Thought Leadership
Derzeit sind Cyberattacken die am schnellsten wachsenden und kritischsten Bedrohungen für Unternehmen. Das zunehmende breite Spektrum und die rasante Entwicklung der innovativen Technologien mit kontinuierlicher Weiterentwicklung der Attacken verändert die Cyber-Bedrohungslandschaft permanent.
Unter sicherheitstechnischen, wirtschaftlichen und politischen Gesichtspunkten gehen die größten Gefahren von Cyberangriffen auf die kritische Infrastruktur von Unternehmen aus. Fallen IT-Systeme durch Cyberangriffe aus und sind Unternehmensdaten nicht mehr abrufbar, kann dies für Unternehmen gravierende Folgen haben. Im schlimmsten Falle kann es zu bestandsgefährdenden Schäden des Unternehmens führen: z.B. durch Verschlüsselung und Diebstahl von Daten, zu Störung bis hin zum Ausfall von Systemen und Produktionsanlagen, aber auch zu Sachschäden. Durch kriminelle Handlungen wie Erpressung, Wirtschaftsspionage, Manipulation an IT-Systemen und Produktionsanlagen drohen hohe finanzielle Einbußen, Umsatzeinbrüche, Verlust von Reputation und Kundenvertrauen eventuell gefolgt von Schadenersatzklagen von Kunden und Lieferanten.
Daher muss das Unternehmen auf Cyber-Angriffe vorbereitet sein, Cyber-Attacken effektiv begegnen können und regulatorische Anforderungen sowie Geschäftsentwicklungen berücksichtigen. Zielsetzung ist Angreifer von dem Unternehmensnetzwerk abzuwehren.
IT-Sicherheit ist haftungsrechtlich nicht delegierbare Chefsache!
Die Funktionsfähigkeit der IT-Systeme ist für die Aufrechterhaltung des Geschäftsbetriebs des Unternehmens erforderlich. Damit ist die CyberSecurity geschäftskritisch und überlebenswichtig. Fehlende oder unzureichende Cybersicherheit stellt ein sicherheitstechnisches, wirtschaftliches und rechtliches Risiko dar, das aufgrund gesetzlicher Vorschriften und Richtlinien zu bewerten ist.
Auf den Punkt gebracht: IT-Sicherheit gehört zu den Kernaufgaben von Vorstand und Geschäftsführung sowie Aufsichtsrat und Beirat. Beide Führungsgremien sind gesetzlich verpflichtet für ein funktionierendes IT-Risiko- und Sicherheitsmanagement zu sorgen. Damit haben sie bei der Prävention von Cyberattacken eine Schlüsselrolle inne. Sie stehen gemeinsam in der Verantwortung und Haftung. Ihr Engagement ist entscheidend für ein wirksames CyberSecurity-Management.
Kurz gesagt: CyberSecurity ist Chefsache.
Dem Vorstand und der Geschäftsführung obliegt die Steuerung des strategischen Unternehmensrisikos. Eine ihrer Kernaufgaben ist die Cyber Resilienz permanent auszubauen und somit ein umfassendes CyberSecurity-Programm einzurichten und umzusetzen. Darüber hinaus stehen sie in der Pflicht die umgesetzten Maßnahmen für Cybersicherheit auf ihre Aktualität, Relevanz und Effektivität zu überprüfen.
Somit umfasst der Pflichtenkreis der Geschäftsführung sowohl die Organisations- und Überwachungspflichten zum Schutz der IT-Systeme und Unternehmensdaten im Vorfeld von Cyber-Angriffen, sog. Schadensprävention, als auch die Reaktion auf einen erfolgten Cyber-Angriff. Diese Pflichten obliegen dabei allen Mitgliedern des Vorstands und der Geschäftsführung gemeinsam. Damit trägt die Unternehmensleitung die Gesamtverantwortung auch im Falle einer Übertragung der Zuständigkeit für die IT-Sicherheit an ein bestimmtes Mitglied der Geschäftsleitung oder externe Dienstleister. Eine haftungsrechtlich relevante Übertragung ist dagegen nicht möglich.
Dagegen spielt der Aufsichtsrat eine Schlüsselrolle als Impulsgeber und bei der Überwachung der Management-Aktivitäten hinsichtlich Ressourcen, Budget und CyberSecurity-Maßnahmen. Im Falle von Knowhow-Defiziten in den Bereichen Security Governance und Cyber Risk Management empfiehlt sich externe Expertise hinzuziehen.
Die Geschäftsleitung ist nach § 91 Abs. 2 AktG verpflichtet, geeignete Maßnahmen zu treffen, damit Entwicklungen früh erkannt werden, die den Fortbestand der Gesellschaft gefährden. Der Terminus technicus „Bestandsgefährdung“ beinhaltet wesentliche Auswirkungen auf die Vermögens-, Ertrags- oder Finanzlage des Unternehmens. Hieraus wird die Verpflichtung der Geschäftsleitung abgeleitet eine „auf Schadensprävention und Risikokontrolle angelegte Compliance Management-Organisation einzurichten. Gleichartige Vorschriften betreffen auch andere Gesellschaftsformen, beispielsweise in § 43 Abs. 1 GmbHG für den GmbH-Geschäftsführer.
Die Pflichten eines Unternehmens und seiner Organe zur Sicherstellung der IT-Sicherheit und der Unternehmensdaten sind gesetzlich nicht zentral geregelt. Eine rechtliche Verpflichtung zur Sicherstellung von Cyber Resilienz und Schutz der Unternehmensdaten resultiert aus verschiedenen Gesetzen, Regelwerken und Normen.
Zusammenfassend sind die Führungsorgane gesetzlich verpflichtet unter Berücksichtigung des Datenschutzes die IT-Sicherheit und den Schutz der Unternehmensdaten in das Risiko-Management- und Compliance-System unternehmensweit zu integrieren. Insgesamt haften alle Führungsorgane persönlich für Schäden durch erfolgreiche Cyberangriffe.
Umfrageergebnisse des deutschen Mittelstands zur IT-Sicherheit
Nach einer Studie von Deloitte ist ein Großteil des deutschen Mittelstands nur unzureichend gegen IT-Attacken gerüstet – und das, obwohl gerade kleine und mittlere Firmen verstärkt in den Fokus von Cyberkriminellen rücken. Cybersicherheit gehört für fast die Hälfte der Befragten bislang nicht zu den Top-Prioritäten der Unternehmensleitung, obwohl Cyberangriffe weltweit rasant zunehmen. So können Unternehmen durch Spionage, Erpressung bis hin zur Stilllegung ganzer Geschäftsprozesse großen Schaden erleiden. Vor allem für kleine und mittelständische Unternehmen kann dies existenzbedrohend sein.
Der Branchenverband BITKOM berichtet in diesem Zusammenhang von einem Schaden in Höhe von rund 203 Milliarden Euro, welcher der deutschen Wirtschaft im Jahr 2022 durch Diebstahl sensibler Unternehmensdaten, Spionage, Sabotage und daraus resultierende Betriebsausfälle entstanden ist. Haupttreiber für diese Schäden in Milliarden-Höhe ist vor allem die Zunahme sog. digitaler “Schutzgeld”-Erpressungen.
Dabei ist nahezu jedes Unternehmen betroffen. Es ist lediglich eine Frage der Zeit, wann ein Unternehmen angegriffen wird.
