Viren und andere Malware: Was müssen Unternehmen beachten?

Im Internet lauern viele Gefahren – auch durch Betrüger, die mit Viren, Trojanern und Co. vor allem eines versuchen: an das Geld anderer Leute zu kommen. Man sollte daher nicht allzu blauäugig interessant klingende E-Mails, links oder Anhänge öffnen oder ohne Virenschutzsoftware im Internet surfen. 

Für Aufsehen und großen Schaden sorgen immer wieder Erpresser, die mit Viren und Co. die Festplatten ihrer Opfer verschlüsseln. Diese können ihre Daten nur noch retten, indem sie das geforderte „Lösegeld“ zahlen. Geschädigte fragen sich daher: Kann man sich überhaupt gegen eine „Virus-Attacke“ wehren und welche Sicherheitsvorkehrungen sind wirklich sinnvoll? 

Malware: Computerviren und ihre Folgen

Betrüger werden immer einfallsreicher, wenn es darum geht, Schadsoftware zu entwickeln. Früher konnte man eindeutiger zwischen beispielsweise einem Virus, einem Wurm und einem Trojaner unterscheiden. Heutzutage sind eher Kombinationen dieser Schädlinge im Umlauf, was ihre Entdeckung und Bekämpfung natürlich erschwert. 

Zusammenfassend kann man jedoch sagen, dass die Schädlinge vor allem über E-Mails oder durch das Anklicken von Links auf Websites auf den Rechner geraten und sich dort verbreiten bzw. die dort vorhandenen Programme oder Dateien durchsuchen und manipulieren. Die Auswirkungen können verheerend sein – lediglich verzögerte Prozesse sind dann das geringste Problem des Unternehmers. Schlimmstenfalls werden relevante Daten, z. B. Passwörter oder Kreditkartennummern, ausspioniert und an den Hacker weitergeleitet, der dann z. B. mit der Kreditkartennummer Waren einkaufen oder auch auf anderen Rechnern – etwa mittels Spam-Attacken – Schaden anrichten kann. Das wiederum kann dazu führen, dass sich der Betroffene plötzlich Abmahnungen, Zahlungsklagen oder Schadenersatzforderungen ausgesetzt sieht. 

Virus eingeschleppt – Wer haftet?

Weil der Hacker bzw. Entwickler des Virus in der Regel unauffindbar bleibt, wenden sich Geschädigte mit ihren Schadenersatzforderungen eher an das Unternehmen, das z. B. die verseuchte E-Mail verschickt hat. Das jedoch weiß zumeist gar nichts von dem Virusbefall. 

Haftet das Unternehmen für die Verbreitung eines Computervirus?

Die Kenntnis spielt für die Schadenersatzpflicht jedoch grundsätzlich keine Rolle. Für eine Haftung genügt es bereits, dass ein Unternehmen keine oder nur ungenügende Virenschutzmaßnahmen getroffen hat, obwohl es hierzu verpflichtet war. Das ist unter anderem der Fall, wenn es eine Gefahrenquelle schafft, z. B. indem es Werbe-E-Mails verschickt. 

Ein Unternehmen kann aufgrund der Verletzung einer vertraglichen Nebenpflicht gemäß §§ 280 und 241 Bürgerliches Gesetzbuch (BGB) schadensersatzpflichtig werden. Um seine Geschäftspartner vor Schäden durch Malware zu bewahren, sollte es schließlich Virenschutzmaßnahmen ergreifen. Auch kommt eine deliktische Haftung nach § 823 BGB in Verbindung mit einem Schutzgesetz – z. B. § 303b Strafgesetzbuch (StGB) – in Betracht, etwa wegen Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb. Insgesamt ist jedoch zu berücksichtigen, dass der Geschädigte vor allem im B2B-Bereich an dem Schaden eine Mitschuld tragen könnte – ist er doch ebenfalls dazu verpflichtet, Virenschutzmaßnahmen zu ergreifen, um seine(n) Rechner vor Virenattacken zu schützen. 

Haftet der Arbeitnehmer bei einem Virus-Download? 

Hat ein Mitarbeiter – auch während der erlaubten oder geduldeten Privatnutzung des Rechners – den Virenbefall durch z. B. das Anklicken einer verseuchten E-Mail verursacht, kann der Arbeitgeber unter Umständen Schadenersatz nach den Regeln des sog. innerbetrieblichen Schadensausgleichs verlangen. Wie hoch die Haftung ausfällt bzw. ob der Mitarbeiter überhaupt haften muss, hängt hierbei vom Grad seines Verschuldens ab. Eine vollständige Haftung des Beschäftigten droht aber nur, wenn er es absichtlich auf den Schaden angelegt hat, indem er etwa genau wusste, dass eine E-Mail verseucht ist und er den Anhang dennoch öffnet. 

Schutz vor Viren: Antivirensoftware und weitere Maßnahmen

Im Umgang mit dem virtuellen Ungeziefer müssen Unternehmen organisatorische Abwehrmaßnahmen ergreifen, um einer Haftung zu entgehen. So haben Unternehmen nach dem Bundesdatenschutzgesetz (BDSG) und der Datenschutzgrundverordnung (DSGVO) die Pflicht, für eine sichere IT-Infrastruktur und ein sog. IT-Risikomanagement zu sorgen, um Daten von Mitarbeitern, Kunden oder Geschäftspartnern zu schützen. Dazu gehört, dass sie  

• eine professionelle Virenschutzsoftware sowie eine Firewall verwenden – beide müssen, wie auch der Browser und das Betriebssystem, stets auf dem aktuellsten Stand sein, 
• einen Datenschutzbeauftragten beschäftigen, der für die Einhaltung der Sicherheitsmaßnahmen sorgt, 
• vertrauliche Daten auf den Dienstrechnern zusätzlich schützen, etwa durch die Verschlüsselung der gesamten Festplatte oder der einzelnen Datei, 
• Schnittstellen, z. B. für USB-Sticks, deaktivieren, 
• Filterlisten einsetzen – Websites, die sich auf dieser Liste befinden, können von den Mitarbeitern des Unternehmens nicht mehr aufgerufen werden – und 
• ihre Beschäftigten angemessen über die „Gefahren“ des Internets aufklären und sie entsprechend schulen. So sollten sie etwa wissen, dass sie bei E-Mails niemals ungeprüft Dateianhänge öffnen dürfen – schon gar nicht, wenn es sich um ausführbare Programm-Dateien wie .exe, .bat oder .vbs handelt. Virenbehaftete E-Mails können in der Regel auch daran erkannt werden, dass sie entweder keinen, einen besonders interessanten oder fremdsprachigen Betreff haben. Auch sollten die Links in solchen E-Mails nicht einfach angeklickt werden, da diese zumeist auf infizierte Webseiten verlinken. 

(VOI)