Geschäftsführungen, Vorstände und Aufsichtsräte sind gesetzlich verpflichtet, die IT-Sicherheit ihres Unternehmens sicherzustellen. Bei Pflichtverletzungen drohen hohe Geldbußen für das Unternehmen und die persönliche Haftung von Entscheidungsträgern und Verantwortlichen. Somit wird das Thema IT-Sicherheit immer mehr zum Compliance-Thema. Aufgrund der akuten Bedrohung im Cyberraum haben die Europäische Union und ihre Mitgliedstaaten in letzter Zeit immer strengere Vorschriften zur Cybersecurity verabschiedet. Auch die Behörden haben das Thema auf dem Schirm: In Deutschland hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg bereits im Jahr 2018 gegen einen Social-Media-Anbieter ein Bußgeld in Höhe von 20.000 Euro verhängt. Zwei Jahre später ordnete die Behörde gegenüber einer gesetzlichen Krankenversicherung sogar ein Bußgeld von über einer Million Euro an. In beiden Fällen verstießen die Adressaten des Bußgelds gegen Vorschriften zur IT- und Datensicherheit.
Die Botschaft dieser Strafen machen zusammen mit den immer häufigeren Schlagzeilen über Cyberattacken, wie etwa mit Ransomware, eines deutlich: Eine funktionierende und sichere IT ist für jedes Unternehmen von elementarer Bedeutung. Ihre Vernachlässigung kann angesichts der erheblichen Bedrohungslage drastische Folgen haben, etwa für die Produktionsprozesse, die Mitarbeiterorganisation oder für Kundenkommunikation und Reputation. Daneben ist auch der Gesetzgeber im Bereich der digitalen Regulierung in den letzten Jahren sehr aktiv gewesen. Mit zahlreichen neuen Gesetzen sowohl auf deutscher als auch europäischer Ebene sind die regulatorischen Anforderungen strenger und komplexer geworden.
Aufgrund der strengen gesetzlichen Anforderungen und der Tatsache, dass traditionelle IT-Security-Ansätze modernen Cyberattacken nichts mehr entgegenzusetzen haben, ist ein Umdenken erforderlich. Unternehmen müssen heute zusätzlich auf neue Technologien und externe Experten setzen, um das Risiko von Cyber-Attacken zu senken. Eine Erhebung der Bitkom zeigt die Bedrohungslage in Zahlen: Demnach wurden bereits 2021 84 % der Betriebe in Deutschland Ziel eines Ransomware-Angriffs. Vor allem die sogenannten MDR-Services (Managed Detection and Response) können beim Umgang mit der Bedrohungslage und der Einhaltung komplexer regulatorischer Anforderungen in der IT-Sicherheit den Unterschied ausmachen. Die externe Unterstützung bei der Abwehr von Cyberangriffen ist damit ein wichtiger Baustein beim Management digitaler Risiken und hilft den Verantwortlichen, ihre gesetzlichen Pflichten zu erfüllen.
Denn aus Compliance-Sicht ist es vor allem Sache der Geschäftsleitung, die Cybersecurity im Unternehmen sicherzustellen. Die gesetzliche Anforderung an die Geschäftsführung einer GmbH und den Vorstand einer Aktiengesellschaft, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§§ 93 Abs. 1 S. 1 AktG, 43 Abs. 1 GmbH), verpflichtet die Verantwortlichen dazu, angemessene Maßnahmen zu treffen, um Gesetzesverstöße und Beeinträchtigungen der IT-Sicherheit zu verhindern.
Das Sophos White Paper „Geschäftsführerhaftung bei Cyber-Angriffen“ (Gegated – Angabe von Name und Email-Kontakt erforderlich) bietet zusätzliche, praxisnahe Informationen, wie Unternehmen sich gegen moderne Cyberangriffe absichern und damit dem IT-Sicherheitsgesetz 2.0 sowie dem neuen EU NIS 2.0 entsprechen können. Außerdem enthält des PDF einen detaillierten Einblick, was MDR-Services für die IT-Sicherheit eines Unternehmens leisten können und welche Vorteile sich aus kaufmännischer Sicht daraus ergeben. Wer Interesse hat, kann sich hier anmelden.
Antwort hinterlassen