Auf der Sorgenliste deutscher Unternehmer stehen laut Allianz Risk Barometer 2020 die Betriebsunterbrechung und der Cyber-Angriff ganz oben. Beides kann eine bestandsgefährdende Krise für das Unternehmen auslösen und beides kann durch eine mangelhafte IT-Sicherheit ausgelöst werden. Wenn aufgrund von Softwareproblemen das automatische Kleinteilelager stockt, das Regalbediengerät stillsteht, der innerbetriebliche Materialfluss versiegt und die Produktion zum Erliegen kommt, kann das schnell existenzbedrohend werden. Solche Gefahren für den Bestand eines Unternehmens muss ein Geschäftsführer oder Vorstand frühzeitig erkennen und abwenden; das verlangen GmbH- und Aktiengesetz.
Früherkennung, Überwachung und Haftung
Aus dieser Pflicht leitet man auch die Zuständigkeit der Geschäftsführung für die Sicherheit der Daten und der IT-Systeme ab. Zwar kann die Umsetzung eines IT-Sicherheitskonzeptes auf Mitarbeiter oder externe Dienstleister delegiert werden, nicht jedoch die Überwachung und Haftung. Die Gesamtverantwortung für das Risikomanagement verbleibt auf der obersten Managementebene.
Arbeitnehmer schützt das Gesetz durch eine Haftungsbegrenzung vor den wirtschaftlichen Folgen fahrlässiger Fehler; sie haften nur für schuldhaftes Handeln. Ebenso scheidet in der Regel auch der Regress beim IT-Dienstleister aus. Zumeist enthalten deren Verträge Haftungsgrenzen und sind so gestaltet, dass keine Einstandspflicht bei Gesetzes- oder Sicherheitsverstößen besteht.
Sicherheitsrisiken in der Logistik
Das Risikomanagement der Geschäftsführung muss insbesondere die Sicherheitsrisiken von Logistikprozessen im Blick haben. Als agiler Prozess weist die Supply Chain viele Kommunikationsknotenpunkte mit internen und externen Beteiligten auf. Hier werden Zolldokumente und Frachtpapiere ausgetauscht, wird auf sensible Kundendaten zugegriffen und Live-Tracking zur Verfügung gestellt. Je mehr Schnittstellen, umso mehr Angriffspunkte für Cyberkriminelle.
Bestehen Sicherheitslücken, kann das gerade in der Intralogistik enorme Schäden verursachen: Produktionsausfall, Umsatzeinbußen, Vertragsstrafen, Kosten für technische und juristische Beratung. Wirkt sich eine Panne oder ein Angriff gar auf sensible personenbezogene Daten aus – etwa Kundenkontakte – ruft die Datenschutz-Grundverordnung enorm hohe Bußgelder auf; zuletzt waren es 35Mio.€ für den Modekonzern H&M. Eine ungefähre Größenordnung für das eigene Bußgeldrisiko ermittelt man mittels der Formel: Jahresumsatz geteilt durch 360 Tage, multipliziert mit zehn.
Absicherung
Dass solche Summen nicht versicherbar sind, liegt auf der Hand. Zumal die ‚klassische‘ Sachversicherung einen Cyber-Schaden nur im Falle einer tatsächlich zerstörten oder beschädigten Sache abdeckt. Eine spezielle Cyber-Versicherung kann zwar immaterielle Schäden und finanzielle Folgeschäden absichern, hat aber ihren Preis. Was benötigt wird und bezahlbar ist, hat wiederum die Geschäftsführung nach einer sorgfältigen Risikoanalyse zu entscheiden.
Neuerdings wird auch eine D&O-Versicherung (Directors and Officers Liability) für Führungskräfte angeboten. Sie stellt den Geschäftsführer von Haftungsansprüchen frei, die das Unternehmen gegen ihn geltend machen könnte.
Anja Falkenstein ist als Rechtsanwältin in Karlsruhe tätig und schreibt zu Themen an der Schnittstelle Logistik/Recht.
