Die Verantwortung für die Cybersicherheit von Unternehmen ist häufig beim IT-Management ansiedelt, selten im Vorstand oder bei der Geschäftsführung. Diesen Eindruck vermittelt zumindest der aktuelle “Cyber Security Report DACH” des Sicherheitsunternehmens Horizon3.ai. Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei der auf Cybersecurity spezialisierten Firma, wundert sich: “Den meisten Vorständen oder Geschäftsführern scheint gar nicht klar zu sein, dass sie ohne Wenn und Aber persönlich in der Haftung stehen, wenn es durch einen ernsthaften Cyberangriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss.” Angesichts von täglich mehr als 4.000 Attacken allein auf deutsche Unternehmen, wie aus dem letzten Lagebericht des Bundesamtes für Informationssicherheit (BSI) hervorgeht, stuft Dennis Weyel diese “Blindheit gegenüber der Verantwortung” als “grob fahrlässig” ein. Er empfiehlt der obersten Leitungsebene über alle Branchen hinweg Weisung zu geben, mindestens einmal im Monat oder sogar wöchentlich durch sogenannte Penetrationstests (“Pentest”) – im Finanzsektor von der EZB als “Stresstest” bezeichnet – die Cyberresilienz ihrer Firmen überprüfen zu lassen.
Laut dem auf Befragung einer nicht genannten Zahl von Entscheidern beruhendem “Cyber Security Report DACH” liegt die Verantwortung für die IT-Sicherheit in den Unternehmen beim (in dieser Reihenfolge) Chief Technology Officer (CTO, 24 Prozent der Firmen), Chief Information Officer (CIO, 18 Prozent) bzw. IT-Einkaufsleiter (18 Prozent), Leiter der Abteilung Digitales (15 Prozent), Chief Information Security Officer (CISO, 13 Prozent) oder Manager für Risiko und Compliance (7 Prozent). Ein knappes Zehntel (9 Prozent) hat den Verantwortungsbereich IT-Sicherheit an eine externe Beratungsfirma gegeben. Unabhängig davon “… liegt die Verantwortung im Fall der Fälle aber bei allen Vorständen oder allen Geschäftsführern”, gibt Weyel zu bedenken. In der Umfrage erklärte beinahe die Hälfte (48 Prozent), dass sie sich der persönlichen Haftung auf Topmanagementebene bewusst seien. Ein Drittel gab sich von dieser Rechtsposition überrascht, zwölf Prozent beteuerten, von dieser Haftung “noch nie gehört” zu haben.
“Obgleich also dem Gros der Führungskräfte das Gefahrenpotenzial und ihre persönliche Haftung bewusst sind, gehen sie vergleichsweise lax damit um”, wundert sich Sicherheitsexperte Dennis Weyel. Er spekuliert: “Möglicherweise gehen viele Topmanager davon aus, dass ihre D&O-Versicherung zusammen mit einer Cybercrime-Versicherung schon für alle eventuellen Schäden aufkommen werden. Doch wenngleich beide Versicherungen sinnvoll sind, ist eine Schadensregulierung im Fall der Fälle mitnichten per se gegeben. Eine ausreichende Absicherung vor Hackerangriffen und der Nachweis, dass Cyberattacken tatsächlich ins Leere laufen, stellen in der Regel eine wesentliche Grundlage für derartige Versicherungen dar. Spätestens bei möglichen Compliance-Verstößen etwa gegen die Netzwerk- und Informationssicherheitsrichtlinie NIS2 der Europäischen Union ist die Assekuranzfrage sicherlich alles andere als geklärt.”
