Risikomanagement, also alles tun um Risiken die die Gefährdung des Unternehmen zu vermeiden, ist absolute Chefsache. Das große Risiko, durch einen Cyberangriff lahm gelegt und damit das Unternehmen zu gefährden steigt fast täglich an. Die Frage ist  nicht mehr ob, sondern wann. Das Problem: die meisten Geschäftsführer delegieren dies an ihre eigene IT Abteilung, die oftmals mit dem Problem überfordert ist. Das Risiko bleibt bei der Geschäftsführung

Die Bedrohungslage in der Cybersicherheit hat sich in den letzten Jahren massiv verschärft. Unternehmen aller Branchen sind zunehmend Ziel von Cyberangriffen, die nicht nur finanzielle Schäden verursachen, sondern auch erhebliche rechtliche Konsequenzen für die Geschäftsführung nach sich ziehen können.

Mit der bevorstehenden Umsetzung der NIS 2-Richtlinie (Network and Information Security) und dem StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) steigt das persönliche Haftungsrisiko von Geschäftsführern und Gesellschaftern erheblich. Was bedeutet das konkret für Geschäftsführer und Gesellschafter?

1.    Erhöhte persönliche Haftung
Mit der NIS 2-Richtlinie wird erstmals eine explizite Haftung der Geschäftsführung für unzureichende Cybersicherheitsmaßnahmen eingeführt. Unternehmen, die als „kritische“ oder „wichtige Einrichtungen“ gelten, sind verpflichtet, effektive Sicherheitsvorkehrungen zu treffen. Versäumnisse können nicht nur zu hohen Bußgeldern, sondern auch zu persönlicher Haftung der Geschäftsführer führen.

2.    Bußgelder in Millionenhöhe
Verstöße gegen die NIS 2-Richtlinie können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Dies kann insbesondere für mittelständische Unternehmen existenzbedrohend sein.

3.    Privatvermögen in Gefahr – Haftung nach StaRUG
Das StaRUG verpflichtet Geschäftsführer, frühzeitig Maßnahmen zur Vermeidung einer Unternehmenskrise zu ergreifen. Cyberangriffe können eine solche Krise auslösen, insbesondere wenn durch Datenverlust, Betriebsunterbrechungen oder Erpressungssoftware (Ransomware) erhebliche wirtschaftliche Schäden entstehen. Falls Geschäftsführer keine angemessenen Sicherheitsmaßnahmen ergriffen haben, drohen Schadenersatzansprüche gegen das private Vermögen.

4.    Mögliche private Insolvenz der Geschäftsführer
Ein Geschäftsführer, der seine Pflichten verletzt – sei es durch Vernachlässigung der IT-Sicherheit oder durch unzureichende Risikoabschätzung – kann persönlich haftbar gemacht werden. Die Konsequenzen reichen von hohen finanziellen Belastungen bis hin zur privaten Insolvenz.

5.    Verstoß gegen Sorgfaltspflichten – strafrechtliche Konsequenzen
Geschäftsführer haben eine gesetzliche Sorgfaltspflicht gegenüber ihrem Unternehmen und dessen Stakeholdern. Wenn ein Cyberangriff nachweislich durch fahrlässige Sicherheitsmängel möglich wurde, kann dies als grobe Pflichtverletzung gewertet werden. In extremen Fällen sind sogar strafrechtliche Konsequenzen denkbar.
Warum unterschätzen viele Unternehmer diese Fakten?
Viele Unternehmer gehen fälschlicherweise davon aus, dass ihre bestehenden IT-Sicherheitsmaßnahmen ausreichend sind. Doch Cyberangriffe werden immer raffinierter. Ohne  eine kontinuierliche Überwachung und Anpassung der Schutzmaßnahmen besteht ein erhebliches Risiko für das Unternehmen und die Verantwortlichen.
Handlungsbedarf jetzt – proaktive Cybersicherheitsmaßnahmen sind unerlässlich
Die Einführung der NIS 2-Richtlinie und die bestehenden Anforderungen des StaRUG machen es zwingend erforderlich, dass sich Geschäftsführer und Gesellschafter proaktiv um ihre Cybersicherheitsstrategie kümmern. Unternehmen müssen nicht nur technische Schutzmaßnahmen implementieren, sondern auch nachweisen, dass sie regelmäßige Sicherheitsüberprüfungen durchführen und auf dem neuesten Stand der Technik agieren.
Ohne ein effektives IT-Sicherheitskonzept drohen nicht nur wirtschaftliche Verluste, sondern auch persönliche Haftung und existenzielle Konsequenzen für die Geschäftsleitung.

Es ist daher dringend zu empfehlen, den Schutz der Cybersicherheit als festen Bestandteil der Unternehmensstrategie zu etablieren, um rechtliche und finanzielle Risiken zu vermeiden.

Dies sollte über eine neutrale Stelle außerhalb der IT erfolgen.