Cybersecurity

Cybersecurity im Unternehmen: Warum eine Betriebsvereinbarung heute wichtiger ist denn je

Cybersecurity im Unternehmen: Warum eine Betriebsvereinbarung heute unverzichtbar ist

Cyberangriffe gehören längst zum Unternehmensalltag. Dabei sind nicht nur große Konzerne betroffen. Gerade kleine und mittelständische Unternehmen geraten zunehmend ins Visier von Cyberkriminellen, weil dort die technischen und organisatorischen Sicherheitsmaßnahmen häufig weniger umfangreich sind.

Das größte Risiko geht dabei oft nicht von spektakulären Angriffen auf Unternehmensserver aus, sondern von täuschend echten Phishing-E-Mails. Durch den Einsatz künstlicher Intelligenz haben sich diese Angriffe in den vergangenen Jahren erheblich weiterentwickelt. E-Mails wirken heute sprachlich fehlerfrei, individuell formuliert und sind kaum noch von echter Geschäftskorrespondenz zu unterscheiden. Der sprichwörtliche „Prinz aus Nigeria“, dessen E-Mails früher bereits an schlechtem Deutsch zu erkennen waren, schreibt heute nahezu perfektes Deutsch und tritt häufig unter dem Namen von Geschäftspartnern, Banken oder sogar Kollegen auf.

Die Folgen eines erfolgreichen Angriffs können erheblich sein: Produktionsausfälle, Datenverlust, Datenschutzverletzungen, erhebliche finanzielle Schäden sowie ein nachhaltiger Imageschaden. Besonders kritisch ist, dass viele Cyberangriffe nicht an technischen Schwachstellen ansetzen, sondern den Menschen als vermeintlich schwächstes Glied der Sicherheitskette ausnutzen.

Umso wichtiger ist es, neben technischen Schutzmaßnahmen auch klare organisatorische Vorgaben zu schaffen. Eine rechtssicher ausgestaltete Betriebsvereinbarung oder – in Unternehmen ohne Betriebsrat – eine verbindliche IT-Richtlinie legt den sicheren Umgang mit IT-Systemen fest, definiert Verantwortlichkeiten und sensibilisiert Beschäftigte für typische Gefahren. Sie ist damit ein wichtiger Baustein eines modernen Cybersecurity-Konzepts.

Die größte Sicherheitslücke sitzt häufig vor dem Bildschirm

Moderne Firewalls, Antivirenprogramme und Sicherheitsupdates sind unverzichtbar. Dennoch beginnen viele Cyberangriffe mit einer einzigen unbedachten Handlung eines Mitarbeiters.

Typische Beispiele sind:

  • Öffnen einer täuschend echten Phishing-E-Mail
  • Installation einer vermeintlich harmlosen Software
  • Nutzung unsicherer USB-Sticks
  • Wiederverwendung identischer Passwörter
  • Speichern von Unternehmensdaten auf privaten Geräten

Bereits ein einziger erfolgreicher Angriff kann dazu führen, dass Kriminelle Zugriff auf vertrauliche Unternehmensdaten erhalten oder ganze Netzwerke verschlüsseln.

 

Cyberangriffe treffen jedes Unternehmen

Ein klassisches Szenario:

Ein Mitarbeiter lädt aus dem Internet kostenlos einen PDF-Konverter herunter. Tatsächlich installiert sich im Hintergrund Schadsoftware. Diese zeichnet sämtliche Tastatureingaben auf.

Die Folgen können gravierend sein:

  • Zugangsdaten zum Firmennetzwerk werden ausgespäht.
  • Passwörter für Cloud-Dienste gelangen in fremde Hände.
  • Online-Banking-Zugänge werden kompromittiert.
  • Geschäftsgeheimnisse werden kopiert.
  • Kundendaten werden entwendet.

Neben erheblichen wirtschaftlichen Schäden drohen häufig auch Bußgelder nach der DSGVO sowie Schadensersatzforderungen.

Technische Sicherheitsmaßnahmen sind Pflicht

Ein wirksames Sicherheitskonzept besteht aus mehreren Bausteinen.

Hierzu gehören insbesondere:

  • regelmäßige Sicherheitsupdates
  • aktuelle Antivirenprogramme
  • Firewall-Systeme
  • Mehr-Faktor-Authentifizierung
  • regelmäßige Datensicherungen
  • eingeschränkte Installationsrechte
  • zentrale Softwareverwaltung

Mitarbeiter sollten grundsätzlich keine Programme eigenständig installieren dürfen. Schadsoftware versteckt sich häufig in vermeintlich kostenlosen Tools oder Browser-Erweiterungen.

Sichere Passwörter bleiben unverzichtbar

Trotz moderner Authentifizierungstechniken sind Passwörter weiterhin eines der wichtigsten Sicherheitsinstrumente.

Empfehlenswert sind:

  • lange Passwörter oder Passphrasen
  • unterschiedliche Passwörter für verschiedene Dienste
  • Passwortmanager
  • Zwei-Faktor-Authentifizierung
  • regelmäßige Überprüfung kompromittierter Zugangsdaten

Eine leicht zu merkende Methode besteht darin, aus einem persönlichen Satz die Anfangsbuchstaben zu verwenden.

Aus einem leicht merkbaren Satz lässt sich ein sehr sicheres Passwort bilden, indem die Anfangsbuchstaben, Zahlen und Satzzeichen übernommen werden.

Beispielsatz:

Borussia Dortmund ist der beste Fußballverein der Welt und war 2011 und 2012 deutscher Meister!

Passwort:

BDidbFdWuw2011u2012dM!

Diese Methode hat mehrere Vorteile:

  • langes Passwort
  • Groß- und Kleinbuchstaben
  • Zahlen enthalten
  • Sonderzeichen (Punkt)
  • leicht zu merken, aber für Dritte schwer zu erraten

Hinweis: Für maximale Sicherheit sollte für jeden Dienst ein eigenes Passwort verwendet werden. Am einfachsten gelingt dies mit einem Passwortmanager. Zusätzlich empfiehlt sich überall dort, wo es angeboten wird, die Zwei-Faktor-Authentifizierung (2FA).

 

Der Mensch bleibt der wichtigste Sicherheitsfaktor

Die beste IT-Infrastruktur schützt nicht vor Fehlverhalten.

Deshalb sollten Unternehmen ihre Beschäftigten regelmäßig sensibilisieren.

Dazu gehören insbesondere Schulungen zu:

  • Phishing-Mails
  • Social Engineering
  • Umgang mit USB-Sticks
  • Datenträgern
  • Cloud-Diensten
  • Passwortsicherheit
  • Datenschutz
  • Mobilem Arbeiten
  • KI-Anwendungen im Unternehmen

Regelmäßige Awareness-Schulungen zählen heute zu den wirksamsten Maßnahmen gegen Cyberangriffe.

 

Warum eine Betriebsvereinbarung sinnvoll ist

Technische Vorgaben allein reichen häufig nicht aus.

Unternehmen sollten klare Regelungen schaffen, welche Nutzung der betrieblichen IT zulässig ist.

Eine Betriebsvereinbarung schafft Rechtssicherheit und sorgt dafür, dass für alle Beschäftigten dieselben Regeln gelten.

Eine Betriebsvereinbarung ist eine schriftliche Vereinbarung zwischen Arbeitgeber und Betriebsrat, die verbindliche Regelungen für alle Beschäftigten eines Unternehmens festlegt. Sie dient dazu, betriebliche Abläufe einheitlich zu gestalten, Rechte und Pflichten zu regeln und Rechtssicherheit für Arbeitgeber und Arbeitnehmer zu schaffen. Rechtsgrundlage sind insbesondere die §§ 77 ff. Betriebsverfassungsgesetz (BetrVG).

Typische Inhalte einer Betriebsvereinbarung sind:

  • zulässige Internetnutzung
  • private Nutzung betrieblicher Systeme
  • Installation von Software
  • Passwortvorgaben
  • Umgang mit E-Mails
  • Nutzung von Cloud-Diensten
  • Mobile Devices
  • Homeoffice
  • Meldepflichten bei Sicherheitsvorfällen
  • Datenschutz
  • Protokollierung und Kontrolle unter Beachtung der Mitbestimmungsrechte des Betriebsrats

Gerade bei Fragen der technischen Überwachung bestehen regelmäßig Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Deshalb sollte eine Betriebsvereinbarung sorgfältig formuliert werden.

Betriebsvereinbarung oder IT-Richtlinie?

Nicht jedes Unternehmen verfügt über einen Betriebsrat.

In diesem Fall bietet sich häufig eine verbindliche IT-Richtlinie oder entsprechende arbeitsvertragliche Regelung an.

Besteht hingegen ein Betriebsrat, lassen sich viele Fragen durch eine Betriebsvereinbarung unternehmensweit einheitlich regeln. Das schafft Rechtssicherheit und erspart individuelle Vertragsänderungen mit jedem einzelnen Arbeitnehmer.

Neue Herausforderungen durch KI

Die zunehmende Nutzung von KI-Systemen wie ChatGPT, Microsoft Copilot oder anderen KI-Anwendungen schafft zusätzliche Risiken.

Beschäftigte geben teilweise vertrauliche Informationen in externe KI-Systeme ein, ohne sich der Folgen bewusst zu sein.

Deshalb sollte eine moderne Betriebsvereinbarung heute unter anderem regeln:

  • welche KI-Anwendungen genutzt werden dürfen,
  • welche Unternehmensdaten eingegeben werden dürfen,
  • wann eine Anonymisierung erforderlich ist,
  • welche Dokumentationspflichten bestehen,
  • welche Freigabeprozesse einzuhalten sind.

Viele ältere Betriebsvereinbarungen berücksichtigen diese neuen Risiken noch nicht.


Praxis-Tipp vom Rechtsanwalt

Cybersecurity ist heute keine reine Aufgabe der IT-Abteilung. Unternehmen sollten technische Schutzmaßnahmen, Mitarbeiterschulungen und klare rechtliche Vorgaben miteinander kombinieren. Eine individuell auf Ihr Unternehmen zugeschnittene Betriebsvereinbarung oder IT-Richtlinie reduziert nicht nur Sicherheitsrisiken, sondern schafft auch klare Verantwortlichkeiten und vermeidet arbeitsrechtliche Streitigkeiten. Gerade im Hinblick auf Homeoffice, Cloud-Dienste und den Einsatz von KI lohnt sich eine regelmäßige Überprüfung bestehender Regelungen.

Fazit

Cyberkriminalität entwickelt sich ständig weiter. Während technische Sicherheitsmaßnahmen unverzichtbar sind, bleibt der Mensch häufig das größte Einfallstor für Angriffe.

Klare Regeln zur Nutzung der betrieblichen IT, regelmäßige Schulungen und eine rechtssichere Betriebsvereinbarung bilden deshalb einen wesentlichen Bestandteil eines modernen Informationssicherheitskonzepts.

Unternehmen, die frühzeitig handeln, reduzieren nicht nur das Risiko von Hackerangriffen, sondern stärken zugleich Datenschutz, Compliance und die Rechtssicherheit ihrer internen Prozesse.

Ihr Ansprechpartner für IT-Recht und Arbeitsrecht

Die Einführung einer Betriebsvereinbarung oder IT-Richtlinie sollte nicht anhand von Mustervorlagen erfolgen. Jedes Unternehmen hat unterschiedliche Arbeitsabläufe, technische Systeme und rechtliche Anforderungen. Ich unterstütze Unternehmen bei der Erstellung rechtssicherer Regelungen zur IT- und Internetnutzung, zur Nutzung von KI-Systemen sowie zu Datenschutz- und Compliance-Fragen. So schaffen Sie klare Vorgaben für Ihre Beschäftigten und reduzieren das Risiko kostspieliger Cybervorfälle. Kontaktieren Sie mich gerne für eine individuelle Beratung.

Häufig gestellte Fragen (FAQ)

Braucht jedes Unternehmen eine Betriebsvereinbarung zur Internetnutzung?

Nein. Eine Betriebsvereinbarung kommt nur bei Bestehen eines Betriebsrats in Betracht. Ohne Betriebsrat können vergleichbare Regelungen durch IT-Richtlinien oder arbeitsvertragliche Vereinbarungen getroffen werden.

Darf der Arbeitgeber die private Internetnutzung verbieten?

Grundsätzlich ja. Ob und in welchem Umfang eine private Nutzung zulässig ist, sollte jedoch ausdrücklich geregelt werden.

Müssen Mitarbeiter regelmäßig geschult werden?

Ja. Regelmäßige Schulungen zur IT-Sicherheit gehören heute zu den wichtigsten organisatorischen Schutzmaßnahmen und werden auch von Datenschutzaufsichtsbehörden erwartet.

Sollte der Einsatz von KI geregelt werden?

Unbedingt. Der Einsatz von KI-Anwendungen kann erhebliche datenschutz- und geheimnisschutzrechtliche Risiken mit sich bringen. Unternehmen sollten hierzu klare Vorgaben schaffen.

Welche Folgen drohen nach einem Cyberangriff?

Neben Betriebsunterbrechungen können Bußgelder, Schadensersatzansprüche, Meldepflichten nach der DSGVO sowie erhebliche Reputationsschäden entstehen.

 

Veröffentlicht in Arbeitsrecht.

Wenn es um Verträge, Abmahnungen oder Ihr Business geht, wird es schnell rechtlich komplex. Rechtsanwalt Hoesmann berät seit fast 20 Jahren Unternehmen und Kreative im Medien-, Urheber- und Wirtschaftsrecht – klar, pragmatisch und lösungsorientiert.