Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik).
Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders erfolgreiche) Hackingangriffe und Cyber-Vorfälle in Unternehmen. Nach einem erfolgreichen Angriff sind Systeme oft viele Tage oder sogar Wochen nicht nutzbar und müssen vollständig neu aufgebaut werden. Dies ist teuer und bringt regelmäßig auch erhebliche Imageschäden mit sich, von möglichen Schadensersatzforderungen wegen Datenschutzverletzungen, Verlust von Geschäftsgeheimnissen und auch DSGVO-Schäden bis hin zum Strafrechtsverstoß ganz zu schweigen.
Das BSI hat die Gefahr erkannt und mit dem obenstehenden Zitat eine der großen Ursachen gegenüber den Sicherheitsverantwortlichen und entsprechenden Führungskräften adressiert: Noch zu oft fehlt es an Cyber-Governance und klarer Aufgabenzuteilung.
Das haben auch die Verfasser des Referentenentwurfs zur Umsetzung der NIS 2-Richtlinie erkannt und einen Cyber-Vorstand in § 38 des Entwurfs manifestiert. Er oder sie muss prüfen, billigen und überwachen. Dies muss zentrale Leitungsaufgabe bleiben und darf nicht delegiert werden. Passieren (schuldhafte) Fehler, muss der Schaden für das Unternehmen ersetzt werden. Die persönliche Haftung soll gesetzlich zwingend vorgeschrieben werden. Dies ist ein enorm weiter Wurf.
Details dazu lesen Sie in unserem Artikel im Deutschen AnwaltSpiegel vom 24. Mai 2023: