Telefon: +49 911 1335-335

Viren und Trojaner

Digitale Schädlinge

Virus Krankheit © Foto: ThinkstockPhotos - Sebastian Kaulitzki

Wie kann man die betriebliche Informationstechnik gegen Viren schützen? Wer haftet, wenn Computer infiziert werden?

Das Internet ruft auch Betrüger auf den Plan, die mit Viren, Trojanern und Co. versuchen, an das Geld anderer Leute und an sensible Daten zu kommen. Sie werden immer einfallsreicher, wenn es darum geht, Schad-Software (sogenannte Malware) zu entwickeln. Früher konnte man eindeutiger zwischen einem Virus, einem Wurm und einem Trojaner unterscheiden. Heute sind vielfach Kombinationen dieser Schädlinge im Umlauf, was ihre Entdeckung und Bekämpfung erschwert.

„Verseuchte“ Websites

Erfahrungsgemäß geraten die Schädlinge vor allem über E-Mails auf den eigenen Rechner oder indem Links angeklickt werden, die auf „verseuchte“ Websites führen. Die Eindringlinge verbreiten sich dann auf dem Computer, durchsuchen die dort vorhandenen Programme oder Dateien und manipulieren diese. Die Auswirkungen können verheerend sein, wobei verlangsamte Prozesse noch das geringste Problem eines betroffenen Unternehmers sein dürften. Schlimmstenfalls werden sensible Daten (z.B. Passwörter oder Kreditkartennummern) ausspioniert und an den Hacker weitergeleitet, der dann beispielsweise mit den Kreditkartennummern Waren einkaufen oder auch auf anderen Rechnern – etwa mittels Spam-Attacken – Schaden anrichten kann. Das wiederum kann dazu führen, dass sich der Betroffene Abmahnungen, Zahlungsklagen oder Schadenersatzforderungen ausgesetzt sieht.

Weil der Hacker bzw. Virenentwickler in der Regel unauffindbar bleibt, wenden sich Geschädigte mit ihren Schadenersatzforderungen an das Unternehmen, das z.B. die verseuchte E-Mail verschickt hat. Dieses weiß allerdings meist gar nichts von dem Virenbefall. Die Kenntnis spielt für die Schadenersatzpflicht jedoch grundsätzlich keine Rolle. Für eine Haftung genügt es bereits, dass ein Unternehmen keine oder nur ungenügende Schutzmaßnahmen gegen Viren getroffen hat, obwohl es hierzu verpflichtet war. Das ist u.a. der Fall, wenn es eine Gefahrenquelle schafft, z.B. indem es Werbe-E-Mails verschickt. Allerdings gilt insbesondere bei Geschäftsverbindungen zwischen Unternehmen, dass auch der Geschädigte eine Mitschuld tragen könnte – ist er doch ebenfalls dazu verpflichtet, Schutzmaßnahmen zu ergreifen, um seine Rechner vor Virenattacken zu schützen.

Geschäftspartner schützen

Ein Unternehmen kann aufgrund der Verletzung einer vertraglichen Nebenpflicht schadenersatzpflichtig werden (gemäß §§ 280, 241 II Bürgerliches Gesetzbuch BGB). Das bedeutet: Wenn ein Unternehmen einen Vertrag abschließt, geht es damit auch „automatisch“ die Verpflichtung ein, den Geschäftspartner durch entsprechende Schutzmaßnahmen vor Schäden durch Schad-Software zu bewahren. Auch eine deliktische Haftung kommt in Betracht (gemäß § 823 I bzw.
§ 823 II BGB in Verbindung mit einem Schutzgesetz, wie z.B. § 303b Strafgesetzbuch StGB). So haftet das Unternehmen beispielsweise, wenn es einem Dritten, der kein Geschäftspartner ist, verseuchte E-Mails zuschickt.

Wenn ein Mitarbeiter den Virenbefall – etwa durch das Anklicken einer dubiosen E-Mail – verursacht hat, kann der Arbeitgeber unter Umständen Schadenersatz nach den Regeln des sogenannten innerbetrieblichen Schadenausgleichs verlangen. Dies gilt auch für die erlaubte und geduldete private Nutzung des Firmenrechners. Wie hoch die Haftung ausfällt bzw. ob der Mitarbeiter überhaupt haften muss, hängt vom Grad seines Verschuldens ab. Eine vollständige Haftung des Beschäftigten droht nur dann, wenn er es absichtlich auf den Schaden angelegt hat und den Mail-Anhang öffnet, obwohl die Art der Mail eine Verseuchung durch Schad-Software nahelegt. Allerdings dürfte der Grad des Verschuldens in der Praxis schwer nachweisbar sein, sodass der Arbeitgeber meist auf dem Schaden sitzen bleibt.

Schutz vor Schad-Software

Im Umgang mit dem virtuellen Ungeziefer müssen Unternehmen organisatorische Abwehrmaßnahmen ergreifen, um einer Haftung zu entgehen. So haben Unternehmen nach § 9 Bundesdatenschutzgesetz (BDSG) die Pflicht, für eine sichere IT-Infrastruktur und ein sogenanntes IT-Risikomanagement zu sorgen. Das können sie vor allem, indem sie

  • eine professionelle Virenschutz-Software sowie eine Firewall verwenden. Beide müssen, wie auch der Browser und das Betriebssystem, stets auf dem aktuellen Stand sein.
  • einen Datenschutzbeauftragten beschäftigen, der für die Einhaltung der Sicherheitsmaßnahmen sorgt.
  • vertrauliche Daten auf den Dienstrechnern zusätzlich schützen, etwa durch die Verschlüsselung der gesamten Festplatte oder der einzelnen Datei.
  • Schnittstellen (z.B. für USB-Sticks) deaktivieren.
  • Filterlisten mit riskanten Webseiten einsetzen. Websites, die sich auf dieser Liste befinden, können von den Mitarbeitern des Unternehmens nicht mehr aufgerufen werden.
  • ihre Beschäftigten angemessen über die Gefahren des Internets aufklären und sie entsprechend schulen. So sollten sie etwa wissen, dass sie bei E-Mails niemals ungeprüft Dateianhänge öffnen dürfen – schon gar nicht, wenn es sich um ausführbare Programm-Dateien mit Endungen wie .exe, .bat oder .vbs handelt. Virenbehaftete E-Mails können in der Regel auch daran erkannt werden, dass sie entweder keinen, einen besonders interessanten oder fremdsprachigen Betreff haben. Auch Links in solchen E-Mails sollten keinesfalls angeklickt werden, da sie zumeist auf infizierte Webseiten führen.
Autor: 

Von Sandra Voigt. Sandra Voigt ist Redakteurin bei anwalt.de, dem Anwalts- und Rechtsinformationsportal in Nürnberg (redaktion@anwalt.de).

 

WiM – Wirtschaft in Mittelfranken, Ausgabe 11|2015, Seite 42

 
Device Index

Alle Ansprechpartner auf einen Blick