Die Verantwortung für die digitale Sicherheit des Betriebs trägt der Geschäftsführer. (Foto: © auremar/123RF.com)
Vorlesen:
Februar 2025
Der Geschäftsführer eines Betriebes haftet persönlich, wenn ein Cyberangriff sein Unternehmen trifft. Wer sich angesichts der aktuell drohenden Hackerwelle nicht schützt, handelt fahrlässig.
Kleine und mittlere Unternehmen stehen laut einer aktuellen Statistik immer mehr im Visier von Cyberkriminellen. Gerade in diesen Betrieben können Phishing- oder Ransomware-Attacken existenzbedrohende Auswirkungen haben. Was die wenigsten wissen: Die Verantwortung für die digitale Sicherheit in Unternehmen trägt der Geschäftsführer.
"Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyberangriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss", wundert sich Dennis Weyel, International Technical Director für Europa bei der Cybersecurity-Firma Horizon3.ai.
Angesichts von täglich mehr als 4.000 Attacken allein auf deutsche Unternehmen, wie aus dem letzten Lagebericht des Bundesamtes für Informationssicherheit (BSI) hervorgeht, stuft Weyel diese "Blindheit gegenüber der Verantwortung" als "grob fahrlässig" ein. Er empfiehlt, mindestens einmal im Monat die Cybersicherheit einer Firma überprüfen zu lassen.
Auch wenn Versicherungen sinnvoll sind, ist nicht immer sicher, dass sie den Schaden tatsächlich regulieren. Hierfür muss der Betrieb nämlich nachweisen, dass er sich hinreichend vor Hackerangriffen geschützt hat.
Betriebsführung
Betriebsführung
Betriebsführung
Spätestens bei Compliance-Verstößen – etwa gegen die Netzwerk- und Informationssicherheitsrichtlinie NIS2 der Europäischen Union – sei die Schadensregulierung alles andere als geklärt, weiß Weyel. Rund 30.000 Unternehmen in Deutschland sind von den NIS2-Bestimmungen betroffen. Auf einer Website des BSI kann jeder Betrieb prüfen, ob er darunter fällt. Die NIS2 umfasst die gesamte Lieferkette, erklärt Dennis Weyel: "Fällt nur ein einziges Unternehmen in einer solchen Kette unter die NIS2-Regelungen, dann gelten diese im Grunde für alle Unternehmen innerhalb der Kette. Steht etwa ein Krankenhaus auf der Kundenliste einer Firma, dann ist sie betroffen, weil die Klinik als Kritische Infrastruktur eingestuft wird."
Das deutsche Gesetz zur Umsetzung NIS2 unterscheidet zwischen "besonders wichtigen Einrichtungen" und "wichtigen Einrichtungen". Zur ersten Kategorie gehören die Betreiber versorgungskritischer Anlagen ab einer bestimmten Versorgungsgröße wie beispielsweise große Telekommunikationsnetzbetreiber und Teile der Bundesverwaltung. Unter die zweite Kategorie fallen Firmen ab einer gewissen Mindestgröße aus den Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur und Weltraum sowie zusätzlich Unternehmen der Abfallwirtschaft, der Chemieindustrie, der Lebensmittelwirtschaft, bestimmte Produkthersteller wie für Medizinprodukte oder IT-Geräte, Maschinen- und Fahrzeugbauer sowie Forschungseinrichtungen.
"Wer meint, dass nur die jeweils betriebskritischen IT-Systeme betroffen sind, irrt gewaltig", betont IT-Experte Weyel. Er verweist darauf, dass in der Gesetzesbegründung ausdrücklich festgelegt ist, dass darunter "sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden" fallen, also beispielsweise auch der übliche Bürobetrieb oder die Buchhaltung.
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Newsletter
Kommentar schreiben