Phishing: Risikofaktor Mensch

In einer zunehmend digitalisierten Arbeitswelt sind Cyberangriffe zu einer ernsthaften Bedrohung für Unternehmen geworden. Eine der häufigsten Angriffsmethoden ist Phishing – der Versuch, über gefälschte E-Mails oder Webseiten an vertrauliche Daten wie Passwörter oder Kontoinformationen zu gelangen. Dabei ist der Mensch oft die größte Schwachstelle in der IT-Sicherheitskette. Phishing-Angriffe nutzen menschliche Schwächen wie Neugier oder Stress aus. Ein unbedachter Klick auf einen manipulierten Link kann verheerende Folgen haben, von Datenverlust bis hin zu finanziellen Einbußen.

Arbeitsrechtlicher Grundsatz
Präventionsmaßnahmen des Arbeitgebers
Pflichten des Arbeitnehmers
Haftung im Schadensfall
Arbeitsrechtliche Konsequenzen
Gemeinsame Aufgabe

Arbeitsrechtlicher Grundsatz

Im Arbeitsverhältnis müssen beide Seiten sorgsam mit dem Eigentum des anderen umgehen. Mitarbeiter dürfen nichts beschädigen, das dem Arbeitgeber gehört – und umgekehrt gilt dasselbe. Diese Sorgfaltspflicht erstreckt sich auch auf die IT-Umgebung. Der gewissenhafte Umgang mit Computern, Netzwerken und sensiblen Daten ist entscheidend, um Sicherheitsrisiken zu vermeiden.

Präventionsmaßnahmen des Arbeitgebers

Arbeitgeber haben die Pflicht, Ihre Mitarbeiter umfassend auf die Gefahren von Cyberangriffen hinzuweisen und geeignete Schutzmaßnahmen zu implementieren. Neben technischen Sicherheitsvorkehrungen sind die Mitarbeiter zu sensibilisieren und zu schulen. Ihnen muss erklärt werden, was eine Phishing-Mail ist, woran man sie erkennen kann uns wie richtig darauf zu reagieren ist.

Pflichten des Arbeitnehmers

Mitarbeiter tragen eine Mitverantwortung für die IT-Sicherheit im Unternehmen. Die Nutzung sicherer Passwörter und Meldung verdächtiger Mails, insbesondere bei ungewöhnlichen Absendern sind Pflicht. Zudem dürfen sich Mitarbeiter den Schulungsmaßnahmen des Arbeitgebers nicht entziehen. Denn durch das Training erhalten sie das benötigte Know-how, um Hackerangriffe zu erkennen.

Haftung im Schadensfall

Klickt ein Mitarbeiter unbedacht auf einen Phishing-Link, kann dies schwerwiegende Folgen haben. Schon kurze Zeit später kann das gesamte Unternehmen lahmgelegt sein. Auch Lösegeldforderungen sind möglich. Die Frage der Haftung hängt entscheiden vom Grad des Verschuldens ab. Für typische Fehler, die im Arbeitsalltag passieren können, trägt der Arbeitgeber das Risiko. Zudem obliegt dem Arbeitgeber der Nachweis, dass der Klick auf den Phishing-Link die Schadensursache war und nicht z.B. eine veraltete IT-Sicherheitsstruktur. Jedoch haftet der Mitarbeiter voll, wenn er sich unverantwortlich oder absichtlich falsch verhalten hat. Bei üblicher Unachtsamkeit wird der Schaden zwischen Arbeitgeber und Mitarbeiter aufgeteilt. Nur bei leichter Fahrlässigkeit haftet der Mitarbeiter regelmäßig nicht. An dieser Stelle ist entscheidend, ob, wann und wie der Mitarbeiter geschult wurde.

Arbeitsrechtliche Konsequenzen

Auch ohne großen Schaden kommen von der Abmahnung bis zur fristlosen Kündigung alle arbeitsrechtlichen Sanktionsmaßnahmen in Betracht. Denn wer trotz entsprechender Schulungen auf einen Phishing-Link klickt und damit gegen klare Vorgaben und Schulungsinhalte verstößt, begeht eine Vertragspflichtverletzung.

Gemeinsame Aufgabe

Phishing bleibt eine erhebliche Bedrohung für die IT-Sicherheit in Unternehmen. Arbeitgeber und Arbeitnehmer müssen gemeinsam daran arbeiten, Angriffsrisiken zu minimieren. Mit der richtigen Kombination aus Schulung, technischen Sicherheitsmaßnahmen und klaren Richtlinien kann das Risiko erfolgreicher Angriffe erheblich reduziert werden. Letztlich trägt jeder im Unternehmen Verantwortung für den Schutz sensibler Daten und Systeme.

Stand: 23. Januar 2025