Cyberangriffe haben Konjunktur. Die zunehmende Digitalisierung hat dazu geführt, dass Unternehmen sich jederzeit Hackerangriffen ausgesetzt sehen können. Technische Probleme, Kosten und drohende Reputationsschäden sind hier immens und können gar existenzbedrohende Ausmaße erlangen. Wegen der Bedeutung des Themas und drohender Haftungsgefahren sollten Zuständigkeiten und Pflichten auf oberster Managementebene angesiedelt sein. Es stellt sich gar die Frage nach einer Art Cyber-Vorstand.

Bestehende Obliegenheiten und Pflicht zum Tätigwerden
Informations- und Kommunikationstechnologien (IKT) unterstützen im digitalen Zeitalter komplexe Systeme, die in Unternehmen der Real- und Finanzwirtschaft für alltägliche Aktivitäten eingesetzt werden, und sorgen in vielerlei Hinsicht dafür, dass das „Geschäft am Laufen gehalten“ wird. Die zunehmende Digitalisierung und Vernetzung verstärken jedoch auch IKT-Risiken und machen die betreffenden Unternehmen zunehmend anfälliger für externe Cyberbedrohungen und sonstige IKT-Störungen. Ob und wie gut die einzelnen Unternehmen hier aufgestellt sind, zeigt sich häufig erst im „worst case“, dessen Eintritt Experten zufolge eher eine Frage des „Wann“ als eine Frage des „Ob“ ist. Jedenfalls sind Unternehmen gut beraten, zum eigenen Schutz frühzeitig eine digitale Resilienz zu entwickeln und in den allgemeinen operativen Rahmen zu integrieren. Hier gilt das Proportionalitätsprinzip, d.h. für größere und in neuralgischen Branchen tätige Unternehmen bestehen insgesamt umfangreichere Obliegenheiten als für kleinere Unternehmen mit eher „unverdächtigen“ Geschäftsfeldern und geringerer Affinität in technischen Bereichen – andererseits dürfte es kaum eine Branche im deutschen Mittelstand geben, in der keine Cybergefahren drohen.

Insbesondere: Informations-Sicherheits-Management-System 
Um eine hinreichende Kontrolle über IKT-Risiken zu erlangen, sollten die betreffenden Unternehmen über umfassende Kapazitäten verfügen, die ein leistungsfähiges und wirksames IKT-Risikomanagement sowie spezifische Mechanismen und Strategien für den Umgang mit IKT-bezogenen Vorfällen ermöglichen. Unabdingbar erscheint insoweit die Implementierung, laufende Überprüfung und regelmäßige Fortentwicklung eines unternehmensspezifischen Informations-Sicherheits-Management-Systems (ISMS). Denn klar ist: Im Falle von Hacker- und Cyberattacken gibt es kein Vertun, und es ist schnell und professionell zu reagieren – bis hin zur Inanspruchnahme interner Notfallpläne und Einschaltung der Datenschutzaufsichtsbehörde. Dabei sind solche Attacken in vielfältigster Form denkbar – von Systemausfällen über Datendiebstählen, Manipulationen, Sabotage und sonstigem Missbrauch bis hin zu Erpressungsversuchen zur Beendigung von Systeminfiltrierungen. Und es müssen auch nicht stets „von außen“ kommende Angriffe sein.

Vorstand in der Pflicht
Die Verantwortlichkeit für entsprechende Maßnahmen zum Umgang mit IKT-Risiken liegt zweifelsohne beim Vorstand bzw. einem Mitglied der Geschäftsleitung des betreffenden Unternehmens. Die betreffende Person sollte diesbezüglich entsprechende technische und rechtliche Expertise aufweisen und auch mit den neuralgischen Angriffsflächen im Unternehmen gut vertraut sein. Hiervon ausgehend können dann die erforderlichen Tätigkeiten und die Überwachung des ISMS im engeren Sinne auf entsprechende Entscheidungsträger und Spezialisten der nachfolgenden Hierarchieebenen delegiert werden – also insbesondere in die Bereiche Informationssicherheit, IT, Datenschutz und Compliance – auch die interne Revision ist bei den verschiedenen Themen regelmäßig „mit ins Boot“ zu holen (beispielsweise im Rahmen der Entwicklung und Implementierung unternehmensweiter Cloud-Lösungen oder bei KI-Anwendungen). Aber auch der Einbeziehung, Schulung und Information der übrigen Belegschaft im Umgang mit den IKT-Risiken und deren Vermeidung kommt eine erhebliche Bedeutung im Hinblick auf eine nachhaltige Verbesserung der Cybersicherheit des Unternehmens zu. Vielfältige praktische Hinweise und sog. Bausteine zur Errichtung und Aufrechterhaltung eines angemessenen ISMS stellt namentlich das Bundesamt für Sicherheit in der Informationstechnologie (BSI) über seine Internetseite zur Verfügung. Wegen der Komplexität und Neuartigkeit zahlreicher technischer Themen in diesem Zusammenhang dürfte sich hier in der Tat die Frage stellen, ob ein bereits aktives Vorstandsmitglied zusätzlich mit diesen IKT- bzw. Cyberthemen betraut werden sollte oder ob es hierfür nicht ein eigenständiges Vorstandsressort bedarf – ggf. auch unter Einbeziehung der zahlreichen Nachhaltigkeits- und ESG-Themen, die sich im Rahmen der Unternehmensberichte und bei der Corporate Governance sowie den materiellen Anforderungen an Vorstands- und Aufsichtsratstätigkeiten immer mehr Bahn brechen und auch ein erhebliches Gefahren- und Haftungspotential aufweisen.

Komplexer Rechtsrahmen
Vom rechtlichen Standpunkt aus gesehen, sind dabei namentlich Vorschriften einzuhalten, die sich aus der Datenschutz-Grundverordnung (DSGVO) ergeben. Daneben fallen zahlreiche Unternehmen verschiedenster Branchen in der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit und Informationstechnologie (BSIG) sowie deren nachfolgende Verordnung über kritische Infrastrukturen (BSI-KritisV). Auch auf europäischer Ebene wird das Thema in verschiedenen Verordnungs- und Richtlinienverfahren aufgegriffen. Daneben gibt es noch zahlreiche spezielle Regelwerke für Unternehmen, die im Wertpapierdienstleistungsbereich tätig sind – zukünftige „magna charta“ ist hier die Verordnung der Kommission über digitale Betriebssicherheit (Digital Operational Resilience Act, DORA). Vorschriften zur Regulierung des in Rede stehenden Bereiches gibt es mithin zuhauf – sie beziehen sich insbesondere auf den materiellen Pflichtenkatalog für entsprechende Schutzvorkehrungen, Anforderungen an Zuständigkeiten und Verantwortungsbereiche, Datenschutz- und Haftungsthemen sowie ein umfangreiches Sanktionsregime im Bereich des Ordnungswidrigkeiten- und Strafrechts.

Praxistipp
Kaum ein Unternehmen kann es sich heutzutage noch leisten, auf die Implementierung eines professionellen IKT- und Cybermanagements – ggf. auch unter Einbeziehung externer Dienstleister zur Cyberverteidigung und Abwehr von Hackerangriffen – zu verzichten. Dies bedarf – ausgehend von der Geschäftsleitung bzw. dem Vorstand – auf personeller Ebene klarer hierarchischer Strukturen und Verantwortungsbereiche und auf operativer Ebene des Auf- und Ausbaus eines widerstandsfähigen Informations-Sicherheits-Management-Systems (ISMS). Die aufgeworfene Frage, ob hierfür – und ggf. auch „im Zusammenspiel“ mit anderen Governance-, IT- und ESG-Themen – ein eigenständiges Vorstandsressort zweckmäßig erscheint oder gar vonnöten ist, kann selbstverständlich nur einzelfallbezogen und auf der Grundlage spezifischer unternehmerischer Gegebenheiten entschieden werden. Klar dürfte jedoch sein, dass ein „Mehr“ an Vorbereitungen und Vorkehrungen zum Schutz gegen Cyberattacken und Hackerangriffen auch etwaige Haftungsgefahren reduzieren und die Möglichkeit der Inanspruchnahme der sog. Business-Judgement-Rule durch das Management des Unternehmens sowie die Erlangung eines umfassenden Versicherungsschutzes für eintretende Schäden nachhaltig verbessern dürfte.