In Zeiten zunehmender digitaler Bedrohungen ist Cybersicherheit nicht nur eine technische Herausforderung – sie ist ein rechtliches Muss. Die Geschäftsleitung trägt eine zentrale Verantwortung für die IT-Sicherheit im Unternehmen. Wer hier versäumt, angemessene Maßnahmen zu ergreifen, riskiert nicht nur empfindliche Bußgelder, sondern auch persönliche Haftung – und das kann jede Betriebsgröße existenziell treffen.

Gesetzliche Grundlagen der Haftung

Die Pflichten von Geschäftsleitungen ergeben sich aus § 91 Abs. 2 AktG und § 93 Abs. 2 AktG. Danach ist ein Überwachungssystem einzurichten, um Risiken frühzeitig zu erkennen und Schäden abzuwenden. Verletzt ein Geschäftsleiter diese Pflicht, haftet er gesamtschuldnerisch für entstandene Schäden – und trägt die Beweislast, dass mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gehandelt wurde. Diese Regelungen wirken laut höchstrichterlicher Rechtsprechung auch auf andere Unternehmensformen aus.

Was umfasst Cybersicherheit?

Cybersicherheit gliedert sich in vier zentrale Schutzbereiche, die unverzüglich abgestimmt werden sollten:

• Verfügbarkeit: Systeme und Daten müssen jederzeit erreichbar sein – zum Beispiel durch regelmäßige Backups und Notfallpläne.
• Integrität: Ungewollte Änderungen an Daten werden durch Prüfsummen, Verschlüsselung oder digitale Signaturen verhindert.
• Vertraulichkeit: Nur autorisierte Personen erhalten Zugriff. Rollenkonzepte und Zugangskontrollen stellen sicher, dass nur autorisierte Personen Zugriff erhalten.
• Authentizität: Echtheit von Nutzern und Daten wird über Zertifikate und starke Authentifizierungsverfahren sichergestellt.

Ein durchdachtes Zusammenspiel dieser Elemente schützt Geschäftsprozesse, Daten und Vertrauen.

Neue gesetzliche Anforderungen

Aktuelle Richtlinien und Gesetze erhöhen die Compliance-Pflichten und erfordern zeitnahe Umsetzung:

• KRITIS / IT-Sicherheitsgesetz (kritische Infrastrukturen):
  Meldepflichten bei Störungen und Mindeststandards für kritische Infrastrukturen.
• NIS-2 (Network and Information Security-Richtlinie 2):
  Pflicht zur Risikoanalyse, Meldepflicht bei Vorfällen und regelmäßige Schulungen – auch für mittelständische Unternehmen ab definierten Größenkriterien.
• DORA (Digital Operational Resilience Act):
  EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor, mit Anforderungen an IKT-Dienstleister (IT- & Telekommunikations-Dienstleister).
• CRA (Cyber Resilience Act):
  Einheitliche Vorgaben für vernetzte Produkte, darunter Schwachstellenmanagement und Update-Pflichten.

Diese Regelwerke gelten teils direkt, teils in angepasster Form auch für Unternehmen ohne klassische Kritikalität.

Haftungsrisiken für Unternehmen und Geschäftsleitung

• Bußgelder: Bis zu 20 Mio. € oder 4 % des Jahresumsatzes (DSGVO – Datenschutz-Grundverordnung).
• Schadensersatz: Zivilrechtliche Forderungen bei Organisationsverschulden – zum Beispiel durch fehlende Notfallpläne.
• Persönliche Haftung: Geschäftsleiter können bei Pflichtverletzungen in Millionenhöhe in Anspruch genommen werden (Fall des LG München I: 15 Mio. €).

Unzureichende IT-Sicherheit belastet nicht nur die Unternehmensbilanz, sondern auch das private Vermögen der verantwortlichen Führungskräfte.

Was ist zu tun?

1. 1. Risikoanalyse und Konzept
   • • Bestandsaufnahme aller digitalen Assets gemeinsam mit der Crew von Systemschub.
   • • Definition von Schutzzielen und Prioritäten.
2. 2. Technische und organisatorische Maßnahmen
   • • Einführung eines einfachen Information Security Management Systems (ISMS).
   • • Regelmäßige Backups, Multi-Faktor-Authentifizierung, Rollenkonzepte.
3. 3. Schulungen und Notfallübungen
   • • Kurzworkshops zur Phishing-Erkennung.
   • • Testlauf von Wiederanlauf-Szenarien.
4. 4. Kontinuierliche Kontrolle
   • • Monitoring-Lösungen und regelmäßige Audits.
   • • Anpassung der Maßnahmen bei neuen Bedrohungen.
5. 5. Versicherung und Zertifizierungen
   • • Cyber- und D&O-Versicherung (Directors-and-Officers-Versicherung) zum Schutz von Betrieb und Geschäftsleitung.

Mit klarem Blick auf Praxisnutzen und regionalem Rückhalt – etwa durch den IT-Service im Ahrtal und das Team von Systemschub – lässt sich die Haftungsfalle sicher umgehen. Schritt für Schritt eröffnen sich so sichere digitale Welten und langfristige Wettbewerbsfähigkeit.