Zurück zur Übersicht
17. Januar 2024 | Erstellt von Redaktion Cyberriskmanager.de

Haftbarkeit bei Cyberangriffen – liegt es am Geschäftsführer?

Geschäftsführer bei Cyberangriffen

Plötzliche und schwerwiegende Schäden können durch Cyberangriffe entstehen, die scheinbar aus dem Nichts kommen. Man könnte annehmen, dass Unternehmen mittlerweile die potenziellen Gefahren kennen und entsprechende Maßnahmen ergriffen haben. Die Realität sieht jedoch oft anders aus. Viele Unternehmen sind unzureichend vorbereitet und verlassen sich darauf, dass der IT-Administrator die Sicherheitsmaßnahmen im Griff hat. Dies ist jedoch eine gefährliche Annahme, wie zahlreiche Berichte über betroffene Unternehmen zeigen. Geschäftsführer tragen die Verantwortung und können im Falle von Sicherheitsverletzungen haftbar gemacht werden. Was bedeutet das konkret für Sie als Geschäftsführer?

Möchten Sie mehr darüber erfahren, wie Unternehmen sich gegen Cyberangriffe wappnen können? Welche Schutzmaßnahmen und Notfallpläne wirksam sind? Welche Risiken beachtet werden sollten? All diese Fragen werden in unserem kostenlosen Whitepaper behandelt. Sind Sie daran interessiert, füllen Sie einfach das Formular unten aus und klicken Sie auf „Absenden“. Wir senden Ihnen das Whitepaper per E-Mail zum Download zu.

Jetzt Whitepaper herunterladen!

Die Digital Diamant verarbeitet Ihre Daten im Rahmen der Datenschutzerklärung und sendet nach Verifizierung der E-Mail das angeforderte Dokument zu. 

ecover whitepaper wir wurden gehackt

Wie groß ist die Haftungsgefahr für Geschäftsführer? Um das Risiko zu verdeutlichen, betrachten wir ein Beispiel: Martin H. ist Geschäftsführer eines mittelständischen produzierenden Unternehmens in Nordrhein-Westfalen. Die Geschäfte laufen gut, und der Gesellschafter ist größtenteils zufrieden mit der Entwicklung des Unternehmens. Eine erfolgreiche Woche liegt hinter Geschäftsführer H., da er fünf neue Auszubildende einstellen konnte, was angesichts des Fachkräftemangels ein schöner Erfolg ist. Doch sein Wochenende beginnt abrupt zu enden, als sein IT-Leiter ihn am Freitagabend anruft. Das Unternehmen wurde Opfer eines Cyber-Angriffs, genauer gesagt eines ausgeklügelten Ransomware-Angriffs. Kritische Daten wurden verschlüsselt, und die Produktionslinien stehen still. Es herrscht Panik, während das IT-Team verzweifelt nach Lösungen sucht, jedoch bislang erfolglos.

Später am Abend erhält das Unternehmen die erwartete E-Mail: Die Hacker verlangen zwei Millionen Euro in Bitcoin als Lösegeld, um den Angriff zu beenden. Geschäftsführer Martin H. ist in Alarmbereitschaft. Er ist überwältigt von Fragen: Wie können wir den Angriff abwehren? Wie lange können wir als Unternehmen überleben, ohne in die Insolvenz zu geraten? Sollen wir das Lösegeld zahlen? Warum trifft es ausgerechnet uns?

Als er sich gestresst von seiner Familie für ein Wochenende in der Firma verabschiedet, stellt seine Frau jedoch eine Frage, die ihn weit über die unmittelbare Cyber-Attacke hinaus beschäftigt: Kann man ihn als verantwortlichen Geschäftsführer für den entstandenen Schaden zur Rechenschaft ziehen?

SCHÄDEN DURCH CYBER-ANGRIFFE ERREICHEN HÖCHSTSTAND

Aktuell machen Cyberattacken fast drei Viertel (72 Prozent) des gesamten Schadens aus, den die deutsche Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage erleidet. Dies entspricht etwa 148 Milliarden Euro und markiert einen deutlichen Anstieg im Vergleich zum Vorjahr, als nur 63 Prozent und somit rund 128 Milliarden Euro den Cyberangriffen zugeschrieben werden konnten. (Quelle: Bitkom, 1. September 2023)

Um diese Frage zu beantworten, ist es entscheidend zu verstehen, was genau bei der Cyber-Attacke auf das Unternehmen von Geschäftsführer Martin H. passiert ist. Dies wird gründlich untersucht. Als die Zahlung der Lösegeldforderung die Attacke beendet, beginnen Experten eine forensische Untersuchung. Dabei wird festgestellt, dass die Angreifer eine bekannte Sicherheitslücke in einer Standardsoftware ausgenutzt hatten, die seit Monaten bekannt war. Das Unternehmen hatte versäumt, die erforderlichen Software-Updates durchzuführen, um diese Lücke zu schließen.

Des Weiteren wurde festgestellt, dass die Mitarbeiter keine regelmäßigen Schulungen zur Cyber-Sicherheit erhalten hatten, was den Angreifern den Zugang erleichterte. Geschäftsführer Martin H. gerät zunehmend in die Kritik. Ihm wird vorgeworfen, seine Pflichten vernachlässigt zu haben, indem er nicht ausreichend für IT-Sicherheitsmaßnahmen gesorgt hat. Ist diese Kritik gerechtfertigt?

Mangelnde IT-Sicherheit als Pflichtverletzung

Bei unzureichender IT-Sicherheit kann es zu persönlichen Haftungsansprüchen gegenüber Geschäftsführern kommen. Dies bedeutet, dass die Verantwortung für die IT-Sicherheit nicht allein bei der IT-Abteilung liegt. Geschäftsführer müssen sicherstellen, dass die IT-Richtlinien des Unternehmens nicht nur vorhanden sind, sondern auch konsequent umgesetzt und regelmäßig überprüft werden. Dazu gehören:

  • Schulungen: Alle Mitarbeiter sollten über die Grundlagen der Cybersicherheit und die spezifischen Bedrohungen für das Unternehmen informiert sein.
  • Updates und Patches: Sicherheitsupdates sollten schnellstmöglich implementiert werden, um bekannte Sicherheitslücken zu schließen.
  • Audits und Überprüfungen: Externe Sicherheitsexperten können das Unternehmen regelmäßig auf Schwachstellen hin untersuchen und Empfehlungen für Verbesserungen geben.

Unser Fall verdeutlicht, wie wichtig es ist, stets auf dem aktuellen Stand der IT-Sicherheit zu sein. Regelmäßige Überprüfungen, Schulungen für Mitarbeiter und Investitionen in moderne Sicherheitssysteme sind nicht nur empfehlenswert, sondern eine Verpflichtung. Diese Ansicht teilt nun auch die Politik. Aus diesem Grund wurde eine neue Richtlinie auf den Weg gebracht, die nun in nationales Recht umgesetzt werden soll. Sie trägt den Namen NIS-2-Richtlinie, und jeder Geschäftsführer sollte sich rechtzeitig damit befassen.

Die NIS2 (Network and Information Security) EU ist eine Richtlinie der Europäischen Union, die darauf abzielt, das Cybersicherheitsniveau in den Mitgliedstaaten zu verbessern. In Deutschland legt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest, welche Unternehmen von den Bestimmungen der NIS-2 betroffen sind. Es wird erwartet, dass eine bedeutend größere Anzahl von Unternehmen von der NIS-2 betroffen sein wird als von der vorherigen Richtlinie NIS-1 aus dem August 2016.

Die NIS-2-Richtlinie führt außerdem eine persönliche Verantwortlichkeit der Führungskräfte gegenüber ihren Unternehmen ein. Die Mitgliedstaaten der EU sollen sicherstellen, dass die Leitungsorgane betroffener Unternehmen Risikomanagement-Maßnahmen genehmigen, ihre Umsetzung überwachen und für Verstöße gegen ihre Pflichten zur Einhaltung der in dieser Richtlinie festgelegten Verpflichtungen haftbar gemacht werden können.

Datenschutzgesetze: Eine ernsthafte Angelegenheit!

Unser vorheriges Beispiel hat verdeutlicht, wie schwerwiegend die Auswirkungen einer Cyber-Attacke sein können, die darauf abzielt, den Betrieb eines Unternehmens lahmzulegen. Eine weitere bedeutende Gefahr besteht im Verlust von Daten, insbesondere von Kundendaten. Datenschutz ist längst nicht mehr nur eine Obsession von Datenschutzfanatikern, sondern ein zentraler Aspekt im Kampf gegen Cyberkriminalität. Für Unternehmen geht es dabei nicht nur um die Einhaltung gesetzlicher Vorschriften, sondern auch um das Vertrauen und die Sicherheit ihrer Kunden und Geschäftspartner. Ein Verstoß gegen Datenschutzgesetze kann schwerwiegende rechtliche und finanzielle Konsequenzen sowie erhebliche Rufschäden nach sich ziehen.

Nehmen wir ein Beispiel aus dem Einzelhandel mit einer starken Position in Europa. Das Unternehmen erlebte eine massive Datenpanne, bei der Hacker persönliche und finanzielle Informationen von Hunderttausenden von Kunden kompromittierten. Die gestohlenen Daten enthielten Namen, Adressen und in einigen Fällen sogar Kreditkarteninformationen. Nach einer Untersuchung stellte sich heraus, dass das Unternehmen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verletzt hatte. Dazu gehörten unzureichende Verschlüsselung personenbezogener Daten, das Fehlen eines robusten Sicherheitssystems und die Unterlassung der rechtzeitigen Meldung des Datenschutzvorfalls an die Behörden und die betroffenen Kunden.

Welche Folgen hat das? Zunächst drohen empfindliche Bußgelder: Gemäß der DSGVO können Unternehmen bei schwerwiegenden Datenschutzverletzungen mit Bußgeldern von bis zu 4 Prozent ihres weltweiten Jahresumsatzes oder 20 Millionen Euro – je nachdem, welcher Betrag höher ist – belegt werden. Des Weiteren erleidet das Unternehmen wie im vorherigen Beispiel Reputationsschäden. Nach Bekanntwerden des Vorfalls verliert das Unternehmen das Vertrauen seiner Kunden erheblich. Viele Kunden wechseln zu Konkurrenten, was zu Umsatzeinbußen führt. Zusätzlich entstehen ad hoc-Kosten: Neben den Bußgeldern muss das Unternehmen erhebliche Mittel für Schadensbegrenzung, PR-Maßnahmen, die Stärkung der IT-Sicherheit und rechtliche Unterstützung aufwenden. Auch in diesem Fall besteht ein hohes Haftungsrisiko für die Geschäftsführung, wenn eine Pflichtverletzung nachgewiesen werden kann.

Meldungen von Datenlecks und Sicherheitsverstößen sind von entscheidender Bedeutung

Die obigen Beispiele verdeutlichen anschaulich die Wichtigkeit des Datenschutzes und die damit verbundene Verantwortung der Geschäftsführung. Allerdings endet diese Verpflichtung nicht beim Schutz der Daten, sondern beinhaltet auch die Meldung von Datenlecks und Sicherheitsverstößen (hier ist die Meldeseite des Bundesamts für Sicherheit in der Informationstechnik – BSI). Diese Meldepflichten können für Unternehmen komplex und herausfordernd sein, sind jedoch äußerst wichtig. Die Grundidee hinter den Meldepflichten ist einfach und einleuchtend: Durch frühzeitige Information betroffener Unternehmen oder Behörden können diese schneller und effektiver reagieren. Dies könnte beispielsweise bedeuten, dass Passwörter geändert, Überwachungsdienste aktiviert oder andere Maßnahmen ergriffen werden, um potenzielle Schäden zu minimieren.

Welche Herausforderungen gibt es bei den Meldepflichten?

  • Unterschiedliche Regelungen je nach Rechtsordnung: Die genauen Anforderungen für die Meldung von Sicherheitsvorfällen können von Land zu Land unterschiedlich sein. Dies betrifft sowohl die Fristen als auch die Art der zu meldenden Vorfälle. Für Unternehmen, die international tätig sind, kann dies besonders komplex sein.
  • Definition von „Bekanntwerden“: In vielen Ländern beginnt die Meldefrist für einen Sicherheitsvorfall, sobald das Unternehmen davon „Kenntnis erlangt“. Doch was genau bedeutet das? Ist es der Zeitpunkt, an dem ein Mitarbeiter den Vorfall entdeckt oder wenn die Geschäftsleitung informiert ist? Solche Unklarheiten können zu rechtlichen Unsicherheiten führen.
  • Fristen: Oft sind die Meldefristen sehr kurz. Zum Beispiel müssen Datenschutzverletzungen gemäß der DSGVO „unverzüglich“, wenn möglich innerhalb von 72 Stunden, gemeldet werden. Diese kurze Zeitspanne kann insbesondere für größere Unternehmen eine Herausforderung darstellen, bei denen die interne Kommunikation und Verifizierung Zeit in Anspruch nehmen können, und stellt somit auch ein Risiko für die Geschäftsführung dar.
  • Detailgenauigkeit der Meldung: Sowohl zu früh als auch zu wenig detaillierte Meldungen können problematisch sein. Unternehmen stehen oft vor dem Dilemma, schnell melden zu müssen, obwohl noch nicht alle Fakten und Details des Vorfalls bekannt sind.

Wie können Unternehmen diese Herausforderungen bewältigen?

Die Vorbereitung ist der Schlüssel zum Erfolg: Unternehmen sollten klare Richtlinien und Abläufe für den Umgang mit Datenlecks oder Sicherheitsverstößen haben. Wen sollte man informieren? Wer übernimmt die Kommunikation? Welche Schritte sind zu unternehmen? Mitarbeiter müssen über die Meldepflichten und -prozesse Bescheid wissen, um im Falle eines Vorfalls keine wertvolle Zeit zu verlieren. Angesichts der Vielfalt der Meldepflichten in verschiedenen Rechtsordnungen ist es ratsam, rechtlichen Rat einzuholen, um sicherzustellen, dass alle Vorschriften korrekt eingehalten werden. Obwohl Meldepflichten sinnvoll sind, können sie für Unternehmen eine potenzielle Hürde darstellen. Eine proaktive Vorbereitung und eine ständige Wachsamkeit sind entscheidend, um diese Pflichten korrekt und effektiv zu erfüllen.

Vertragliche Verpflichtungen und ihre Risiken

In der Geschäftswelt bilden Verträge die Grundlage für erfolgreiche Beziehungen zwischen Unternehmen, Kunden, Lieferanten und anderen Partnern. Diese Verträge enthalten häufig spezielle Klauseln und Anforderungen in Bezug auf IT-Sicherheit und Datenschutz, die von Unternehmen eingehalten werden müssen. Ein Verstoß gegen diese vertraglichen Verpflichtungen kann ernsthafte Konsequenzen nach sich ziehen. Welche Arten von vertraglichen Verpflichtungen können entstehen?

  • Datenschutzstandards: Verträge mit Geschäftspartnern oder Lieferanten können explizite Anforderungen bezüglich der Speicherung, Übertragung und Sicherung von Daten enthalten. Dies kann von einfachen Verschlüsselungsvorgaben bis hin zu komplexen Protokollen für den Datenzugriff reichen.
  • Reaktionszeit bei Sicherheitsvorfällen: Einige Verträge können festlegen, innerhalb welcher Zeitspanne auf Sicherheitsvorfälle reagiert werden muss und welche Maßnahmen ergriffen werden sollen.
  • Audits und Überprüfungen: Es kann vertraglich vereinbart sein, dass Geschäftspartner oder externe Parteien das Recht haben, die IT-Sicherheitsmaßnahmen und -protokolle zu überprüfen und zu auditieren.

Risiken bei Nichterfüllung vertraglicher Verpflichtungen:

  • Vertragsstrafen: Wenn vertragliche Sicherheitsverpflichtungen nicht eingehalten werden, können direkt Vertragsstrafen verhängt werden. Die Höhe dieser Strafen kann stark variieren, abhängig von der Schwere des Verstoßes und den Vertragsbedingungen.
  • Haftung für Schäden Dritter: Wenn durch einen Sicherheitsvorfall Daten eines Geschäftspartners oder Kunden kompromittiert werden und dies auf die Nichterfüllung vertraglicher Verpflichtungen zurückzuführen ist, kann das Unternehmen für entstandene Schäden haftbar gemacht werden.
  • Vertragsbeendigung: Bei schwerwiegenden Verstößen behalten sich Geschäftspartner oft das Recht vor, den Vertrag zu kündigen. Dies kann erhebliche finanzielle und operative Auswirkungen auf das Unternehmen haben.
  • Rufschäden: Unabhängig von rechtlichen und finanziellen Folgen kann eine Verletzung vertraglicher Sicherheitsverpflichtungen das Vertrauen und die Geschäftsbeziehungen zu Partnern und Kunden nachhaltig beeinträchtigen.

Wie können Unternehmen das Risiko aus Verträgen minimieren?

Zunächst sollten Unternehmen Verträge gründlich prüfen. Bevor sie einen Vertrag unterzeichnen, ist es wichtig, genau zu verstehen, welche Sicherheitsverpflichtungen sie eingehen, und sicherzustellen, dass sie diese erfüllen können. Außerdem ist eine transparente und offene Kommunikation mit Geschäftspartnern entscheidend: Ein offener Dialog über Sicherheitsanforderungen und -kapazitäten kann dazu beitragen, realistische und umsetzbare Vereinbarungen zu treffen. Dies beinhaltet auch eine frühzeitige Kommunikation von Problemen: Wenn Unternehmen feststellen, dass sie möglicherweise Schwierigkeiten haben, vertragliche Verpflichtungen zu erfüllen, sollten sie dies proaktiv ansprechen und gemeinsam mit dem Geschäftspartner nach Lösungen suchen.

Der Verlust von Betriebsgeheimnissen

Betriebsgeheimnisse sind oft von unschätzbarem Wert für ein Unternehmen. Sie stellen die verdeckten Schätze dar, die einem Unternehmen einen entscheidenden Wettbewerbsvorteil verschaffen können. Diese wichtigen Informationsquellen können verschiedene Dinge umfassen, wie beispielsweise spezielle Fertigungsverfahren, exklusive Kundeninformationen oder innovative Marketingstrategien. Doch der Schutz dieser Geheimnisse wird im Bereich der Cybersicherheit zunehmend zu einer großen Herausforderung.

Verlorene Betriebsgeheimnisse können einen hohen finanziellen Schaden verursachen. Quelle: ChatGPT

Geschäftsgeheimnisse sind äußerst wertvoll, weil sie oft das Ergebnis langjähriger Forschung, Entwicklung und Investitionen sind. Im Gegensatz zu patentierten Erfindungen, die durch gesetzliche Rahmenbedingungen öffentlich gemacht und geschützt werden, basieren Geschäftsgeheimnisse auf Vertraulichkeit. Es gibt keine Registrierung oder öffentliche Offenlegung. Der Wert eines Geschäftsgeheimnisses liegt oft in seiner Einzigartigkeit und dem Umstand, dass es nicht öffentlich bekannt ist. Ein Verlust oder Diebstahl von Geschäftsgeheimnissen kann daher schwerwiegende Folgen für ein Unternehmen haben. Wenn ein Konkurrent plötzlich Zugang zu einer wegweisenden Technologie oder Strategie erhält, kann dies zu erheblichen finanziellen Verlusten führen. Wenn zum Beispiel ein Wettbewerber plötzlich dasselbe Produkt wie Ihr Unternehmen zu einem niedrigeren Preis oder in einer verbesserten Version auf den Markt bringt, kann dies zu Umsatzrückgängen, sinkenden Marktanteilen oder sogar zum Verlust der Marktführerschaft führen.

Neben den unmittelbaren finanziellen Konsequenzen ist auch die potenzielle Beeinträchtigung des Vertrauens von Kunden, Partnern und Investoren alarmierend. Es entstehen Fragen wie: „Wenn sie ihre eigenen Geheimnisse nicht schützen können, wie können sie dann unsere Daten sicher verwahren?“ Dieser Vertrauensverlust kann langfristige Geschäftsbeziehungen gefährden und zukünftige Partnerschaften oder Investitionen beeinträchtigen.

Schließlich gibt es auch rechtliche und regulatorische Aspekte zu beachten. Obwohl Geschäftsgeheimnisse nicht wie Patente oder Marken registriert sind, gibt es in vielen Rechtssystemen gesetzliche Bestimmungen, die den Diebstahl oder die unrechtmäßige Verwendung von Geschäftsgeheimnissen verbieten und bestrafen. Unternehmen könnten daher in rechtliche Streitigkeiten verwickelt werden, die Zeit, Geld und Ressourcen erfordern. Daher ist es entscheidend, dass Unternehmen proaktiv ihre Geschäftsgeheimnisse schützen. Dies erfordert nicht nur technische Lösungen wie Firewalls, Verschlüsselung und Zugangskontrollen, sondern auch organisatorische Maßnahmen wie Mitarbeitertraining, klare Richtlinien und regelmäßige Überprüfung der Sicherheitsprotokolle. Die Gefahr von internen Angriffen wird dabei oft unterschätzt.

Langzeitfolgen von Reputationsschäden

Das Ansehen eines Unternehmens ist nicht nur von großem Wert, sondern auch äußerst fragil. Innerhalb von Sekunden können Jahre harter Arbeit zur Schaffung eines positiven Images zunichte gemacht werden, vor allem durch die schwerwiegenden Folgen eines Cyber-Angriffs. Die sofortigen finanziellen Verluste, die ein solcher Angriff verursachen kann, sind offensichtlich. Allerdings übersieht man oft die langfristigen Auswirkungen auf das Ansehen und wie sie sich auf Geschäftsbeziehungen, Kundenbindung und letztendlich den Umsatz eines Unternehmens auswirken können.

Wenn Kunden das Vertrauen verlieren, dass ihre persönlichen und finanziellen Daten bei einem Unternehmen sicher sind, können sie schnell zur Konkurrenz abwandern, insbesondere in Branchen mit vielen Auswahlmöglichkeiten für Verbraucher. Darüber hinaus können Reputationsschäden das Wachstum eines Unternehmens behindern. Neue Kunden oder Geschäftspartner könnten zögern, sich mit einem Unternehmen zu verbinden, das als anfällig für Sicherheitsverletzungen angesehen wird. Der Verlust an Vertrauen kann so weitreichend sein, dass er nicht nur die bestehenden Kunden betrifft, sondern auch potenzielle neue Kunden, die überlegen, ob sie mit dem betroffenen Unternehmen Geschäfte machen wollen.

Die Auswirkungen auf das Ansehen eines Unternehmens hören hier jedoch nicht auf. Auch Investoren beobachten genau, wie ein Unternehmen auf dem Markt positioniert ist. Eine schwerwiegende Sicherheitsverletzung könnte zu einem Rückgang des Aktienkurses führen. Investoren werden zweifeln, ob sie ihr Kapital in ein Unternehmen investieren sollten, das offenbar Schwierigkeiten hat, seine digitalen Vermögenswerte zu schützen. Um solche langfristigen Konsequenzen zu minimieren, müssen Unternehmen Maßnahmen ergreifen, um sowohl ihre IT-Systeme als auch ihr Markenimage zu schützen. Dies erfordert nicht nur technische Sicherheitsvorkehrungen, sondern auch eine strategische Kommunikation, die es dem Unternehmen ermöglicht, transparent, offen und effizient auf Sicherheitsvorfälle zu reagieren. Ein gut durchdachter Krisenkommunikationsplan kann einen bedeutenden Unterschied machen und dazu beitragen, das Vertrauen der Interessengruppen in kritischen Situationen wiederherzustellen.

Unmittelbare Kosten durch einen Cyberangriff

Wenn wir über die Konsequenzen eines Cyberangriffs nachdenken, neigen wir dazu, zunächst die offensichtlichen, direkten Kosten zu betrachten. Das hat seine Berechtigung, denn die finanziellen Auswirkungen können beträchtlich sein und ein Unternehmen vor ernsthafte Herausforderungen stellen, abhängig von der Schwere des Angriffs. Zuallererst steht oft die Notfallreaktion. Diese kann beinhalten, dass IT-Experten eingestellt werden müssen, um das Ausmaß des Angriffs zu ermitteln und das System wiederherzustellen. In komplexen IT-Umgebungen können solche Experten teuer sein, vor allem wenn sie spezialisiertes Wissen für bestimmte Arten von Angriffen oder branchenspezifische Systeme benötigen. Ihre Aufgabe besteht nicht nur darin, den Schaden zu beheben, sondern auch herauszufinden, wie der Angriff stattgefunden hat, um zukünftige Vorfälle zu verhindern.

Außerdem entstehen Kosten für die Wiederherstellung und den Ersatz von Daten. Daten sind heute von entscheidender Bedeutung für Unternehmen. Ein Unternehmen könnte eine beträchtliche Menge an Kundendaten, Transaktionshistorien oder anderen wichtigen Informationen verlieren. Das Wiederherstellen dieser Daten, falls überhaupt möglich, erfordert Zeit und finanzielle Ressourcen. Kann man Daten nicht wiederherstellen, muss man Ersatz beschaffen, sei es durch das erneute Sammeln von Daten, die Wiederherstellung verlorener Informationen oder sogar den Kauf von Daten aus externen Quellen. Darüber hinaus fallen Kosten für den Ersatz von Hardware an. Ein schwerwiegender Cyberangriff kann physische Schäden an Servern, Computern und anderen Geräten verursachen. Diese Geräte muss man dann schnell ersetzen, um den Geschäftsbetrieb aufrechtzuerhalten. Das verursacht zusätzliche Notfallkosten.

Ein weiterer Aspekt sind die Kosten für rechtliche Beratung. Unternehmen, die Opfer eines Cyberangriffs werden, müssen oft rechtliche Schritte erwägen, sei es, um sich gegen Ansprüche zu verteidigen oder rechtliche Schritte gegen die Täter einzuleiten. Rechtsanwälte mit Fachkenntnissen im Bereich Cyber Security können für ihre Dienste je nach Komplexität und Dauer des Falls erhebliche Gebühren verlangen. Zudem erfordert die Kommunikation einen finanziellen Aufwand. Es kann erforderlich sein, Kunden, Partner und die Öffentlichkeit über den Vorfall zu informieren. Dies kann Kommunikationskampagnen, PR-Beratung und in einigen Fällen auch Benachrichtigungsdienste umfassen. Die unmittelbaren Kosten eines Cyberangriffs sind daher vielfältig und können beträchtlich sein. Sie reichen von technischen und betrieblichen Kosten bis hin zu rechtlichen und kommunikativen Ausgaben. Unternehmen müssen diese potenziellen Kosten in ihre Risikomanagement-Strategien einbeziehen und proaktive Maßnahmen ergreifen. Nur so können sie sich sowohl gegen die Angriffe selbst als auch gegen ihre finanziellen Auswirkungen schützen.

Fazit: Die Rolle des Managements in Bezug auf Cyberrisiken

Während die technischen und finanziellen Auswirkungen von Cyberangriffen offensichtlich sind, darf man auch die Verantwortung des Managements nicht vernachlässigen. Geschäftsführer und das Management insgesamt tragen die Verantwortung, die Interessen des Unternehmens und seiner Stakeholder zu schützen. Dies umfasst die Implementierung und Überwachung angemessener Sicherheitsmaßnahmen.

Bei einem Cyberangriff gerät nicht nur das Unternehmen selbst, sondern auch das Management ins Visier. Das Führungsteam kann für Mängel in der IT-Sicherheit zur Rechenschaft gezogen werden, sei es durch rechtliche Konsequenzen, den Verlust des Vertrauens der Stakeholder oder sogar direkte finanzielle Haftung. Daher ist es von entscheidender Bedeutung, dass das Management aktiv an der IT-Sicherheitsstrategie des Unternehmens beteiligt ist, sich regelmäßig über aktuelle Bedrohungen und Sicherheitsstandards informiert und sicherstellt, dass das Unternehmen über die erforderlichen Ressourcen verfügt, um sich zu schützen.

Schon für unseren Newsletter angemeldet?

Aktuellstes Wissen über Cyberriskmanagement direkt ins Postfach!

Für Newsletter anmelden