriebsrat nach § 80 Abs. 1 Nr. 2 BetrVG ein Initiativrecht, das dem Betriebsrat erlaubt, Handlungen zum Betriebswohl der gesamten Belegschaft und einzelner Arbeitnehmer zu beantragen.[3] Selbst wenn die Geschäftsführung noch nicht die Bedeutung von Sensibilisierungsmaßnahmen zum Social Engineering erkannt hat, könnte der Betriebsrat diese selbstständig beantragen. Zudem gehört die Beschäftigungssicherung nach § 92 a Abs. 1 BetrVG mit u.a. Qualifizierung der Arbeitnehmer zu den Aufgaben des Betriebsrats.[4] Das Risiko potentieller finanzieller Schädigungen durch den Diebstahl von Betriebsgeheimnissen könnte durch die Sensibilisierung der Mitarbeiter reduziert und so die Beschäftigung der Arbeitnehmer gesichert werden.

Wie kann die Geschäftsführung oder der Betriebsrat die gesetzlichen Pflichten erfüllen?

Zum Schutz vor Social Engineering Angriffen sind klar verständliche, stets aktualisierte Leitlinien in Form von Sicherheitsregeln erforderlich. Falls in Ihrem Unternehmen keine Sicherheitsrichtlinien zur Prävention von Social Engineering-Angriffen bestehen, sollten sie dies entwickeln. Die Thematik ist auch für kleine und mittelständische Unternehmen relevant, da auch diese Opfer von Social Engineering-Angriffen sein könnten. Der beste Angriff ist der, der nicht von dem Opfer des Social Engineers entdeckt wurde.

Selbst das beste Compliance-Programm kann keine Social Engineering-Angriffe präventiv verhüten, wenn es nicht in der betrieblichen Praxis umgesetzt wird. Die Angriffstechniken der Social Engineers werden immer ausgefeilter, sodass eine einmalige Sensibilisierungsmaßnahme meist nicht ausreicht, da die fortschreitende Digitalisierung gleichsam neue Angriffsmöglichkeiten des menschlichen Hackings ermöglicht.

Wichtig ist es nicht, dass Ihre Mitarbeiter einmalig eine Schulung erhalten, sondern die Sicherheit ein gelebter Aspekt Ihrer Unternehmenskultur wird. Gern beraten wir Sie zur Einführung konzernentsprechender Awareness-Schulungen, die Ihre Mitarbeiter hinsichtlich dieses Themas sensibilisieren können.

Prävention statt Detektion

Oftmals relevant ist es, die Kenntnis darüber zu erhalten, dass der eigene Betrieb Opfer eines „Human Hackings“ geworden ist. Doch viel relevanter ist die Prävention, um möglichen finanziellen Schäden, dem potentiellen Haftungsrisiko der Geschäftsführung und etwaigen Datenverlusten oder der Preisgabe von Betriebsgeheimnissen entgehen zu können. Es empfiehlt sich unbedingt einen Fokus der internen Weiterbildung auf Mitarbeiter hinsichtlich des Social Engineerings zu legen.

 

[1] Vgl. Lardschneider, DuD 2008, S. 577.

[2] Für weitere Informationen, siehe: Rodewald/ Unger, BB 2006, S.113.

[3] ErfK/Kania, 17. Aufl. 2017, § 80 BetrVG, Rn. 8.

[4] ErfK/Kania, 17. Aufl. 2017, § 80 BetrVG, Rn. 16a.