Geschäftsführerhaftung bei Cyberangriffen

Weiblicher CEO als Artikelbild zur Geschäftsführerhaftung

Geschäftsführerhaftung bei Cyberangriffen: Was KMU-Verantwortliche jetzt wissen müssen

Von Markus Macherauch, HMC Systemhaus OHG

 

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft – ohne Übergangsfrist. Wer als Geschäftsführer oder Manager eines KMU Cybersicherheit noch immer als „IT-Thema“ delegiert, riskiert heute seine persönliche Existenz. Ein Weckruf.

Persönliche Haftung: Kein Einzelfall mehr

2022 stand ein Geschäftsführer wegen eines Phishing-Angriffs vor Gericht. Er hatte eine gefälschte E-Mail für echt gehalten und eine Auslandsüberweisung freigegeben. Das Urteil: fahrlässig, aber wegen besonderer Umstände nicht haftbar. Kein Freispruch aus Prinzip, sondern Glück.

Solche Einzelfallentscheidungen werden künftig seltener. Mit §38 BSIG (NIS2-Umsetzungsgesetz, kurz: NIS2UmsuCG) hat der Gesetzgeber die persönliche Haftung der Geschäftsleitung für Cybersicherheitsversagen direkt ins Gesetz geschrieben. Kein Ermessensspielraum, keine Delegation, keine Entlastung durch Unwissenheit.

Was §38 BSIG konkret bedeutet

§38 BSIG richtet sich direkt an Vorstände, Geschäftsführer und leitende Manager in betroffenen Unternehmen. Betroffen sind Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz ab 10 Mio. Euro in einem der 18 regulierten Sektoren.

Die Kernaussage ist klar: Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach §30 BSIG persönlich billigen, überwachen und verantworten. Das bedeutet im Klartext:

  • Kein Delegationsschutz: Die Verantwortung lässt sich nicht an die IT-Abteilung, den IT-Leiter oder einen externen Dienstleister abgeben.
  • Keine Enthaftung per Satzung: Ein vertraglicher Haftungsausschluss ist gesetzlich unwirksam.
  • Persönliche Schulungspflicht: Geschäftsführer müssen selbst an Cybersecurity-Schulungen teilnehmen, der IT-Leiter kann das nicht stellvertretend erledigen.
  • Bußgelder bis 10 Mio. Euro: Oder 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Die Business Judgement Rule: Ihr wichtigstes Schutzinstrument

Die gute Nachricht: Das deutsche Gesellschaftsrecht kennt die Business Judgement Rule (BJR) – verankert in §93 Abs. 1 Satz 2 AktG und §43 GmbHG. Diese Regel schützt Geschäftsführer vor persönlicher Haftung, wenn sie nachweislich:

  1. keine Pflichtverletzung begangen haben,
  2. ihre Entscheidung auf Basis angemessener Informationen getroffen haben,
  3. zum Wohl der Gesellschaft gehandelt haben,
  4. frei von Interessenkonflikten waren.

Der entscheidende Begriff hier: nachweislich. Wer handelt, aber nicht dokumentiert, handelt in der Praxis nicht, zumindest nicht beweisbar.

Enthaftung in der Praxis: Drei konkrete Schritte

1. Geschäftsleitungsbeschluss zur Cybersicherheit

Fassen Sie einen formalen Beschluss, der die zehn Maßnahmenbereiche nach §30 BSIG adressiert. Protokollieren Sie Datum, Teilnehmer und die konkret beschlossenen Maßnahmen. Dieses Dokument ist im Ernstfall Ihr wichtigstes Beweisstück.

2. Implementierung eines ISMS

Ein Information Security Management System (ISMS) nach ISO 27001 oder BSI IT-Grundschutz ist kein Selbstzweck, es ist die strukturierte Nachweisführung, die Sie im Haftungsfall schützt. Ein ISMS dokumentiert laufend, dass Sie Risiken erkannt, bewertet und adressiert haben.

3. Regelmäßige Schulungen der Geschäftsleitung

§38 Abs. 3 BSIG ist eindeutig: Die Schulungspflicht gilt für die Geschäftsleitung selbst. Nicht delegierbar. Mindestens alle drei Jahre – in der Praxis empfehlen wir jährlich, da sich die Bedrohungslage schneller verändert.

Was eine Cyberversicherung hierbei leistet und was nicht

Viele Geschäftsführer glauben, mit einer Cyberversicherung ausreichend abgesichert zu sein. Das ist ein gefährlicher Irrtum. Eine Cyberversicherung deckt typischerweise:

  • IT-Forensikkosten nach einem Angriff
  • Datenwiederherstellung
  • Betriebsunterbrechungsschäden
  • Drittschäden gegenüber Kunden und Partnern

Was sie nicht abdeckt: Ihre persönliche Haftung als Geschäftsführer. Dafür brauchen Sie eine D&O-Versicherung (Directors & Officers) und auch die greift nur, wenn Sie nachweislich sorgfältig gehandelt haben.

Wichtig: Versicherer stellen 2026 deutlich höhere Anforderungen als noch vor zwei Jahren. Ohne Multi-Faktor-Authentifizierung, dokumentiertes Patch-Management, getesteten Notfallplan und nachweisbare Mitarbeiterschulungen gibt es kaum noch bezahlbare Policen. Aus der Praxis wissen wir, bevor eine Versicherung bezahlt wird im Regelfall sehr genau geprüft ob die vom Gesetz verlangten und in der Police präzisierten Bedingungen auch wirklich erfüllt wurden.

Incident Response: Der Notfallplan als Pflicht

Ein oft unterschätzter Aspekt der Geschäftsführerhaftung ist die Reaktionspflicht bei Sicherheitsvorfällen. NIS2 schreibt vor:

  • Meldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Frühwarnung), innerhalb von 72 Stunden folgt der vollständige Bericht.
  • Notfallplan: Es muss ein dokumentierter Incident-Response-Plan existieren, der im Ernstfall sofort aktiviert werden kann.
  • Übungen: Der Plan muss regelmäßig getestet werden. Eine ungetestete Notfallplanung ist im Haftungsfall wertlos.

Wer im Fall eines Ransomware-Angriffs improvisiert statt nach Plan vorgeht, riskiert nicht nur längere Ausfallzeiten sondern auch die Schutzwirkung der Business Judgement Rule.

Die Risikoakzeptanz: Dokumentieren, was Sie bewusst nicht tun

Ein wichtiger, oft übersehener Aspekt: Nicht jede Sicherheitslücke muss sofort geschlossen werden. Aber jede bewusste Entscheidung, ein Risiko vorerst zu akzeptieren, muss schriftlich dokumentiert werden, mit Begründung, Datum und verantwortlicher Person.

Wer bekannte Schwachstellen nach einer Warnung nicht beseitigt und das nicht dokumentiert hat, verliert den Schutz der BJR vollständig. Egal, wie viele andere Maßnahmen er umgesetzt hat.

Meine persönliche Empfehlung mit über 30 Jahren Systemhaus-Erfahrung

Wir begleiten mittelständische Unternehmen seit vielen Jahren bei ihrer IT-Sicherheit. Was ich in dieser Zeit gelernt habe: Die größte Gefahr ist nicht der Angreifer sondern das Gefühl, „bei uns passiert das schon nicht.“

Cyberangriffe auf KMU sind längst kein Randphänomen mehr. Zum Zeitpunkt als ich diesen Artikel schrieb, stand bei einem großen Unternehmen im Nachbarkreis bereits seit zwei Wochen die IT still.  Kriminelle setzen gezielt auf schlecht geschützte Mittelständler, weil der Aufwand gering und der Ertrag hoch ist. Und seit Dezember 2025 ist klar: Die Geschäftsführerhaftung ist keine theoretische Bedrohung mehr.

Was Sie heute tun sollten:

  1. Prüfen Sie, ob Ihr Unternehmen unter NIS2 fällt (Größe, Sektor).
  2. Lassen Sie eine fundierte Risikoanalyse durchführen.
  3. Implementieren oder überprüfen Sie Ihr ISMS.
  4. Stellen Sie sicher, dass Ihr Incident-Response-Plan existiert und getestet ist.
  5. Dokumentieren Sie jeden Schritt, für Sie, für Ihre Versicherung und im Ernstfall für das Gericht.

Cybersicherheit ist heute Chefsache – nicht weil IT-Abteilungen überfordert sind, sondern weil der Gesetzgeber es so entschieden hat.

Fazit: Handeln schützt doppelt

Die Business Judgement Rule schützt nicht vor dem Cyberangriff selbst. Aber sie kann persönliche Haftung verhindern – wenn die Geschäftsleitung nachweislich proaktiv, informiert und sorgfältig gehandelt hat.

Wer Cybersicherheit ignoriert oder nur oberflächlich behandelt, verliert diesen Schutz. Wer handelt, reduziert gleichzeitig die Wahrscheinlichkeit eines Vorfalls, verbessert die Resilienz seines Unternehmens und schützt sich selbst.

Die Frage ist nicht mehr ob sondern wie gut Sie dokumentiert haben.

Sie möchten wissen, wie gut Ihr Unternehmen aufgestellt ist? Sprechen Sie uns an – wir analysieren Ihre aktuelle Sicherheitslage und zeigen Ihnen konkrete Maßnahmen zur Enthaftung.

 

Weiterführende Themen: