Advertorial
Artikel aus dem Handelsblatt Journal „CYBER SECURITY & DATENSCHUTZ“ vom 23.11.2021
Digitalisierung und Cybersecurity: Doppelherausforderung für die Unternehmensleitung
Cyberangriffe stellen eine substanzielle Bedrohung für Unternehmen jeder Art und Größe dar. Die Schäden erreichten in den letzten Jahren kontinuierlich neue Höchstwerte. Allein der Angriff mit dem Erpressungstrojaner NotPetya im Jahr 2017 kostete die weltweit tätige Rederei MøllerMærsk knapp 300 Mio. US-Dollar. Im Fall von erfolgreichen Hackerattacken drohen den Unternehmen die Inanspruchnahme durch Kunden, Lieferanten, Kooperationspartner usw. auf Basis vertraglicher und gesetzlicher Anspruchsgrundlagen. Da Cyberangriffe zumeist auch datenschutzrechtliche Implikationen aufweisen, sind ebenfalls empfindliche Bußgelder oder zumindest Opportunitätskosten durch behördliche Ermittlungen zu befürchten. Vorstände und Aufsichtsräte haften der Aktiengesellschaft gegenüber für Schäden durch erfolgreiche Hackerangriffe nach dem Aktiengesetz persönlich (§ 93 Abs. 1 Satz 1 AktG, bzw. §§ 116 Satz 1 i.V.m. § 93 AktG). Die Haftung des GmbH-Geschäftsführers ergibt sich aus dem GmbHG (§ 43 Abs. 2 GmbHG).
Cybersecurity ist nicht delegierbare Chefsache
Für Führungsorgane stellt diese Sachlage eine schwierige Doppelherausforderung dar. Einerseits müssen sie die Unternehmen durch die Fokussierung auf fortschreitende Technologien und Digitalisierung zukunftsfähig machen. Tun sie dies nicht, ist der Verlust von Marktanteilen, die Unternehmensexistenz und die Bedrohung des eigenen Arbeitsplatzes zu befürchten. Andererseits müssen sie die mit der zunehmenden Digitalisierung einhergehenden Risiken für die Unternehmen mit gleicher Aufmerksamkeit in den Blick nehmen. Diese Doppelherausforderung und die daraus resultierenden Gefahren sind vielen Führungsorganen nicht bewusst. Vielfach besteht der Irrglaube, sich durch einen Verweis auf die mangelnde Ressortzuständigkeit in Kollektivorganen, auf Versicherungslösungen oder die Auslagerung der IT an externe Dienstleister von der Haftung exkulpieren zu können. Cybersicherheit ist jedoch nicht delegierbare Chefsache. Eine haftungsrechtlich relevante Übertragung auf ein Mitglied eines Kollektivorgans oder externe Dienstleister ist kaum möglich. Versicherungslösungen weisen oft umfängliche Haftungsausschlüsse und damit im Schadensfall Deckungslücken auf. Die Rechtslage ist eindeutig: Ist ein Unternehmen nicht hinreichend abgesichert und kommt es zu einem erfolgreichen Hackerangriff, haften Führungsorgane mit ihrem Privatvermögen.
Neben Standards müssen Unternehmen auf leistungsstarke und anerkannte Cybersecuritytools setzen
Um dieser Haftungsfalle zu entgehen, ist ein abwehrfähiges Information Security Management System notwendig. Mittlerweile existieren hierfür anerkannte Standards. Es ist jedoch unabdingbar, hierüber hinaus marktübliche und leistungsfähige Tools und Prozesse einzusetzen, um der Gefahr von Cyberattacken entgegenzutreten. Neben regelmäßigen Penetrationstests (simulierte Hackerangriffe) sollte die eigene IT-Infrastruktur auch einer ständigen Überwachung durch einen Schwachstellenscanner unterliegen. Der Einsatz von Schwachstellenscannern stellt eine erste Maßnahme zur Prävention von Hackerattacken dar.
Der Markt spiegelt den Bedarf an diesem Cybersecuritytool mittlerweile gut wider. Erfreulicherweise gibt es auch Lösungen „Made in Germany“, was aus Gründen der Rechtssicherheit im Hinblick auf die durch die Scans gewonnenen Erkenntnisse von Relevanz sein kann. Mit Hilfe eines solchen Scanners sollte eine kontinuierliche Analyse der Cybersicherheit durch dauerhafte und wiederkehrende Scans in unternehmensgerechten Intervallen erfolgen. Die Scans sollten eine gewisse „Tiefe“ nicht unterschreiten und auch eine Darknet-Analyse umfassen. Ein nachvollziehbares Scoring kann dem Nutzer dann wichtige Anhaltspunkte zum Status Quo seiner Cybersicherheit liefern. Die Nutzung möglichst vieler Datenquellen und einer eigenen Schwachstellendatenbank sind zudem qualitätsbestimmende Parameter. Von entscheidender Bedeutung ist schließlich die professionelle Begleitung des Schwachstellenscanners zur qualifizierten Ergebnisanalyse und kompetenten Maßnahmenbegleitung. Eine qualifizierte und konstante Schwachstellenanalyse kann zudem dazu beitragen, die Versicherbarkeit bestimmter Risiken sowohl für die Unternehmen als auch die Assekuranz verbindlicher und sicherer einschätzen zu können.
Werden diese Aspekte hinreichend berücksichtigt, können Schäden durch Hackerangriffe und somit die Inanspruchnahme der für Cybersicherheit verantwortlichen Führungsorgane vermieden werden.
