Cyberangriff auf das Unternehmen – wann haftet die Geschäftsführung?
Ransomware, Datenpannen oder IT-Ausfälle betreffen Geschäftsführer direkt, denn ein Cybervorfall kann für sie schnell zur Haftungsfrage werden. IT-Sicherheit, Datenschutz und Compliance sind mittlerweile Pflichten des Managements und keineswegs „nur“ IT-Themen. Ralph Günther erklärt anhand konkreter Fälle, warum eine Kombination aus Cyberversicherung und D&O-Versicherung für Verantwortungsträger heutzutage State of the Art ist, um Cyberrisiken abzusichern.
Cyberrisiken: Vom IT-Problem zur Managementverantwortung
Cyberangriffe zählen zu den grössten Geschäftsrisiken vieler Unternehmen – unabhängig von Branche oder Sektor. Die meisten Organisationen sind heute stark digitalisiert. Cloudlösungen, ERP-Systeme, CRM-Software, digitale Plattformen und datenbasierte Geschäftsmodelle gehören zum Alltag. Kommt es zu Ausfällen oder Datenkompromittierungen, können die Folgen gravierend sein. Neben IT-Kosten und Betriebsunterbrechungen entstehen oft auch rechtliche, wirtschaftliche und organisatorische Herausforderungen. Was oft übersehen wird: Cyberrisiken betreffen nicht nur die IT, sondern auch die Verantwortung der Unternehmensleitung.
Ein prominentes Beispiel ist der SolarWinds-Hack: Angreifer manipulierten Software-Updates des Unternehmens und infizierten so rund 18.000 Organisationen weltweit, darunter Behörden und Grossunternehmen.
Nach dem Vorfall verklagten Aktionäre das Management, weil bekannte Sicherheitsprobleme angeblich über längere Zeit ignoriert und Risiken gegenüber Investoren nicht ausreichend offengelegt worden seien. Der Fall endete mit einem Vergleich in Millionenhöhe und zeigt eindrücklich, dass Cybervorfälle auch zur persönlichen Haftungsfrage werden können.
Cyber-Attacken treffen nicht nur Grossunternehmen. Welche Risiken Sie auf dem Schirm haben sollten und wie Sie Ihr Business schützen können, lesen Sie im Artikel Cyber-Risiken: Das droht Ihnen und so können Sie sich absichern.
Wenn ein Cybervorfall zur Haftungsfrage wird
Kommt es zu einem Cyberincident – etwa durch Malware, Ransomware oder eine Datenschutzverletzung – geht es nicht nur um die Behebung des Schadens. Oft wird auch geprüft, ob Verantwortliche ihre Organisationspflichten erfüllt haben.
Im Fokus stehen dabei Fragen wie:
- Wurden angemessene IT-Sicherheitsmassnahmen umgesetzt?
- Gab es ein funktionierendes Backup- und Notfallkonzept?
- Wurden externe IT-Dienstleister ausreichend geprüft?
- Wurden Mitarbeitende für Cyberrisiken sensibilisiert?
- Wurden Datenschutzanforderungen umgesetzt?
Fallen die Bewertungen negativ aus, kann der Vorwurf einer Sorgfaltspflichtverletzung entstehen.
Für Geschäftsführer oder Vorstände kann das gravierende Folgen haben: Sie haften im Ernstfall persönlich und unbegrenzt mit ihrem Privatvermögen. Die Haftungsbeschränkung einer GmbH schützt die handelnden Personen dabei nicht automatisch.
Ein Gerichtsfall aus Deutschland zeigt, dass solche Konstellationen relevant: Nach einem Phishing-Angriff veranlasste eine Geschäftsführerin mehrere Überweisungen an Betrüger und wurde daraufhin vom eigenen Unternehmen auf Schadenersatz verklagt.
Zwar verneinte das OLG Zweibrücken eine persönliche Haftung im konkreten Fall, stellte aber klar, dass Unternehmen grundsätzlich prüfen dürfen, ob die Geschäftsleitung ihre Sorgfaltspflichten verletzt hat.
Wer kann Ansprüche gegen die Geschäftsleitung geltend machen?
Nach einem Cybervorfall stellt sich die Haftungsfrage oft aus mehreren Richtungen. Entscheidend ist dabei weniger der technische Fehler als die Frage, ob die Geschäftsleitung ihre Organisations- und Überwachungspflichten ausreichend erfüllt hat.
A) Gesellschafter, Anteilseigner oder Investoren
In Kapitalgesellschaften können Gesellschafter oder Investoren prüfen, ob ein Cybervorfall möglicherweise auf organisatorische Versäumnisse der Geschäftsführung zurückzuführen ist.
Beispiel:
Ein Dienstleistungsunternehmen investiert über Jahre hinweg kaum in IT-Sicherheit und verschiebt notwendige Systemupdates oder Sicherheitsmassnahmen aus Kostengründen. Nach einem erfolgreichen Ransomware-Angriff steht der Betrieb mehrere Tage still und es entstehen erhebliche Umsatzausfälle.
In einem solchen Fall könnten Gesellschafter argumentieren, dass die Geschäftsführung ihre Pflicht zur angemessenen Risikovorsorge verletzt hat.
B) Kunden, Geschäftspartner oder andere Betroffene
Datenschutzverletzungen können erhebliche rechtliche Folgen haben, insbesondere wenn personenbezogene Daten betroffen sind. Kommt es zu einem Datenleck, können Betroffene gemäss der DSGVO Schadenersatz verlangen.
Die Ansprüche richten sich zunächst gegen das Unternehmen. Zugleich stellt sich die Frage, ob organisatorische Versäumnisse der Geschäftsleitung zum Verstoss beigetragen haben.
Beispiel:
Ein Unternehmen verarbeitet viele Kundendaten, setzt aber über längere Zeit keine ausreichenden Sicherheitsmassnahmen wie Verschlüsselung oder Zugriffsbeschränkungen. Kommt es zu einem Datenleck, haftet zunächst das Unternehmen.
Anschliessend kann geprüft werden, ob der Schaden auf eine Pflichtverletzung der Geschäftsleitung zurückzuführen ist. In diesem Fall sind Innenhaftungsansprüche gegen die verantwortlichen Personen möglich.
C) Aufsichtsbehörden
Auch Aufsichtsbehörden werden nach Cybervorfällen aktiv, vor allem bei Datenschutzverletzungen. Die DSGVO verpflichtet Unternehmen zu angemessenen Schutzmassnahmen für personenbezogene Daten.
Werden diese nicht eingehalten, drohen Bussgelder oder behördliche Auflagen.
Ein Beispiel: Eine Behörde verhängt ein Bussgeld, weil grundlegende Sicherheitsmassnahmen fehlten oder bekannte Lücken nicht behoben wurden. Hat die Geschäftsleitung trotz Hinweisen nicht gehandelt, kann geprüft werden, ob eine Pflichtverletzung vorliegt.
In solchen Fällen sind Innenhaftungsansprüche gegen die Geschäftsführung möglich.
Doppelt schützt besser: Warum Cyber- und D&O-Versicherung zusammengehören
Die Cyberversicherung und die D&O-Versicherung verfolgen unterschiedliche Ansätze im Risikomanagement. Gemeinsam vereinen sie das Beste aus zwei Welten:
Cyberversicherung
- Eine Cyberversicherung kann Unternehmen dabei unterstützen, die finanziellen Folgen eines Cybervorfalls zu bewältigen.
- Fokus auf Cyberereignisse
- Schutz des Unternehmens vor finanziellen Folgen
- Unterstützung bei Krisenmanagement und IT-Wiederherstellung
D&O-Versicherung
Eine D&O-Versicherung (Directors & Officers Versicherung) schützt in der Regel Geschäftsführer, Vorstände oder leitende Entscheidungsträger, wenn ihnen im Rahmen ihrer Organfunktion eine Pflichtverletzung vorgeworfen wird.
- Fokus auf Managementhaftung
- Schutz der Entscheidungsträger bei Haftungsansprüchen
- Unterstützung bei der rechtlichen Verteidigung
Gerade bei den zunehmend komplexeren Cybervorfällen können beide Perspektiven gleichzeitig relevant werden. Daher gehört in ein umfassendes Absicherungsportfolio mit Blick auf Cyberrisiken heutzutage eine Kombination aus Cyberversicherung und D&O-Versicherung.
Fazit: Cyberrisiken betreffen auch die Unternehmensleitung
Cyberangriffe sind längst kein Randthema mehr. Für viele Unternehmen sind digitale Systeme heute geschäftskritisch – gleichzeitig werden grosse Mengen sensibler Daten verarbeitet.
Während eine Cyberversicherung die unmittelbaren Folgen eines Cyberangriffs für das Unternehmen adressiert, kann eine D&O-Versicherung relevant werden, wenn im Nachgang Fragen zur Verantwortung der Geschäftsleitung aufkommen.
Wer Cyberrisiken heute professionell managen will, sollte deshalb nicht nur an Firewalls und Backups denken – sondern im selben Zuge auch an mögliche Haftungsrisiken auf Managementebene.
Unser Experte: Ralph Günther
Ralph Günther ist Gründer und CEO der exali AG und seit über 20 Jahren Pionier an der Schnittstelle von Digitalisierung und Versicherung. Schon 2004 erkannte er den Bedarf an passgenauen Absicherungen für IT-Experten und digitale Berufe.
Mit exali schuf er eines der ersten digitalen Versicherungsportale für Freelancer, Agenturen und Unternehmen in der Onlinewelt. Sein Ziel: komplexe Risiken wie Cyberangriffe oder KI-Bedrohungen verständlich und versicherbar machen – praxisnah, transparent und ohne Versicherungs-Blabla.
Vivien Gebhardt ist Onlineredakteurin bei exali. Hier erstellt sie Content zu Themen, die Selbständigen, Freiberuflern und Unternehmern unter den Nägeln brennen. Ihre Spezialgebiete sind Risiken im E-Commerce, Rechtsthemen und Schadenfälle, die bei exali versicherten Freelancern passiert sind.
