Täglich mittlerweile entnehmen wir den Medien diverse Schlagzeilen zu "Hackerangriffen oder Cyberattacken". In vielen dieser Fälle geschah das Ereignis bereits Wochen zuvor. Sie werden sich jetzt fragen – warum? Im Krisenmanagement geben wir Informationen nie unkontrolliert nach außen, dies würde die gesamte Situation des Lagebildes und der Verhandlungsführung negativ beeinflussen, zu dem wissen wir aus vielen unserer Einsätze, das Cyberkriminelle in solchen Situation auch die Medien sehr genau verfolgen. Als Cyber-Experten verpflichten wir uns gegenüber den betroffenen Unternehmen, den entstandenen Schaden so schnell als möglich einzudämmen bzw. zu minimieren. Diese Schadensminimierung betrifft auch die Pflicht der GmbH-Geschäftsführung.
90 Prozent nicht vorbereitet
In 90 Prozent der Vorfälle (Incidents) sind Unternehmen und die Führungsetage nur bedingt oder im schlimmsten Fall nicht darauf vorbereitet. Im groben wurden Krisen- oder Notfallpläne entwickelt, bei Cyberangriffen greifen diese in den meisten Fällen nicht. Das verursacht Stresssituationen, es werden Entscheidungen ohne fundierte Grundlagen getroffen und aus Unternehmersicht die fehlende Abwägung der Worst-Case Szenarien. Mit Vehemenz wird versucht, das Problem schnell aus der Welt zu schaffen – eine Lösegeldzahlung darf nie die erste Wahl dafür sein!
Geschäftsführer kann haftbar sein
Die Haftung eines Geschäftsführers für Cyberangriffe hängt von den Gesetzen des Landes ab, in dem das Unternehmen tätig ist, sowie von den besonderen Umständen des jeweiligen Falls.
Im Allgemeinen kann ein Geschäftsführer persönlich für Cyberangriffe haftbar gemacht werden, wenn nachgewiesen werden kann, dass er direkt an dem "Incident" beteiligt war oder es versäumt hat, geeignete Maßnahmen zum Schutz der Systeme und Daten des Unternehmens zu ergreifen.
Wenn der Geschäftsführer beispielsweise von Schwachstellen in den Cybersicherheitssystemen des Unternehmens wusste und nichts unternommen hat, um diese zu beheben, kann er für alle Schäden verantwortlich gemacht werden, die durch einen nachfolgenden Cyberangriff entstehen.
In einigen Fällen kann ein Geschäftsführer auch für Verluste haftbar gemacht werden, die Kunden oder andere Dritte infolge eines Cyberangriffs erlitten haben. Dies könnte zum Beispiel der Fall sein, wenn der Geschäftsführer für die Sicherheit personenbezogener Daten wie Kreditkartennummern verantwortlich war und es versäumt hat, angemessene Maßnahmen zum Schutz dieser Daten zu ergreifen.
Cyber-Schutzschirm
Weiter droht die Gefahr einer Inanspruchnahme eines Geschäftsführers dann, wenn er nicht 100-prozentiger Eigentümer des Unternehmens ist, dem er vorsteht. In diesem Fall könnten nämlich nach einem finanziellen Schaden der Gesellschaft aus einer erfolgten Cyber-Attacke den Geschäftsführer zur Verantwortung dahingehend ziehen, als er nicht durch einen wirksamen Cyber-Schutzschirm und den Abschluss einer geeigneten Cyber-Versicherung den eingetretenen Schaden verhindert, bzw. gemindert hätte. Das Unterlassen dieser Vorsorgemaßnahme wäre als Verletzung der gesetzlichen Sorgfaltspflichten des Geschäftsführers zu sehen und zu einer entsprechenden Haftung führen.
Viele fragen sich, ob das Risiko über eine Cyberversicherung abgegeben werden? Die Antwort ist nein. Wie beim Auto muss die technische Betriebssicherheit, der TÜV, für das IT System nachgewiesen werden. Weder Kasko noch Haftpflicht werden etwas bezahlen, wenn die Voraussetzungen nicht vorliegen.
Empfehlung
Cyber-Security sollte auf der täglichen Agenda stehen, nutzen Sie für sich einen externen Sparringspartner. Planen Sie ein eigenes Cyber-Security-Budget und veranlassen Sie laufende Sicherheitsüberprüfungen/Schachstellenanalysen durch Spezialisten. Testen Sie ihre Notfallpläne und/oder setzen sie Notfallpläne auf, sowie einen Krisenstab.
Sollten Sie zu dem Thema eine Rechtsberatung in Anspruch nehmen wollen, finden sie die Kontaktadresse sowie weitere Informationen in der Infobox.
www.ares-ci.com
www.myincident.ai
Kommentare auf LEADERSNET geben stets ausschließlich die Meinung des jeweiligen Autors bzw. der jeweiligen Autorin wieder, nicht die der gesamten Redaktion. Im Sinne der Pluralität versuchen wir unterschiedlichen Standpunkten Raum zu geben – nur so kann eine konstruktive Diskussion entstehen. Kommentare können einseitig, polemisch und bissig sein, sie erheben jedoch nicht den Anspruch auf Objektivität.
>
Kommentar veröffentlichen