Cybersecurity ist Chefsache

Cyberangriffe gelten rechtlich längst nicht mehr als unvorhersehbares Ereignis. Prof. Alexander Fischer erläutert, warum Geschäftsleitungen zunehmend in der Verantwortung stehen, welche Pflichten heute gelten und wie sich Haftungsrisiken wirksam reduzieren lassen.

Von rethink:IT im Interview mit Prof. Dr. Alexander Fischer Fachanwalt für IT-Recht und Partner der Stuttgarter Kanzlei Dr. Lohmann & Partner

Alexander Fischer ist Professor für IT- und Datenschutzrecht sowie Partner der Kanzlei Dr. Lohmann Rechtsanwälte. Er berät Unternehmen und Geschäftsleitungen seit vielen Jahren zu Cybersecurity, IT-Compliance und Haftungsfragen an der Schnittstelle von Recht, Technologie und Unternehmensführung. Ein besonderer Schwerpunkt seiner Arbeit liegt auf der rechtlichen Verantwortung von Vorständen und Geschäftsführer:innen im Kontext von Digitalisierung, Cyberangriffen und regulatorischen Anforderungen wie NIS2. Als gefragter Experte verbindet er juristische Präzision mit praxisnaher Einordnung für Entscheider:innen.

rethink:it: Herr Prof. Fischer, Cyberangriffe auf deutsche Unternehmen nehmen rasant zu. Allein 2022 gab es laut Bitkom rund 25 Prozent mehr Vorfälle. Wie bewerten Sie diese Entwicklung?

Alexander Fischer: Cyberangriffe sind heute längst kein unvorhersehbarer Unglücksfall, sondern gelten rechtlich als dauerhafte Bedrohung, auf die sich Unternehmen einstellen müssen.

Das hat konkrete Folgen: IT-Sicherheit wird zunehmend zur Aufgabe der Unternehmensleitung. Neue Regelwerke wie die NIS2-Richtlinie verpflichten Geschäftsführungen, Cyberrisiken systematisch zu steuern – etwa durch Risikomanagement, klare Meldeprozesse und regelmäßige Berichte. Gleichzeitig verlangt der Cyber Resilience Act von Herstellern und Anbietern digitaler Produkte, Sicherheit von Anfang an mitzudenken.

Unterm Strich heißt das: Cybersecurity ist kein kurzfristiger Compliance-Trend, sondern ein dauerhaftes Regulierungsthema. Die Anforderungen werden weiter präzisiert, stärker kontrolliert und auch sanktioniert. Wer IT-Sicherheit heute noch ausschließlich als technisches Thema betrachtet, unterschätzt ihre rechtliche und haftungsrelevante Bedeutung.

Die Gesetzeslage verschärft sich spürbar, teils ist sogar von persönlicher Haftung die Rede. Wie groß ist das Risiko für Geschäftsführer:innen heute – und wird der Gesetzgeber weiter nachlegen?

Alexander Fischer: Das persönliche Haftungsrisiko ist heute deutlich höher als noch vor wenigen Jahren. Nicht, weil der Gesetzgeber plötzlich neue Haftungstatbestände erfunden hätte, sondern weil Cyberangriffe – insbesondere Ransomware – inzwischen als bekanntes und dauerhaftes Unternehmensrisiko gelten. Hohe Angriffszahlen, professionelle Täter:innen und massive Schäden lassen rechtlich kaum noch Raum für das Argument der Unvorhersehbarkeit.

Mit der NIS2-Richtlinie wird dieses Risiko klar der Leitungsebene zugeordnet. Entscheidend ist dabei: Cyberrisiken sind nicht delegierbar. IT-Abteilungen und externe Dienstleister können die Umsetzung übernehmen, aber Organisation, Ressourcenausstattung und Kontrolle bleiben Verantwortung der Geschäftsführung. Wer sich hier zurücklehnt oder allein auf Vertrauen setzt, bewegt sich haftungsrechtlich auf dünnem Eis.

Eine weitere formale Verschärfung der Haftungsinstrumente erwarte ich kurzfristig nicht, da die bestehenden bereits scharf genug sind. Der eigentliche Wandel liegt woanders: Cybersecurity steht heute haftungsrechtlich auf einer Stufe mit klassischer Compliance. So wie Kartellrecht, Datenschutz oder Korruptionsprävention ist sie Chefsache. Geschäftsleitungen werden künftig nicht daran gemessen, ob sie jeden Angriff verhindern konnten, sondern daran, ob sie Cyberrisiken strukturiert, informiert und dauerhaft gesteuert haben.

Welche konkreten Pflichten ergeben sich daraus aktuell für Geschäftsführer:innen oder Vorstände?

Alexander Fischer: Geschäftsleitungen haften nicht dafür, dass es zu keinem Cyberangriff kommt. Sie haften dafür, wie sie mit dem Risiko umgehen. Maßgeblich ist also nicht das einzelne Ereignis, sondern ob informiert, strukturiert und verantwortungsvoll gehandelt wurde.

Die NIS2-Richtlinie macht deutlich: Cybersicherheit ist Aufgabe der Leitungsebene. Geschäftsführung oder Vorstand müssen Maßnahmen zur Steuerung von Cyberrisiken billigen, deren Umsetzung überwachen und bei Verstößen Verantwortung übernehmen. Ein bloßes Delegieren an die IT reicht nicht aus. Die Leitungsebene muss sich aktiv mit dem Thema befassen und Entscheidungen nachvollziehbar treffen.

Konkret erwartet der Gesetzgeber, dass Unternehmen ein belastbares Sicherheitsniveau etablieren. Dazu gehören eine strukturierte Analyse der Cyberrisiken, funktionierende Sicherheits- und Notfallkonzepte, klare Prozesse zur Erkennung und Bewältigung von Vorfällen sowie verlässliche Backup- und Wiederherstellungsmechanismen. Auch die Einbindung von Dienstleistern und Lieferketten in das Sicherheitskonzept sowie die regelmäßige Sensibilisierung der Mitarbeitenden sind zwingend erforderlich.

Cybersicherheit darf dabei kein Nebenprojekt sein. Die Geschäftsleitung muss sicherstellen, dass ausreichend Personal, Budget und organisatorische Strukturen zur Verfügung stehen. Unterlassene Investitionen können später sogar als Organisationsverschulden gewertet werden.

Ebenso wichtig ist die laufende Kontrolle. Die Leitungsebene muss sich regelmäßig über den Stand der IT-Sicherheit informieren lassen, etwa durch strukturierte Berichte oder Audits. Ein einmal erstelltes Sicherheitskonzept genügt ausdrücklich nicht.

Neu und bemerkenswert ist schließlich, dass auch die Geschäftsleitung selbst in der Pflicht steht, sich fortzubilden. Ein grundlegendes Verständnis für Cyberrisiken gehört inzwischen zur persönlichen Sorgfaltspflicht von Geschäftsführer:innen und Vorständen.

Der Gesetzgeber verlangt geeignete Maßnahmen, ausreichende Ressourcen und eine laufende Überwachung der IT-Sicherheit. Das klingt weitreichend, aber wenig greifbar. Welche Mindeststandards müssen Unternehmen erfüllen, um im Ernstfall nicht als fahrlässig zu gelten?

Alexander Fischer: Hier spielen Informationssicherheits-Managementsysteme eine zentrale Rolle. Zwar schreiben weder die NIS2-Richtlinie noch der Cyber Resilience Act ein bestimmtes Zertifikat ausdrücklich vor, faktisch lassen sich die gesetzlichen Anforderungen aber kaum besser strukturieren als mit einem etablierten ISMS, etwa orientiert an ISO/IEC 27001 oder vergleichbaren Standards.

Wichtig ist: Nicht jedes Unternehmen muss sofort zertifiziert sein. Entscheidend ist, dass Struktur, Methodik und Dokumentation dem anerkannten Stand entsprechen. Ein ISO-27001-naher Ansatz kann rechtlich ausreichend sein, wenn er ernsthaft umgesetzt und im Alltag gelebt wird.

Viele Unternehmen lagern ihre IT an spezialisierte Dienstleister aus, die oft höhere Sicherheitsstandards bieten. Führt das zu einer Entlastung der Geschäftsleitung bei Haftungsfragen?

Alexander Fischer: Outsourcing kann sinnvoll sein, entbindet die Geschäftsleitung aber nicht von ihrer Verantwortung. Die sorgfältige Auswahl geeigneter Dienstleister, klare vertragliche Regelungen sowie eine laufende Kontrolle und Genehmigung der Sicherheitsmaßnahmen bleiben Pflicht.

Rechtlich gilt: Verantwortung lässt sich nicht auslagern, nur Aufgaben. Wer Dienstleister jedoch sorgfältig auswählt und kontinuierlich überwacht, kann sein Haftungsrisiko deutlich reduzieren.

Was raten Sie Geschäftsführer:innen ganz konkret, um Haftungsrisiken im Bereich Cybersecurity zu minimieren?

Alexander Fischer: Entscheidend ist, Struktur zu schaffen – und diese auch zu leben. Cybersecurity muss klar als Führungsaufgabe verankert sein und fest in das allgemeine Risikomanagement integriert werden. Es reicht nicht, einzelne Maßnahmen zu beschließen; entscheidend ist ein nachvollziehbares Gesamtsystem.

Dazu gehören klare Zuständigkeiten, regelmäßige Risikoanalysen und belastbare Prozesse zur Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen. Ebenso wichtig sind verlässliche Backup- und Notfallkonzepte sowie eine strukturierte Berichterstattung an die Geschäftsleitung. Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Steuerungsprozess.

Aus haftungsrechtlicher Sicht besonders relevant ist zudem die Ressourcenausstattung. Wer Cybersicherheit dauerhaft unterfinanziert oder organisatorisch vernachlässigt, riskiert den Vorwurf des Organisationsverschuldens. Auch Schulungen spielen eine zentrale Rolle – nicht nur für Mitarbeitende, sondern ausdrücklich auch für die Geschäftsleitung selbst.

Wenn ein Unternehmen Opfer eines Cyberangriffs wird: Welche Sofortmaßnahmen sollte die Geschäftsleitung ergreifen, um weiteren Schaden und persönliche Haftung zu vermeiden?

Alexander Fischer: Im Ernstfall ist nicht nur die technische Reaktion entscheidend, sondern vor allem ein strukturiertes und nachvollziehbares Krisenmanagement. Die ersten Stunden sind haftungsrechtlich besonders sensibel. Aus Sicht der Geschäftsleitung geht es darum, Ruhe zu bewahren, die Lage aktiv zu steuern und unkoordinierten Aktionismus zu vermeiden. Gerade bei Ransomware-Angriffen zeigen sich diese Fehler immer wieder.

Zunächst muss der Vorfall technisch eingegrenzt werden, ohne vorschnell Beweise zu vernichten. Parallel dazu ist auf Leitungsebene eine klare Krisenstruktur herzustellen: Wer entscheidet, wer kommuniziert, wer dokumentiert. Entscheidend ist, dass die Geschäftsleitung sichtbar Verantwortung übernimmt und nicht lediglich an operative Einheiten delegiert.

Ebenso wichtig ist die frühzeitige rechtliche Einordnung. Meldepflichten – etwa im Datenschutz- oder IT-Sicherheitsrecht – müssen geprüft und fristgerecht erfüllt werden. Fehler oder Verzögerungen in dieser Phase sind ein häufiger Auslöser persönlicher Haftung.

Schließlich spielt die Kommunikation eine zentrale Rolle. Unkoordinierte Aussagen gegenüber Mitarbeitenden, Kunden oder der Öffentlichkeit können den Schaden erheblich vergrößern. Auch der Wiederanlauf der Systeme muss kontrolliert erfolgen, um Folgeangriffe zu vermeiden.

Aus haftungsrechtlicher Sicht gilt: Nicht Perfektion wird erwartet, sondern ein besonnenes, strukturiertes und dokumentiertes Vorgehen. Wer die Krise aktiv führt, Entscheidungen nachvollziehbar trifft und aus dem Vorfall Konsequenzen zieht, reduziert sein persönliches Risiko erheblich.

Ist es aus Ihrer Sicht ohne IT-Verständnis überhaupt noch möglich, als Geschäftsleiter:in zu fungieren?

Alexander Fischer: Ein Geschäftsleiter muss kein Techniker sein, aber er muss die digitalen Risiken verstehen, denen sein Unternehmen ausgesetzt ist. Dazu gehört, die richtigen Fragen stellen zu können, Berichte einzuordnen und Entscheidungen auf einer informierten Grundlage zu treffen.

Ein vollständiges Unverständnis für IT-Themen wird zunehmend problematisch, ähnlich wie fehlendes Verständnis für betriebswirtschaftliche Zusammenhänge. Wer Risiken nicht einordnen kann, kann sie auch nicht steuern. Und genau das erwartet der Gesetzgeber heute von der Leitungsebene.

Zum Schluss ein Blick nach vorn: Braucht es künftig einen „Cyber-Vorstand“ mit technischem Verständnis in jeder Geschäftsleitung? Oder genügt externe Beratung?

Alexander Fischer: Das hängt stark von Größe, Branche und Risikoprofil des Unternehmens ab. In besonders digitalisierten oder kritischen Bereichen kann ein eigenes Vorstandsressort oder ein klar definierter Zuständigkeitsbereich in der Geschäftsführung sinnvoll sein.

Für viele Unternehmen reicht jedoch eine starke interne Zuständigkeit in Kombination mit qualifizierter externer Beratung. Entscheidend ist nicht die formale Rolle, sondern dass Cyberrisiken dauerhaft und sichtbar auf Leitungsebene verankert sind.