Im digitalen Zeitalter ist Cybersecurity nicht länger nur ein technisches Thema – sie ist ein zentraler Compliance-Faktor, der zunehmend auch rechtliche Konsequenzen für die Geschäftsleitung hat. Angesichts der aktuellen Bedrohungslage durch Cyberangriffe, wie etwa Ransomware, und der Verschärfung gesetzlicher Vorgaben, wie etwa durch die EU-NIS2-Richtlinie, tragen Führungskräfte eine weitreichende Verantwortung. Wie können Unternehmen diese Herausforderung meistern und sich gleichzeitig rechtlich absichern?
Welche Verantwortung tragen Geschäftsführer bei Cyberangriffen?
Geschäftsführer und Vorstände sind gesetzlich verpflichtet, die IT-Sicherheit ihres Unternehmens sicherzustellen. Dies ergibt sich im österreichischen Recht aus der allgemeinen Sorgfaltspflicht des Geschäftsführers gemäß § 25 Abs. 1 GmbH-Gesetz (GmbHG) und der Vorstandsmitglieder gemäß § 84 Abs. 1 Aktiengesetz (AktG): Sie haben bei der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Diese allgemeine Sorgfaltspflicht umfasst auch die Verantwortung für die IT-Sicherheit des Unternehmens. Die Anforderungen umfassen technische und organisatorische Maßnahmen wie:
- Aufbau eines effektiven IT-Risikomanagements,
- Einführung sicherer IT-Infrastrukturen und Schutzmaßnahmen,
- Fortlaufende Überwachung und Anpassung der Systeme.
Werden diese Pflichten verletzt – etwa durch unzureichende Maßnahmen zur IT-Sicherheit – drohen zivil- und strafrechtliche Konsequenzen. Besonders drastisch wird dies, wenn ein Unternehmen Opfer eines Cyberangriffs wird und keine ausreichenden Vorkehrungen getroffen hatte, um solche Vorfälle zu verhindern.
Was fordert die NIS2-Richtlinie?
Die EU-NIS2-Richtlinie verschärft die Anforderungen an Cybersicherheit erheblich. Sie verpflichtet Unternehmen, Risiken nicht nur zu erkennen, sondern auch aktiv zu mitigieren. Ein Verstoß gegen diese Vorgaben kann hohe Geldstrafen zur Folge haben. Darüber hinaus können Vorstände und Geschäftsführer persönlich haftbar gemacht werden.
Wie können Unternehmen ein effektives Cybersecurity-System aufbauen?
Ein umfassendes Compliance-System erfordert sowohl technische Schutzmaßnahmen als auch organisatorische Klarheit. Zu den wichtigsten Schritten gehören erfahrungsgemäß:
- Identifikation von Risiken: Welche Bedrohungen bestehen für das Unternehmen?
- Technische Maßnahmen: Einführung moderner Technologien wie Endpoint Protection und Netzwerküberwachung.
- Menschliche Expertise: Schulung der Mitarbeiter und Einbindung externer Spezialisten, beispielsweise durch Managed Detection and Response (MDR)-Services
Was sind die Folgen von Cyberangriffen für Unternehmen?
Die Auswirkungen von Cyberangriffen reichen weit über die Zahlung von Lösegeld hinaus. Sie können massive Produktionsausfälle, Rufschädigung und rechtliche Konsequenzen nach sich ziehen. Nach dem Sophos Ransomware Report 2024 beträgt der durchschnittliche Schaden eines Cyberangriffs 2,73 Millionen Dollar.
Cybersecurity ist deshalb längst ein Compliance-Schwerpunkt. Unternehmen, die gesetzliche Vorgaben wie die europäische NIS2-Richtlinie nicht einhalten, riskieren nicht nur Bußgelder, sondern auch den Verlust ihres guten Rufs. Für Geschäftsführer bedeutet dies, dass sie digitale Risiken aktiv managen und in Prävention investieren müssen, um Haftungsrisiken zu minimieren.