Ein verschlüsselter Server, ein gestörter Betriebsablauf, ein Datenleck. Was wie ein technisches Problem klingt, kann für Geschäftsführer zur persönlichen Katastrophe werden. Denn Cyberangriffe führen heute nicht nur zu IT-Ausfällen, sondern in vielen Fällen auch zur Insolvenz – und damit zur Haftungsfalle für die Unternehmensleitung. Die Lage ist ernst wie nie. Daher sollten Entscheider jetzt Vorkehrungen treffen.
Vom Angriff zur Insolvenz: Wenn IT-Angriffe Unternehmen ruinieren
Eine der größten Gefahren im Betriebsalltag sind inzwischen Ransomware-Attacken. Laut FBI wurden allein 2023 weltweit über 1,1 Milliarden US-Dollar an Lösegeldern gezahlt. Die tatsächliche Summe dürfte weitaus höher liegen, denn viele Unternehmen melden Vorfälle aus Angst vor Reputationsschäden oder Strafen nicht, beispielsweise infolge der Datenschutzgrundverordnung (DSGVO). Betroffen sind nicht nur Großkonzerne. Auch kleinere Firmen geraten ins Visier, häufig über längst bekannte Schwachstellen oder unentdeckte Phishing-Mails.
Die Folgen sind gravierend: Betriebsstillstand, Datenverlust, Imageschäden. In Deutschland zeigt sich ein beunruhigender Trend: Immer mehr Cyberangriffe führen direkt zur Insolvenz. Laut Bitkom entstehen der deutschen Wirtschaft jährlich Schäden von über 200 Milliarden Euro durch digitale Angriffe. Besonders dramatisch wird es, wenn eine bereits angespannte wirtschaftliche Lage auf einen Ransomware-Befall trifft. Dann kann der Angriff den letzten Arbeitstag einläuten.
Geschäftsführung in der Pflicht: Rechtzeitig reagieren ist entscheidend
Ein Cybervorfall ist nicht nur eine technische Krise, sondern auch eine juristische. Wird zu spät auf eine drohende Zahlungsunfähigkeit reagiert, kann die Geschäftsführung persönlich haftbar gemacht werden. Das gilt insbesondere bei Missachtung gesetzlicher Fristen zur Insolvenzanmeldung. Die Einschätzung, ob ein Unternehmen zahlungsunfähig ist, erfolgt häufig rückwirkend. Das kann im Ernstfall strafrechtliche Konsequenzen nach sich ziehen. Selbst wenn dieser Ernstfall nicht eintreten sollte, stehen bei Verfehlungen - zum Beispiel bei NIS2 - persönliche Konsequenzen im Raum, die mit empfindlichen Geldbußen geahndet werden. Was wie ein Szenario aus einem Hollywood-Thriller klingt, ist längst Realität und beileibe kein Einzelfall. Gerade erst hat es laut Medienberichten eine Recycling-Firma aus Rheinland-Pfalz getroffen, kurz davor einen Maschinenbauer und eine Hotelkette.
Dr. Jens Eckhardt, IT-Rechtsexperte und Gast im ESET Podcast „WeTalkSecurity“, betont: „Viele Geschäftsführer unterschätzen die rechtlichen Folgen eines Cyberangriffs. Dabei geht es längst nicht mehr nur um verlorene Daten, sondern um existenzielle Haftungsfragen.“ Besonders heikel: Die Pflicht zur präventiven IT-Sicherheitsvorsorge gilt für jede Unternehmensgröße. Wer Risiken ignoriert oder nicht dokumentiert, handelt grob fahrlässig.
So beugen Sie der Haftungsfalle vor
IT-Sicherheit ist Chefsache. Wer Verantwortung trägt, sollte vorbereitet sein. Sowohl in technischer als auch organisatorischer und rechtlicher Hinsicht. Wer IT-Risiken ignoriert oder im Ernstfall zu lange zögert, bringt sich selbst in Gefahr. Diese Pflicht gilt nicht nur für Großunternehmen oder kritische Infrastrukturen, sondern auch für kleine und mittlere Betriebe. Drei konkrete Maßnahmen helfen, das Risiko persönlicher Haftung zu senken:
1. Dokumentieren Sie Ihre Sicherheitsstrategie
Führen Sie regelmäßig Risikoanalysen durch, halten Sie Maßnahmen schriftlich fest und sorgen Sie für Nachvollziehbarkeit. Eine saubere Dokumentation kann im Ernstfall entlasten und einen möglichen Schadenersatz durch Cyberversicherung absichern.
2. Investieren Sie gezielt in Schutzmaßnahmen
Verfügt Ihr Unternehmen über eine professionelle IT-Sicherheitsarchitektur inklusive proaktiver Maßnahmen wie Multi-Faktor-Authentifizierung, Patchmanagement und aktuelle Backups? Sind Mitarbeitende geschult im Umgang mit Phishing-Mails? Nutzen Sie die vorhandenen Ressourcen risikoorientiert, statt auf Standardlösungen zu vertrauen.
3. Definieren Sie klare Notfallprozesse
Legen Sie fest, wer im Ernstfall informiert wird. Halten Sie Kontakt zu IT-Forensikern, Rechtsberatern, Versicherern und auch der Polizei. Eine schnelle Reaktionsfähigkeit trägt enorm dazu bei, um Schäden zu begrenzen und um zu zeigen, dass Sie Ihrer Verantwortung/Verpflichtungen nachkommen.
IT-Sicherheit ist ein Führungsrisiko
Cybersecurity ist längst kein rein technisches Thema mehr, dass nur „Nerds“ angeht. Sie ist ein zentrales Element unternehmerischer Verantwortung. Wer als Geschäftsführung Risiken erkennt, Maßnahmen dokumentiert und Reaktionsfähigkeit sicherstellt, schützt das Unternehmen und sich selbst.
Im Podcast WeTalkSecurity spricht Christian Lueg von ESET mit Dr. Jens Eckhardt über konkrete Fallstricke für Geschäftsführer, über das Spannungsfeld zwischen Technik, Recht und Haftung und über praktische Lösungen für mehr Sicherheit in der Praxis.
Jetzt reinhören: WeTalkSecurity – Folge „Haftungsrisiko Cybercrime“