Cybersecurity und Haftung
Warum Geschäftsleitungen jetzt handeln müssen

In Zeiten zunehmender digitaler Bedrohungen ist Cybersicherheit nicht nur eine technische Herausforderung – sie ist ein rechtliches Muss. Die Geschäftsleitung trägt eine zentrale Verantwortung für die IT-Sicherheit im Unternehmen. Wer hier versäumt, angemessene Maßnahmen zu ergreifen, riskiert nicht nur empfindliche Bußgelder, sondern auch persönliche Haftung – und das kann jede Betriebsgröße existenziell treffen.
Gesetzliche Grundlagen der Haftung
Die Pflichten von Geschäftsleitungen ergeben sich aus § 91 Abs. 2 AktG und § 93 Abs. 2 AktG. Danach ist ein Überwachungssystem einzurichten, um Risiken frühzeitig zu erkennen und Schäden abzuwenden. Verletzt ein Geschäftsleiter diese Pflicht, haftet er gesamtschuldnerisch für entstandene Schäden – und trägt die Beweislast, dass mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gehandelt wurde. Diese Regelungen wirken laut höchstrichterlicher Rechtsprechung auch auf andere Unternehmensformen aus.
Was umfasst Cybersicherheit?
Cybersicherheit gliedert sich in vier zentrale Schutzbereiche, die unverzüglich abgestimmt werden sollten:
- Verfügbarkeit: Systeme und Daten müssen jederzeit erreichbar sein – zum Beispiel durch regelmäßige Backups und Notfallpläne.
- Integrität: Ungewollte Änderungen an Daten werden durch Prüfsummen, Verschlüsselung oder digitale Signaturen verhindert.
- Vertraulichkeit: Nur autorisierte Personen erhalten Zugriff. Rollenkonzepte und Zugangskontrollen stellen sicher, dass nur autorisierte Personen Zugriff erhalten.
- Authentizität: Echtheit von Nutzern und Daten wird über Zertifikate und starke Authentifizierungsverfahren sichergestellt.
Neue gesetzliche Anforderungen
Aktuelle Richtlinien und Gesetze erhöhen die Compliance-Pflichten und erfordern zeitnahe Umsetzung:
- KRITIS / IT-Sicherheitsgesetz (kritische Infrastrukturen):
Meldepflichten bei Störungen und Mindeststandards für kritische Infrastrukturen. - NIS-2 (Network and Information Security-Richtlinie 2):
Pflicht zur Risikoanalyse, Meldepflicht bei Vorfällen und regelmäßige Schulungen – auch für mittelständische Unternehmen ab definierten Größenkriterien. - DORA (Digital Operational Resilience Act):
EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor, mit Anforderungen an IKT-Dienstleister (IT- & Telekommunikations-Dienstleister). - CRA (Cyber Resilience Act):
Einheitliche Vorgaben für vernetzte Produkte, darunter Schwachstellenmanagement und Update-Pflichten.
Haftungsrisiken für Unternehmen und Geschäftsleitung
- Bußgelder: Bis zu 20 Mio. € oder 4 % des Jahresumsatzes (DSGVO – Datenschutz-Grundverordnung).
- Schadensersatz: Zivilrechtliche Forderungen bei Organisationsverschulden – zum Beispiel durch fehlende Notfallpläne.
- Persönliche Haftung: Geschäftsleiter können bei Pflichtverletzungen in Millionenhöhe in Anspruch genommen werden (Fall des LG München I: 15 Mio. €).
Was ist zu tun?
- 1. Risikoanalyse und Konzept
- • Bestandsaufnahme aller digitalen Assets gemeinsam mit der Crew von Systemschub.
- • Definition von Schutzzielen und Prioritäten.
- 2. Technische und organisatorische Maßnahmen
- • Einführung eines einfachen Information Security Management Systems (ISMS).
- • Regelmäßige Backups, Multi-Faktor-Authentifizierung, Rollenkonzepte.
- 3. Schulungen und Notfallübungen
- • Kurzworkshops zur Phishing-Erkennung.
- • Testlauf von Wiederanlauf-Szenarien.
- 4. Kontinuierliche Kontrolle
- • Monitoring-Lösungen und regelmäßige Audits.
- • Anpassung der Maßnahmen bei neuen Bedrohungen.
- 5. Versicherung und Zertifizierungen
- • Cyber- und D&O-Versicherung (Directors-and-Officers-Versicherung) zum Schutz von Betrieb und Geschäftsleitung.