Haftungsrisiken für Geschäftsführer bei Cyber-Angriffen

Sie kommen aus heiterem Himmel und richten oft immense Schäden an – die Rede ist von Cyber-Angriffen. Dabei müssten Unternehmen doch mittlerweile wissen, welche Gefahren drohen und entsprechende Vorkehrungen getroffen haben, oder? Die Realität zeichnet leider immer noch ein völlig anderes Bild. Und zwar eines von nahezu unvorbereiteten Unternehmen, die sich darauf verlassen, dass der IT-Admin den Virenscanner schon aktuell halten wird. Eine fatale Fehleinschätzung, wie immer mehr Nachrichten über angegriffene Unternehmen belegen (siehe hier eine aktuelle Meldung des Bitkom e.V.). Geschäftsführer stehen hinsichtlich der Unternehmenssicherheit in der Verantwortung und auch in der Haftung. Was genau bedeutet das für Sie als Geschäftsführer?

Jetzt das Whitepaper kostenfrei anfordern

Wie müssen sich Unternehmen gegen Cyber Angriffe aufstellen? Welche Maßnahmen und Notfallpläne helfen? Welche Risiken müssen berücksichtigt werden? Unsere Erkenntnisse haben wir in unserem Whitepaper verarbeitet und zusammengefasst. Haben Sie Interesse an unserem Whitepaper? Wenn ja, füllen Sie Ihre Daten in der untenstehenden Maske aus und klicken Sie auf „Formular absenden“. Sie erhalten das Whitepaper auf Ihre angegebene E-Mail-Adresse kostenfrei als Download.

Die Digital Diamant verarbeitet Ihre Daten im Rahmen der Datenschutzerklärung und sendet nach Verifizierung der E-Mail das angeforderte Dokument zu. 

Wie hoch ist das Haftungsrisiko für Geschäftsführer? Betrachten wir das Risiko anhand eines Beispiels: Martin H. ist Geschäftsführer eines mittelständischen produzierenden Unternehmens in Nordrhein Westfalen. Die Geschäfte laufen gut, der Gesellschafter ist grundsätzlich sehr zufrieden mit der Geschäftsentwicklung. Eine erfolgreiche Woche liegt hinter Geschäftsführer H., denn er hat 5 neue Azubis begrüßen dürfen, in Zeiten des Fachkräftemangels für ihn ein schöner Erfolg. Doch am Freitagabend findet sein beginnendes Wochenende ein jähes Ende. Der IT-Leiter ist am Telefon. Das Unternehmen wurde gerade Ziel eines Cyber-Angriffs, genauer gesagt eines ausgeklügelten Ransomware-Angriffs. Kritische Daten wurden verschlüsselt. Die Produktionslinien kommen zum Erliegen. Nichts geht mehr. Fieberhaft sucht die IT nach Lösungen, doch bislang sind alle Bemühungen vergebens.

Am späteren Abend erreicht das Unternehmen dann die erwartete Email: die Hacker fordern zwei Millionen Euro, zahlbar in Bitcoin. Erst dann werde man die Attacke stoppen. Geschäftsführer Martin H. rotiert. Was soll er jetzt tun? Tausend Fragen schwirren in seinen Gedanken umher: Was können wir tun, um den Angriff abzuwehren? Wie lange können wir als Unternehmen den Angriff überhaupt überleben ohne dass das Unternehmen in die Pleite rutscht? Oder sollen wir zahlen? Warum sind ausgerechnet wir betroffen?

Als er sich gestresst bei seiner Familie für ein Wochenende in der Firma verabschiedet, stellt seine Frau jedoch die Frage, die ihn noch weit über die eigentliche Cyber-Attacke hinaus beschäftigen wird: Kann er als verantwortlicher Geschäftsführer eigentlich für den Schaden haftbar gemacht werden?

Zur Beantwortung dieser Frage ist es zentral, was genau bei der Cyber-Attacke auf das Unternehmen von Geschäftsführer Martin H. eigentlich passiert ist. Und das wird im Detail untersucht. Denn als die Attacke durch Zahlen der Lösegeldforderung beendet wird, setzen die hinzugezogenen Experten eine forensische Untersuchung an. Bei dieser zeigte sich, dass die Angreifer eine seit Monaten bekannte Sicherheitslücke in einer Standardsoftware ausgenutzt hatten. Das Unternehmen hatte es versäumt, die notwendigen Software-Updates durchzuführen, die diese Lücke geschlossen hätten.

Weiterhin kam heraus, dass die Mitarbeiter keine regelmäßigen Schulungen zum Thema Cyber-Sicherheit erhalten hatten. Dies  hatte den Angreifern den Zugang weiter erleichtert. Geschäftsführer Martin H. steht nun zunehmend im Fokus der Kritik. Ihm wird Pflichtverletzung vorgeworfen, da es als Geschäftsführer versäumt hat für ausreichende IT-Sicherheitsmaßnahmen zu sorgen. Zu Recht?

Unzureichende IT-Sicherheit als Pflichtverletzung

Eine Pflichtverletzung als Geschäftsführer kann zu persönlichen Haftungsansprüchen führen. Im Falle der IT-Sicherheit bedeutet dies, dass die Verantwortung für die IT-Sicherheit nicht nur bei der IT-Abteilung liegt. Geschäftsführer müssen sicherstellen, dass die IT-Richtlinien des Unternehmens nicht nur existieren, sondern auch konsequent durchgesetzt und regelmäßig überprüft werden. Dies umfasst:

• Regelmäßige Schulungen: Alle Mitarbeiter sollten über die Grundlagen der Cyber-Sicherheit und die spezifischen Gefahren für ihr Unternehmen aufgeklärt sein.
• Aktualisierungen und Patches: Sicherheitsupdates sollten so schnell wie möglich implementiert werden, um bekannte Sicherheitslücken zu schließen.
• Audits und Überprüfungen: Externe Sicherheitsexperten können das Unternehmen regelmäßig auf Schwachstellen überprüfen und Empfehlungen für Verbesserungen geben.

Unser Beispiel zeigt, wie essenziell es ist, in puncto IT-Sicherheit immer auf dem neuesten Stand zu sein. Regelmäßige Audits, Schulungen der Mitarbeiter und Investitionen in moderne Sicherheitssysteme sind keine Option, sondern eine Pflicht. Diese Einschätzung teilt auch die Politik. Daher hat sie eine neue Richtlinie auf den Weg gebracht, die nun in nationales Recht gegossen worden soll. Das Ganze trägt den Namen NIS-2-Richtlinie und jeder Geschäftsführer sollte sich frühzeitig damit auseinander setzen.

Die NIS2 (NIS = Network and Information Security) EU ist eine Richtlinie der Europäischen Union mit dem Ziel, das Cybersicherheitsniveau in den Mitgliedstaaten zu erhöhen. In Deutschland legt das Bundesamt für Katastrophenschutz fest, welche Unternehmen von der NIS-2 betroffen sind. Darunter sollen jedoch deutlich mehr Unternehmen fallen als noch bei der NIS-1 aus dem August 2016.

„Deutschland muss bis zum 17. Oktober 2024 die NIS2-Richtlinie umsetzen, die Mindestanforderungen an die Betreiber sog. Kritischer Infrastrukturen im Hinblick auf die Cybersicherheit stellt. Die Richtlinie sieht in Art. 20 eigentlich vor, dass die Mitgliedstaaten eine gesonderte Haftung für Geschäftsführer einer „(besonders) wichtigen Einrichtung“ etablieren müssen. Ob bzw. wie das entsprechende deutsche BSI-Gesetz deswegen geändert werden muss, wird aktuell im Bundesinnenministerium (BMI) geprüft. Das aktuelle Diskussionspapier des BMI vom 27. September 2023 sieht – anders als der Referentenentwurf des BMI vom 3. Juli – in dem geplanten § 38 BSIG allerdings keine gesonderte Geschäftsführerhaftung mehr vor. Es verweist nur noch auf die bereits bestehende Binnenhaftung von GmbH- oder AG-Geschäftsleitern (z.B. § 93 AktG, 43 GmbHG), die auch schon jetzt u.a. für die Verletzung von Pflichten nach dem BSIG greift. Das letzte Wort ist hier aber derzeit noch nicht gesprochen.“Rechtsanwalt Christian Solmecke, LL.M., Kanzleipartner, LegalTech Unternehmer und Geschäftsführer der Legalvisio GmbH

Datenschutzgesetze: Bitte sehr ernst nehmen!

Unser obiges Beispiel hat gezeigt, wie schwerwiegend eine Cyber-Attacke sein kann, die auf den Stillstand des Unternehmens abzielt. Eine andere große Gefahr bildet der Verlust von Daten, zum denen von Kunden. Denn Datenschutz ist schon lange kein Spleen von Datenparanoikern mehr, sondern von zentraler Bedeutung bei der Cybercrime-Abwehr. Für Unternehmen geht es dabei nicht nur um die Einhaltung von Gesetzen und Vorschriften, sondern auch um das Vertrauen und die Sicherheit der Kunden und Geschäftspartner. Ein Verstoß gegen Datenschutzgesetze kann erhebliche rechtliche, finanzielle Konsequenzen sowie Reputationsschäden nach sich ziehen.

Lassen Sie uns auch hier ein Beispiel bemühen: Ein Einzelhandelsunternehmen mit starker Marktposition in Europa. Das Unternehmen war Gegenstand einer massiven Datenpanne, bei der persönliche und finanzielle Daten von Hunderttausenden von Kunden durch Hacker kompromittiert wurden. Die erlangten Daten beinhalteten Namen, Adressen und in einigen Fällen sogar Kreditkarteninformationen. Bei der anschließenden Untersuchung wurde festgestellt, dass das Unternehmen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verletzt hatte. Dies beinhaltete die unzureichende Verschlüsselung personenbezogener Daten, das Fehlen eines robusten Sicherheitssystems und das Versäumnis, den Datenschutzvorfall rechtzeitig den Behörden und den betroffenen Kunden zu melden.

Was sind die Konsequenzen? Zunächst sind da empfindliche Bußgelder: Gemäß der DSGVO können Unternehmen bei schweren Datenschutzverletzungen mit Bußgeldern von bis zu 4 Prozent ihres weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, welcher Betrag höher ist – belegt werden. Dann gibt es natürlich noch wie auch bei dem vorherigen Beispiel die Reputationsschäden. Nachdem der Vorfall publik wurde, erlebt das Unternehmen einen erheblichen Vertrauensverlust seitens seiner Kunden. Viele von ihnen entscheiden sich, zu Konkurrenten zu wechseln, was zu einem Umsatzrückgang führt. Wie immer gibt es zudem zusätzliche ad hoc-Kosten: Abgesehen von den Bußgeldern muss das Unternehmen erhebliche Mittel für die Schadensbegrenzung, PR-Maßnahmen, die Stärkung der IT-Sicherheit und den Rechtsbeistand aufwenden. Auch bei diesem Beispiel gilt: kann eine Pflichtverletzung nachgewiesen werden, besteht ein hohes Haftungs-Risiko für die Geschäftsführung.

Meldepflichten und ihre Tücken

Die oben genannten Beispiele zeigen sehr anschaulich, wie wichtig der Schutz der Daten ist und welche Verantwortung die Geschäftsführung dafür trägt. Doch die Verpflichtungen enden nicht beim Schutz der Daten, sondern bestehen auch beim Melden von Datenlecks und Sicherheitsverstößen (-> hier geht es zur Meldeseite des Bundesamts für Sicherheit in der Informationstechnik – BSI). Diese Meldepflichten können für Unternehmen komplex und tückisch sein, sind aber sehr wichtig. Denn die Idee hinter den Meldepflichten so ist einfach wie einleuchtend: Indem betroffene Unternehmen oder Behörden frühzeitig informiert werden, können sie schneller und effektiver reagieren. Dies kann beispielsweise bedeuten, dass Passwörter geändert, Überwachungsdienste aktiviert oder andere Maßnahmen ergriffen werden können, um potenzielle Schäden zu minimieren.

Welche Tücken gibt es bei den Meldepflichten?

• Unterschiedliche Regelungen je nach Rechtsordnung: Die genauen Meldepflichten können von Land zu Land variieren. das gilt sowohl in Bezug auf die Fristen als auch auf die Art der zu meldenden Vorfälle. Für international tätige Unternehmen kann dies besonders herausfordernd sein.
• Definition des „Bekanntwerdens“: In vielen Ländern beginnt die Frist für die Meldung eines Sicherheitsvorfalls, sobald das Unternehmen von ihm „Kenntnis erlangt“. Doch was genau bedeutet das? Ist es der Zeitpunkt, an dem ein Mitarbeiter den Vorfall entdeckt, oder wenn die Geschäftsleitung informiert wird? Solche Unklarheiten können zu rechtlichen Grauzonen Risiko führen.
• Fristen: Oft sind die Fristen sehr kurz gesetzt. Beispielsweise im Rahmen der DSGVO müssen Datenschutz-Verletzungen „unverzüglich“, wenn möglich, innerhalb von 72 Stunden gemeldet werden. Diese kurze Zeitspanne kann insbesondere für größere Unternehmen, bei denen die interne Kommunikation und Verifizierung Zeit in Anspruch nehmen kann, eine Herausforderung darstellen und deshalb auch ein Risiko für die Geschäftsführung.
• Detailliertheit der Meldung: Zu früh und zu wenig detailliert zu melden kann genauso problematisch sein wie zu spät. Unternehmen stehen oft vor dem Dilemma, schnell melden zu müssen, obwohl noch nicht alle Fakten und Details des Vorfalls bekannt sind.

Wie können Unternehmen durch diese Tücken navigieren?

Vorbereitung ist der Schlüssel zum Erfolg: Unternehmen sollten klare Richtlinien und Prozesse für den Fall eines Datenlecks oder Sicherheitsverstoßes haben. Wer wird informiert? Wer ist für die Kommunikation verantwortlich? Welche Schritte sind zu befolgen? Mitarbeiter sollten über die Meldepflichten und -prozesse geschult werden, damit im Falle eines Vorfalls keine wertvolle Zeit verloren geht. Angesichts der Komplexität der Meldepflichten in verschiedenen Jurisdiktionen ist es zudem sinnvoll, sich rechtlich beraten zu lassen.So kann sichergestellt werden, dass alle Vorschriften korrekt eingehalten werden. So sinnvoll sie sind: Meldepflichten können, für Unternehmen eine potenzielle Stolperfalle darstellen. Proaktive Vorbereitung und ständige Wachsamkeit sind entscheidend, um diese Pflichten korrekt und effektiv zu erfüllen.

Vertragliche Pflichten und ihre Risiken

In der Geschäftswelt sind Verträge das Fundament einer erfolgreichen Zusammenarbeit zwischen Unternehmen, Kunden, Lieferanten und anderen Stakeholdern. Diese Verträge enthalten oft spezifische Klauseln und Verpflichtungen bezüglich der IT-Sicherheit und des Datenschutzes, die Unternehmen einhalten müssen. Ein Verstoß gegen diese vertraglichen Verpflichtungen kann gravierende Folgen haben. Welche vertraglichen Verpflichtungen können auftreten?

1. Datensicherheitsstandards: Verträge mit Geschäftspartnern oder Lieferanten zum Beispiel explizite Anforderungen an die Art und Weise enthalten, wie Daten gespeichert, übertragen und geschützt werden müssen. Dies kann von einfachen Verschlüsselungsanforderungen bis hin zu komplexen Protokollen für den Datenzugriff reichen.
2. Reaktionszeiten bei Sicherheitsvorfällen: Einige Verträge können festlegen, in welchem Zeitraum auf Sicherheitsvorfälle reagiert werden muss und welche Maßnahmen ergriffen werden sollen.
3. Audits und Überprüfungen: Es kann vertraglich festgelegt sein, dass Geschäftspartner oder externe Parteien das Recht haben, IT-Sicherheitsmaßnahmen und -protokolle zu überprüfen und zu auditieren.

Risiken bei Nichteinhaltung vertraglicher Verpflichtungen:

• Vertragsstrafen: Ein Verstoß gegen vertragliche Sicherheitsverpflichtungen kann direkt zu Vertragsstrafen führen. Diese Strafen können je nach Schwere des Verstoßes und den vertraglichen Bedingungen erheblich variieren.
• Haftung für Schäden Dritter: Wenn durch einen Sicherheitsvorfall Daten eines Geschäftspartners oder Kunden kompromittiert werden und dies auf eine Nichteinhaltung vertraglicher Verpflichtungen zurückzuführen ist, kann das Unternehmen für daraus resultierende Schäden haftbar gemacht werden.
• Vertragskündigung: Bei schwerwiegenden Verstößen behalten sich Geschäftspartner oft das Recht vor, den Vertrag zu kündigen. Dies kann erhebliche finanzielle und operative Auswirkungen auf das Unternehmen haben.
• Reputationsschäden: Unabhängig von rechtlichen und finanziellen Konsequenzen kann ein Verstoß gegen vertragliche Sicherheitsverpflichtungen das Vertrauen und die Geschäftsbeziehungen zu Partnern und Kunden nachhaltig schädigen.

Wie können Unternehmen vertragliche Risiken minimieren?

Zuallererst sollten Sie natürlich Verträge sorgfältig prüfen. Bevor ein Vertrag unterzeichnet wird, sollten Unternehmen genau verstehen, welche Sicherheitsverpflichtungen sie eingehen und sicherstellen, dass sie diese erfüllen können. Zudem hilft eine transparente und offene Kommunikation mit Ihren Geschäftspartnern: Ein offener Dialog über Sicherheitsanforderungen und -kapazitäten kann helfen, realistische und erfüllbare Vereinbarungen zu treffen. Dazu gehört auch eine frühzeitige Problemkommunikation: Wenn Sie Unternehmen feststellen, dass Sie Schwierigkeiten bei der Einhaltung vertraglicher Verpflichtungen haben könnten, sprechen Sie dies proaktiv an. Suchen Sie gemeinsam mit Ihrem Geschäftspartner nach Lösungen.

Der Verlust von Geschäftsgeheimnissen

Geschäftsgeheimnisse sind oft das Lebenselixier eines Unternehmens. Sie sind die unsichtbaren Juwelen, die einem Unternehmen einen entscheidenden Vorteil gegenüber seinen Wettbewerbern verschaffen können. Diese unschätzbaren Informationsressourcen können alles umfassen, von speziellen Produktionsverfahren über exklusive Kundendaten bis hin zu innovativen Marketingstrategien. Doch der Schutz dieser Geheimnisse wird in puncto Cyber Security zu einer immer größeren Herausforderung.

Geschäftsgeheimnisse sind deshalb so wertvoll, weil sie häufig das Ergebnis jahrelanger Forschung, Entwicklung und Investitionen sind. Anders als bei patentierten Erfindungen, die durch rechtliche Rahmenbedingungen öffentlich gemacht und geschützt werden, beruhen Geschäftsgeheimnisse auf Vertraulichkeit. Es gibt keine Registrierung oder öffentliche Offenlegung. Der Wert eines Geschäftsgeheimnisses kann in seiner Einzigartigkeit und seinem nicht-öffentlichen Charakter liegen. Ein Verlust oder Diebstahl von Geschäftsgeheimnissen kann daher verheerende Auswirkungen auf ein Unternehmen haben. Der plötzliche Wettbewerbsnachteil, wenn ein Konkurrent Zugang zu einer bahnbrechenden Technologie oder Strategie erhält, kann erhebliche finanzielle Verluste bedeuten. Wenn beispielsweise ein Wettbewerber plötzlich dasselbe Produkt, das Ihr Unternehmen jahrelang entwickelt hat, zu einem niedrigeren Preis oder mit einer verbesserten Version auf den Markt bringt, kann dies Umsatzrückgänge, sinkende Marktanteile oder sogar den Verlust der Marktführerschaft bedeuten.

Doch nicht nur die direkten finanziellen Folgen sind besorgniserregend. Der Verlust von Geschäftsgeheimnissen kann auch das Vertrauen von Kunden, Partnern und Investoren beeinträchtigen. Es stehen Fragen im Raum wie: „Wenn sie ihre eigenen Geheimnisse nicht schützen können, wie können sie dann unsere Daten sicher aufbewahren?“ Dieser Vertrauensverlust kann langfristige Geschäftsbeziehungen gefährden und zukünftige Partnerschaften oder Investitionen behindern.

Schließlich gibt es auch rechtliche und regulatorische Bedenken. Obwohl Geschäftsgeheimnisse nicht wie Patente oder Marken registriert sind, gibt es in vielen Rechtsordnungen gesetzliche Rahmenbedingungen, die den Diebstahl oder die unbefugte Verwendung von Geschäftsgeheimnissen unter Strafe stellen. Unternehmen könnten sich also in rechtlichen Auseinandersetzungen wiederfinden, die Zeit, Geld und Ressourcen kosten. Es ist daher unerlässlich, dass Unternehmen ihre Geschäftsgeheimnisse proaktiv schützen. Dies erfordert nicht nur technische Lösungen wie Firewalls, Verschlüsselung und Zugangskontrollen, sondern auch organisatorische Maßnahmen wie Schulungen für Mitarbeiter, klare Richtlinien und regelmäßige Überprüfungen der Sicherheitsprotokolle. Die Gefahr durch Angriffe von innen wird allzu oft unterschätzt.

Reputationsschäden und ihre Langzeitfolgen

Die Reputation eines Unternehmens ist nicht nur wertvoll, sondern auch äußerst zerbrechlich. In Sekundenschnelle können Jahre des Aufbaus eines positiven Images zunichte gemacht werden, und das in erster Linie durch die enormen Auswirkungen eines Cyber-Angriffs. Der sofortige finanzielle Schaden, der durch solch einen Angriff entstehen kann, ist offensichtlich. Aber was oft übersehen wird, sind die langfristigen Reputationsschäden.  Und wie sie sich auf die Geschäftsbeziehungen, den Kundenstamm und letztlich auf den Umsatz eines Unternehmens auswirken können.

Wenn Kunden der Ansicht sind, dass ihre persönlichen und finanziellen Informationen bei einem Unternehmen nicht sicher sind, können sie sich schnell abwenden und zu einem Konkurrenten überlaufen. Dies gilt besonders in Branchen, in denen Verbraucher eine Vielzahl von Optionen haben. Darüber hinaus können Reputationsschäden das Wachstum des Unternehmens einschränken. Neue Kunden oder Partner könnten zögern, sich mit einem Unternehmen zu verbinden, das als anfällig für Sicherheitsverletzungen angesehen wird. Das Ausmaß des Vertrauensverlustes kann so gravierend sein, dass es sich nicht nur auf die unmittelbaren Kunden auswirkt, sondern auch auf potenzielle Neukunden, die überlegen, ob sie Geschäfte mit dem betroffenen Unternehmen machen möchten.

Doch die Reputationsschäden hören hier nicht auf. Investoren achten ebenfalls genau auf das Ansehen eines Unternehmens im Markt. Eine ernsthafte Sicherheitsverletzung könnte zu einem sinkenden Aktienkurs führen. Investoren werden schließlich überdenken, ob sie ihr Geld in ein Unternehmen stecken, das nicht in der Lage zu sein scheint, seine digitalen Assets zu schützen. Um solche langfristigen Folgen zu zu minimieren, müssen Unternehmen Maßnahmen ergreifen, um sowohl ihre IT-Systeme als auch ihr Markenimage zu schützen. Dies beinhaltet nicht nur technische Vorkehrungen, sondern auch Kommunikationsstrategien, die es einem Unternehmen ermöglichen, transparent, offen und effizient auf Sicherheitsvorfälle zu reagieren. Ein gut durchdachter Krisenkommunikationsplan kann den Unterschied ausmachen und dazu beitragen, das Vertrauen der Stakeholder in kritischen Zeiten wiederherzustellen.

Die direkten Kosten eines Cyber-Angriffs

Wenn man an die Folgen eines Cyberangriffs denkt, neigt man dazu, zunächst die unmittelbaren, offensichtlichen Kosten zu betrachten. Und das aus gutem Grund: Die direkten finanziellen Auswirkungen können erheblich sein und ein Unternehmen je nach Schwere des Angriffs vor erhebliche Herausforderungen stellen. Zu Beginn steht oft die Notfallreaktion. Dies kann die Notwendigkeit beinhalten, IT-Experten einzustellen, um das Ausmaß des Angriffs zu bestimmen und das System wiederherzustellen. In komplexen IT-Landschaften können diese Experten teuer sein, insbesondere wenn sie spezialisierte Kenntnisse für bestimmte Arten von Angriffen oder Branchensystemen benötigen. Diese Experten werden nicht nur versuchen, den Schaden zu beheben, sondern auch herauszufinden, wie der Angriff stattfand, um zukünftige Vorfälle zu verhindern.

Zweitens gibt es die Kosten für die Wiederherstellung und den Ersatz von Daten. Daten sind in der heutigen Geschäftswelt entscheidend. Ein Unternehmen könnte eine erhebliche Menge an Kundendaten, Transaktionshistorien oder anderen kritischen Informationen verlieren. Das Wiederherstellen dieser Daten, sofern überhaupt möglich, kann Zeit und Geld in Anspruch nehmen. Wenn Daten nicht wiederhergestellt werden können, muss Ersatz geschaffen werden: Die Neuerfassung von Daten, das Nacharbeiten von verlorenen Informationen oder sogar der Kauf von Daten aus Drittanbieterquellen. Ebenfalls zu berücksichtigen sind die Kosten für den Ersatz von Hardware. Ein schwerwiegender Cyber Angriff kann physische Schäden an Servern, Computern und anderen Geräten verursachen. Diese Geräte müssen oft schnell ersetzt werden, um das Geschäft am Laufen zu halten, was zusätzliche Notfallkosten verursacht.

Ein weiterer Kostenpunkt ist die rechtliche Beratung. Unternehmen, die Opfer eines Cyberangriffs geworden sind, müssen oft rechtliche Schritte in Betracht ziehen, sei es, um sich selbst gegen Ansprüche zu verteidigen oder um gegen Täter vorzugehen. Rechtsanwälte mit Spezialisierung in Cyber Security können je nach Komplexität und Dauer des Falles erhebliche Honorare verlangen. Hinzukommt die Kommunikation. Es kann notwendig sein, Kunden, Partner und die Öffentlichkeit über den Vorfall zu informieren. Dies kann Kommunikationskampagnen, PR-Beratung und, in einigen Fällen, Benachrichtigungsdienste beinhalten. Die unmittelbaren Kosten eines Cyber Angriffs sind daher vielfältig und können erheblich sein. Sie reichen von technischen und betrieblichen Kosten bis hin zu rechtlichen und kommunikativen Ausgaben. Unternehmen müssen diese potenziellen Kosten in ihre Risikomanagement-Strategien einbeziehen und proaktive Maßnahmen ergreifen, um sich sowohl vor den Angriffen selbst als auch vor ihren finanziellen Auswirkungen zu schützen.

Fazit: Das Management im Brennpunkt von Cyber-Risiken

Während der technische und finanzielle Aspekt von Cyber Angriffen offensichtlich ist, darf das Risiko für das Management nicht unterschätzt werden. Geschäftsführer sowie das gesamte Management haben die Pflicht, die Interessen des Unternehmens und seiner Stakeholder zu schützen. Dies beinhaltet auch die Verantwortung, angemessene Sicherheitsmaßnahmen zu implementieren und zu überwachen.

Bei einem CyberAngriff wird nicht nur das Unternehmen als Ganzes, sondern auch das Management selbst ins Visier genommen. Das Führungsteam kann für Versäumnisse bei der IT-Sicherheit zur Rechenschaft gezogen werden, sei es durch rechtliche Konsequenzen, Vertrauensverlust seitens der Stakeholder oder, in einigen Fällen, durch direkte finanzielle Haftung. Daher ist es entscheidend, dass das Management sich aktiv in die IT-Sicherheitsstrategie des Unternehmens einbringt, sich regelmäßig über aktuelle Bedrohungen und Sicherheitsstandards informiert und sicherstellt, dass das Unternehmen über die notwendigen Ressourcen verfügt, um sich zu schützen.