Phishing, CEO-Fraud & Co.: Wer haftet in deinem Unternehmen?

Ob Phishing, CEO-Fraud, Ransomware oder Identitätsdiebstahl – Cyberkriminalität nimmt zu. Und sie trifft Unternehmen jeder Größe. Die Methoden digitaler Angreifer werden raffinierter, die Schäden teurer – und die juristischen Folgen komplexer. Doch wenn der Schaden da ist, beginnt der eigentliche Alptraum für die Beteiligten oft erst: Wer ist schuld? Hätte der Vorfall verhindert werden können? Und wer muss den Schaden zahlen – die Geschäftsführung, einzelne Mitarbeitende persönlich oder das Unternehmen?

Häufige Straftaten im Unternehmenskontext

Cyberkriminalität im Unternehmensumfeld umfasst eine Vielzahl von Angriffsformen, die allesamt das Ziel verfolgen, den unberechtigten Zugriff auf Informationen oder Geld zu erhaschen. Dabei nutzen Kriminelle menschliche, technische oder organisatorische Schwächen aus. Eine der wichtigsten Erscheinungsformen ist Phishing. Dabei erhalten beispielsweise Mitarbeitende täuschend echt aussehende E-Mails, die sie zur Preisgabe sensibler Daten verleiten – etwa Login-Daten für E-Mail-Konten oder andere wichtige Zugänge (z. B. in Bank-Accounts).

Beim CEO-Fraud (Fake President Fraud) geben sich Täter als Geschäftsführer:innen oder andere Führungskräfte aus. Mitarbeitende werden unter Druck gesetzt oder manipuliert, dass sie (hohe) Beträge auf meist ausländische Konten überweisen. Teilweise verschaffen sich Kriminelle durch vorheriges Ausspähen sogar Zugang zu echten E-Mail-Konten innerhalb des Unternehmens – etwa der Geschäftsleitung. Von dort senden sie authentische Anweisungen oder ändern Kontoverbindungen in Signaturen oder auf Rechnungen.

Die Liste der möglichen Angriffsmittel kann noch beliebig fortgesetzt werden. Was all diese Formen jedoch vereint: Für Laien – und selbst für viele Geschäftsführungen – ist es nach einem Vorfall kaum möglich, zu beurteilen, was überhaupt technisch passiert ist, geschweige denn, die Rechtslage zutreffend einzuordnen. Hinzu kommt: Das Strafgesetzbuch (StGB) hinkt der digitalen Realität oft hinterher. Viele Strafnormen – zu denken wäre an § 263a StGB (Computerbetrug), § 202a StGB (Ausspähen von Daten) oder § 303b StGB (Computersabotage) – decken nicht alle aktuellen Angriffsmuster ab. Die Kriminellen sind dem Gesetz oft einen Schritt voraus. Und selbst wenn dies einmal nicht der Fall sein sollte: Die Strafverfolgungsbehörden werden der Täter:innen oft nicht Herr, wenn diese im Ausland sitzen. Wo soll sich also das Unternehmen das Geld herholen, wenn die Kriminellen nicht gefasst werden können? Da macht es Sinn, in den eigenen Reihen zu suchen.

Wer haftet im Unternehmen bei Cyberangriffen?

Wenn ein Unternehmen Opfer eines Cyberangriffs wird, stellt sich schnell die Frage nach der Verantwortung. Spoiler: Eine pauschale Aussage zur Haftung bei Cyberangriffen ist zwar verlockend, aber im Detail selten möglich. Dennoch lassen sich einige Grundprinzipien und wiederkehrende Muster herausarbeiten, die für Unternehmen hilfreich sind.

Externe Personen oder Unternehmen

Zunächst könnte man extern nach Schuldigen suchen. Nach § 675u BGB haftet ein Zahlungsdienstleister (z. B. eine Bank) nur für unautorisierte Zahlungen. Hier kann oftmals die Schuldzuweisung nach außen hin stattfinden, wenn die Bank ein Mitverschulden hat. Hat jedoch ein Mitarbeitender – wenn auch irrtümlich – einer Überweisung zugestimmt, gilt diese oft als „autorisiert“. Das kann die Erstattung durch die Bank ausschließen.

Das Unternehmen mit dem Gesellschaftsvermögen

Aber auch das Unternehmen als Ganzes kann haften. Rechtlich gesehen ist die GmbH eine eigenständige juristische Person – und haftet wie jede andere auch für eigenes „Fehlverhalten“. Ein Unternehmen haftet mit seinem Gesellschaftsvermögen also immer dann, wenn der Schaden innerhalb des eigenen Betriebs entsteht – etwa durch Fehlverhalten von Mitarbeitenden oder durch Angriffe von außen, wie Phishing oder Ransomware. Bei einer GmbH bedeutet das beispielsweise: Die Gesellschaft trägt die finanziellen Folgen. Das Firmenvermögen dient hier zur Begleichung von Schäden, Verträgen, Bußgeldern oder Haftungsansprüchen.

Anders bei Einzelunternehmen oder Personengesellschaften (z. B. GbR). Hier gibt es keine Trennung zwischen Unternehmens- und Privatvermögen. Die Inhaber:innen haften persönlich – und zwar mit ihrem gesamten Privatvermögen, wenn es zu Schäden oder Forderungen kommt.

Leitende Personen im Unternehmen

Die Geschäftsführenden oder Gesellschafter:innen haften sonst nicht mit ihrem Privatvermögen – es sei denn, sie haben grob fahrlässig oder vorsätzlich ihre Pflichten verletzt (z. B. wichtige Sicherheitsmaßnahmen ignoriert). Wer im Unternehmen dafür zuständig ist, Risiken zu erkennen und abzusichern – z. B. durch IT-Sicherheit, klare Zuständigkeiten, Schulungen oder Kontrollsysteme – hat eine sogenannte Organisationsverantwortung. Wenn diese Personen nachweislich ihre Sorgfaltspflichten verletzen, spricht man von Organisationsverschulden. Und das kann teuer werden. Vereinfacht gesagt: Wer Verantwortung trägt, muss dafür sorgen, dass das Unternehmen sich gegen vorhersehbare Risiken schützt.

Beispiel: Ein Unternehmen verzichtet auf das Vier-Augen-Prinzip bei Überweisungen – obwohl es regelmäßig mit großen Summen hantiert. Die IT-Sicherheitsrichtlinien sind veraltet, und Mitarbeitende wurden seit Jahren nicht mehr geschult. Kommt es dann zu einem Vorfall, kann dem Geschäftsführer vorgeworfen werden, die Risiken sehenden Auges ignoriert zu haben. Im schlimmsten Fall muss er persönlich für den finanziellen Schaden haften – und zwar mit seinem Privatvermögen.

Die handelnden Mitarbeitenden

Grundsätzlich gilt im Arbeitsrecht: Mitarbeitende haften nicht persönlich für einfache Fehler, die im Rahmen ihrer beruflichen Tätigkeit passieren. Gerade bei Cyberangriffen – etwa nach Phishing oder Social Engineering – kommt es häufig zu solchen provozierten Fehlreaktionen, etwa durch einen unbedachten Klick oder eine irrtümliche Überweisung. Wüsste man um die Gefahr, würde man den Fehler gerade nicht begehen.

Daher sieht die Rechtsprechung eine abgestufte Haftung vor: Bei leichter Fahrlässigkeit (z. B. ein Moment der Unachtsamkeit) haftet die oder der Mitarbeitende gar nicht – der Schaden ist dann „betrieblich veranlasst“. Bei mittlerer Fahrlässigkeit kann der Schaden anteilig aufgeteilt werden – je nach Einzelfall. Bei grober Fahrlässigkeit (z. B. klare Sicherheitsregeln missachtet, Warnhinweise ignoriert) kann eine volle Haftung drohen – insbesondere, wenn der Schaden vermeidbar gewesen wäre.

In solchen gravierenden Fällen ist denkbar, dass sich das Unternehmen das Geld von seinem Personal zurückholt – hauptsächlich dann, wenn das Fehlverhalten eindeutig dokumentiert werden kann. Aber: Die Gerichte setzen hier hohe Hürden an und prüfen sehr genau, ob ein persönliches Verschulden vorliegt.

Artikelbild: http://www.depositphotos.com