Wie Sie sich als Geschäftsführer vor Haftungsrisiken durch Cyber-Angriffe schützen können.

Veröffentlicht von Marketing am

Die zunehmende Digitalisierung in Deutschland bringt auf der Kehrseite auch Gefahren durch Cyber-Angriffe und Vorfälle mit sich, welche zu einem nicht unerheblichen Schaden für das Unternehmen führen können. Als Geschäftsführer und Mitglied der Geschäftsleitung sollten Sie sich der möglichen Gegenmaßnahmen und Instrumente zum Umgang mit den konkreten Gefahren bewusst sein, da sie auch zunehmend im Fokus der Gesetzgebung liegen. Das wirft die Frage auf, ob sich eine konkrete Handlungspflicht für die Ge­schäfts­leitung ergibt, wie dieser (wenn ja) nachzukommen ist und ob es Rest- und Haftungsrisiken gibt, welche durch eine Versicherung abgedeckt werden können.

Welche gesetzlichen Rahmenbedingungen bestehen für Ihre IT-Sicherheit?

Auch an den Gesetzgebern sind die Digitalisierung und die damit einhergehenden Folgen nicht spurlos vorbeigegangen. So haben sich kontinuierlich neue Regularien gebildet, die einen gesetzlichen Rahmen für die IT-Sicherheit in Unternehmen und Organisationen schaffen sollen, wie z.B.

  • IT-Sicherheitsgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme und zum Schutz von kritischen Infrastrukturen (KRITIS)
  • EU-Datenschutz-Grundverordnung (EU-DSGVO)
  • Handels- und steuerrechtliche IT-Sicherheitspflichten über die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Daneben bestehen eine Vielzahl an branchenspezifischen Regelungen, die auch auf Ihre Geschäft Einfluss haben dürften, wie z.B.

  • Bankaufsichtsrechtliche Anforderungen an die IT – BAIT
  • Versicherungsrechtliche Anforderungen an die IT – VAIT
  • und viele weitere Landesspezifische Gesetze

Wie kann IT-Sicherheit systematisch gewährleistet werden?

Zwischenzeitlich haben sich verschiedene Managementsysteme zur Gewährleistung der Sicherheit von Informationen herausgebildet. Diese Systeme haben einen regelmäßigen Prozess zur Risikobewertung und Maßnahmendefinition sowie -umsetzung gemein. 

  • ISO/IEC 27001
  • BSI-Grundschutz
  • ISIS12

Durch wiederholende Sicherheitsprozesse werden die vorhandenen Sicherheitsmaßnahmen und Instrumente mit den notwendigen Sicherheitsmaßnahmen und Instrumenten abgeglichen. Auf dieser Basis findet eine regelmäßige Verbesserung der Abwehrkraft des Unternehmens gegenüber Angriffen von innen und außen statt.

Regelmäßige Audits Ihrer Infrastruktur gewährleisten, dass die verabschiedeten Sicherheitsmaßnahmen wirksam sind. Die im Unternehmen getroffenen Regelungen und Dokumentationen dienen zum Nachweis der Wirksamkeit des Informationssicherheitsmanagementsystems.

Welche Pflichten leiten sich daraus für die Geschäftsführung ab?

Beim heutigen Stand dieser Gesetzgebung kann sich die Geschäftsführung den Risiken und damit verbundenen Pflichten eines Cyber-Angriffs nicht mehr entziehen. Entsprechend sollten Sie sich als Geschäftsführer unbedingt folgender Pflichten bewusst sein:

  • Sorgfaltspflicht: So haben etwa Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gem. § 93 Abs. 1 (1) und (2) AktG anzuwenden. Für einen Geschäftsführer einer GmbH wird nach § 43 Abs. 1 GmbHG der gleiche Maßstab zur Sorgfalt gefordert.
  • Legalitätspflicht: Diese Pflicht der Geschäftsleitung verlangt, dafür Sorge zu tragen, dass sich die Gesellschaft in ihren Außenbeziehungen rechtmäßig verhält. Dabei hat die Geschäftsleitung auch die Handlungen ihrer Mitarbeiter zu überprüfen.
  • Pflicht zur Einrichtung von Überwachungssystemen: In § 91 Abs. 2 AktG wird die Einrichtung explizit gefordert. Es ist aufgrund dieser Regelung davon auszugehen, dass im Falle einer juristischen Überprüfung auch die Geschäftsführung einer GmbH oder anderer Gesellschaftsformen betroffen sind.

Wenn also nachgewiesen werden kann, dass Sie als Geschäftsführung oder -leitung eine Pflichtverletzung begangen haben, so sind Sie zum Ersatz des daraus entstandenen Schadens verpflichtet. Im Kern geht es also darum, ob obige Instrumente und Maßnahmen zur IT-Sicherheit nicht den (gesetzlichen und/oder branchenspezifischen) Anforderungen entsprachen.

Wie Sie sich vor dem Haftungsrisiko als Geschäftsführer schützen können.

Das Team von MEGASICHER bildet als moderner Dienstleister die Schnittstelle zwischen IT-Administration und Geschäftsführung durch die technische Unterstützung bei der Schwachstellenanalyse und der Absicherung von Unternehmen und Führungskräften gegen Schäden von innen & außen sowie der Absicherung des Rest-Risikos durch individuelle Versicherungslösungen. Erfahren Sie mehr darüber, wie wir Sie bei der hierbei unterstützen und Sie damit langfristig schützen können.

Kategorien: Wissen
Schlagwörter:

Verwandte Beiträge

Wissen

Penetrationstests: Warum Sie sich selbst hacken sollten.

Mit Penetrationstest Cyber-Angriffen vorbeugen und technische sowie organisatorische Maßnahmen optimieren.

Wissen

Erste Hilfe: 12 mögliche Maßnahmen bei Cyber-Angriffen

Die Bewältigung eines Cyber-Angriffs ist stets individuell und Maßnahmen müssen auf die Gegebenheiten der IT-Infrastruktur vor Ort, die Art des Angriffs und die Zielsetzungen der Organisation angepasst werden. Die in den 12 als Fragen formulierten Punkten des BSI implizierten Maßnahmen dienen als Impuls und Hilfestellung bei der individuellen Bewältigung.

Wissen

IT Incident Management: Was Sie bei einem IT-Sicherheitsvorfall unternehmen sollten.

Unbedachte Handlungen und Reaktionen können die Situation verschlimmern und zu noch höheren Schäden führen. Wichtig ist, dass Sie als Unternehmen in einer solchen Situation auf fundierte Informationen zugreifen können, um Ihren Geschäftsprozess und Ihre IT-Infrastruktur wiederherzustellen.