Die Compliance eines Unternehmens – also ihre Einhaltung von Gesetzen – ist immer Aufgabe der Geschäftsführung (in Rechtsformen wie der GmbH) bzw. des Vorstands (in einer Aktiengesellschaft). Darunter fällt auch die Umsetzung von Maßnahmen zur Informationssicherheit. Das bedeutet nicht, dass CEOs und Vorstände diese selbst planen und umsetzen müssen. Geht jedoch etwas schief, so lastet die Schuld auf ihren Schultern.
Wie Sie sich vor den Konsequenzen fehlender InfoSec-Compliance schützen und D&O-Prämien senken können, erfahren Sie hier.
Gesetzliche Grundlage für Haftungsansprüche
Die finanziellen Schäden nach einem Cyberangriff oder einer Datenpanne umfassen gleich mehrere Aspekte:
- Umsatzausfall
- Gerichtskosten
- Bußgelder
- Bemühungen zur Eindämmung der Cyberattacke oder Datenschutzlücke
- Schadensersatzansprüche von Kunden und Partnern, deren Daten kompromittiert wurden
Eine persönliche Haftung für diese Schäden ist möglich, wenn Geschäftsführung bzw. Vorstand ihre Pflichten verletzt haben und der Sicherheitsvorfall auf diese Pflichtverletzung zurückzuführen ist. Verankert ist diese Haftung in § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG.
Pflicht zum Aufbau von Risikominimierungsmaßnahmen
Entsprechende Verpflichtungen zum Aufbau der Informationssicherheit lassen sich aus zahlreichen Gesetzen herleiten: dem GmbH- und Aktienrecht, dem IT-Sicherheitsgesetz, der KRITIS-Verordnung, der NIS-Richtlinie, dem TTSG und der DSGVO. Dort wird die Informationssicherheit häufig als Teil des Risikomanagements gezählt.
Im Aktienrecht heißt es nach § 91 Organisation:
- (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Im Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) heißt es nach § 43 Haftung der Geschäftsführer:
- (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
- (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
D&O-Versicherungen kann vor Ansprüchen schützen
Sofern es sich bei der Pflichtverletzung um keine „wissentlichen Pflichtverletzung“ handelt, kann im Falle einer persönlichen Haftung eine D&O-Versicherung (Directors-and-Officers-Versicherung) greifen.
Allerdings richten die Versicherungsprämien sich unter anderem nach den Informationssicherheitsmaßnahmen, die Ihr Unternehmen nachweislich ergreift. Dazu gehört oft der Aufbau eines Informationssicherheits-Managementsystems (ISMS) – einem Rahmenwerk aus Richtlinien und Verfahren, mit dem Sie Sicherheitsrisiken minimieren Sicherheitsverletzungen vorbeugen – und seiner anschließenden Zertifizierung nach ISO 27001 oder TISAX®.
Übrigens: Eine Cyber-Versicherung kann von Unternehmen hohe Beiträge fordern. Erfahren Sie hier, wie eine ISO 27001-Zertifizierung diese Kosten senkt.
Unternehmen schützen und Prämien senken durch ein zertifiziertes ISMS
Wenn gegen Sie persönlich Haftungsansprüche erhoben werden, liegt die Beweislast bei Ihnen: Sie müssen zeigen, dass Sie Ihren Pflichten nachgekommen und die gesetzlich erforderlichen Maßnahmen getroffen haben.
Im besten Fall haben sie ein ISMS aufgebaut (und das auch dokumentiert) und nach einem der internationalen Standards zertifizieren lassen. Für die meisten Unternehmen ist das die ISO 27001, für Unternehmen der Automobilindustrie die TISAX®.
So können wir helfen
Wir unterstützen Unternehmen beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren.
Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Bisher hatten wir dabei eine Erfolgsquote on 100% im ersten Versuch. Damit Sie auch langfristig zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.
Sie brauchen Unterstützung in der Informationssicherheit?
Unsere Experten haben eine 100% Quote wenn es darum geht, Kunden erfolgreich auf eine ISO 27001 oder Zertifizierung nach TISAX® vorzubereiten.
Sprechen Sie uns an