Jedes Unternehmen, das in eigenen oder fremden Systemen (Cloud) Daten über Geschäftsvorfälle verarbeitet und speichert, ist darauf angewiesen, jederzeit und sicher auf die eigenen Geschäftsdaten und die Daten seiner Kunden zuzugreifen. Spektakuläre Cyber-Fraud-Fälle gehen regelmäßig durch die Presse. Datenverluste führen zu hohem Wiederherstellungsaufwand und im Worst Case zu Betriebsunterbrechungen mit massiven Schadensfolgen.
Unternehmen besonderer Branchen sind deshalb gesetzlich verpflichtet, technische und organisatorische Maßnahmen zum Schutz Ihrer Daten zu ergreifen. Auch für nicht direkt verpflichtete Unternehmen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Leitlinie zur Informationssicherheit auf der Grundlage eines Regelwerks für den IT-Grundschutz für Unternehmen entwickelt, auf dessen Grundlage sich Managementsysteme für Informationssicherheit (ISMS) erstellen umsetzen, schulen, überwachen und monitoren lassen.
Grundlage ist zunächst eine Risikoanalyse des Unternehmens, in der die Geschäftsleitung auf der Grundlage einer Entscheidung der Gesellschafterversammlung festlegt, welche Folgen Datenverluste für das Unternehmen haben können, mit welchen Maßnahmen und in welchen Zeiträumen Datenwiederherstellungen möglich sein müssen und welche technischen und organisatorischen Maßnahmen zur Vermeidung und Ermöglichung der Wiederherstellung umgesetzt werden müssen. Die Risikoanalyse und die darauf beruhende Entscheidung der Geschäftsleitung wird durch die IT-Abteilung und den Informationssicherheitsbeauftragten (ISB) des Unternehmens umgesetzt, geprüft, geschult, überwacht und jährlich einer Überprüfung unterzogen. Die technischen und organisatorischen Maßnahmen sind dabei permanent auf dem neuesten Stand der Technik zu halten (Virenscanner, Wächterprogramme, Firewalls etc.).
Ziel ist bestenfalls die Vermeidung von Datenverlusten und Betriebsunterbrechungen, jedenfalls aber die Schadensminimierung. Außerdem sind die entsprechenden Maßnahmen häufig Voraussetzung für den erfolgreichen Abschluss einer Cyber-Versicherung.
Die Haftpflicht des Geschäftsführers ergibt sich aus den gesetzlichen Vorschriften der Organhaftung, z.B. § 42 GmbHG die für den Geschäftsführer einer GmbH.
Rechtsfragen zur Regulatorik, also den Rahmenbedingungen für die gesetzliche und gesellschaftsrechtliche Verpflichtung des Unternehmens beraten die Rechtsanwälte Falla, Lange und Hartmann. Die technische und organisatorische Umsetzung und Dokumentation im Unternehmen beraten die Rechtsanwälte Hartmann und Schöll und Frau Rechtsanwältin Bauer (IT/ITC). Fragestellungen im Zusammenhang mit der Cyber-Versicherung beraten die Rechtsanwälte Hartmann und Lange.