Cyberrisiken: Wer haftet im Schadensfall?

Schäden durch Angriffe auf die IT-Infrastruktur können für Unternehmen existenzbedrohend sein. Schnell tappen auch Geschäftsführer und Co. in die Haftungsfalle.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
Inhaltsverzeichnis

Als sich Ian Murphy alias Captain Zap 1981 in das AT&T-Netzwerk einhackte und die Systemuhrzeit verstellte, führte dies "nur" zu künstlich niedrigen Telefontarifen zu Spitzenzeiten. Der Vorfall wirft ein Schlaglicht auf die fast 40-jährige Geschichte der Cyberrisiken. Murphy wurde damals verurteilt und die Juristen hatten ein neues Thema, das sie bis heute nicht loslässt. Straf- aber auch zivilrechtlich ist einigermaßen geklärt, dass sich ein Täter durch Cyberangriffe strafbar oder ersatzpflichtig für den Schaden macht. Das Wissen darum, wer aufseiten des Geschädigten – etwa eines Unternehmens oder einer Behörde – ebenfalls zur Verantwortung gezogen werden kann, ist oft noch dürftig. Hinzu kommen Unsicherheiten durch offene Rechtsfragen.

Nach § 93 des Aktiengesetzes haben Vorstandsmitglieder "bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden". In Absatz 2 heißt es: "Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet." Die Vorschriften gelten auch für GmbH-Geschäftsführer und gesetzliche Vertreter anderer Unternehmensformen. Relevant gerade für den Bereich der Cybersecurity ist § 93 Absatz 2 Satz 1 des Aktiengesetzes: "Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."

Besondere gesetzliche Pflichten ergeben sich aus Spezialgesetzen, etwa der Datenschutz-Grundverordnung. Sie verlangt "geeignete technische und organisatorische Maßnahmen" zum Schutz der Daten. Damit sind nicht nur Daten von Kunden, sondern alle im Rahmen des Unternehmens verarbeiteten personenbezogenen Daten umfasst. Das gilt auch für Daten der eigenen Mitarbeiter. Weitere Vorschriften betreffen beispielsweise Betreiber kritischer Infrastrukturen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+