In einer zuneh­mend digi­ta­li­sier­ten Welt ste­hen Unter­neh­men vor immer grö­ße­ren Her­aus­for­de­run­gen in Sachen IT-Sicher­heit. Cyber-Angrif­fe ver­ur­sa­chen nicht nur immense wirt­schaft­li­che Schä­den, son­dern ber­gen auch erheb­li­che recht­li­che Risi­ken für die Geschäfts­füh­rung. Dabei wird Cyber-Secu­ri­ty längst nicht mehr nur als tech­ni­sche Her­aus­for­de­rung gese­hen, son­dern ist ein zen­tra­les The­ma der Cor­po­ra­te Compliance.

Es liegt in der Ver­ant­wor­tung des Geschäfts­füh­rers, die­se Gefah­ren nicht nur zu ken­nen, son­dern auch aktiv Maß­nah­men zu ergrei­fen, um sie zu mini­mie­ren. Cyber-Angrif­fe füh­ren nicht nur zu Schä­den an der Repu­ta­ti­on, son­dern ver­ur­sa­chen auch bedeu­ten­de wirt­schaft­li­che Ein­bu­ßen, zum Bei­spiel kom­men Pro­duk­ti­ons­pro­zes­se kom­men zum Erlie­gen, Kun­den oder Zulie­fe­rer for­dern Scha­den­er­satz, sen­si­ble Infor­ma­tio­nen gelan­gen an die Öffentlichkeit.

Hin­ter­grund: Die Bedro­hungs­la­ge und ihre Fol­gen

Die digi­ta­le Bedro­hungs­la­ge hat sich in den letz­ten Jah­ren dra­ma­tisch ver­schärft. Laut dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) wer­den täg­lich zehn­tau­sen­de neue Schad­pro­gramm-Vari­an­ten iden­ti­fi­ziert. Ran­som­wa­re-Angrif­fe, bei denen Daten ver­schlüs­selt und Löse­geld erpresst wird, sind ein beson­ders kost­spie­li­ges Risi­ko. Ein Cyber-Angriff kann schnell Mil­lio­nen kos­ten – durch Löse­geld­zah­lun­gen, Pro­duk­ti­ons­still­stän­de oder Repu­ta­ti­ons­ver­lus­te.

Neben die­sen direk­ten Schä­den gibt es stren­ge gesetz­li­che Anfor­de­run­gen, wie die NIS-2-Richt­li­nie der Euro­päi­schen Uni­on, die Unter­neh­men dazu ver­pflich­ten, geeig­ne­te Maß­nah­men zur IT-Sicher­heit zu ergrei­fen. Die Ver­nach­läs­si­gung die­ser Pflich­ten kann für Unter­neh­men nicht nur in hohen Buß­gel­dern mün­den, son­dern auch per­sön­li­che Haf­tungs­ri­si­ken für die Geschäfts­füh­rung mit sich bringen.

Kon­kre­ti­sie­rung der Geschäfts­füh­rer­haf­tung

Die Ver­ant­wor­tung der Geschäfts­füh­rung für die IT-Sicher­heit ergibt sich im deut­schen Recht aus § 43 Abs. 1 GmbHG und § 93 Abs. 1 S. 1 AktG. Danach sind Geschäfts­füh­rer und Vor­stän­de ver­pflich­tet, die ​„Sorg­falt eines ordent­li­chen (und gewis­sen­haf­ten) Geschäfts­lei­ters bzw. Geschäfts­man­nes“ anzu­wen­den. Dies umfasst die Pflicht, Maß­nah­men zur Gewähr­leis­tung der IT-Sicher­heit zu imple­men­tie­ren und Risi­ken durch Cyber­an­grif­fe pro­ak­tiv zu mini­mie­ren. Die Geschäfts­füh­rung ist unmit­tel­bar für die IT-Sicher­heit des Unter­neh­mens ver­ant­wort­lich.

Die Geschäfts­füh­rer­haf­tung wird auch im Regie­rungs­ent­wurf zur Umset­zung der NIS-2-Richt­li­nie in der geplan­ten Neu­fas­sung von § 38 BSIG (Gesetz über das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik und über die Sicher­heit in der Infor­ma­ti­ons­tech­nik von Ein­rich­tun­gen) gere­gelt. Der neue § 38 BSIG spie­gelt die sich aus § 43 GmbHG und § 93 AktG erge­ben­de Geschäfts­füh­rer­haf­tung wider und sieht einen Auf­fang­tat­be­stand für sol­che Rechts­for­men vor, für die nach den anwend­ba­ren gesell­schafts­recht­li­chen Bestim­mun­gen kei­ne sol­che Bin­nen­haf­tung besteht.

Nach den gesetz­li­chen Rege­lun­gen sind Geschäfts­füh­rer per­sön­lich haft­bar, wenn sie ihre Pflich­ten zur Imple­men­tie­rung und Über­wa­chung von IT-Sicher­heits­maß­nah­men nicht erfül­len. Dies bedeu­tet, dass sie für Ver­stö­ße unmit­tel­bar in die Ver­ant­wor­tung genom­men wer­den kön­nen. Die Geschäfts­füh­rung ist ver­pflich­tet, pro­ak­ti­ve Maß­nah­men zur Siche­rung der IT-Infra­struk­tur zu ergrei­fen. Dazu gehö­ren etwa die Ein­füh­rung geeig­ne­ter IT-Sicher­heits­maß­nah­men, die regel­mä­ßi­ge Über­prü­fung und Über­wa­chung die­ser Maß­nah­men sowie die Ein­hal­tung bran­chen­spe­zi­fi­scher Stan­dards und gesetz­li­cher Anfor­de­run­gen.

Geschäfts­füh­run­gen kön­nen zur Erfül­lung ihrer Com­pli­ance-Pflich­ten Drit­te hin­zu­zie­hen, sie kön­nen ihre Haf­tung jedoch nicht auf IT-Mana­ger oder exter­ne Dienst­leis­ter abwäl­zen. Auch wenn die­se ope­ra­tiv zustän­dig sind, bleibt die recht­li­che und orga­ni­sa­to­ri­sche Gesamt­ver­ant­wor­tung in der Chefetage.

Ein Ver­stoß gegen die­se Pflich­ten kann gra­vie­ren­de Fol­gen haben:

• Zivil­recht­li­che Haf­tung: Geschäfts­füh­rer kön­nen gegen­über dem Unter­neh­men oder Drit­ten auf Scha­dens­er­satz haf­ten, wenn sie ihre Com­pli­ance-Pflich­ten verletzen.
• Straf­recht­li­che Kon­se­quen­zen: In schwe­ren Fäl­len, etwa bei grob fahr­läs­si­gem oder vor­sätz­li­chem Ver­hal­ten, kön­nen straf­recht­li­che Ermitt­lun­gen ein­ge­lei­tet werden.
• Buß­gel­der: Das BSIG sieht Buß­gel­der von bis zu 10 Mil­lio­nen Euro oder 2 % des welt­wei­ten Jah­res­um­sat­zes für Unter­neh­men vor, wenn Com­pli­ance-Pflich­ten nicht ein­ge­hal­ten wer­den. Ob Unter­neh­men ihre Geschäfts­füh­rer für die­se Buß­gel­der in Regress neh­men kön­nen, ist bis­lang noch nicht entschieden.

Zusätz­lich sieht § 38 Abs. 3 BSIG vor, dass Geschäfts­füh­run­gen beson­ders wich­ti­ger Ein­rich­tun­gen und wich­ti­ger Ein­rich­tun­gen nach dem geplan­ten BSIG regel­mä­ßig an Schu­lun­gen im Bereich der Sicher­heit in der Infor­ma­ti­ons­tech­nik teil­neh­men müssen.

Pra­xis­hin­wei­se: So redu­zie­ren Sie Risi­ken und Haf­tung

Die per­sön­li­che Haf­tung der Geschäfts­füh­rung kann durch eine kla­re Orga­ni­sa­ti­on und kon­ti­nu­ier­li­che Über­wa­chung mini­miert wer­den. Dies erfor­dert ins­be­son­de­re ein Risi­ko­ma­nage­ment-Sys­tem, das regel­mä­ßig auf den neu­es­ten Stand gebracht wird. Um die IT-Sicher­heit zu gewähr­leis­ten und Haf­tungs­ri­si­ken zu mini­mie­ren, ist die Umset­zung fol­gen­der Maß­nah­men empfehlenswert:

• Eta­blie­rung eines effek­ti­ven Risi­ko­ma­nage­ment-Sys­tems: Ein umfas­sen­des Risi­ko­ma­nage­ment bil­det die Grund­la­ge jeder Digi­tal-Com­pli­ance. Unter­neh­men soll­ten sys­te­ma­tisch Bedro­hun­gen ana­ly­sie­ren, bewer­ten und geeig­ne­te Gegen­maß­nah­men einleiten.
• Regel­mä­ßi­ge Über­prü­fung und Anpas­sung der IT-Sicher­heits­stan­dards: Da sich die Bedro­hungs­la­ge stän­dig ver­än­dert, ist es ent­schei­dend, IT-Sicher­heits­maß­nah­men kon­ti­nu­ier­lich zu über­prü­fen und anzu­pas­sen, um stets auf dem neu­es­ten Stand der Tech­nik zu bleiben.
• Schu­lung und Sen­si­bi­li­sie­rung der Mit­ar­bei­ten­den: Men­schen sind oft die größ­te Schwach­stel­le in der Cyber-Abwehr. Regel­mä­ßi­ge Schu­lun­gen und ein Bewusst­sein für Risi­ken wie Phis­hing-E-Mails oder Social Engi­nee­ring kön­nen Sicher­heits­lü­cken schließen.
• Imple­men­tie­rung moder­ner Tech­no­lo­gien zur Angriffs­er­ken­nung und ‑abwehr: Neben der klas­si­schen IT-Sicher­heits­in­fra­struk­tur soll­ten Unter­neh­men auf fort­schritt­li­che Tools set­zen, die Anoma­lien erken­nen und früh­zei­tig Alarm schlagen.
• Zusam­men­ar­beit mit exter­nen Spe­zia­lis­ten: Ange­sichts der Kom­ple­xi­tät moder­ner Cyber-Angrif­fe kann die Zusam­men­ar­beit mit exter­nen IT-Sicher­heits­dienst­leis­tern oder Bera­tern sinn­voll sein, um die inter­ne Exper­ti­se zu ergänzen.
• Abschluss einer Cyber­ver­si­che­rung: Eine Cyber­ver­si­che­rung kann hel­fen, finan­zi­el­le Fol­gen eines Angriffs abzu­fe­dern. Sie ersetzt jedoch nicht die Pflicht, die IT-Sicher­heit nach gesetz­li­chen Vor­ga­ben zu gewährleisten.
• Not­fall­plä­ne ent­wi­ckeln und regel­mä­ßig tes­ten: Um im Fal­le eines Angriffs schnell hand­lungs­fä­hig zu sein, soll­ten Not­fall- und Wie­der­her­stel­lungs­plä­ne eta­bliert und regel­mä­ßig getes­tet werden.

Fazit: Vor­sor­ge ist der bes­te Schutz

Das Haf­tungs­ri­si­ko der Geschäfts­füh­rer für die Cyber-Com­pli­ance ist hoch, auch klei­ne Nach­läs­sig­kei­ten kön­nen zu unter­neh­mens­be­dro­hen­den Schä­den füh­ren. Ein ganz­heit­li­cher Ansatz, der tech­ni­sche, orga­ni­sa­to­ri­sche und per­so­nel­le Maß­nah­men kom­bi­niert, ist uner­läss­lich, um IT-Sicher­heit zu gewähr­leis­ten und Haf­tungs­ri­si­ken zu mini­mie­ren. Mit einer durch­dach­ten Stra­te­gie und kon­se­quen­ter Umset­zung kön­nen Unter­neh­men ihre digi­ta­le Resi­li­enz stär­ken und sich auf ihr Kern­ge­schäft konzentrieren.