Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01

EU stärkt Cybersicherheit im Unternehmen

Presse Artikel

IT für den Mittelstand

EU stärkt Cybersicherheit im Unternehmen

Über die Hälfte der Unternehmen in Deutschland sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Jörg Schneider-Brodtmann berät Unternehmen sowie die öffentliche Hand seit über 20 Jahren im IT-Recht und erklärt, welche Maßnahmen kleine und mittlere Unternehmen treffen können, um sich für Angriffe aus dem Netz zu wappnen.

Wie hilfreich ist die neue EU-Verordnung zur Cybersicherheit?

Die in der vergangenen Woche am 27. Juni 2019 in Kraft getretene Verordnung zur Cybersicherheit, auch „Cybersecurity Act“ genannt, ist grundsätzlich zu begrüßen. Sie findet in den EU Mitgliedstaaten ohne
nationale Umsetzungsgesetze unmittelbar Anwendung. Kernpunkt für Unternehmen ist die Einführung eines europaweiten Zertifizierungssystems, das Markttransparenz bei Produkten der Informations- und Kommunikationstechnologie (IKT) schafft. Für Unternehmen ist die Ausstellung eines solchen Zertifi kats derzeit freiwillig. Kunden und Nutzer können anhand definierter Sicherheitslevel feststellen, wie vertrauenswürdig die von ihnen angeschafften IKT-Produkte und Dienste sind. Das kann auch ein Wettbewerbsvorteil für Hersteller sein. Nachteile sind Aufwand und Kosten für die Wirtschaft durch die Zertifi zierung. Branchenverbände fordern deshalb, bei der Ausgestaltung der Sicherheitsanforderungen auf den technischen Sachverstand der Wirtschaftsakteure zu setzen und möglichst auf etablierte Normungsprozesse
zurückzugreifen.

Wem nützen Initiativen der Wirtschaft wie die Charter of Trust?

Die „Charter of Trust“ wurde von Siemens gemeinsam mit der Münchner Sicherheitskonferenz initiiert. Es handelt sich dabei um eine Charta mit zehn Handlungsfeldern für Politik und Unternehmen, um beispielsweise
verbindliche Sicherheitsstandards für das Internet der Dinge zu formulieren. Teilnehmer sind unter anderen Großunternehmen wie Airbus, Allianz, IBM und die Telekom. Die Initiative setzt auf internationale
Reichweite und will weltweit konkrete Cybersecurity-Mindestanforderungen für die Lieferkette etablieren und dadurch auch eine große Anzahl Zulieferer erreichen. Die Prinzipien der Charta richten sich jedoch an
Unternehmen jeder Größe. Eine weitere Plattform, gerade auch für KMU, bietet die „Allianz für Cybersicherheit“, der Vertreter von Unternehmen, Forschung und des Bundesamts für Sicherheit in der Informationstechnik (BSI) angehören. Mittelständler fi nden dort ein breites Informationsangebot und konkrete Hilfestellungen für die Abwehr von Cyberkriminellen.

Wann haften Vorstände und Geschäftsführer?

Bislang gab es meines Wissens in Deutschland keine direkten Schadensersatzklagen gegen Unternehmensleiter wegen Verstößen im Bereich IT-Sicherheit. Infolge der fortschreitenden Digitalisierung der Unternehmensprozesse kann sich dies aber ändern. Eine persönliche Haftung droht beispielsweise, wenn der Gesellschaft ein Schaden entsteht, weil Cyberkriminelle Geschäftsdaten entwenden oder eine Produktionsanlage aufgrund eines Hackerangriffs stillsteht. Das Unternehmen muss dann unter Umständen die eigene Geschäftsleitung in Anspruch nehmen. Das erfordert den Nachweis, dass Vorstand oder Geschäftsführer ihre Pflichten verletzt haben, etwa weil kein angemessenes Cybersecurity-Risikomanagement-System etabliert wurde oder die IT-Infrastruktur unzureichend ausgestattet war. Bis zu einem gewissen Grad können solche Haftungsrisiken durch D&O-Versicherungen abgefedert werden.

Welche Maßnahmen können kleine und mittlere Unternehmen treffen, um sich für Angriffe aus dem Netz zu wappnen?

Zunächst müssen sie ihr Bewusstsein schärfen und sich mit der Komplexität des Themas vertraut machen. Notwendig sind klare Verantwortlichkeiten im Unternehmen, bis hinauf zur höchsten Ebene. IT-Sicherheit ist
Chefsache, auch in KMU. Gerade bei Mittelständlern sind die Zuständigkeiten aber oft nicht sauber geklärt. Umso wichtiger ist es, für Transparenz und Handlungsfähigkeit zu sorgen. Dem dient die Einführung eines
Risikomanagementsystems, welches für Aktiengesellschaften ohnehin gesetzlich vorgeschrieben ist.

 

Zurück