Cyberangriffe – Es haftet die Geschäftsleitung

Cyberangriffe nehmen zu: Laut Statista alleine 2022 um 25 Prozent bei den befragten Unternehmen. Der Gesetzgeber verschärft als Konsequenz das IT-Sicherheitsrecht. Ein wesentlicher Baustein der im Entwurf vorliegenden Regeln: Die Geschäftsleitung wird in die Pflicht genommen und muss bei Fehlern persönlich haften.

Cyber-Vorstand wird Pflicht

Damit wird der Cyber-Vorstand in den adressierten wichtigen und besonders wichtigen Einrichtungen Pflicht. Betroffen sind unzählige Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Die Leitungsebene dieser Unternehmen muss künftig die Risikomanagementmaßnahmen für eine ausreichende Cybersicherheit im Unternehmen freigeben und ständig überwachen. Unterlaufen ihr Fehler und kommt es beim Unternehmen deshalb zu einem Schaden, haftet das C-Level persönlich.

Schäden nach Cyber-Angriffen

Cyber-Angriffe geschehen täglich. Ihre Auswirkungen: Mancher Vorfall verläuft fast ganz ohne Schäden und die IT-Umgebung lässt sich mit überschaubaren Investitionen neu aufbauen. Oft sind die Schäden aber erheblich. Und zwar auf zwei Ebenen:

  • Die Produktion steht still, Verzögerungsschäden entstehen, Mitarbeitende können über Wochen nicht arbeiten.
  • Know-how und personenbezogene Daten werden entwendet, die einen erheblichen Wert für das Unternehmen und ein erhebliches Risiko für die betroffenen Personen haben. Es drohen Schadensersatzforderungen, von Seiten der Datenschutzaufsicht sogar Bußgelder und auch Strafen.

Erfahrungsgemäß sind die Schäden umso größer, je schlechter die Leitungsebene des Unternehmens vorbereitet ist. Existieren Notfallpläne und reagiert die Führungsebene bei Bekanntwerden eines Vorfalls schnell und besonnen und kann auf etablierte Strukturen zurückgreifen, lassen sich materielle Schäden und gerade auch Reputationsschäden verringern.

Haftung der Leitungsebene nach Cyber-Angriffen

Ist die Leitungsebene aber nicht gut vorbereitet und hat womöglich sogar Kenntnis von der  unsicheren IT-Umgebung, drohen persönliche Haftungsrisiken.

Schon heute haftet das C-Level nach allgemeinem Gesellschaftsrecht im Rahmen der Geschäftsführer- bzw. Vorstandshaftung. Voraussetzung ist dafür eine Pflichtverletzung. Und eben das ist gerade der größte Diskussionspunkt: In welchem Rahmen ist es originäre Pflicht der Leitungsebene, für eine ausreichende Cybersicherheit im Unternehmen zu sorgen? Fahrlässige Zahlungen auf Phishing-Mails verletzen jedenfalls nach aktueller Rechtsprechung keine originäre Pflicht der Leitungsebene, da das auch in der Buchhaltung passieren kann.

Eine klare Sorgfaltspflicht der Leitungsebene ist aber die Sicherstellung einer angemessenen Datensicherheit für personenbezogene Daten. Denn die ist schon heute in der EU-Datenschutzgrundverordnung vorgeschrieben. Und aus dem Geschäftsgeheimnisschutzgesetz folgt die Notwendigkeit organisatorischer Schutzmaßnahmen für Betriebs- und Geschäftsgeheimnisse.

Außerdem muss der Cyber-Vorstand auch heute schon nachgeordnete Mitarbeitende überwachen. Das beinhaltet eine allgemeine Compliance-Pflicht, Schutzvorkehrungen zu treffen, die Gesetzesverstöße ihrer Mitarbeitenden verhindern. Die Verletzung dieser Pflicht kann im Rahmen der Geschäftsherrenhaftung auch zur strafrechtlichen Sanktion des Cyber-Vorstands führen. 

C-Level Pflichten zur Cyber-Sicherheit

Entscheidend für die Haftung der Leitungsebene ist, ob es ihre Pflicht ist, für Cyber-Sicherheit zu sorgen. Eine gesetzliche Regelung gibt es dazu aktuell noch nicht. Das neue IT-Sicherheitsrecht bringt diese Sicherheit jetzt für wichtige und besonders wichtige Einrichtungen. Es wird spätestens ab dem 18. Oktober 2024 gelten. Schon heute wird aber angesichts der enormen Schäden, die drohen, aus den allgemeinen Sorgfaltsmaßstäben für Vorstände und Geschäftsführer auch eine Pflicht abgeleitet. Sie sind gehalten, geeignete organisatorische Maßnahmen zu ergreifen, um die Realisierung von Risiken für die Cyber-Sicherheit zu verhindern.

Klingt kompliziert, ist aber letztlich ein auch aus anderen Bereichen bekanntes Prozedere: Die Leitungsebene muss ein effektives System im Unternehmen implementieren (lassen), hier ein effektives Informationssicherheits-Management (ISM).

Das zu fordern und die benötigten Ressourcen dafür bereitzustellen, die Umsetzung zu begleiten und die Effektivität fortlaufend zu überwachen, ist Pflicht der Leitungsebene. Für wichtige und wesentliche Einrichtungen ist der Gesetzgeber gerade dabei, dies klarzustellen.

Know-how in der Cyber-Sicherheit

Um diese Aufgaben zu erfüllen, ist bei der Leitungsebene ein Basiswissen im Bereich der Cyber-Sicherheit unabdingbar. Dafür muss der zuständige Cyber-Vorstand weder Informatiker noch Jurist sein. Es geht um ein Basiswissen, wie es sich das C-Level in allen relevanten Unternehmensbereichen aneignen muss. Ab Oktober 2024 werden Schulungen für Cyber-Vorstände zur Pflicht werden. Das Angebot von Schulungen für die Mitarbeiter wird empfohlen.

Wie genau die Cyber-Sicherheit im Unternehmen umgesetzt wird, bleibt im Ermessen der Leitungsebene und hängt von vielen Faktoren ab. Um eine persönliche Haftung auszuschließen, gibt es aber Leitlinien und Eckpunkte, die beachtet werden sollten:

  • Die Leitungsebene muss die Implementierung geeigneter Maßnahmen initiieren und für angemessene Ressourcen sorgen. Kernziel auf dieser Stufe ist die Befähigung des Unternehmens, Gefahren zu erkennen.
  • Die Maßnahmen müssen angemessen sein. Hier spielt auch die „business judgment rule“ hinein. Unternehmen, die umfangreich mit sensiblen Daten agieren, müssen andere Maßnahmen treffen als ein ausschließlich im B2B-Segment aktives Industrieunternehmen.
  • Die Maßnahmen sollten anerkannte Regeln reflektieren. Dies sind etwa der IT-Grundschutz des BSI oder Zertifizierungs- und Auditierungsvorgaben wie die ISO27001 oder der Vds10000, letzterer jedenfalls für kleine und mittlere Unternehmen.
  • Die Leitungsebene muss den gesamten Vorgang und auch die weitere Anwendung überwachen. Sie ist und bleibt letztverantwortlich. Dies gilt erst recht für die wichtigen und besonders wichtigen Einrichtungen, die vom neuen IT-Sicherheitsrecht adressiert werden.

Cyber-Vorstand: Exklusivseminar für das C-Level

Das Management-Seminar der Bitkom Akademie versetzt Sie auf Leitungsebene in die Lage, eine angemessene Cyber-Sicherheit in Ihrem Unternehmen korrekt zu steuern und zu überwachen und persönliche Haftungsansprüche zu vermeiden. Dazu werden die Referenten Dr. Kristina Schreiber (Loschelder Rechtsanwälte) und Dr. Eren Basar (Wessing & Partner) Ihnen im geschützten Rahmen das Know-how vermitteln, das für die Implementierung eines wirksamen Cyber-Security-Riskmanagements erforderlich ist. Am Ende der Veranstaltung wird der Ernstfall einer Cyber-Attacke trainiert.

Alle Infos zu dem maßgeschneidertes Weiterbildungsangebot für das C-Level finden Sie hier.