Telefonanlage gehackt – was tun, wer zahlt?

Der wirtschaftliche Alltag verändert sich: Der Hackerangriff auf das eigene Unternehmen ist längst kein abstruses Szenario mehr, sondern bedroht auch kleine mittelständische Unternehmen (KMU) in ländlichen Gebieten. Ich hatte bereits zum Hackerangriff auf das Unternehmen einen Überblick erstellt, denn hier entstehen nach dem Angriff tatsächlich rechtliche Pflichten für betroffene Unternehmen.

Ein Sonderfall ist dabei der Hackerangriff auf die Telefonanlage des Unternehmens, ein Szenario, dass aktuell immer häufiger bei mir bekannt wird. Dabei ist dieses Szenario durchaus als äusserst problematisch zu bezeichnen.


Unternehmen die Vorsorgen möchten, sollten sich Beraten lassen, wie es um die IT-Sicherheit bestellt ist. Es mag Klug sein, einen Pflegevertrag hinsichtlich der Telefonanlage abzuschliessen, wobei die reine Vermietung einer Telefonanlage mit dem OLG Köln nicht zu Wartungs- oder Sicherungspflichten des Vermieters führt. Auch sollte man sich informieren, ob die Betriebshaftpflicht ein solches Szenario abdeckt und dies ggfs. erweitern.

Interessant ist das teilweise sehr einfach gestrickte Verhalten von Providern: So wurde auch uns im Zuge der Umstellung von ISDN auf VOIP einfach die Telefonanlage samt Systemtelefonen zugesandt, ohne brauchbare Erläuterungen zur Absicherung der Infrastruktur (obwohl der Provider hierzu inzwischen sogar gesetzlich verpflichtet ist). Wer als KMU hier unbedarft heran geht, der dürfte schnell übersehen, dass die Systemtelefone über einen Browser konfiguriert werden können, ein individuelles Passwort benötigen und eingestellt werden kann, ob diese nur aus dem Intranet oder generell von außen eingestellt werden können.

Wenn der Schaden dann einmal aufgetreten ist, treten bei mir Schadenssummen ab dem sehr hohen vierstelligen Bereich auf. Derzeit führe ich mehrere Klageverfahren vor Landgerichten, wo mit den Providern gestritten wird, ob tatsächlich eine Kostenlast entstanden ist – eine hoch problematische Sache, auch wenn es für Provider nicht mehr so leicht ist wie früher. Die Beweissicherung ist für Betroffene das erste Gebot, da gerichtliche Streitigkeiten teilweise erst 1-2 Jahre später erfolgen und dann die Frage ist, ob wirklich eine Manipulation auftrat und welche Sicherungsmaßnahmen der Betreiber getroffen hat.

Aus meiner Sicht bietet sich im Schadensfall – natürlich immer abhängig vom jeweiligen Sachverhalt – ein beachtliches juristisches Verteidigungspotential. Allerdings ist es dringend notwendig, von Anfang an Details zu beachten und vor allem auch, sich darauf einzustellen, wie viele Provider reagieren, wenn man sich dann einmal wehren möchte. Hier zeigt sich nämlich mitunter ein recht störrisches Verhalten, das in einem meiner Fälle aus meiner Sicht nur noch als böswillige Sabotage bezeichnet werden kann.

Fachanwalt für IT-Recht Jens Ferner