Risikomanagement nach BSIG n.F.

von

Wir schaffen das!

⚖️ BSIG n.F. – Hinweis
Ein kurzer, aber wichtiger Blick auf Risiken, Haftung und Verantwortung nach dem neuen BSIG.

Risikomanagement nach BSIG n.F. ist eine Kernpflicht aller besonders wichtigen und wichtigen Einrichtungen. Im Zentrum steht nicht eine bestimmte Industrie, kein bestimmtes Tool, sondern die Frage, wie ein Unternehmen (in Verantwortung der Unternehmensführung) systematisch verhindert, dass einzelne Fehler die gesamte Organisation ins Chaos stürzen.

Klartext-Beispiel: Ein einzelnes geleaktes Passwort darf niemals zu einem Betriebsstillstand führen. Es geht nicht um die Verhinderung einer Störung oder eines Notfalls, sondern den Betrieb der Organisation trotz eines Desasters oder einer Katastrophe.

⚠️ Dazu zählen auch elementare Gefährdungen!

Wenn wir nur ganz kurz zwischen den Zeilen lesen:
Jedes “Und dann?” muss konsequent zu Ende gedacht werden!

Dabei steht keineswegs die Frage im Raum, was der Stand der Technik bedeuten könnte.
Es muss nachweislich, je nach Schutzbedarf eine geeignete Maßnahme angewendet werden.
Die Maßnahmen und deren Wirkung muss zwingend regelmässig überprüft und
bei Bedarf nachgebessert werden.

Fest steht: Die Verantwortung (finanzieller Schaden) für Fahrlässigkeit wird zur Unternehmensleitung durchgereicht. Diese Verantwortung ist nicht delegierbar. 

§38 (1) BSIG sagt ausdrücklich:
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.

🔍
Klartext: Wir können uns im Ernstfall nicht darüber streiten, was „überwachen“ bedeuten könnte. Die Geschäftsleitung muss kontrollieren, ob die Maßnahmen wirklich wirken.

§38 (2) BSIG
Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

Mehr Präzision geht nicht und das Muster in der Gesetzgebung ist ein bekanntes Muster.
Es wird kein neues Rad erfunden, wenn weil Rad bereits rund ist.
Es koppelt die Haftung der IT-Sicherheit direkt an die Regeln des GmbH- und Aktiengesetzes.

In §43 (1) GmbHG steht:
Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

🔍
Klartext: Wie der HGB von einem Kaufmann erwartet, dass er die Risiken und Verantwortung seines Geschäftsfeldes versteht, erwartet das GmbH-Gesetz dies von einem Geschäftsführer.

Fest steht: Im blinden Vertrauen auf Narrative einiger Security-Unternehmen, dessen Praktiken für den Geschäftsführer nicht nachvollziehbar sind, können im Ernstfall massive Regressforderungen entstehen.

Fahrlässigkeit liegt vor, wenn man die im Verkehr erforderliche Sorgfalt außer Acht lässt.
Wenn bestimmte Techniken vorhanden waren, die einen konkreten Schaden hätten abwenden können, wird es kritisch werden.

Zivilrechtlich muss grundsätzlich der Anspruchsteller (z.B. Gesellschaft, Insolvenzverwalter) die Pflichtverletzung und den Schaden beweisen.Für Vorstände/Geschäftsführer gilt aber: Sie müssen darlegen, dass ihre Entscheidung auf einer angemessenen Informationsgrundlage beruhte und zum Wohl der Gesellschaft getroffen wurde (Business‑Judgement‑Rule). Tun sie das nicht, werden Gerichte schnell von einer Pflichtverletzung ausgehen müssen.

🏛️
BSIG n.F. – Rahmenbetrachtung
Das BSIG n.F. muss im Rahmen des Anlasses betrachtet werden. Nur bei dieser Betrachtung versteht man, dass auch der Gesetzgeber selbst in der Pflicht sein wird, diese Konsequenzen anzuwenden.

Es ist die gesetzgeberische Antwort auf eine verschärfte Bedrohungslage und hebt den erwarteten Stand der Technik für Risikomanagement und IT.Sicherheit ausdrücklich an.

Es ist nicht anzunehmen, dass unter diesen Gesichtspunkten der Gesetzgeber auf Dauer akzeptiert, dass Unternehmen bei hohem Schutzbedarf mit klar erkennbaren Strukturrisiken weiterarbeiten, obwohl technisch und wirtschaftlich zumutbare Gegenmaßnahmen verfügbar sind.

Powered by
Notwendige Cookies aktivieren wesentliche Website-Funktionen wie sichere Logins und Anpassungen der Zustimmungspräferenzen. Sie speichern keine persönlichen Daten.
Keine
Funktionale Cookies unterstützen Funktionen wie das Teilen von Inhalten in sozialen Medien, das Sammeln von Feedback und die Nutzung von Drittanbieter-Tools.
Keine
Analytische Cookies verfolgen Besucherinteraktionen und liefern Einblicke in Metriken wie Besucheranzahl, Absprungrate und Verkehrsquellen.
Keine
Werbe-Cookies liefern personalisierte Anzeigen basierend auf Ihren vorherigen Besuchen und analysieren die Effektivität von Werbekampagnen.
Keine
Powered by