Persönliche Haftung für Cyberangriffe: Viele Verwaltungsräte wissen nicht, dass Art. 754 OR sie direkt betrifft. Cybersecurity ist Chefsache, und die Zeiten, in denen Cybersecurity als reine IT-Angelegenheit galt, sind vorbei.

Dieser Artikel erklärt, warum Cybersecurity Chefsache ist, welche Risiken auf Vorstands- und Geschäftsleitungsebene bestehen und welche konkreten Verantwortlichkeiten Führungskräfte in der Schweiz haben.

Das Problem: Geschäftsrisiko, nicht IT-Risiko

Die traditionelle Sichtweise auf Cybersecurity sieht etwa so aus:

Falsche Annahme: “Wir haben eine IT-Abteilung. Die kümmert sich um Firewalls und Antivirus. Das ist deren Job.”

Realität: Cybersecurity ist ein Geschäftsrisiko, das finanzielle, rechtliche, operative und reputative Folgen hat. Die IT-Abteilung kann technische Massnahmen umsetzen, aber sie kann nicht entscheiden, welches Risikoniveau für das Unternehmen akzeptabel ist. Das ist eine Führungsentscheidung.

Warum Cybersecurity ein Geschäftsrisiko ist

Cyberangriffe betreffen nicht nur IT-Systeme. Sie haben direkte Auswirkungen auf:

  • Umsatz und Cashflow: Produktionsausfälle, Lieferverzögerungen, Kundenabwanderung
  • Haftung und rechtliche Folgen: Datenschutzverletzungen, Vertragsverletzungen, regulatorische Bussen
  • Reputation: Vertrauensverlust bei Kunden, Partnern und Investoren
  • Strategie: Verzögerung oder Verhinderung von Digitalisierungsprojekten
  • M&A und Finanzierung: Cybersecurity-Vorfälle reduzieren Unternehmenswert und erschweren Finanzierung

Ein Beispiel: Ein mittelgrosses Schweizer Unternehmen erleidet einen Ransomware-Angriff. Die Produktion steht still. Kunden können nicht beliefert werden. Vertragliche Lieferverpflichtungen werden verletzt. Kundendaten sind betroffen, die FINMA muss informiert werden. Der Vorfall wird öffentlich, Medien berichten.

Ist das ein IT-Problem oder ein Geschäftsproblem?

Offensichtlich Letzteres. Die IT-Abteilung kann technisch reagieren, aber die geschäftlichen Folgen, die Kommunikation, die rechtlichen Entscheidungen und die strategischen Konsequenzen liegen beim Vorstand.

Finanzielle Auswirkungen: Was Cyberangriffe kosten

Ein mittelschwerer Cyberangriff kostet ein Schweizer KMU durchschnittlich CHF 500’000 bis CHF 2 Millionen. Ein einziger Vorfall kann Jahre profitabler Arbeit zunichtemachen.

Direkte Kosten

  • Lösegeld: Bei Ransomware-Angriffen werden Lösegelder zwischen CHF 50’000 und mehreren Millionen Franken gefordert
  • Wiederherstellung: IT-Systeme neu aufbauen, Daten wiederherstellen, externe Forensik beauftragen
  • Produktionsausfall: Jede Stunde Stillstand kostet Umsatz
  • Rechtliche Kosten: Anwälte, Gutachter, Vergleiche
  • Regulatorische Bussen: Bei Datenschutzverletzungen drohen Bussen bis zu CHF 250’000 (revDSG) oder mehr bei FINMA-regulierten Unternehmen

Indirekte Kosten

  • Kundenabwanderung: Vertrauensverlust führt zu Geschäftsverlust
  • Reputationsschaden: Langfristige Schädigung der Marke
  • Versicherungsprämien: Cyber-Versicherungen werden teurer oder nicht mehr angeboten
  • Verträge: Kunden oder Partner kündigen Verträge oder verlangen Nachbesserungen
  • M&A-Auswirkungen: Unternehmenswert sinkt, Deals platzen

Reale Zahlen aus der Schweiz

Laut dem Swiss Cyber Security Report 2024 kostet ein mittelschwerer Cyberangriff ein Schweizer KMU durchschnittlich CHF 500’000 bis CHF 2 Millionen. Für grössere Unternehmen können die Kosten in die zweistelligen Millionenbeträge gehen.

Ein einziger erfolgreicher Angriff kann Jahre profitabler Arbeit zunichtemachen.

Regulatorische Anforderungen: Gesetzliche Pflichten

In der Schweiz gibt es zunehmend klare gesetzliche Anforderungen an Cybersecurity. Diese betreffen direkt den Vorstand und die Geschäftsleitung.

revDSG: Revidiertes Datenschutzgesetz

Das revidierte Datenschutzgesetz (revDSG), in Kraft seit September 2023, verschärft die Anforderungen erheblich.

Kernpflichten:

  • Datensicherheit: Angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten (Art. 8 revDSG)
  • Meldepflicht: Datenschutzverletzungen müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich gemeldet werden, wenn sie ein hohes Risiko für Betroffene darstellen (Art. 24 revDSG)
  • Privacy by Design: Datenschutz muss von Anfang an in Systeme integriert werden
  • Dokumentation: Verzeichnis der Bearbeitungstätigkeiten muss geführt werden

Sanktionen:

  • Bussen bis zu CHF 250’000 bei vorsätzlichen Verstössen
  • Haftung der verantwortlichen Personen, nicht nur des Unternehmens
  • Reputationsschaden durch öffentliche Bekanntmachung von Verstössen

Verantwortung des Vorstands:

Der Vorstand muss sicherstellen, dass das Unternehmen compliant ist. “Wir wussten nichts davon” ist keine Verteidigung. Unwissenheit schützt nicht vor Haftung.

FINMA: Finanzmarktaufsicht

Für regulierte Finanzinstitute (Banken, Versicherungen, Vermögensverwalter) gelten zusätzliche Anforderungen der FINMA.

FINMA-Rundschreiben 2008/21: Operational Risks

  • Cybersecurity ist Teil des operationellen Risikomanagements
  • Banken müssen Cyber-Risiken identifizieren, bewerten und steuern
  • Incident Response Pläne sind Pflicht
  • Regelmässige Tests (z.B. Penetrationstests) sind erforderlich

FINMA-Rundschreiben 2023/1: Cyber-Risiken

  • Explizite Anforderungen an Cybersecurity-Governance
  • Vorstand und Geschäftsleitung müssen Cyber-Risiken verstehen und überwachen
  • Cyber-Resilienz muss nachgewiesen werden
  • Meldepflichten bei wesentlichen Vorfällen

Konsequenzen bei Verstössen:

  • Enforcement-Verfahren der FINMA
  • Öffentliche Bekanntmachung von Missständen
  • Entzug der Bewilligung im Extremfall
  • Persönliche Haftung von Verwaltungsräten und Geschäftsleitungsmitgliedern

Weitere regulatorische Entwicklungen

  • NIS-2-Richtlinie der EU: Wird indirekt Schweizer Unternehmen betreffen, die in der EU tätig sind
  • DORA (Digital Operational Resilience Act): Betrifft Finanzdienstleister mit EU-Geschäft
  • Konzernverantwortungsinitiative und Gegenvorschlag: Sorgfaltspflichten in Lieferketten, inklusive Cybersecurity

Die regulatorische Landschaft verschärft sich kontinuierlich. Ignoranz ist keine Option.

Reputationsschäden: Vertrauen ist fragil

Der Reputationsschaden übersteigt die direkten Kosten eines Cyberangriffs oft um ein Vielfaches. Laut der Studie «KMU Cybersicherheit 2025» (digitalswitzerland/Mobiliar/FHNW) erlitten 73% der betroffenen Schweizer KMU finanzielle Verluste, und 16% verloren Kunden infolge eines Cyberangriffs.

Wie Vertrauen verloren geht

Kunden, Partner und Investoren vertrauen Unternehmen ihre Daten und ihr Geschäft an. Ein Cyberangriff signalisiert:

  • Inkompetenz: “Das Unternehmen hat seine IT nicht im Griff”
  • Nachlässigkeit: “Sicherheit wurde nicht ernst genommen”
  • Unzuverlässigkeit: “Können wir diesem Partner trauen?”

Medienberichterstattung

Cybersecurity-Vorfälle werden heute regelmässig von Medien aufgegriffen. Die Berichterstattung ist selten wohlwollend. Schlagzeilen wie:

  • “Kundendaten von [Unternehmen] im Darknet aufgetaucht”
  • “Ransomware legt [Unternehmen] lahm”
  • “[Unternehmen] verletzt Datenschutzgesetz, zahlt Busse”

schädigen die Marke nachhaltig.

Langfristige Folgen

  • Kundenabwanderung: Besonders im B2B-Bereich, wo Cybersecurity ein Auswahlkriterium ist
  • Schwierigkeiten bei Neukundengewinnung: “Die hatten doch diesen Vorfall…”
  • Höhere Kosten: Kunden verlangen Sicherheitsaudits, zusätzliche Versicherungen, Vertragsstrafen
  • Talentabwanderung: Gute Mitarbeitende verlassen Unternehmen mit beschädigter Reputation

Schweizer Besonderheit: Diskretion wird erwartet

In der Schweiz wird besonderer Wert auf Diskretion und Zuverlässigkeit gelegt. Ein Cybersecurity-Vorfall verletzt diese Erwartung fundamental. Der Reputationsschaden ist in der Schweiz daher oft schwerwiegender als in anderen Märkten.

Strategische Implikationen: Digitalisierung und Wettbewerbsfähigkeit

Cybersecurity ist nicht nur defensiv (Schutz vor Schaden), sondern auch strategisch relevant.

Digitalisierung erfordert Cybersecurity

Unternehmen digitalisieren Prozesse, Produkte und Geschäftsmodelle. Cloud, IoT, KI, mobile Apps, all das schafft neue Angriffsflächen.

Ohne Cybersecurity kann Digitalisierung nicht gelingen.

Beispiele:

  • Cloud-Migration: Ohne klare Sicherheitsstrategie schafft Cloud neue Risiken
  • IoT in der Produktion: Vernetzte Maschinen sind Einfallstore für Angreifer
  • Mobile Apps: Kundendaten in Apps müssen geschützt werden
  • Homeoffice: Verteilte Arbeitsmodelle erhöhen Angriffsfläche

Unternehmen, die Cybersecurity ignorieren, werden in der Digitalisierung scheitern oder unnötige Risiken eingehen.

Wettbewerbsvorteil durch Cybersecurity

Umgekehrt: Unternehmen, die Cybersecurity ernst nehmen, gewinnen Vorteile:

  • Vertrauen: Kunden wählen sichere Partner
  • Differenzierung: “Wir nehmen Sicherheit ernst” wird zum USP
  • Effizienz: Gut gesicherte Systeme laufen stabiler
  • Innovation: Sicherheit von Anfang an ermöglicht schnellere, sicherere Produktentwicklung

M&A und Unternehmenswert

Bei Unternehmenskäufen, Finanzierungsrunden oder Börsengängen wird Cybersecurity zunehmend geprüft.

Due Diligence umfasst heute:

  • Cybersecurity-Assessments
  • Penetrationstests
  • Überprüfung von Incidents und Reaktionsfähigkeit
  • Compliance-Status (revDSG, FINMA, etc.)

Unternehmen mit schlechter Cybersecurity-Posture:

  • Erzielen niedrigere Verkaufspreise
  • Erleben Deal-Abbrüche
  • Müssen Nachbesserungen zusichern (mit entsprechenden Kosten)

Vorstandsverantwortung: Was konkret zu tun ist

Der Vorstand und die Geschäftsleitung können und sollen nicht die technischen Details steuern. Ihre Verantwortung liegt auf strategischer und Governance-Ebene.

1. Cyber-Risiken verstehen

Der Vorstand muss die wesentlichen Cyber-Risiken des Unternehmens kennen.

Konkret:

  • Welche Systeme und Daten sind kritisch für das Geschäft?
  • Was sind die grössten Bedrohungen (Ransomware, Datenlecks, DDoS)?
  • Wie hoch ist die Wahrscheinlichkeit eines Angriffs?
  • Was wären die finanziellen und operativen Folgen?

Nicht erforderlich: Technisches Detailwissen über Firewalls oder Verschlüsselungsalgorithmen.

Erforderlich: Verständnis der Risiken in geschäftlicher Sprache.

2. Risikotoleranz definieren

Der Vorstand muss entscheiden, welches Risikoniveau akzeptabel ist.

Fragen:

  • Wie viel sind wir bereit, in Cybersecurity zu investieren?
  • Welche Restrisiken sind wir bereit zu akzeptieren?
  • Welche Risiken müssen durch Versicherungen abgedeckt werden?
  • Welche Risiken sind inakzeptabel und müssen eliminiert werden?

Diese Entscheidungen sind strategisch und können nicht delegiert werden.

3. Governance sicherstellen

Der Vorstand muss sicherstellen, dass Cybersecurity systematisch gesteuert wird.

Governance-Massnahmen:

  • Verantwortlichkeiten klären: Wer ist für Cybersecurity verantwortlich? (CISO, CTO, Geschäftsführung?)
  • Berichtswesen etablieren: Regelmässige Berichte über Sicherheitslage, Vorfälle, Tests
  • Policies und Standards: Sind Sicherheitsrichtlinien definiert und durchgesetzt?
  • Incident Response Plan: Existiert ein klarer Plan, wie bei Cyberangriffen reagiert wird?
  • Budget: Sind ausreichende Mittel für Cybersecurity vorhanden?

4. Compliance sicherstellen

Der Vorstand muss sicherstellen, dass gesetzliche und regulatorische Anforderungen erfüllt werden.

Konkret:

  • revDSG: Sind Datenschutzmassnahmen umgesetzt? Existiert ein Meldeprozess für Datenschutzverletzungen?
  • FINMA (falls relevant): Sind FINMA-Anforderungen erfüllt? Werden Cyber-Risiken im Risikomanagement berücksichtigt?
  • Branchenspezifisch: Gibt es weitere Anforderungen (z.B. Medizinprodukterecht, kritische Infrastrukturen)?

5. Schulung und Sensibilisierung

Der Vorstand muss sicherstellen, dass Mitarbeitende für Cyber-Risiken sensibilisiert sind.

Warum: Die meisten Angriffe gelingen durch menschliche Fehler (Phishing, schwache Passwörter, unvorsichtiges Verhalten).

Massnahmen:

  • Regelmässige Schulungen für alle Mitarbeitenden
  • Besondere Schulungen für Führungskräfte (CEO Fraud, Whaling)
  • Tests (z.B. simulierte Phishing-Angriffe)

6. Tests und Audits

Der Vorstand muss sicherstellen, dass Sicherheitsmassnahmen regelmässig geprüft werden.

Massnahmen:

  • Penetrationstests: Externe Experten versuchen, Systeme zu hacken
  • Red Team Exercises: Realitätsnahe Angriffssimulationen, die über klassische Pentests hinausgehen und die gesamte Verteidigungsfähigkeit des Unternehmens prüfen: RedTeam Partners ist ein Beispiel für einen CREST-zertifizierten Anbieter solcher Übungen in der Schweiz.
  • Vulnerability Assessments: Schwachstellen werden systematisch identifiziert
  • Audits: Unabhängige Überprüfung der Sicherheitsmassnahmen
  • Incident Response Tests: Wird der Notfallplan regelmässig geübt?

7. Incident Response Vorbereitung

Der Vorstand muss sicherstellen, dass das Unternehmen auf Cyberangriffe vorbereitet ist.

Konkret:

  • Existiert ein Incident Response Plan?
  • Sind externe Partner (Forensik, Kommunikation, Recht) vorbereitet?
  • Sind Kommunikationspläne für Kunden, Medien, Behörden vorhanden?
  • Werden Notfallpläne regelmässig getestet?

Im Ernstfall: Der Vorstand muss schnell entscheidungsfähig sein. Das erfordert Vorbereitung.

Haftungsrisiken: Persönliche Konsequenzen

Vorstands- und Geschäftsleitungsmitglieder haften persönlich für Pflichtverletzungen.

Schweizer Recht: Organhaftung

Gemäss Art. 754 OR haften Verwaltungsrat, Geschäftsleitung und weitere Organe dem Unternehmen, den Aktionären und Gläubigern für Schäden aus vorsätzlicher oder fahrlässiger Pflichtverletzung.

Pflichtverletzungen im Kontext Cybersecurity:

  • Keine angemessenen Sicherheitsmassnahmen getroffen
  • Cyber-Risiken ignoriert oder nicht überwacht
  • Gesetzliche Anforderungen nicht eingehalten.
  • Nicht auf Warnungen reagiert
  • Nach einem Vorfall nicht angemessen reagiert

Konsequenzen:

  • Persönliche Haftung für entstandene Schäden
  • Regressforderungen von Versicherungen
  • Strafrechtliche Folgen bei vorsätzlichem Handeln

D&O-Versicherung: Kein Freipass

Directors and Officers (D&O) Versicherungen decken Haftungsrisiken ab, aber nicht unbegrenzt.

Ausschlüsse:

  • Vorsätzliche Pflichtverletzungen
  • Grobe Fahrlässigkeit (je nach Police)
  • Bussen und Strafen

Selbstbehalte: Oft erheblich, besonders bei Cybersecurity-Vorfällen.

Eine D&O-Versicherung ersetzt nicht die Pflicht, angemessene Sorgfalt walten zu lassen.

Praktische Schritte für den Vorstand

Was sollte der Vorstand konkret tun, um seiner Verantwortung gerecht zu werden?

Schritt 1: Cybersecurity auf die Agenda setzen

Cybersecurity muss regelmässig im Vorstand behandelt werden, nicht nur bei Vorfällen.

Empfehlung: Mindestens vierteljährlich ein Update zur Cybersecurity-Lage.

Schritt 2: Risikobewertung durchführen lassen

Beauftragen Sie eine unabhängige Risikobewertung.

Fragen:

  • Welche Systeme und Daten sind kritisch?
  • Wo sind die grössten Schwachstellen?
  • Wie hoch ist das Risiko eines erfolgreichen Angriffs?
  • Was wären die geschäftlichen Folgen?

Schritt 3: Verantwortlichkeiten klären

Benennen Sie eine Person, die für Cybersecurity verantwortlich ist (CISO oder äquivalent).

Wichtig: Diese Person muss direkt an den Vorstand berichten und ausreichend Ressourcen haben.

Schritt 4: Incident Response Plan erstellen

Stellen Sie sicher, dass ein Plan für den Ernstfall existiert.

Inhalt:

  • Wer wird informiert?
  • Wer trifft welche Entscheidungen?
  • Wie wird kommuniziert (intern, Kunden, Medien, Behörden)?
  • Welche externen Partner werden eingebunden?

Schritt 5: Mitarbeitende schulen

Investieren Sie in Awareness-Programme für alle Mitarbeitenden.

Schritt 6: Tests und Audits planen

Legen Sie fest, wann und wie Sicherheitsmassnahmen getestet werden.

Empfehlung:

  • Jährliche Penetrationstests
  • Vierteljährliche Phishing-Simulationen
  • Jährliche Audits der Sicherheitsmassnahmen

Schritt 7: Cyber-Versicherung prüfen

Prüfen Sie, ob eine Cyber-Versicherung sinnvoll ist.

Achtung: Versicherungen decken nicht alles ab und ersetzen nicht die Pflicht, angemessene Massnahmen zu ergreifen.

Schweizer Kontext: Besonderheiten

FINMA-regulierte Unternehmen

Für Banken, Versicherungen und andere regulierte Finanzinstitute gelten strengere Anforderungen.

Besonderheiten:

  • Explizite Governance-Anforderungen
  • Meldepflichten bei wesentlichen Vorfällen
  • Regelmässige Überprüfung durch FINMA
  • Höhere Haftungsrisiken

KMU: Auch ohne FINMA relevant

Auch nicht-regulierte KMU sind betroffen.

Warum:

  • revDSG gilt für alle Unternehmen, die Personendaten bearbeiten
  • Cyber-Risiken treffen KMU besonders hart (weniger Ressourcen, höhere relative Kosten)
  • Kunden verlangen zunehmend Cybersecurity-Nachweise, auch von KMU

Schweizer Werte: Vertrauen und Diskretion

In der Schweiz sind Vertrauen und Diskretion zentrale Werte, besonders im Finanzsektor.

Implikation: Cybersecurity-Vorfälle schädigen die Reputation in der Schweiz besonders stark.

Cybersecurity auf die Agenda setzen: Cybersecurity ist Führungsverantwortung

Cybersecurity ist keine technische Nebensache, die in der IT-Abteilung erledigt wird. Es ist ein strategisches Geschäftsrisiko, das den Vorstand direkt betrifft.

  • Geschäftsrisiko: Cyberangriffe bedrohen Umsatz, Reputation, Compliance und Strategie
  • Finanzielle Auswirkungen: Kosten können in die Millionen gehen
  • Regulatorische Pflichten: revDSG, FINMA und weitere Vorschriften schaffen klare Verantwortlichkeiten
  • Reputationsschäden: Vertrauensverlust ist schwer wiedergutzumachen
  • Strategische Relevanz: Digitalisierung erfordert Cybersecurity
  • Persönliche Haftung: Vorstands- und Geschäftsleitungsmitglieder haften für Pflichtverletzungen

Der Vorstand muss:

  1. Cyber-Risiken verstehen (in geschäftlicher Sprache)
  2. Risikotoleranz definieren
  3. Governance sicherstellen
  4. Compliance sicherstellen
  5. Schulung und Sensibilisierung fördern
  6. Tests und Audits durchführen lassen
  7. Incident Response vorbereiten

Cybersecurity ist Chefsache. Ignoranz ist keine Verteidigung, Unwissenheit schützt nicht vor Haftung. Der Vorstand, der Cybersecurity ernst nimmt, schützt nicht nur das Unternehmen, sondern erfüllt auch seine rechtlichen und ethischen Pflichten.

Möchten Sie Cybersecurity als Verwaltungsratsthema etablieren? Erfahrene Berater begleiten die Governance-Integration.

Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Technologie erstellt und durch die Alpine Excellence Redaktion geprüft, ergänzt und finalisiert. Alle Inhalte entsprechen den redaktionellen Standards von Alpine Excellence.