Hackerangriffe geschehen täglich…
…und deren Auswirkungen sind manchmal fast ohne Schäden. Meistens aber erheblich und bringen KMU an ihre unternehmerischen Grenzen. Erfahrungsgemäß sind die Schäden umso größer, je schlechter die Unternehmensleitung vorbereitet ist.
Falls die Leitungsebene womöglich sogar Kenntnis von der unsicheren IT-Umgebung hat, drohen sogar persönliche Haftungsrisiken, spätestens seit der neuen NIS-2-Richtlinie. Allerdings sind die Pflichten des Unternehmens und seiner Geschäftsleitung im Zusammenhang mit der IT-Sicherheit gesetzlich nicht zentral geregelt. Stattdessen ergeben sie sich aus unterschiedlichen Regelwerken und Normen, wie beispielsweise der DSGVO. Die Geschäftsführung ist nach § 91 Abs. 2 AktG gehalten, geeignete Maßnahmen zu treffen, damit Entwicklungen früh erkannt werden, die den Fortbestand der Firma gefährden. Darüber hinaus ist in den meisten Fällen die Funktionsfähigkeit der IT-Systeme für die Aufrechterhaltung des Geschäftsbetriebs des Unternehmens erforderlich. Es besteht sozusagen eine doppelte Verantwortung, warum die IT-Sicherheit Kernaufgabe der Leitungsebene ist: Zum einen, weil die Funktionsfähigkeit des IT-Systems als ein betriebsnotwendiger Bestandteil des Unternehmens geschützt werden muss, und zum anderen, weil die Geschäftsleitung aus ihrer Legalitätspflicht heraus sicherstellen muss, dass das Unternehmen die DSGVO sowie anwendbare IT-Spezialgesetze einhält.
Wussten Sie, dass die Organisationspflichten zum Schutz der IT-Systeme nicht nur dem für die IT-Sicherheit unmittelbar zuständigen Mitglied der Geschäftsleitung obliegen, sondern allen Geschäftsführern gemeinsam? Hier besteht nämlich eine Gesamtverantwortung der Geschäftsleitung. Die Geschäftsleitung als Kollegialorgan muss die grundsätzlichen Entscheidungen treffen, welche Vorkehrungen und Maßnahmen zum Schutz der IT-Systeme zu ergreifen sind.
Was können Sie tun?
Um eine persönliche Haftung auszuschließen, gibt es Leitlinien und Eckpunkte, die beachtet werden müssen:
- Die Leitungsebene muss den Einsatz geeigneter Sicherheitsmaßnahmen initiieren und für angemessene Ressourcen sorgen. Kernziel auf dieser Stufe ist die Befähigung des Unternehmens, Gefahren zu erkennen.
- Die Sicherheitsmaßnahmen müssen angemessen sein. Hier spielt auch die „Business Judgment Rule“ hinein. Unternehmen, die umfangreich mit sensiblen Daten agieren, müssen andere Maßnahmen treffen als ein ausschließlich im B2B-Segment aktives Industrieunternehmen.
- Die Sicherheitsmaßnahmen sollten anerkannte Regeln reflektieren. Dies sind etwa der IT-Grundschutz des BSI oder Zertifizierungs- und Auditierungsvorgaben wie die ISO27001 oder der Vds10000, letzterer jedenfalls für kleine und mittlere Unternehmen.
- Die Leitungsebene muss den gesamten Vorgang und auch die weitere Anwendung überwachen.
Allerdings ist und bleibt letztendlich die Geschäftsführung verantwortlich. Dies gilt erst recht für die wichtigen und besonders wichtigen Einrichtungen, die vom neuen IT-Sicherheitsrecht adressiert werden. Wie sehen Ihre Sicherheitsmaßnahmen aus? Kennen Sie Ihre Sicherheitslücken?
Aktuelle Beiträge
- Über neue Cyberbedrohungen Bescheid wissenMit der DEFENDERBOX haben Sie ab sofort einen strategischen und cybersicheren Vorteil: Durch die frühzeitige Identifikation von Exploits können Sie rechtzeitig Präventiv-Maßnahmen einleiten!
- Unser Kennenlernangebot „Find & Fix“Schützen Sie Ihr Unternehmen und finden Sie heraus, welche Sicherheitslücken oder Schwachstellen in Ihrer IT vorhanden sind.
- Neue EU-Regelung für Cybersecurity bei NeuwagenDie EU lässt ab 2035 keine Fahrzeuge mehr zu, die mit Benzin oder Diesel fahren. Außerdem soll auch das autonome Fahren in naher Zukunft real werden.
- Geschäftsführung haftet bei CyberattackenWußten Sie, das Sie als Geschäftsführung für Cyberschäden haften?
- NIS2 für mehr Cyber-ResilienzMit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen verpflichtende Sicherheitsmaßnahmen und Meldepflichten.
Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Probieren Sie es aus! Klicken Sie hier für eine Testinstallation der DEFENDERBOX.
Das Kennenlernangebot gilt bis
30. Juni 2024.