Haftet ein Systemadministrator bei Hackerangriff?

[bluescr33n]

Hallo zusammen,

 

da sich die Hackerangriffe zur Zeit leider bei immer mehr Firmen häufen, macht sich bei mir allmählich ein etwas mulmiges Gefühl breit.

In unserem Team tun wir unser bestmöglichstes für die Aufrechterhaltung der IT-Sicherheit (Virenschutz, Firewall, Patchmanagement, Ransomware-Schutz, regelmäßiges Ausschauhalten auf heise.de usw.

 

Nehmen wir an, eine Firma wird gehackt, alle Daten verschlüsselt und die Backups werden gleich mitgelöscht / vernichtet.

Da nun alle Daten futsch sind, sind natürlich auch alle "Belege" in Form von Emails usw. futsch, die bezeugen würden, dass die Systemadministratoren alles ihnen Mögliche dafür getan haben um dies zu verhindern im Sinne von "habe Patch xy eingespielt" oder "wir sollten System xy absichern" usw.

 

Meine Frage ist: wer haftet im Falle eines erfolgreichen Hackerangriffs?

1. Kann ein Systemadministrator rechtlich belangt werden?

2. haftet er mit seinem Vermögen? Wenn ja, bis zu welcher Obergrenze?

3. ist ein solcher Vorfall ein Kündigungsgrund?

 

Kennt sich da jemand aus bzw. hatte solch einen Fall "im Bekanntenkreis" schon mal?

 

 

 

 

Bearbeitet 2. Februar 2023 von bluescr33n

[Zaroc]

vor einer Stunde schrieb bluescr33n:

alle Daten verschlüsselt und die Backups werden gleich mitgelöscht / vernichtet.

Hier ist schon das Problem. BACKUP. 3-2-1 Prinzip.

3 Backups auf 2 unterschiedlichen Speichermedien und 1 Offsite + testen.

Die restlichen 3 Fragen hängen von deiner Situation ab (Hast du die typischen Probleme erwähnt siehe 3-2-1 Backup? Warum wurde es nicht gemacht? Es ist schön dass du immer schön auf Heise bist, oder Patch installierst, aber warum scheitert es an einer einfachen Offsite Backup Lösung?! ).

Das eine Firma gehackt wird kann passieren, egal wie gut deine Firewall/Antiviren etc. Lösungen sind. Da wird normalerweise der Sysadmin nicht bestraft. Wenn du aber sehr grob Fahrlässig handelst, dann kann deine Firma versuchen dich ranzuziehen. Bei solchen Situation hängt natürlich davon ab wie grob Fahrlässig du gehandelt hast. (Da können sich die Anwälte streiten)

Selbst wenn man dich nicht kündigen kann z. B inkompetenz, wird der CEO sicherlich dafür sorgen, dass du freiwillig kündigen wirst (z. B dich auf 1st lvl Support verdonnern etc.).

In den meisten Fällen (Erfahrung von ex-Kollegen) wird die IT nicht gefeuert, eher wird dann mehr investiert (solange die IT-Abteilung nicht die ganze Zeit die Däumchen gedreht haben). Bei völliger inkompetenz kann es sein, dass die IT-Abteilung komplett ersetzt o. outgesourct wird.

 

 

Bearbeitet 2. Februar 2023 von Zaroc

[bluescr33n]

Was genau meinst du mit 3 Backups auf 2 verschiedenen Medien?

 

Es sind 2x verschiedene Storages und es gibt regelmäßig backup to tape.

 

Würde mich wie gesagt trotzdem generell interessieren, wie sehr es einen sysadmin bei einem hackerangriff treffen kann, zwecks rechtlichen und finanziellen konsequenzen.

 

 

 

Bearbeitet 2. Februar 2023 von bluescr33n

[_n4p_]

vor 6 Minuten schrieb bluescr33n:

3 Backups auf 2 verschiedenen Systemen

3 - Kopien der Daten auf
2 - verschiedenen Medien (HDD, TAPE, RDX, ..)
1 - Kopie an einem anderen Standort (Außenstelle, Bank, ..)

 

vor 9 Minuten schrieb bluescr33n:

zwecks rechtlichen und finanziellen konsequenzen.

gibt halt keine generelle Aussage. Die Konsequenzen dürften wohl unterschiedlich ausfallen je nachdem ob du die Backups 2 Stunden vorher absichtlich gelöscht hast weil der Chef deinen Pudding gegessen hat oder du alles getan hast was innerhalb deiner Möglichkeiten lag.

[Zaroc]

vor 17 Minuten schrieb bluescr33n:

Würde mich wie gesagt trotzdem generell interessieren, wie sehr es einen sysadmin bei einem hackerangriff treffen kann, zwecks rechtlichen und finanziellen konsequenzen.

Wenn du als System Administrator mit lokale Adminrechte + etc. eine Viagra Email spam Word Datei mit Makros öffnest dann ist es grob fahrlässig und da kannst du haften. Wie hoch bin ich mir nicht sicher, da würde ich jetzt sagen dass regeln die Anwälte. Teuer wird es sicherlich. (Wie viel weiß ich leider nicht)

Ansonsten hängt es immer von der Situation ab. In den meisten Fällen (lehne mich jetzt aus dem Fenster) wird man dich nicht ranziehen können, solange es nicht grob fahrlässig war. 

[pr0gg3r]

Es ist natürlich immer gut, die Verantwortlichkeit abzuschieben. In meinem Ausbildungsbetrieb haben wir einige kritische Sachen ausgelagert, z. B. die Wartung der Firewall. So, dass im Falle eines Falles der Dienstleister (bzw. seine Versicherung) aufkommen muss. Das ist natürlich etwas teurer als wenn wir es selber machen würden. Aber zumindest sind wir dadurch auf der sicheren Seite gewesen.

[bigvic]

1.) Nein

2.) Nein (siehe Wikiartikel zu Arbeitnehmerhaftung, da steht max. 3 Bruttolöhne als Beispiel bei grober Fahrlässigkeit. Wenn das dich besser schlafen lässt, dann packst das auf ein Sparkonto )

3.) Theoretisch Ja - aber auch da sehr sehr schwierig für den AG ein Fehlverhalten zu beweisen und selbst dann in 99% erstmal eine Abmahnung.

Das sind die pauschalen Antworten, ohne das man irgendwelche lustige bzw unrealistische Szenarien konstruiert (aka Vorsatz und Zusammenarbeit mit Hacker, etc.). Von daher .. locker bleiben. Als Arbeitnehmer bist du per se immer sicher vor irgendwelchen Haftungsfragen, denn es gibt Millionen Berufe bei denen es jeden Tag um "mehr geht" als ein Hackerangriff und die würde ja dann keiner machen sonst.

P.S.: Manche sehe ja gerade die mangelnde Haftung - insbesondere auf Geschäftsleitungsebene - als eines der Hauptursachen für zu viele IT Vorfälle, aber das ist eine andere Grundsatzdiskussion.

[MartinSt]

Neben dem schon Gesagtem würde ich als Admin immer bestrebt sein, der Gesch.leitung sinnvolle Vorschläge und Empfehlungen zur externen Lagerung von Backups und wichtiger Daten zu geben, schon aus Faulheit und um im Notfall den Stress zu reduzieren. Notfall meint nicht immer nur den Ransomware-Fall, sondern auch die Situation, dass es im Gebäude brennt und danach wegen Einsturzgefahr keiner rein kommt. Dann ist es hilfreich, wichtige Kontaktdaten, Passworte etc. extern verfügbar zu haben.

[tkreutz2]

Diese Fragen sind alles Bestandteile des IT-Grundschutzes. Infos dazu z.B. hier:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_4_Schutzbedarfsfeststellung/Lektion_4_node.html

Meine Erfahrung ist die, dass sich die IT Leistung regelmäßig mit der Versicherung (eigene Haftfplicht) sowie der GL an einen Tisch setzt, um zu prüfen, ob der Schutz noch ausreicht. (meistens einmal jährlich, bei kritischen Infrastrukturen vielleicht auch öfter).

Natürlich kann kein Katalog die Wirklichkeit vollständig abbilden.

Ja, es sollen auch schon Leute an scheinbar trivialen OPs ernsthafte Schäden genommen haben. Aber genau dafür unterschreibt man ja als Patient vor jedem medizinischem Eingriff.

[Enno]

vor 10 Stunden schrieb _n4p_:

1 - Kopie an einem anderen Standort (Außenstelle, Bank, ..)

Ich würde hier gern das Wort Offline hinzufügen wollen.

Also 1 - Offlinekopie ...

Denn nur wenn die Kopie nicht Online erreichbar ist schützt sie genau vor den erwähnten Angriffen. Denn das Schreiben auf ein Bandlaufwerk in einer Außenstelle in der die Bänder nie entnommen werden schützt vor lokalem löschen oder einem Brand. Aber nicht vor einem Hackerangriff die alles Verschlüsseln.