Haftungsrisiken für Manager bei Cyberangriffen: Das sollten Sie wissen.

 Cybersecurity als Managementaufgabe: Risiken und Verantwortlichkeiten.

Haftungsrisiken für Manager bei Cyberangriffen: Das sollten Sie wissen.

Cyberangriffe nehmen weltweit zu und Manager stehen vor immer größeren Herausforderungen, ihre Unternehmen zu schützen. Doch nicht nur der Schutz vor Angriffen ist wichtig – auch die rechtlichen Haftungsrisiken für Manager bei Sicherheitsverletzungen steigen. In diesem Beitrag erfahren Sie, welche Risiken bestehen und wie Sie sich als Führungskraft absichern können.

1. Haftungsrisiken im digitalen Zeitalter

Die Zahl der Cyberangriffe nimmt weltweit zu. Im Jahr 2023 wurden allein in Deutschland insgesamt 134.407 Straftaten im Bereich der Cyberkriminalität registriert. Hier wird ein großes Dunkelfeld vermutet. Daher dürfte die angegebene Zahl nur eine Bruchteil der tatsächlichen Kriminalität abbilden.

Mit der rasant wachsenden Bedrohung durch Cyberkriminalität steigen auch die Haftungsrisiken für die Unternehmensleiter. Die Unternehmensführung trägt bekanntermaßen die Verantwortung für die ordnungsgemäße Unternehmensführung – und dazu gehören auch die interne IT-Organisation und die IT-Sicherheit. Erweisen sich Maßnahmen vor und während eines IT-Sicherheitsvorfalls als lückenhaft, wird schnell der Vorwurf der Managerhaftung bzw. eines Organisationsverschuldens laut. Bei schuldhaften Versäumnissen können dann die Manager auf Schadensersatz in Anspruch genommen werden; ein relativ neues weiteres Risiko für Manager.

Anders nämlich als ein einfacher Angestellter, der sich bei einem pflichtwidrigen Verhalten unter Umständen auf die Grundsätze des innerbetrieblichen Schadensausgleichs berufen kann, haftet ein Manager im Zusammenhang mit seiner beruflichen Tätigkeit bei Pflichtverstößen unbeschränkt, und zwar mit seinem gesamten Privatvermögen. Werden ihm beispielweise schuldhafte Versäumnisse bei der Überwachung der IT-Sicherheit nachgewiesen, die in eine erfolgreiche Cyberattacke münden, kannn das schwerwiegende finanzielle Folgen für ihn persönlich haben.

2. Verantwortung der Manager für Cybersicherheit

Manager tragen die Verantwortung, angemessene Maßnahmen zur Prävention und Schadensbegrenzung bei Cyberangriffen zu ergreifen. Unterlassen sie dies, können sie für entstandene Schäden haftbar gemacht werden. Diese Verantwortung umfasst sowohl die Implementierung technischer Schutzmaßnahmen als auch die Schulung von Mitarbeitern.

3. Rechtliche Rahmenbedingungen und Konsequenzen

Das deutsche Recht sieht vor, dass Manager bei Verstößen gegen ihre Sorgfaltspflichten zur Rechenschaft gezogen werden können. Dies schließt Cyberangriffe und Sicherheitsverletzungen ein, wenn nachgewiesen wird, dass Vorsichtsmaßnahmen nicht ergriffen wurden.

Aufzählung der typischen Haftungsrisiken:

  • Fehlendes oder mangelhaftes Compliance-Management-System (CMS)
  • Fehlendes oder mangelhaftes Risiko-Management
  • Unzureichende IT-Sicherheitsmaßnahmen
  • Fehlende Sensibilisierung bzw. Schulung der Mitarbeiter
  • Verstoß gegen Datenschutzvorgaben (DSGVO)

4. Best Practices zur Minimierung der Risiken

Manager sollten proaktiv handeln und klare Sicherheitsstrategien implementieren, insbesondere ein Risiko-Management bzw. CMS sowie:

  • Regelmäßige Sicherheits-Audits
  • Schulungen für alle Mitarbeiter
  • Einsatz von Experten für IT-Sicherheit

5. Cyberversicherung als „Retter in der Not“?

Ob bei einem Cyberangriff ein Haftungsfall im Sinne der verbreiteten D&O-Versicherung vorliegt, ist oftmals sehr streitig. Der Versicherer bietet daher zunächst Deckung lediglich für die Verteidigung der in Anspruch genommenen Manager gegen die im Raum stehenden Vorwürfe von Pflichtverletzungen. Der Prozess nimmt dann in der Regel sehr viel Zeit in Anspruch und endet häufig mit einem Vergleich. Dabei umfassen die Vergleichsbeträge meist nur einen geringen Teil des Gesamtschadens.

Vor diesem Hintergrund bieten sich sogenannte „Cyberversicherungen“ an, die dem Unternehmen im Notfall Spezialisten aus den Bereichen IT, Recht und PR zur Seite stellen, um dem Management eine qualitativ hochwertige Unterstützung zu bieten. Auch übernimmt die Cyberversicherung neben den Kosten für die Wiederherstellung der Daten bzw. IT-Systeme auch die Ertragsausfälle durch die Cyberattacke. Wie bei jeder Versicherung muss aber zuvor ein ansonsten ordentlich funkionierendes Risiko-Management funktionieren. Das ist die Grundlage jeder Compliance.

Manager sind zunehmend in der Pflicht, Cyberangriffe zu verhindern und ihre Unternehmen zu schützen. Wichtige Maßnahmen umfassen regelmäßige Audits, Mitarbeiterschulungen und die Zusammenarbeit mit Sicherheitsexperten. Das Haftungsrisiko kann durch präventive Maßnahmen deutlich gesenkt werden.