Fast täglich erreichen uns Meldungen über Cyberangriffe auf Unternehmen. Die hierdurch entstehenden Schäden schätzt der Digitalverband Bitkom auf ca. 55 Milliarden Euro pro Jahr. Doch wer haftet eigentlich dafür? Eine berechtigte Frage, wenn man bedenkt, dass Inhalt und Umfang der Verantwortung für IT-Sicherheit in den meisten Unternehmen unbekannt sind. Dabei betrifft das Thema IT-Sicherheit keinesfalls nur Computer-Spezialisten.
Exkurs: Wie entstehen solch hohe Schadenssummen durch Hackerangriffe?
Mittlerweile gibt es eine Vielzahl an Angriffsmethoden, welche sich Hacker auf ihren Raubzügen zunutze machen. Besonders beliebt ist dabei das Einführen von Schadsoftware, sogenannte Malware, in das Zielunternehmen. Diese kann z.B. potenziell wichtige Dateien verschlüsseln oder Veränderungen an Betriebssystemen vornehmen. Ebenso kommt es vermehrt zu den berüchtigten Phishing-Attacken, also das Erlangen vertraulicher Unternehmensdaten durch gefälschte E-Mails oder Webseiten.
Ein solcher Datenverlust zieht in der Regel Ausfälle der IT-Infrastruktur und damit finanzielle Verluste für das betroffene Unternehmen nach sich. Je länger der Ausfall andauert, desto höher ist der Umsatzausfall. Je nach Vertragsart können außerdem Vertragsstrafen anfallen, wenn Aufträge nicht fristgerecht fertiggestellt werden können. Hinzu kann der Imageverlust des Unternehmens kommen – gerade wenn es z.B. zu groben datenschutzrechtlichen Versäumnissen kam. Zusätzlich kann die Schadenssumme durch Lösegeldforderungen, eine Datenwiederherstellung oder Schadensersatzzahlungen in die Höhe getrieben werden.
Sie sehen: Das Schadenspotenzial von Sicherheitsdefiziten kann unter Umständen die Existenz eines Unternehmens bedrohen. Wer ist dafür verantwortlich? Und wie kann vorgebeugt werden?
IT-Sicherheit ist Chefsache
Seit Juli 2015 gilt für die Betreiber kritischer Infrastrukturen das IT-Sicherheitsgesetz, welches einen Mindeststandard an IT-Sicherheit fordert. Jedoch müssen sich auch Unternehmen außerhalb des Geltungsbereichs des Gesetzes aufgrund der aktuellen Gefährdungslage um ein IT-Risiken- und Sicherheitsmanagement kümmern. Die Verantwortung dafür trägt in erster Linie die Geschäftsleitung. Schließlich sind es die Vorstände einer AG und die Geschäftsführer einer GmbH, welche bei Fahrlässigkeit für den hieraus entstehenden Schaden haften.
Im Aktiengesetz ist festgelegt, dass der Vorstand einer AG die Gesellschaft zu leiten und ihre Geschäfte zu führen hat. Dabei haben die Mitglieder des Vorstands die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Kommt der Vorstand dem, z.B. durch Vernachlässigung der IT-Sicherheit nicht nach und entsteht der Gesellschaft dadurch ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Vorstandsmitglieder führen.
Ebenso hat der Geschäftsführer einer GmbH die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Kommt er dieser Pflicht nicht nach, dann haftet auch er für den entstandenen Schaden.
Bezogen auf das Thema IT-Sicherheit bedeutet das: Unternehmen sind heutzutage beinahe ausnahmslos auf Informationstechnik angewiesen. Digital gespeicherten Kundendaten oder das elektronisch abgelegte Know-How stellen Vermögenswerte dar, welche die Zukunftsfähigkeit eines Unternehmens sichern. Kommt es in Ihrem Unternehmen zu einem erfolgreichen Cyberangriff, verlieren Sie unter Umständen nicht nur Ihre Kronjuwelen, sondern sehen sich auch spürbaren wirtschaftlichen Folgeschäden ausgesetzt.
Somit können sich nicht erkannte IT-Risiken höchst negativ auf das Schicksal eines Unternehmens und damit den Fortbestand einer Gesellschaft auswirken.
Daher ist es Ihre erste Pflicht, sich um ein funktionierendes IT-Risiko- und Sicherheitsmanagement zu kümmern. Nicht nur, weil Sie damit die Zukunftsfähigkeit Ihres Unternehmens sichern, sondern auch weil Sie damit beweisen, dass Sie Ihrer Sorgfaltspflicht als Geschäftsleiter nachkommen.
Arbeitnehmerhaftung
An dieser Stelle stellt sich auch die Frage nach der Arbeitnehmerhaftung. Was passiert, wenn einer Ihrer Mitarbeiter beispielsweise eine verdächtige E-Mail öffnet, den darin enthaltenen Link klickt und unwissentlich eine Schadsoftware herunterlädt? Grundsätzlich gilt: Ein Arbeitnehmer hat stets die Pflicht, sich im Interesse des Arbeitgebers und des Betriebs zu verhalten. Dazu gehört beispielsweise die Risikovermeidung und Schadensvorbeugung. Jedoch haftet der Arbeitnehmer nur bei grober Fahrlässigkeit oder wenn er dem Unternehmen unter Vorsatz Schaden zufügt – und in der Regel nur dann, wenn er leitender Angestellter ist. Denn die Sorgfaltsanforderungen, die an den handelnden Arbeitnehmer gestellt werden, richten sich nach der Position im Unternehmen. Untergeordnete Mitarbeiter handeln grundsätzlich nicht fahrlässig, wenn sie sich an die erteilten Arbeitsanweisungen und betrieblichen Vorschriften halten.
Und somit schließt sich der Kreis: Es ist die Pflicht der Geschäftsleitung, Mitarbeiter sorgfältig auszuwählen und Ergebnisse regelmäßig zu überprüfen. Abhilfe können außerdem Schulungen und Sensibilisierungsmaßnahmen, z.B. in Form von IT-Security Awareness Trainings, schaffen. Dabei vermitteln IT-Sicherheitsexperten anhand von Praxisbeispielen und Live-Demos ein grundlegendes Verständnis für IT-Sicherheit und wie riskantes Verhalten im Arbeitsalltag vermieden werden kann.
Fazit
Defizite im Bereich IT-Sicherheit bergen Haftungsrisiken für das Unternehmen als auch für die handelnden Personen. Vorbeugen können Sie am besten mit kaufmännischer Sorgfalt. So wie Sie andere Bereiche des Unternehmens (z.B. die Buchhaltung) organisieren und strukturieren, verlangt auch die IT-Sicherheit klare Abläufe und Regeln sowie eine nachvollziehbare Dokumentation aller wichtigen Ereignisse. Hierfür ist die Geschäftsleitung verantwortlich, da sie laut Aktiengesetzt und GmbH Gesetz den Fortbestand des Unternehmens zu sichern hat. Sorgen Sie also dafür, dass ein funktionierendes IT-Risiko- und Sicherheitsmanagement eingerichtet wird und Ihre Mitarbeiter regelmäßig in Sachen IT-Sicherheit geschult werden.
