SBS Firmengruppe Logos

| Datenschutzrecht, Vetriebs- und Handelsrecht

Hackerangriff! Welcher Schutz ist bei B2B E-Mails nötig?


Innerhalb des geschäftlichen Verkehrs sind E-Mails als Kommunikationsmittel nicht wegzudenken. Doch wenn dieser Inhalt in die falschen Hände gerät, kann dies großen Schaden verursachen.

Gerade im Angesicht der sich immer weiterentwickelnden Möglichkeiten von Hackerangriffen ist ein ausreichender Schutz wichtiger denn je.

Nun hat sich das OLG Karlsruhe mit der Frage beschäftigt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im B2B-Bereich (Business to Business) einzuhalten sind.

Hackerangriff verursacht Schaden von 13 500 €

Die Beklagte kaufte von der Klägerin ein Pkw zum Preis von 13.500 Euro. Auf Wunsch der Beklagten schickte die Klägerin die Rechnung als Anhang in einer E-Mail an die Klägerin. In dieser Rechnung waren die Bankinformationen der Klägerin sowohl in Kopf- als auch Fußzeile vermerkt.  Zwei Minuten später erhielt die Beklagte eine weitere E-Mail, in dieser waren sowohl einige Unstimmigkeiten in der Rechnung zu entdecken, als auch eine abgeänderte Kontoverbindung in der Fußzeile. Diese E-Mail war Resultat eines Hackerangriffs. Die Beklagte zahlte den Kaufpreis an die Bankverbindung des unbefugten Dritten.

Die Klägerin verlangt nun die Kaufpreiszahlung, die Beklagte beruft sich auf die bereits geleistete Zahlung an den Dritten und macht mangelnde Sicherheitsvorkehrungen seitens der Klägerin für den Fehler verantwortlich. Zu Recht?

Zahlung an einen Dritten – Erfüllung oder nicht?

Gemäß § 362 Bürgerliches Gesetzbuch (BGB) erlischt ein Schuldverhältnis, wenn die geschuldete Leistung an den Gläubiger bewirkt wird. Jedoch müsste dies vom Gläubiger bewilligt oder genehmigt sein. Die Überweisung an einen Dritten führt daher nicht zum Erlöschen des Anspruchs. Allerdings könnte ein treuwidriges Verhalten dazu führen, dass der Zahlungsanspruch unbegründet ist. Dies wäre der Fall, wenn der Klägerin tatsächlich die fehlenden Sicherheitsvorkehrungen zugerechnet werden.

Exkurs: Geldschulden sind Bringschulden

Wenn man jemanden Geld schuldet, dann handelt es sich dabei um eine sogenannte Bringschuld. Das heißt, dass der Schuldner dafür verantwortlich ist, dass das Geld bei der anderen Person ankommt.

Heutzutage wird eine solche Schuld oft via Bankverbindung, PayPal oder sonstigen Übermittlungswegen geregelt. Die Sendung des Geldes ist dabei nicht ausreichend, denn das Geld muss tatsächlich beim Gläubiger ankommen: hier trägt der Schuldner das Risiko des Untergangs oder der Verspätung.


Sicherheitsvorkehrungen beim Versand von E-Mails im B2B-Bereich – welche Möglichkeiten gibt es?

Zunächst können Parteien beim Versand von E-Mails im B2B-Bereich natürlich ausdrückliche Vereinbarungen darüber treffen, inwiefern die Kommunikation zwischen ihnen abgesichert werden soll. Sollte eine solche Abrede fehlen, heißt es jedoch nicht, dass keinerlei Vorkehrungen getroffen werden müssen.

Eine konkrete gesetzliche Vorgabe für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht. Welche Sicherheitsvorkehrungen von den Parteien zu fordern ist ergibt sich nach den berechtigten Sicherheitserwartungen des Verkehrsunter Berücksichtigung der Zumutbarkeit.

Die Beklagte bringt vor, dass sich die Anforderung an sie Sicherheitserwartungen aus der Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen ergeben würden. Dies weist das OLG jedoch mit dem Argument zurück, dass sich dieses im Verhältnis der Parteien nicht anwendbar ist.

Selbst bei Heranziehung dieser Orientierungshilfe werden diese Anforderungen nicht als pauschal erforderlich angesehen, sondern sollte „in Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als zwingend bezeichnet.

„Sender Policy Framework“ (SPF) – ein Muss in jeder Kommunikation?

Die Beklagte macht geltend, dass ihr die fehlerhafte Überweisung nicht zuzurechnen sei. Sie sieht die Klägerin für den Fehler verantwortlich, da sie keine "Sender Policy Framework"(SPF) genutzt habe. Doch ist dies tatsächlich ein Muss in jeder Kommunikation?

Die Beklagte stützte sich darauf, dass die Verwendung der „Sender Policy Framework“ und eine unterlassene Verschlüsselung der pdf-Datei ein zwingend erforderliches Mittel ist, um die Kommunikation im geschäftlichen Bereich abzusichern. Dessen Nichtvorliegen seitens der Klägerin führe zum Untergang der Kaufpreisforderung.

Im Folgenden haben wir für Sie einige Sicherheitsmaßnahmen zusammengetragen und verraten Ihnen, welcher Schutz bei B2B E-Mails nötig ist!

Sender Policy Framework (SPF)

Das Verfahren des Sender Policy Framework ist eine Authentifizierungstechnologie, die dazu entwickelt wurde, um E-Mail Betrug zu bekämpfen. Und so funktionierts:

Der Domaininhaber (derjenige, der die E-Mail Domain besitzt) erstellt in den DNS-Einstellungen seiner Domain einen SPF-Datensatz mit den IP-Adressen, von denen E-Mails gesendet werden dürfen. Wenn nun ein unberechtigter Dritter sich Zugriff auf die E-Mail verschafft hat und von einer anderen IP-Adresse sendet, können die Server des Empfängers die E-Mail als Sicherheitsrisiko einstufen.

Die Verwendung es SPF kann aber schon deshalb nicht als zwingend notwendig angesehen werden, da die Verwender, wie hier die Klägerin, nicht Betreiber der E-Mail Domain ist, sondern lediglich Nutzerin.

Verschlüsselung von pdf-Dateien

Auch die Verschlüsselung von pdf-Dateien ist eine Möglichkeit die Sicherheit des E-Mail-Verkehrs zu gewährleisten. Insbesondere kann durch Absprache zwischen den Parteien eine solche Verschlüsselungverlangt werden.

Dies ist bei besonders sensiblen Dateien wie Betriebs- und Geschäftsgeheimnissen nützlich. Bei diesem Verfahren wird die angehangene Datei mit einem Passwort gesichert, dass der Empfänge eingeben muss, um den Inhalt zu sehen.

Obwohl dies durchaus eine nützliche und vergleichsweise einfache Methode ist, um die Sicherheit des E-Mail-Verkehrs zu gewährleisten, kann auch hier nicht von einer generellen Pflicht zur Nutzung gesprochen werden.

In Bezug auf den vorliegenden Fall war der Beklagten auch bewusst, dass eine Verschlüsselung der pdf-Datei gerade nicht vorliegt, da hierfür ein Austausch und die Eingabe eines Passwortes nötig gewesen wäre.

Ende-zu-Ende-Verschlüsselung

Bei der Ende-zu-Ende-Verschlüsselung, oder auch Transportverschlüsselung genannt, handelt es sich um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird. Dies ist ein automatisiertes Verfahren und bedarf keiner Mitwirkung seitens der Nutzer.

Im vorliegenden Fall hat der Domain-Anbieter der Klägerin vorgetragen, dass die Nutzung eines solchen Verschlüsselungsstandards genutzt werde. Allerdings ist die Anwendung nur bei im Verbund der im SSL/TSL-Protokoll genannten Anbietern möglich. Da die Beklagte keine Kundin eines dort genannten Anbieters ist, sondern einen eigenen Server betreiben lässt, kam eine solche Verschlüsselung nicht zur Anwendung. Das dieser Umstand von der Klägerin verursacht wurde konnte jedoch nicht glaubhaft gemacht werden.

So schützen Sie ihr E-Mail-Konto - unsere Tipps und Tricks:

Auch wenn rechtliche Verpflichtungen zur Sicherung des E-Mail-Kontos vor Hackerangriffen schwierig zu bestimmen sind, ist ein Schutz des E-Mail-Verkehrs von enormer Wichtigkeit.

Wir haben einige Möglichkeiten für Sie zusammengetragen, wie Sie Ihr Konto noch heute besser schützen können:

  • Benutzen Sie ein Passwort, welches aus Zeichen, Zahlen und Sonderzeichen besteht.
  • Auch die Länge des Passworts ist für die Sicherheit ausschlaggebend
  • Halten Sie den Personenkreis, der Zugriff auf Ihr Konto hat, so gering wie möglich
  • Ändern Sie das Passwort regelmäßig und teilen Sie die Änderung mündlich mit
  • Nutzen Sie eine Virensoftware und eine Firewall, um ihren Computer vor Angriffen zu schützen
  • Geben Sie die Daten nur bei der Ihnen bekannten Log-In Seite an
  • Und zu guter Letzt: sollten Sie Bedenken an der Herkunft einer E-Mail haben, vergewissern Sie sich telefonisch beim Absender und lassen Sie sich den Inhalt bestätigen. Achten Sie auf Unstimmigkeiten innerhalb des Textes, Hacker haben oft unverständliche Sätze oder Rechtschreibfehler in den Dokumenten


SBS LEGAL - Ihr Anwalt für Handelsrecht

Haben Sie noch Fragen Rund um die Absicherung der Kommunikation in Ihrem Betrieb? Wir überprüfen für Sie, ob Sie alle nötigen Maßnahmen getroffen haben und beraten Sie umfassend.

Unsere fachversierten Anwälte stehen Ihnen mit ihrer Expertise im Handelsrecht zur Verfügung.

Wurden Sie Opfer eines Hackerangriffs?

Zögern Sie nicht unser Team zu kontaktieren, wir leiten alle nötigen Schritte ein und verfolgen Ihre Interessen auch vor Gericht. 

Kontaktieren Sie uns noch heute für ein unverbindliches Erstgespräch.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos

SBS Direct contact form

by phone at (+49) 040 / 7344086-0 or
by email at mail@sbs-legal.de or
via the SBS direct contact form offered below.

I have read the data privacy policy and consent to it.

Zurück zur Blog-Übersicht