Arbeitsrecht Mitbestimmung bei Social Engineering Tests

Social Engineering ist gefährlich. Viele Angreifer verschaffen sich so Zugang zu geheimen Informationen oder Zugang zu den IT-Systemen eines Unternehmens.

Einmal im Monat wirft die Markt&Technik einen Blick in das Arbeitsrecht. Fachanwalt Dr. Till Hoffmann-Remy von Kliemt & Vollstädt berichtet dieses Mal über die Mitbestimmung bei Social Engineering-Tests.

Die Digitalisierung von Prozessen macht Unternehmen anfällig für Hackerattacken. Ein großes Einfallstor ist das Social Engineering. Dort greifen Hacker gezielt von Mitarbeitern ab. Unternehmen müssen sich schützen und ihre Mitarbeiter sensibilisieren und testen. Doch Social Engineerin Tests verlangen neue rechtliche Rahmembedingungen. 

Die Einführung (grundsätzlich zulässiger) Social Engineering Tests dient der Prüfung der Reaktion von Mitarbeitern und Identifikation möglicher Schwachstellen im Sicherheitskonzept. Sie unterscheidet sich von klassischen (analogen) Zuverlässigkeitskontrollen dadurch, dass der Arbeitgeber nicht offen und nicht aufgrund konkreter Verdachtsmomente gegen einen einzelnen Mitarbeiter handeln kann. Er ist auf abstraktes, verdecktes und präventives Vorgehen angewiesen.

Die Geheimhaltungsinteressen des Arbeitgebers (zwecks realistischer Testbedingungen) werden regelmäßig mit dem allgemeinen Informationsinteresse des Betriebsrats nach § 80 Abs. 2 BetrVG kollidieren. Im konkreten Einzelfall ist auszutarieren, welche Informationen der Betriebsrat wann benötigt, um beispielsweise seinen gesetzlichen Überwachungsaufgaben nachzukommen. In jedem Fall sollte der Arbeitgeber mit dem Betriebsrat das Thema Verschwiegenheit gegenüber der Belegschaft während laufender Tests thematisieren. Mitbestimmungsrechte im Sinne zwingender Mitbestimmung können sich nach § 87 Abs. 1 Nr. 6 BetrVG ergeben, wenn der Arbeitgeber (oder externe Dienstleister) mittels technischer Einrichtungen das Arbeitnehmerverhalten überwachen (könnten) – beispielsweise also, wenn die Reaktion auf verdächtige e-Mails abgeprüft wird.

Da die meisten „Standard“-IT-Betriebsvereinbarungen sich zu Social Engineering Tests ausschweigen, wird es regelmäßig sinnvoll sein, in diesen Fällen eine Ergänzungsregelung zu verhandeln. In dieser kann zugleich die datenschutzrechtlich stets komplexe Übermittlung von Daten auch zwischen Arbeitgeber und externem Auditor abgedeckt werden, was insbesondere vor dem Hintergrund der DSGVO praxisrelevant sein wird. Der Betriebsrat hat kein Mitspracherecht hinsichtlich der Auswahl der Testpersonen, solange der Arbeitgeber nicht willkürlich oder diskriminierend bestimmte Arbeitnehmer heraussucht. Dem kann durch ein zufallsbasiertes System begegnet werden.

Social Engineering: Vom „Microsoft-Anruf“ zur „Chef-Masche“

Die Erscheinungsformen von Social Engineering sind vielfältig. Beispielhaft wurden in letzter Zeit die so genannten „Microsoft-Anrufe“ bekannt, bei denen angebliche Mitarbeiter von Microsoft Zielpersonen anrufen und diesen mitteilen, dass ihr PC-System akut sicherheitsgefährdet sei. Nur das Befolgen konkreter Anweisungen (lies: die Installation einer Remote Access-Software) könne diese Sicherheitslücke beheben. Es bedarf keiner großen Phantasie, um sich vorzustellen, wie Social Engineers mit dieser Taktik auch in gesicherte Unternehmensnetzwerke vordringen könnten. Massive Schäden im Unternehmen kann auch die so genannte „Chef-Masche“ anrichten, wie kürzlich bei dem Automobilzulieferer Leoni. Eine Vielzahl weiterer Fälle ist nur zum Teil bekannt geworden. In diesem Szenario gibt sich der „Social Engineer“ unter Verwendung gefälschter Dokumente und Identitäten sowie unter Nutzung elektronischer Kommunikationswege als Unternehmensvorstand oder hochrangiger Mitarbeiter aus, der Mitarbeitern im Unternehmen direkte Anweisungen erteilt – etwa zur Veranlassung von Zahlungen auf unbekannte Konten, die sich im Falle von Leoni auf einer Abfluss liquider Mittel von rund 40 Mio. Euro summierten.

Informationsrechte des Betriesbrats

Dem Betriebsrat steht ein Informationsrecht nach § 80 Abs. 2 BetrVG zu, welches sowohl aufgaben- als auch anlassbezogen ist. Er muss so rechtzeitig über Planungen des Arbeitgebers informiert werden, dass ihm eine Einflussnahme noch möglich ist. Daher wird man dem Betriebsrat ein Informationsrecht darüber zugestehen müssen,

         dass überhaupt Social Engineering Tests durchgeführt werden,

         ob diese intern oder über einen externen Anbieter durchgeführt werden,

         nach welchem System die Auswahl der Zielmitarbeiter erfolgt,

         und welche Daten ggf. an einen externen Dienstleister übermittelt werden bzw. wie mit dem Ergebnis der Tests (Datenspeicherung bzw. –löschung) umzugehen ist.

Der Betriebsrat hat jedoch kein Recht auf Auskunft dahingehend, welche konkreten Erkenntnisse aus der Testmaßname resultieren.

Der Betriebsrat kann bei Social Engineering Tests nicht nach § 87 Abs. 1 Nr. 1 BetrVG mitbestimmen, da es schon an einer Regelung mit Relevanz für das betriebliche Ordnungsverhalten mangelt. Es wird schlicht die bestehende Situation unter möglichst realistischen Bedingungen überprüft.

Auch kann der Betriebsrat nicht den Einsatz eines externen Dienstleisters mitbestimmen, der das Audit durchführt. Bei Social Engineering Tests kommt es regelmäßig zu keiner Eingliederung in den Betrieb im Sinne des § 99 BetrVG; vielmehr gehört es zur Natur der Sache, dass Betriebsfremde von außen tätig werden.

Regelmäßig wird jedoch eine Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG relevant werden, wenn etwa geprüft wird, ob ein Arbeitnehmer eine auf einem USB-Stick ins Unternehmen gereichte Datei öffnet, ob er verdächtige Links in e-Mails anklickt oder entsprechende Internetadressen manuell ansurft oder auf Anleitung eines „Supportmitarbeiters“ am Telefon die Firewall und den Virenscanner abschaltet und ein angebliches Update installiert.

Betriebsvereinbarung zu Social Engineering Tests

Eine Betriebsvereinbarung zu Social Engineering Tests muss also vornehmlich die oben genannte Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG abdecken. Zusätzlich bietet sie eine taugliche Eingriffsgrundlage im Sinne des BDSG über die §§ 28, 32 BDSG hinaus. Insbesondere aufgrund der Anforderungen, die die DSGVO ab 2018 an eine zulässige Datenerhebung, Speicherung, Übermittlung und Nutzung stellen wird, ist ein Vorgehen nur auf Grundlage der gesetzlichen Rahmenbedingungen bzw. individueller (widerruflicher) Einwilligungen risikobehaftet. Bei den zu übermittelnden Daten sollte sich der Arbeitgeber auf diejenigen Informationen beschränken, die öffentlich sind oder jedenfalls relativ schnell ermittelt werden können; intern bekannte, sensible Informationen haben im Rahmen von Social Engineering Tests keinen Platz.

Mehr Informationen zum Arbeitsrecht finden Sie im Blog http://www.arbeitsrecht-weltweit.de