Posts mit dem Label Locky werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Locky werden angezeigt. Alle Posts anzeigen

Sonntag, 7. Mai 2017

Locky ist wieder da - und die Version 2.0 der Ransomware ist gefährlicher denn je!

Achtung: Locky ist wieder da!


Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Locky 2.0 ist wieder da - yourIT informiert Sie jetzt über die Gefahr

Weitere Informationen zu Locky 2.0 jetzt auf unserem Blog simplify-yourIT...

Bitte informieren Sie jetzt auch Ihre Kollegen und Bekannten, bevor diese den Hackern in die Falle gehen.

Montag, 26. September 2016

Download von Schadsoftware am Arbeitsplatz - Finger weg von der Privatnutzung

Ein Arbeitnehmer surft an seinem Arbeitsplatz immer wieder privat im Internet. Nur in den Pausen natürlich. Er weiß genau, dass die Unternehmensleitung privates Surfen verboten hat. Aber auch die Vorgesetzten wissen Bescheid. Und bisher hat keiner etwas dagegen gesagt. Eines Tages läuft es aber ziemlich schlecht: Der Mitarbeiter lädt sich eine Software herunter und speichert sie auf dem Dienst-PC. Dabei fängt er sich aggressive Schadsoftware ein. Der PC liegt lahm. Bekommt er jetzt Ärger?


Ein (Datenschutz-) Verstoß mit Folgen


Es war zwar offiziell verboten, aber im Alltag störte es niemanden, auch keinen Vorgesetzten. Und das übrigens ausgerechnet in einem Sachverständigenbüro für Kriminaltechnik. Deshalb nutzte ein Mitarbeiter in den Pausen das Internet immer wieder privat.

Eines Tages installierte er eine Software auf seinem Dienst-PC, mit der man Tondateien verkleinern kann. Für seine Arbeit braucht er diese Software nicht. Leider fing er sich beim Herunterladen einen ganzen Rattenschwanz an Schadsoftware ein. Der PC lag still. Ein Fachmann musste ihn wieder in Gang bringen. Das kostete den Arbeitgeber 865 Euro.

Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg
Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg

Schadensersatz und fristlose Kündigung


Dieses Geld will der Arbeitgeber jetzt von seinem Arbeitnehmer zurück. Außerdem hat er ihm fristlos gekündigt. Begründung: Verstoß gegen das Verbot, das Internet am Arbeitsplatz privat zu nutzen!

Der Arbeitnehmer wehrt sich


Der Arbeitnehmer fühlte sich im falschen Film. Kann es sein, dass die Unternehmensleitung Verstöße gegen dieses Verbot erst toleriert – wenn dann aber mal etwas passiert, gleich grob wird? Das wollte er nicht glauben. Deshalb klagte er gegen die Kündigung. Außerdem weigerte er sich, die 865 Euro zu zahlen. Schließlich – so dachte er sich – muss man für Fehler am Arbeitsplatz doch im Normalfall überhaupt nicht haften. Auch wenn es einen Schaden gibt.

Fiasko bei Gericht


Mit dieser Haltung hatte er beim Landesarbeitsgericht Mainz allerdings gleich doppelt Pech: Erstens bestätigte das Gericht die fristlose Kündigung. Zweitens verurteilte es ihn dazu, die 865 Euro zu zahlen. Für beides nennt das Gericht gute Gründe.

Fristlose Kündigung bestätigt


Was die fristlose Kündigung angeht, spielt es aus der Sicht des Gerichts kaum eine Rolle, dass die Unternehmensleitung privates Surfen tolerierte. Im konkreten Fall hilft das dem Kläger nichts. Was der Kläger getan hat, war nämlich nicht einfach „ein bisschen surfen“. Vielmehr hat er für rein private Zwecke Software heruntergeladen und installiert. Das ist viel gefährlicher als reines Surfen.

Außerdem hatte der Virenscanner beim Installieren einen Warnhinweis gegeben. Den hatte der Kläger jedoch einfach weggeklickt. Das war aus der Sicht des Gerichts besonders leichtfertig. Und schließlich hatte die Unternehmensleitung den Kläger im Laufe des letzten Jahres auch noch dreimal im Datenschutz schulen lassen. Er hätte also wissen müssen, was Sache ist.

Abmahnung entbehrlich


Insgesamt kommt das Gericht deshalb zu der Auffassung, dass sich der Arbeitgeber auf den Kläger nicht mehr verlassen kann. Aus rein privaten Interessen war dem Kläger die Sicherheit des EDV-Systems letztlich egal. Weil das schwer wiegt, musste der Arbeitgeber ihn vor einer Kündigung nicht erst abmahnen.

Dem Kläger hätte auch ohne Abmahnung klar sein müssen, dass der Arbeitgeber ein solches Verhalten auf keinen Fall toleriert. Deshalb konnte der Arbeitgeber sofort fristlos kündigen, und das Gericht erklärte diese Kündigung für wirksam.

Schadensersatzpflicht des Arbeitnehmers


Das nächste Fiasko erlebte der Kläger bei der Frage des Schadensersatzes. 865 Euro sind für den Kläger viel Geld. Sein Monatslohn betrug nämlich nur 2800 Euro brutto. Dennoch sieht das Gericht keinen Grund, schonend mit dem Kläger umzugehen. Er muss die 865 Euro zahlen.

Den Betrag an sich hält das Gericht für angemessen. Dabei argumentiert es vereinfacht gesagt so, dass ein Fachmann, der Schadsoftware beseitigt, eben nicht billig ist. Außerdem ist eine solche Arbeit relativ aufwendig.

Keinerlei Haftungserleichterung


Über irgendeine Haftungserleichterung verliert das Gericht in seiner Entscheidung kein Wort. Das lässt sich leicht erklären. Der Kläger hat den Schaden nämlich gar nicht während der Arbeit angerichtet. Die Software hat er vielmehr für rein private Zwecke während der Pause heruntergeladen. Und das hat mit der Arbeit natürlich nichts zu tun.

Wer das Urteil selbst lesen will, findet es mit dem Aktenzeichen 5 Sa 10/15 im Internet sofort.

Die wichtigste Lehre aus dem Urteil lautet: Bloß weil ein Arbeitgeber nichts unternimmt, wenn Mitarbeiter gegen ein Verbot verstoßen, ist noch lange nicht alles Mögliche erlaubt! Wenn er zum Beispiel privates Surfen duldet, nimmt er privates Herunterladen von Software nicht zwangsläufig in Kauf.

Der Schaden hätte weitaus höher ausfallen können


Unserer Meinung nach hat der Arbeitnehmer sogar noch Glück im Unglück gehabt. Stellen Sie sich vor, der Virus hätte nicht nur den eigenen Rechner lahmgelegt, sondern - wie es bei Erpressungstrojanern wie Locky & Co. derzeit leider üblich ist - das gesamte Unternehmensnetzwerk und evtl. sogar noch Netzwerke von Kunden und Lieferanten. Dann wäre die zu ersetzende Rechnung der IT-Spezialisten für die Behebung des Schadens schnell weitaus höher ausgefallen. Und dazu käme unter Umständen noch Betriebsausfall, etc.

Fazit: Finger weg von der Privatnutzung von Internet und E-Mail am Arbeitsplatz


Wenn Sie kein Risiko eingehen möchten, Ihren Arbeitsplatz zu verlieren und zusätzlich auf hohen Rechnungen sitzen zu bleiben, sollten Sie als Arbeitnehmer die Finger lassen von der Privatnutzung von Internet und E-Mail am Arbeitsplatz. Alles andere wäre grob fahrlässig.

Nachtrag vom 18.03.2017: Kommentar unseres IT-Rechtsanwalts zum Thema Privatnutzung

"Hallo Thomas,

Es gibt in der Tat Urteile, die der Meinung sind, dass es ausreicht, in einer Dienstanweisung der Privatnutzung zu untersagen. Danach könne der Arbeitgeber darauf vertrauen, dass der Arbeitnehmer sich daran hält. Deshalb könne auch niemals eine betriebliche Übung entstehen mit der Folge, dass der Arbeitnehmer trotzdem wieder das Recht zu Privatnutzung hat.

Nach anderer Auffassung kann eine tatsächliche Handhabung im Betrieb (betriebliche Übung) aber auch schriftliche Vereinbarungen im Arbeitsvertrag oder einer Dienstanweisung wieder aufheben. Danach würde eine solche schriftliche Dienstanweisung nicht alleine ausreichen. Weitere Voraussetzung wäre dann aber, dass der Arbeitgeber davon weiß, dass privat genutzt wird und dieses duldet. Insoweit wären regelmäßige Kontrollen – und notwendigerweise auch daraus folgende Sanktionen (Ermahnung, Abmahnung, Kündigung) – nach wie vor geboten, um ganz sicher zu sein, kommuniziert zu haben, dass man Privatnutzung nicht duldet.

Schließlich sind die Kontrollen aber auch noch aus einem anderen Grund notwendig:


Neben den arbeitsrechtlichen Problemen der betrieblichen Übung und einer daraus folgenden Berechtigung der Arbeitnehmer zur Privatnutzung bringt die Privatnutzung von E-Mail und Internet ja auch noch andere Risiken für das Unternehmen, zum Beispiel eine vervielfachte Gefahr, Schadsoftware ins Unternehmen zu holen. Da die Geschäftsführung verpflichtet ist, alle vorhersehbaren Risiken zu erkennen und möglichst zu vermeiden, muss das Unternehmen daher auch, damit die Geschäftsführung nicht haftet, dass private E-Mailen entweder ganz verbieten oder technisch im Unternehmen so einrichten, dass Schadsoftware nicht ins Unternehmen gelangen kann. Das soll wohl möglich sein, indem man die Benutzung von Freemail-Accounts zulässt.

Das Problem verschärft sich noch, wenn solche Schadsoftware möglicherweise an Dritte, Kunden oder Lieferanten, weitergegeben wird. Dann entsteht ein Schaden nicht nur im Unternehmen selbst sondern auch noch bei Dritten. Und für all das haftet die Geschäftsführung.

Die GoBD stellt Anforderungen an die Unversehrtheit der Daten


Schließlich gibt es eine ganze Reihe anderer Gesetze, die eine ordnungsgemäße EDV und eine Unversehrtheit der Daten verlangt, zum Beispiel die GoBD usw. All diese gesetzlichen Anforderungen sind gefährdet, wenn man die IT-Sicherheit durch vermehrten E-Mail-Verkehr und Internetnutzung gefährdet.

Wir raten daher ebenfalls immer dazu, Kontrollen einzuführen. Bezeichnenderweise erlaubt selbst § 88 Abs. 3 TKG, das Fernmeldegeheimnis, die Durchführung von Kontrollen und Einsichtnahme in Telekommunikationsnachrichten, wenn dies notwendig ist, um die Sicherheit von Systemen aufrechtzuerhalten. Bedenkt man, dass eine anderweitige Kenntnisnahme solcher Nachrichten strafbar ist gemäß § § 88 TKG, 206 StGB, zeigt dies, wie hoch das Gesetz die IT- Sicherheit stellt.

Wir halten es daher für falsch, die Einhaltung eines Verbotes von privatem Emailen und privater Internetnutzung nicht regelmäßig zu kontrollieren. Der Bundesgerichtshof verlangt vom Geschäftsführer ausdrücklich, dass er Schutzmechanismen einführt und deren Einhaltung regelmäßig kontrolliert."

Soweit unser Rechtsanwalt. Es kann also nicht schaden, trotz des oben genannten Urteils das Verbot der Privatnutzung von Internet und E-Mail regelmäßig zu kontrollieren. Immerhin verlangt auch die EU-DSGVO in Artikel 39 (1) b) vom Datenschutzbeauftragten die Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.