Geschäftsführer = Risikomanager?! Bei Cyberangriffen droht die Pflichtverletzung

Ein Hackerschaden, ein defektes Betriebssystem und gelöschte Datenbanken – kein Problem, der IT-Experte des Unternehmens wird’s schon richten! Und was, wenn nicht? Dann steht der Geschäftsführer erstmal im Regen. Denn wer sich nicht rechtzeitig um eine ausgefeilte Notfallstrategie gekümmert hat, kann seine Pflichten als Geschäftsführer verletzen und sich durch hohe Schadenersatzforderungen in den finanziellen Ruin treiben. Deshalb sollte auf der To-Do-Liste aller Vorgesetzten ein Wort ganz oben stehen: Risikomanagement!

Heute geht es auf der Info-Base um ein Thema, das niemals unter den Bürotisch gekehrt werden sollte: die passende Notfallstrategie für Cyber-Angriffe.

Schritt 1: Stabile Sicherheitslage schaffen

Nur wer ein ausgeklügeltes Risikomanagement betreibt und allzeit den optimalen Krisen- und Notfallplan in der Schreibtischschublade liegen hat, ist auf der sicheren Seite. Nicht zuletzt auch was das Thema Haftung betrifft. Und dazu gehören bei Weitem nicht nur eine zukunftstaugliche Finanzplanung oder optimaler Personaleinsatz: Vor allem die Nutzung des Internets und moderner IT-Systeme spielen dabei für Unternehmen eine wichtige Rolle. Und gerade das World Wide Web bietet genug Platz für Hacker, Ransomware und andere Schädlinge.

Umso wichtiger, dass der Geschäftsführer für jeden IT-Ernstfall gerüstet ist. Und eine Notfallstrategie sollte nicht erst dann entwickelt werden, wenn die Katastrophe bereits in vollem Gange ist. Wer als Geschäftsführer für bekannte Risiken (z.B. Cyberkriminalität) keine Vorsorge trifft, läuft Gefahr, eine Pflichtverletzung zu begehen. Für Pflichtverletzungen haftet dann der oder die Geschäftsführer, privat, unbegrenzt und ggf. gesamtschuldnerisch mit ihrem Privatvermögen!

Schritt 2: Sich seiner Sache sicher sein

„Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.“ (§ 43 Abs. 1 GmbHG)

So – und nicht anders – steht es im Gesetz. Das A und O: Verantwortung übernehmen! Er sollte in jedem Fall mit seinen IT-Experten in ständigem Austausch stehen sowie, die verwendeten Systeme und ihre möglichen Gefahren kennen. Auch eine regelmäßige Kontrolle, Aktualisierung und Instandhaltung von Software, Schutzmechanismen und Virenscannern gehört unter anderem zu einem ausgefeilten Risikomanagement.

Schritt 3: Frühzeitig Erste Hilfe leisten

Auch bei der Entwicklung einer Notfallstrategie ist das richtige Timing entscheidend. Nur wer frühzeitig Risiken erkennt, ist auf der sicheren Seite. Denn wenn ein Hacker bereits in alle relevanten Systeme eingedrungen ist, kommen Abwehrmaßnahmen meist zu spät.

Und genau deshalb sollte sich der Geschäftsführer ein Risikofrüherkennungssystem einrichten und geeignete Maßnahmen treffen, damit der Fortbestand der Gesellschaft nicht durch zu spät erkannte Risiken auf dem Spiel steht (§ 91 Abs. 2 AktG).

Schritt 4: Den (Versicherungs-)Notarzt rufen

Egal wie gut die Vorsorge auch ist, eine Cyberattacke kann nie unter Garantie abgewehrt werden. Aus diesem Grund ist einer der wichtigsten Bausteine des Risikomanagements eines Geschäftsführers auch die richtige Absicherung, für den Fall, dass ein Angriff gelingen sollte. Dafür sind zwei Versicherungslösungen sinnvoll und notwendig:

Datenschutz- und Cyber-Eigenschaden-Deckung

Zur Absicherung der finanziellen Risiken eines Unternehmens bei Cyber-Attacken kann bei den Haftpflichtversicherungen über exali.de eine optionale Datenschutz- und Cyber-Eigenschaden-Deckung als Ergänzung zur Vermögensschaden-Haftpflichtversicherung abgeschlossen werden. Alternativ kann diese Deckung auch separat über eine eigenständige Cyber-Versicherung abgesichert werden.

Directors & Officers-Versicherung

Steht trotz aller Vorsichtsmaßnahmen eine Pflichtverletzung und damit persönliche Haftung im Raum, kann sich der Geschäftsführer oder Manager durch eine Directors & Officers Versicherung (kurz D&O), auch Manager-Haftpflicht oder Berufshaftpflicht für Manager genannt, absichern. exali.de bietet hierfür wie bei der Cyber-Deckung sowohl eine optionale Leistungserweiterung zur Vermögensschaden-Haftpflicht – wie auch eine separate Lösung zur D&O-Versicherung an.

Wer als Manager oder Geschäftsführer sein Unternehmen sowie sich selbst vor Cyber-Risiken absichern schützen möchte, sollte daher beide Absicherungsmöglichkeiten berücksichtigen.

Weiterführende Informationen

© Sarah Kurz – exali AG