Cybercrime: Ist Ihr Unternehmen rechtlich gegen Risiken im Internet abgesichert?

Cyberattacken, Datenverlust, Erpressung: Hacker nehmen kleine und mittlere Unternehmen (KMU) gerne ins Visier, da diese gegen Cybercrime weniger gut geschützt sind als Grosskonzerne. Viele Firmen vergessen zudem, dass bei Internetkriminalität auch rechtliche Fragen und Streitigkeiten auftauchen können. 

Mit welchen Kriminellen habe ich es als Unternehmen im Cyberspace zu tun, und was ist deren Ziel?

Die Spanne der Cyberkriminalität reicht von Phishing-Attacken über Distributed Denial of Service Attacken (DDoS-Attacken) bis hin zu Onlinebetrug und Industriespionage. In den meisten Fällen haben es die Cyberkriminellen – wie auch Kriminelle im «echten» Leben – aufs Geld ihrer Opfer abgesehen. Manchmal geht es auch um die Rufschädigung einer natürlichen oder juristischen Person.

Die Computer unseres Start-ups wurden gehackt und wir werden erpresst. Wie kann ich rechtlich gegen die Täter vorgehen?

In diesem Fall sollten Sie umgehend die Strafbehörden einschalten. Diese verfügen mittlerweile über spezialisierte Einheiten zur Bekämpfung von Internetkriminalität. 

Was ist Social Engineering und wie kann ich mein Unternehmen davor schützen?

Social Engineering ist eine besonders tückische Methode im Bereich des Cybercrime. Dabei nutzen Angreiferinnen und Angreifer nicht technische Schwachstellen aus, sondern menschliche. Durch psychologische Manipulation werden Mitarbeitende dazu gebracht, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Mit dem Fortschritt der künstlichen Intelligenz (KI) hat Social Engineering eine neue Dimension erreicht: Sprach- und Textgeneratoren erzeugen heute täuschend echte E-Mails, Chatverläufe oder sogar Anrufe. In der KI-gestützten emotionalen Täuschung imitieren Angreifende gezielt den Kommunikationsstil vertrauter Personen oder erzeugen künstliche Dringlichkeit, um Opfer unter Druck zu setzen. Die Manipulation durch KI wirkt glaubwürdiger als je zuvor.

So schützen Sie Ihr Unternehmen:

• Regelmässige Schulungen für die Mitarbeitenden, um sie für die Methoden des Social Engineering zu sensibilisieren, mit besonderem Augenmerk auf den Gefahren von KI-gestützter Manipulation.
• Ermutigung der Mitarbeitenden, Verdachtsfälle zu melden, damit potenzielle Angriffe frühzeitig erkannt und abgewehrt werden können.
• Klare Richtlinien für den Umgang mit sensiblen Daten

Angenommen, meine Firma wird gehackt und vertrauliche Daten werden gestohlen. Selbst wenn der Täter gefasst wird – sind meine Daten nicht längst in dritter Hand?

Digitale Daten sind volatil und können einfach kopiert werden. Sie müssen tatsächlich damit rechnen, dass Ihre Daten schon weitergegeben wurden. Eine gute Cybersecurity ist deshalb Pflicht.

Wie sieht es mit der Strafverfolgung bei Cybercrime aus – im Vergleich zu anderen Bereichen? 

Die Schweizer Strafbehörden haben spezialisierte Dienste, z. B. die Abteilung Cybercrime in Zürich. Die nationale und internationale Zusammenarbeit funktioniert gut. Man muss jedoch realistisch bleiben: Nicht alle Täter im World Wide Web werden gefasst.

Ich habe gelesen, dass Cyberkriminelle vermehrt einzelne Mitarbeitende, die Zugang zu vertraulichen Daten besitzen, via Social Media ausspähen und deren Rechner hacken. Kann ich meinen HR-Angestellten oder meinem CFO verbieten, auf Instagram oder Facebook aktiv zu sein? 

Ja, das können Sie. Gestützt auf das Weisungsrecht kann die Arbeitgeberin oder der Arbeitgeber Weisungen zur Nutzung von Social Media erlassen. Als Unternehmerin oder Unternehmer können Sie Ihren Mitarbeitenden zum Beispiel verbieten, vom Computer ihres Arbeitsplatzes aus auf soziale Netzwerke zuzugreifen. Sie dürfen darüber bestimmen, wie die Arbeitsgeräte zu verwenden sind. Wird jedoch keine Weisung erlassen, dürfen die Mitarbeitenden ihre Computer in begrenztem Umfang für den Zugang zu Social-Media-Plattformen nutzen.

Ich bin Besitzer eines Restaurants. Eine Mitarbeiterin wurde auf einer Bewertungsplattform aufgrund einer angeblich schlechten Serviceleistung persönlich angegriffen und beleidigt. Wie kann ich rechtlich dagegen vorgehen und meine Angestellte schützen?

Zu Beweiszwecken sollten Sie vom Eintrag auf der Social-Media-Plattform sofort einen Screenshot machen. Danach können Sie die Löschung des Beitrags bei der Gegenpartei verlangen. In jedem Fall sollten Sie die Rechtsverletzung auch der Plattform melden, damit diese den Beitrag löschen und die Verursacherin oder den Verursacher sperren kann. Das ist meist die einzige Möglichkeit, einen Kommentar löschen zu lassen, wenn die Schreiberin oder der Schreiber der Beleidigung nicht gefunden werden kann.

Ausserdem haben Sie die Möglichkeit, Strafanzeige zu erstatten: Gemäss schweizerischem Gesetzbuch können Cybermobberinnen und Cybermobber unter anderem aufgrund von Beschimpfung, übler Nachrede und Verleumdung verklagt werden.

Was ist der Unterschied zwischen der Cyberversicherung für Unternehmen und der Zusatzversicherung «Persönlichkeits- und Internet-Rechtsschutz»?

Die Cyberversicherung für Unternehmen der AXA schützt Sie vor den unmittelbaren Schäden eines Cyberangriffs und wehrt Schadenersatzansprüche anderer Personen ab. Zum Beispiel, wenn sensible Daten von Ihren Kundinnen und Kunden gestohlen wurden, die nun ihrerseits Schadenersatz geltend machen.

Die Zusatzversicherung «Persönlichkeits- und Internetrechtsschutz» der AXA, in Ergänzung zur Betriebsrechtsschutzversicherung, hilft bei Persönlichkeitsverletzungen im Internet. Sie bietet Rechtsschutz bei Identitäts- oder Kreditkartenmissbrauch sowie bei Verträgen betreffend Internetzugang und -domain.

Ich wurde vom Anwalt einer anderen Firma aufgefordert, meine Internetdomain zu ändern: Die Markenrechte dieser Firma würden verletzt – und ich solle eine Verzichtserklärung unterschreiben. Muss ich das? 

Das Markenrecht ist im Domain-Bereich hochkomplex und jeder Fall muss im Detail angeschaut werden. Als Faustregel kann man aber sagen: Je ähnlicher die Geschäftsgebiete der Parteien sind, desto verschiedener müssen deren Marken- bzw. Domainnamen sein, damit keine Verwechslungsgefahr entsteht.

Wichtig: Unter keinen Umständen sollten Sie eine Verzichtserklärung ohne vorherige Beratung durch eine Rechtsexpertin oder einen Rechtsexperten unterzeichnen.

Details finden Sie im Blogartikel «Patente, Markenrecht und Urheberschutz».

Ich habe gehört, dass Cyberkriminelle vermehrt künstliche Intelligenz für ihre Angriffe verwenden. Welche neuen Gefahren bringt KI mit sich?

Künstliche Intelligenz birgt in der Cyberwelt sowohl neue Potentiale als auch Risiken. Cyberkriminelle nutzen immer raffiniertere Methoden, um an sensible Daten zu gelangen. Mit dem Einsatz von KI wird ihre Vorgehensweise noch gefährlicher. Ein prominentes Beispiel ist das Phishing, bei dem betrügerische E-Mails verschickt werden, die vorgeben, von vertrauenswürdigen Absendern zu stammen. Durch den gezielten Einsatz von künstlicher Intelligenz wirken diese Phishing-E-Mails noch authentischer, da die KI in der Lage ist, den Schreibstil und die Kommunikationsmuster des vermeintlichen Absenders zu imitieren. Somit steigt die Gefahr, dass Nutzerinnen und Nutzer auf diese betrügerischen E-Mails hereinfallen.

Auch Fake-Webseiten, die zum Datendiebstahl oder zur Verbreitung von Malware dienen, können mithilfe von künstlicher Intelligenz täuschend echt gestaltet werden. Die Fähigkeit der KI, personalisierte Inhalte zu generieren, ermöglicht es Cyberkriminellen, gefälschte Webseiten zu erstellen, die für ihre potenziellen Opfer noch überzeugender wirken.

Des Weiteren sind Deepfakes eine aufkommende Bedrohung, die durch künstliche Intelligenz verstärkt wird. Deep-Learning-Algorithmen, die Gesichter und Stimmen analysieren, können verwendet werden, um gefälschte Audio- und Videoaufnahmen zu erstellen, die kaum von echten Aufnahmen zu unterscheiden sind. Dies eröffnet Cyberkriminellen neue Möglichkeiten für Identitätsbetrug und die Verbreitung von Falschinformationen.

Unternehmen müssen sich auf die zunehmenden Cybergefahren durch KI einstellen. Das bedeutet konkret: Technische Sicherheitslösungen allein reichen nicht mehr - es braucht ein umfassendes Verständnis der Gefahren, die von KI ausgehen, kontinuierliche Weiterbildung und eine laufende Anpassung der Sicherheitsstrategie.

Ein Mitarbeiter hat gekündigt, aber vorher vertrauliche Kundendaten gestohlen. Mit diesen Daten will er ein eigenes Business aufbauen und Kundinnen und Kunden abwerben. Was kann ich dagegen tun?

Der Mitarbeiter verletzt seine Treuepflicht. Sofern das Arbeitsverhältnis noch nicht beendet wurde, wäre eine fristlose Kündigung denkbar. Zudem können Sie den Mitarbeiter auf Schadenersatz und Herausgabe der Daten verklagen.

Daneben kann das Verhalten des Mitarbeiters auch strafrechtlich relevant sein. Mögliche Delikte in diesem Zusammenhang sind: unbefugte Datenbeschaffung, unbefugtes Eindringen in ein Datenverarbeitungssystem und Verletzung des Fabrikations- oder Geschäftsgeheimnisses. Begeht Ihr Mitarbeiter eines dieser Delikte, können Sie Strafanzeige erstatten. 

Immer wieder bricht die Internetverbindung in meinem Unternehmen zusammen, obwohl ich die Rechnungen fristgerecht begleiche. Der Arbeitsausfall meiner Mitarbeitenden kostet mich jeden Monat mehrere tausend Franken. Welche Rechte habe ich?

Hier steht der vertragliche Schadenersatzanspruch im Zentrum. Der Schaden muss jedoch nachgewiesen werden, was nicht immer einfach ist. Erschwerend kommt hinzu, dass Schadenersatzansprüche in Verträgen mit Internetanbietern auch ausgeschlossen werden können: In diesem Fall kann auch bei einem entsprechenden Nachweis kein Schadenersatz durchgesetzt werden. Somit muss eine Juristin oder ein Jurist im Einzelfall entscheiden, ob ein Vorgehen gegen den Internetanbieter aussichtsreich ist.