UNTERNEHMERHAFTUNG BEI HACKERANGRIFFEN VERMEIDEN

09.10.2023

Vorschaubild: unternehmerhaftung-bei-hackerangriffen-vermeiden

Ein Hackerangriff bedeutet häufig nicht nur für das Unternehmen einen großen Schaden. Auch Geschäftsführer stehen persönlich für Schäden ein, wenn sie regulatorische Anforderungen nicht erfüllen.

Kein Unternehmen funktioniert mehr rein analog: Banküberweisungen, Terminbuchungen, Kundenkontakt – Sie alle sind zentrale Elemente im Unternehmensalltag und stellen damit gleichzeitig ein potenzielles Risiko für die IT-Sicherheit und die Zahlungsfähigkeit dar.

Die Wahrscheinlichkeit, als Unternehmen Opfer eines Hackerangriffs zu werden, ist dabei ziemlich hoch. Angriffe finden 24/7 auf der ganzen Welt statt. Entscheidend ist dabei die Frage, wie hoch der mögliche entstehende Schaden ist, was wiederum davon abhängt, wie gut IT-Infrastruktur und -Sicherheit ausgebaut sind, wie gut die Mitarbeiter geschult sind und wie resilient das Unternehmen ist.

Die Größe eines Unternehmens spielt bei der Frage, wie hoch die Chancen sind, Opfer eines IT-Sicherheitsvorfalls zu werden, hingegen keine Rolle. Da mittlerweile viele Angriffe teilautomatisiert ablaufen, ist es vielmehr relevant, wie offen die Zugänge des Unternehmens sind und wie leicht sich Hacker in der IT-Infrastruktur ausbreiten können.

Im Falle eines gravierenden Ransomware-Angriffs ist das Unternehmen im schlimmsten Fall nicht mehr handlungsfähig und muss unter Umständen zusätzlich Lösegeld an die Erpresser zahlen. Im allerschlimmsten Fall ist es nach dem Angriff überhaupt nicht mehr in der Lage, den Betrieb wieder aufzunehmen, weil geschäftskritische Daten (z. B. Baupläne, Kundendaten, Buchhaltungsdaten) verloren gegangen sind, sodass es sich wirtschaftlich nicht mehr lohnt, den Betrieb wieder aufzunehmen. Die Insolvenz stellt somit das Ende des Angriffs dar.

Wird die IT-Sicherheit vernachlässigt, spielt die Geschäftsführung mit ihrer eigenen Insolvenz

Kein Unternehmen kann es sich leisten, wiederholt den Betrieb aufgrund von Hackerangriffen einstellen zu müssen. Wenn gar nichts für die IT-Sicherheit getan wird, kann das zudem als fahrlässiges Insolvenzrisiko gewertet und der Geschäftsführung zum Nachteil ausgelegt werden. In einem solchen Fall kann eine Durchgriffshaftung erfolgen, wenn sie ihrer nicht Pflicht nachgekommen sind, Schaden vom Unternehmen abzuwenden und die Verluste durch eine gute IT-Sicherheitsstrategie vermeidbar gewesen wären.

Natürlich muss sich nicht jeder Geschäftsführer bis ins Detail über die neuesten technischen Neuerungen informieren. Aber er sollte zumindest grundlegend wissen, welche Hebel es gibt, die eigene IT-Sicherheit zu verbessern, diese von außen regelmäßig prüfen lassen, IT-Sicherheit als Aufgabe für gesamtes Unternehmen sehen und der IT-Abteilung genug Ressourcen zur Verfügung stellen.

Steigende rechtliche Anforderungen für Unternehmerhaftung

Wenn ein Geschäftsführer nachweislich grob fahrlässig handelt, indem er etwa unzureichenden Schutz vor Hackerangriffen gewährleistet, könnten Gesellschafter ihn persönlich zur Verantwortung ziehen und Schadensersatz fordern. Die Definition von Fahrlässigkeit in solchen Fällen ist derzeit ein viel diskutiertes Thema. Ein wichtiger Anhaltspunkt ist unter anderem der BSI-Grundschutz, der jedoch sehr weit ausgelegt werden kann. Die Frage, ob Geschäftsführer für Sicherheitsverletzungen verantwortlich gemacht werden können, hängt meist von der Unternehmensgröße und den individuellen Umständen ab. Der BSI-Grundschutz existiert jedoch schon seit geraumer Zeit, und je länger Unternehmen die damit verbundenen Anforderungen nicht umsetzen, desto kritischer wird die Bewertung der Entscheidung, was als fahrlässiges Handeln angesehen wird.

Deutlich wird das anhand eines konkreten Beispiels: In einem Unternehmen mit rund 100 Mitarbeitern wird es mittlerweile als fahrlässig angesehen, wenn keine MFA (Mehrfaktor-Authentifizierung) implementiert wurde. In solchen Fällen könnte der Geschäftsführer persönlich haftbar gemacht werden. Die geltenden Regelungen für derartige Fälle ändern sich ständig und sind letztlich auch vom jeweiligen Richterurteil abhängig. Dennoch zeigt sich deutlich, dass die rechtlichen Standards – und damit die Erwartungen an Unternehmer – zunehmend steigend, auch aufgrund der wachsenden Bedrohung durch Cyberkriminalität.