Ein wirksames Cybersecurity- und Datenschutzmanagement steht und fällt mit dem Engagement der Unternehmensspitze.
Viele der gesetzlichen Auflagen können Vorstände nicht ohne weiteres auf Mitarbeiter oder Externe übertragen. Deutsche Gerichte haben es bereits als Pflichtverletzung gewertet, wenn die Einrichtung eines Compliance-Systems fehlerhaft delegiert oder nicht ausreichend überwacht wurde. Ähnliches gilt für GmbH-Geschäftsführer, die bei Pflichtverletzungen zudem mit ihrem Privatvermögen haften können.
Mit der Einrichtung der Cybersicherheits- und Datenschutzsysteme ist es jedoch nicht getan. Der Vorstand muss die Funktionsfähigkeit eines betrieblichen Risikomanagements kontinuierlich überwachen. Daher gehören die Themen Cybersicherheit und Datenschutz regelmäßig auf die Agenda der Vorstandssitzungen. Die aktuelle Risikosituation ist ebenso im Detail zu besprechen wie der Status der laufenden und geplanten Sicherheitsmaßnahmen. Bei den Risiken geht es nicht etwa um jeden einzelnen verlorenen Laptop – es sei denn, hierauf befanden sich unverschlüsselt Geschäftsgeheimnisse –, sondern vielmehr um die Risiken für den Geschäftsbetrieb, Kunden oder Großprojekte. Lange Umsetzungszeiträume und Verzögerungen sind bei Sicherheitsmaßnahmen wie etwa beim Schließen von Sicherheitslücken in geschäftskritischen IT-Systemen leider keine Seltenheit, da sie gegen andere Projekte herabpriorisiert werden. Der Vorstand muss mit Nachdruck eine zeitgerechte Umsetzung einfordern, um seiner Vorsorgepflicht nachzukommen.
Eines ist klar: Die Umsetzung und Kontrolle der Cybersicherheits- und Datenschutzsysteme gelingen nur, wenn im Unternehmen offen kommuniziert wird. Probleme dürfen nicht aus Sorge vor Repressalien oder falschem Statusdenken unter den Tisch gekehrt werden. Wenn der Vorstand nicht in aller Klarheit über die Sicherheitslage, Schwierigkeiten oder gar Angriffe informiert wird, kann er auch nicht reagieren.
Kontrolle durch den Aufsichtsrat
Ebenso wie der Vorstand kann auch der Aufsichtsrat seiner Aufgabe – der Überwachung des Managements – nur nachkommen, wenn er ausreichend informiert ist. Ein regelmäßiges Reporting vom Vorstand in Richtung Aufsichtsrat ist die Basis, wozu dem Vorstand natürlich die Grundlagen-Informationen benötigt. Überdies erwarten Investoren umfangreiche Auskünfte. Inzwischen wird über den Umgang mit Cyberrisiken und Sicherheitsvorfällen regelmäßig in Jahresabschlüssen berichtet.
Experten gegen Experten: Cyberabwehr aufrüsten, um den Angreifern Paroli zu bieten
Technik, Psychologie, Betriebsführung, Organisation und Finanzen: Angreifer sind schon lange keine Einzelpersonen mehr und besitzen heute ein umfassendes Expertenwissen oder können dies in den dunklen Ecken des Internet zukaufen. Die unternehmensinterne Verantwortung für Cybersicherheit und Datenschutz in all ihrer Komplexität gehört daher ebenfalls in die Hände von ausgewiesenen Cyber-Fachleuten mit entsprechender Entscheidungskompetenz und den notwendigen Ressourcen, oft auch ergänzt um externe Expertise. Die Verantwortlichen sollten ihre Themen dabei nicht nur organisatorisch und technisch durchdringen. Sie sollten diese auch zielgruppengerecht kommunizieren können, dass der Vorstand die Situation versteht und sinnvolle und strategische Entscheidungen treffen kann und trifft.
Unzureichendes Sicherheitsmanagement: Vorstand und Aufsichtsrat können in Regress genommen werden
Vorstände von Aktiengesellschaften aber auch Geschäftsführer von GmbHs sind in Deutschland gesetzlich verpflichtet, ein betriebliches Überwachungssystem (IKS) einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Dazu zählt insbesondere vor dem Hintergrund fortschreitender Unternehmensdigitalisierung auch ein Informationssicherheits- und Datenschutzmanagementsystem (ISMS bzw. DSMS). Dies ergibt sich aus den allgemeinen Pflichten, Sorge für das Unternehmen zu tragen und Schaden abzuwenden. Im Ausland ist die Rechtslage ähnlich. Wenn der Vorstand dieser Verpflichtung und der Aufsichtsrat seiner Überwachungspflicht nicht in ausreichendem Maße nachkommen und dem Unternehmen dadurch ein Schaden entsteht, können beide in Regress genommen werden. Neben hohen Geldbußen drohen Schadenersatzansprüche.
Wenn Vorstand und Aufsichtsrat ihren Pflichten zur Einrichtung und Überwachung der Cybersicherheitsmaßnahmen nicht nachkommen und dem Unternehmen dadurch ein Schaden entsteht, können beide in Regress genommen werden.
Cyberversicherungen können das Risiko mildern. Bei nachweisbaren Versäumnissen in der Cyber-Vorsorge bietet die Police jedoch nur vermeintlichen Rückhalt. Die Versicherer haben hier mit Ausschlussklauseln vorgesorgt. Versicherungsschutz erhält nur, wer umfangreiche Sicherungssysteme gegen Cyberangriffe vorweisen kann. Die Assekuranzen schauen hier sehr genau hin. Wer den Anforderungen nicht genügt, erhält keine Absicherung oder nur zu einer sehr hohen Versicherungsprämie.
Cybersecurity als Mehrwert statt als lästige Pflichtaufgabe
Cybersicherheit wird oft nur als notwendige Compliance-Aufgabe oder gar als reiner Kostenfaktor betrachtet. Dabei kann eine hohe Sicherheit bei digitalen Prozessen oder Produkten ein Mehrwert oder Wettbewerbsvorteil sein. Cloud-Systeme oder Plattformen etwa funktionieren nur zuverlässig, wenn sie von Grund auf sicher sind. Das Kundenvertrauen kann durch nachweislich existente Sicherheitsmaßnahmen gestärkt werden. Cybersicherheit ist so notwendig wie das Qualitätsmanagement.
Investitionen in eigene oder externe Cyberexperten, deren Analysen und Auswertungen sowie die Umsetzung risikosenkender Maßnahmen zahlen sich somit langfristig aus. Wen die hohen initialen Kosten (CAPEX) abschrecken, für den könnten Managed Services mit Fokus auf laufenden Kosten (OPEX) eine Option sein. Vom externen Datenschutzbeauftragten über einzelne organisatorische oder technische Services bis hin zum vollausgestatteten Managed-Security-Operation-Center bietet der Markt hier alles.
Disclaimer: Dieser Artikel stellt lediglich den rechtlichen Rahmen in Deutschland dar. Er ist keine Rechtsberatung.
Fazit
In Zeiten der Digitalisierung sind Cyberangriffe zu einem der größten Risiken für Unternehmen geworden. Vorstand und Aufsichtsrat spielen eine zentrale Rolle bei der Abwehr und Bewältigung von Cyberattacken und haften zudem für Versäumnisse. Doch Cybersicherheit ist mehr als die Erfüllung gesetzlicher Anforderungen. Sie kann sogar zu einem klaren Wettbewerbsvorteil werden.