Handel und Konsumgüter10.02.2021 Newsletter
Cyber-Security in Zeiten der Digitalisierung: Welche Vorkehrungen Geschäftsführer treffen sollten
Viele Handelsunternehmen digitalisieren ihre Arbeitsprozesse. Neben vereinfachten Abläufen und einer erhöhten Erreichbarkeit gibt es jedoch auch zahlreiche Risiken: Ca. 75 % aller befragten Unternehmen erlitten laut einer Umfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien in den Jahren 2018/2019 eine sog. Cyberattacke. Dabei waren vor allem mittelständische Betriebe ein beliebtes Ziel. Daher müssen sich Geschäftsführer mehr denn je mit der Frage befassen, wie sie das eigene Unternehmen absichern können und wer bei Versäumnissen haftet.
Unser Experte Sebastian Gutmann erklärt, was GmbH-Geschäftsführer besonders beachten sollten.
Ausreichende IT-Sicherheitslevel durch anerkannte Standards
Sieht man von Sonderregeln der Datenschutzgrundverordnung (DSGVO) und der KritisVO ab, besteht grundsätzlich keine gesetzliche Pflicht zur IT-bezogenen Absicherung von Betrieben. Dieser Mangel an Pflichten schützt jedoch nicht vor Ertragsausfall oder Schadensersatzansprüchen, die sich aus Cyberangriffen ergeben, z. B. Produktionsstillstand durch Serverabstürze.
Als praktisch nutzbare Anleitung für eine sinnvolle, risikogerechte IT-Infrastruktur, dienen vor allem die anerkannten technischen Standards und Vorgaben von Fachbehörden und Branchenverbänden. Ein solcher Standard, der sog. IT-Grundschutz, wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. Es handelt sich um eine ganzheitlich konzipierte Methodik. Deren Ziel ist es, die Informationssicherheit in Unternehmen zu erhöhen. Ganzheitlich ist die Methodik deshalb, weil sie sich nicht nur auf rein technische Aspekte stützt, sondern insbesondere dazu dient, die personellen und organisatorischen Voraussetzungen für eine dauerhafte Überprüfung der IT-Sicherheit zu schaffen. Der IT-Grundschutz des BSI besteht im Wesentlichen aus verschiedenen Dokumenten, die jeweils Anleitungen zu Aufbau und Fortentwicklung der IT-Infrastruktur in Unternehmen beinhalten.
Den Einstieg bietet der Leitfaden zur Basis-Absicherung, der auch kleineren Unternehmen, die sich noch nicht intensiv mit dem Thema befasst haben, einen verständlichen Einstieg bietet. Anleitung für den Aufbau eines Managementsystems für Informationssicherheit (ISMS) Absicherungssysteme bieten die BSI-Standards 200-1 und 200-2.
Neben den IT-Grundschutz des BSI treten Handreichungen diverser Branchenverbände, z. B. die Handreichung zum Stand der Technik in der IT-Sicherheit des Bundesverbands IT-Sicherheit e.V., denen eine ergänzende Funktion zukommt.
IT-Sicherheit bedeutet dauerhafte Entwicklung
Die dauerhafte Umsetzung gleich welcher Sicherheitsstandards ist jedoch kein einmaliges Geschehen, sondern erfordert einen kontinuierlichen Fortentwicklungs- und Überprüfungsprozess. Das Thema IT-Sicherheit sollte vom Geschäftsführer selbst auf höchster Leitungsebene initiiert, gesteuert und kontrolliert werden. Die notwendigen Schritte können dabei regelmäßig an einen zentralen Mitarbeiter, den Informationssicherheitsbeauftragten (ISB), delegiert werden.
Haftung und Schadensersatz bei Cyberangriffen
Bei Angriffen von außen gelingt es leider nur selten, der eigentlichen Angreifer habhaft zu werden. Eigene Mitarbeiter, die durch fahrlässiges Verhalten unfreiwillig zum Erfolg von Cyberangriffen beitragen, haften darüber hinaus für Schäden nur bei erhöhter Fahrlässigkeit.
Einzig „greifbarer“ Anspruchsgegner bleibt daher oft nur der eigene Geschäftsführer. Dessen Inanspruchnahme ist möglich, wenn er eine angemessene informationstechnische Absicherung des Unternehmens fahrlässig nicht vorgenommen hat.
Neben der präventiven Absicherung – bestenfalls unter Beachtung der BSI-Standards – sind weitere Absicherungsmöglichkeiten denkbar:
Sofern für das betroffene Unternehmen eine sog. D&O-Versicherung besteht, also eine Versicherung, die das Unternehmen zur Abdeckung von Haftungsrisiken ihrer Leitungsorgane abschließt, können hierüber mitunter Schäden geltend gemacht werden. Die einschlägigen Policen enthalten i. d. R. keine Ausschlüsse für Cyberattacken.
Sinnvoll kann ebenso der Abschluss einer Cyber-Versicherung sein. Vorteilhaft sind Cyberversicherungen vor allem deshalb, weil sie nicht nur Betriebsgewinn und fortlaufende Kosten ersetzen, sondern teilweise sogar Expertenteams zur Ermittlung von Schadenquellen und Wiederherstellung des IT-Systems zur Verfügung stellen bzw. finanzieren (sog. Assistance-Leistungen). Letzteres kann im Einzelfall wesentlich hilfreicher sein als die bloße Zahlung von finanziellen Leistungen.
Fazit
Wegen des erheblichen Schadenpotenzials sind vor allem mittlere und kleine Unternehmen gut beraten, sich intensiv mit dem Thema IT-Sicherheit zu befassen. Brauchbare Orientierungshilfen zum Aufbau eines angemessenen und risikogerechten Managementsystems für IT-Sicherheit bieten national und international anerkannte Sicherheitsstandards.