Wissenswertes
Aufsichtsratsexpertenwissen für Sie: Aktuell
IT Security für Geschäftsreisende
Dr. Julia Klatil ist Rechtsanwältin und amtlich beeidete gerichtlich zertifizierte Sachverständige für Aufsichtsräte
Top Manager sollten auf Ihren Reisen vor der Nutzung von W-Lan-Netzwerken in Hotels Folgendes beachten:
Geschäftsreisende nutzen in Hotels für gewöhnlich den dort angebotenen Internetzugang.
Luxushotels sind allerdings mitunter auch Anlaufstelle für Hacker, die sich Top Manager als Ziel aussuchen.
Es funktioniert auf folgende Weise: Der Geschäftsreisende logged sich mit seinem Laptop im Hotel W-Lan ein, um zu surfen. Schon nach wenigen Sekunden entpuppt sich ein vermeintlich harmloses Software-Update als Schadsoftware. Der Laptop ist gehackt. Unverschlüsselte Daten wie Betriebsgeheimnisse und sensible Firmendaten werden von Wirtschaftskriminellen still und heimlich abgefischt, wovon auch Passwörter betroffen sind. Sensible Daten des Unternehmens werden auf diese Weise gestohlen und zweckentfremdet. Neben Schadprogrammen sind Phishing-Angriffe per E-Mail und Filesharing-Server-Attacken zu nennende Methoden der Cyberkriminellen.
Unbedingte Vorsicht ist daher beim Abrufen von geschäftlichen Mails auf Reisen über Hotel W-Lan geboten. Ein Aufsichtsrat sollte auf Reisen auf keinen Fall einen brisanten Geschäftsbericht des Vorstands lesen, wenn er online ist (immerhin würde er den Bericht auch nicht offen in der Hotellobby liegen lassen). Solche brisanten Daten könnten bei nachlässigem Umgang beim Surfen leicht in fremde Hände gelangen.
Der im Rahmen von Wirtschaftskriminalität angerichtete Schade macht jährlich mehrere Milliarden Euro aus. Cyberkriminellen ist aber nur bedingt beizukommen, der Kampf mit den IT-Experten um an das „Erdöl“ unserer Zeit, die Daten, ist noch lange nicht geschlagen.
Awareness und persönliche Haftung:
Umso wichtiger ist es daher, dass sich der Anwender der Gefahren der Cyberkriminalität bewusst ist. Aufsichtsräte, Vorstände, Top Manager – sie alle sind eigenverantwortlich dafür, dass sie mit den Daten nicht nur im Betrieb sondern auch auf ihren Reisen sorgfältig umgehen, indem sie sich vor kriminellen Zugriffen schützen. Der sorgsame Umgang mit Endgeräten ist verpflichtend und wird bei einem verantwortlichen Organ jedenfalls vorausgesetzt.
Weder das Hotel noch der IT-Sicherheitsexperte sind dafür haftbar, wenn Daten unterwegs vom Geschäftsreisenden gestohlen werden. Auch D&O Versicherungen kommen für die Schäden voraussichtlich nicht auf. Die D & O ist eine Vermögensschadenhaftpflichtversicherung, die ein Unternehmen für seine Organe und leitenden Angestellten abschließt. Es handelt sich dabei um eine Versicherung zugunsten Dritter, gleich einer Berufshaftpflichtversicherung, wie sie bspw. auch Anwälte haben. Die D&O bietet jedoch nur Schutz für die Organe und Manager des Unternehmens, nicht aber für das Unternehmen selbst, welches eine D&O-Versicherung für ihre Organe und Manager abschließt. Existiert keine Versicherung oder ist der Fall vom Versicherungsschutz ausgenommen, steht das Unternehmen mit den Folgen des Hackerangriffes grundsätzlich alleine da. Es könnte jedoch den Geschäftsreisenden bei nachgewiesener Außerachtlassung der gebotenen Sorgfalt im Umgang mit dem Internet die Haftung treffen, dessen Verschulden allerdings erst zu beweisen ist. Neben dem drohenden finanziellen Ruin könnten den Geschäftsreisenden wegen mangelnder Awareness auch der Verlust der Funktion und strafrechtliche Folgen den Geschäftsreisenden treffen.
Der Terminus „Sorgfaltspflichtverletzung“ lässt allerdings zweifelsohne einen gewissen Interpretationsspielraum offen und ist jeder Fall individuell zu beurteilen. Ein „Leitfaden für richtiges Verhalten auf Geschäftsreisen“ wurde jedenfalls von der Gerichtsbarkeit mangels Anlassfällen noch nicht entwickelt sondern ist auf die Erfahrungen aus der Praxis abzustellen.
Tipps der Anwältin für das Unternehmen:
-
Bestimmte darauf spezialisierte Versicherungsunternehmen wie GrECo International AG beispielsweise bieten in Österreich nach amerikanischem Vorbild bereits „Cyber-Versicherungen“ an, die grundsätzlich das Unternehmen vor Einbußen aus böswilligen Hackerattacken schadlos halten können. Der Unternehmer sollte jedoch vor einem Abschluss eines Versicherungsvertrages verschiedene Angebote einholen und den Versicherungsumfang prüfen sowie dem jeweiligen Angebot den Prämien gegenüber stellen.
Tipps der Anwältin für den / die Geschäftsreisenden:
-
Reisen Sie nur mit Daten, die Sie unbedingt unterwegs brauchen. Löschen Sie sie unmittelbar danach und lassen Sie nach der Reise Ihren Computer neu aufsetzen.
-
Vorsicht beim Surfen in fremden W-Lan-Netzwerken: Sie könnten beobachtet werden.
-
Verwenden Sie niemals dieselben Passwörter; vermeiden Sie in Passwörtern Hinweise auf Geburtsdaten, Ihren Namen oder Personen, die Ihnen nahestehen, auch die Namen Ihres Hundes oder Ihrer Katze lassen Sie besser außer Acht.
-
Wechseln Sie Ihre Passwörter regelmäßig und in kurzen Abständen.
-
Üben Sie Vorsicht bei der Nutzung Ihrer Endgeräte (Handy, Smartphone, Laptop): Passwörter und PINs sind dort in der Regel bereits gespeichert und müssen nicht mehr neu eingegeben werden, sie sind aus diesem Grunde aber besonders gefahrenanfällig.
-
Facebook und Whats App sind im Business ein absolutes „No-Go“.
-
Die Nutzung der Endgeräte auf Reisen sollte ausschließlich über verschlüsselte Kanäle erfolgen, bspw. VPN (Virtual Private Network) schützt und verschlüsselt Daten auf ihrer gesamten Strecke.
-
Sollten Sie dennoch offenes W-Lan nutzen, dann nur hinsichtlich dessen was jeder wissen darf. Doch selbst einfaches Surfen kann Hackern Zugriff auf Geschäftsgeheimnisse verschaffen.
© 2018 Autorin
Dr Julia Klatil
ist Rechtsanwältin in Villach und amtlich beeidete gerichtlich zertifizierte Sachverständige für die Rechte und Pflichten von Aufsichtsräten
Sie hat mehrere Jahre im Fürstentum Liechtenstein als Anwältin gearbeitet und ist unter anderem Spezialistin für Gesellschafts- und Stiftungsrecht und die Verantwortlichkeit von Organen.
Kontakt:
T: +(43) 4242 27699