Die Sicherheit von IT-Systemen wird zu einem immer wichtigeren Thema. Die Anzahl der Cyber-Bedrohungen nimmt stetig zu. Gleichzeitig wenden Kriminelle immer raffiniertere Methoden an. In diesem Zusammenhang thematisieren wir im Blog die Geschäftsführerhaftung.
Die Geschäftsführerhaftung – wie sieht die Rechtslage aus?
Unter der Geschäftsführerhaftung sind die Situationen zusammengefasst, in denen der Geschäftsführer eines Unternehmens aufgrund von Pflichtverletzungen rechtlich belangt werden kann. Lange Zeit bezog sich die Haftung primär auf steuerliche Verletzungen und Untreue. Mittlerweile sind jedoch Datenschutzverletzungen bei der Geschäftsführerhaftung zu einem wichtigen Thema geworden.
Vor allem hat die 2018 in Kraft getretene Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, die Situation verschärft. Hier ist klar festgelegt, dass Unternehmen für Verletzungen bei Datenschutzrichtlinien haftbar sind. In der Praxis bedeutet dies für eine GmbH und Kapitalgesellschaften im Allgemeinen, dass der Geschäftsführer in der Haftung steht.
Cyber-Versicherungen – bieten sie einen echten Schutz?
Einer Studie der Allianz-Versicherung aus dem Frühjahr 2020 zufolge ist die Cyber-Bedrohung inzwischen eines der Top-3-Risiken für Unternehmen. Dementsprechend bieten Versicherungen inzwischen sogenannte Cyber-Versicherungen an. Diese sichern in erster Linie die finanziellen Schäden, die durch Hacker-Angriffe entstehen, ab.
So übernehmen die Versicherungen beispielsweise die Kosten, die bei der Wiederherstellung von Daten sowie der Reparatur von IT-Systemen entstehen. Auch Anwaltskosten sowie Aufwendungen für strafrechtliche Verteidigungen decken die Policen meist ab. Mitunter unterstützen die Versicherungen Unternehmen, die von einem Cyber-Angriff betroffen sind, auch aktiv. Dann stellen die Versicherungen ein Incident-Response-Team sowie IT-Forensik-Dienstleister bereit und übernehmen die Kosten.
Wie ein Penetrationstest Gefahrenquellen findet und die Lage für Geschäftsführer entschärft
Wichtiger als mit einer Cyber-Versicherung für ein finanzielles Schutznetz im Schadensfall zu sorgen, ist die Risikovorsorge. Ein erfolgreicher Cyber-Angriff kann aufgrund der DSGVO nämlich immer unangenehme Folgen haben. Eine Meldung innerhalb von 72 Stunden an die Datenschutzbehörde ist Pflicht. Dies kann ungemütliche Konsequenzen nach sich ziehen, beispielsweise Bußgelder. Das Bundesdatenschutzgesetz sieht Strafen mit Höhen von bis zu 300.000 Euro vor. Durch die neue DSGVO sind diese Bußgelder auf Summen von 20 Millionen Euro und mehr angewachsen. Bei den Cyber-Versicherungen herrscht teilweise eine Rechtsunsicherheit, ob diese Bußgelder abgedeckt sind oder nicht.
Doch selbst wenn eine Versicherung diese Bußgelder übernimmt, ist ein erfolgreicher Cyber-Angriff für jedes Unternehmen problematisch. Die Auswirkungen auf die laufende Arbeit können verheerend sein, beispielsweise wenn Daten oder die Kontrolle über Systeme durch Trojaner verloren gehen. Ebenso schlimm ist der Imageschaden, der durch einen solchen Angriff entsteht. Im schlimmsten Fall bedrohen Cyber-Angriffe somit die Existenz eines Unternehmens.
Penetrationstests sind deshalb ein wirksames Mittel für Geschäftsführer, um möglicherweise vorhandene Sicherheitslücken zu finden. Diese Tests sind für eine Vielzahl von Systemen verfügbar. Einzelne Komponenten wie Anwendungen oder Computer lassen sich ebenso testen wie das gesamte Netzwerk. Die Tests decken Schwachpunkte auf, über die Kriminelle in das Netzwerk eindringen könnten. Anhand der Analysen ist es dann möglich, die gefundenen Schwachstellen zu beheben.
Aus diesen Gründen ist ein Penetrationstest sowohl im Interesse des Unternehmens als auch des Geschäftsführers. So nimmt er seine Pflichten wahr und schützt das Unternehmen vor Bußgeldern. Ebenso senkt er damit die signifikant die Gefahr, die Geschäftsführerhaftung zu verletzen. Das gesteigerte Sicherheitsniveau der IT-Infrastruktur ist ebenfalls ein großer Pluspunkt.