Hackerangriffe geschehen täglich…

…und deren Auswirkungen sind manchmal fast ohne Schäden. Meistens aber erheblich und bringen KMU an ihre unternehmerischen Grenzen. Erfahrungsgemäß sind die Schäden umso größer, je schlechter die Unternehmensleitung vorbereitet ist. 

Falls die Leitungsebene womöglich sogar Kenntnis von der unsicheren IT-Umgebung hat, drohen sogar persönliche Haftungsrisiken, spätestens seit der neuen NIS-2-Richtlinie. Allerdings sind die Pflichten des Unternehmens und seiner Geschäftsleitung im Zusammenhang mit der IT-Sicherheit gesetzlich nicht zentral geregelt. Stattdessen ergeben sie sich aus unterschiedlichen Regelwerken und Normen, wie beispielsweise der DSGVO. Die Geschäftsführung ist nach § 91 Abs. 2 AktG gehalten, geeignete Maßnahmen zu treffen, damit Entwicklungen früh erkannt werden, die den Fortbestand der Firma gefährden. Darüber hinaus ist in den meisten Fällen die Funktionsfähigkeit der IT-Systeme für die Aufrechterhaltung des Geschäftsbetriebs des Unternehmens erforderlich. Es besteht sozusagen eine doppelte Verantwortung, warum die IT-Sicherheit Kernaufgabe der Leitungsebene ist: Zum einen, weil die Funktionsfähigkeit des IT-Systems als ein betriebsnotwendiger Bestandteil des Unternehmens geschützt werden muss, und zum anderen, weil die Geschäftsleitung aus ihrer Legalitätspflicht heraus sicherstellen muss, dass das Unternehmen die DSGVO sowie anwendbare IT-Spezialgesetze einhält.

Wussten Sie, dass die Organisationspflichten zum Schutz der IT-Systeme nicht nur dem für die IT-Sicherheit unmittelbar zuständigen Mitglied der Geschäftsleitung obliegen, sondern allen Geschäftsführern gemeinsam? Hier besteht nämlich eine Gesamtverantwortung der Geschäftsleitung. Die Geschäftsleitung als Kollegialorgan muss die grundsätzlichen Entscheidungen treffen, welche Vorkehrungen und Maßnahmen zum Schutz der IT-Systeme zu ergreifen sind. 

Was können Sie tun?

Um eine persönliche Haftung auszuschließen, gibt es Leitlinien und Eckpunkte, die beachtet werden müssen:

  • Die Leitungsebene muss den Einsatz geeigneter Sicherheitsmaßnahmen initiieren und für angemessene Ressourcen sorgen. Kernziel auf dieser Stufe ist die Befähigung des Unternehmens, Gefahren zu erkennen.
  • Die Sicherheitsmaßnahmen müssen angemessen sein. Hier spielt auch die „Business Judgment Rule“ hinein. Unternehmen, die umfangreich mit sensiblen Daten agieren, müssen andere Maßnahmen treffen als ein ausschließlich im B2B-Segment aktives Industrieunternehmen.
  • Die Sicherheitsmaßnahmen sollten anerkannte Regeln reflektieren. Dies sind etwa der IT-Grundschutz des BSI oder Zertifizierungs- und Auditierungsvorgaben wie die ISO27001 oder der Vds10000, letzterer jedenfalls für kleine und mittlere Unternehmen.
  • Die Leitungsebene muss den gesamten Vorgang und auch die weitere Anwendung überwachen. 

Allerdings ist und bleibt letztendlich die Geschäftsführung verantwortlich. Dies gilt erst recht für die wichtigen und besonders wichtigen Einrichtungen, die vom neuen IT-Sicherheitsrecht adressiert werden. Wie sehen Ihre Sicherheitsmaßnahmen aus? Kennen Sie Ihre Sicherheitslücken?

Aktuelle Beiträge


  • 31. Juli 2024 — kostenloses WEBINAR
    Erfahre Sie in diesem kostenlosen Webinar fünf Tricks, um Ihre Cybersicherheit im Unternehmen zu erhöhen!
  • Unser Kennenlernangebot „Find & Fix“
    Schützen Sie Ihr Unternehmen und finden Sie heraus, welche Sicherheitslücken oder Schwachstellen in Ihrer IT vorhanden sind.
  • 3 Schritte zu mehr Cybersicherheit
    Die sich ständig verändernde Bedrohungslandschaft ist ein Labyrinth aus versteckten Kommunikationskanälen und sich ständig weiterentwickelnden Taktiken. Halten Sie Schritt und optimieren Sie Ihre Cyberresilienz. Hier drei Schritte, um Ihr KMU widerstandsfähiger zu machen.
  • …denn sie wissen nicht, was sie tun!
    Laut einer Studie von Kaspersky können Unternehmensleiter, Führungskräfte und IT-Entscheidungsträger ihr Unternehmen nicht vor Cyberangriffen schützen.
  • Partnerschaft mit KnowBe4
    Diese Kooperation bringt zwei starke Akteure im Bereich der Cybersicherheit zusammen. Die DEFENDERBOX bietet eine umfassende Sicherheitslösung, die speziell auf die Bedürfnisse von KMU zugeschnitten ist, während KnowBe4 auf die Schulung und Tests von Mitarbeitern zur Erkennung und Abwehr von Social Engineering-Angriffen spezialisiert ist.

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Probieren Sie es aus! Klicken Sie hier für eine Testinstallation der DEFENDERBOX.
Das Kennenlernangebot gilt bis
30. September 2024.