Samstag, 18. April 2026
Foto von Andrea Piacquadio / Pexels

Cyberrisiken: Verantwortung der Geschäftsleitung

Von 3 Minuten Lesezeit
Anzeige

Cyberrisiken: Ein einziger Klick auf eine täuschend echte E-Mail kann heute genügen, um ein Unternehmen lahmzulegen. Gerade KMU geraten zunehmend ins Visier von Cyberkriminellen. Für Geschäftsleitungen wird Cybersicherheit damit zur zentralen Führungsaufgabe.

Autor: Michel Rohrer

Cyberangriffe sind längst Alltag – auch für Schweizer KMU. Phishing, gestohlene Zugangsdaten oder Ransomware können heute jedes Unternehmen treffen, unabhängig von Branche oder Grösse. Die Folgen sind oft gravierend: Produktionsstillstand, verlorene Kundendaten, Vertrauensverlust im Markt – und im schlimmsten Fall persönliche Haftungsrisiken für die Unternehmensleitung.

Anzeige

Cybersicherheit ist kein reines IT-Thema. Sie betrifft das gesamte Unternehmen. Wer die Verantwortung allein der IT-Abteilung überlässt, ohne sie auf Führungsebene zu steuern, setzt sein Unternehmen erheblichen Risiken aus und riskiert im Ernstfall Betriebsstillstand und persönliche Verantwortung.

Organisationspflichten der Unternehmensleitung

Auch rechtlich ist die Lage klar: Nach Art. 716a OR gehört die Organisation des Unternehmens zu den unübertragbaren Aufgaben der Unternehmensleitung. Der Schutz der digitalen Infrastruktur gehört heute zur zentralen Verantwortung der Geschäftsleitung.

Anzeige

Für die verantwortlichen Führungspersonen bedeutet das konkret:

  • Cyberrisiken erkennen und bewerten;
  • klare Sicherheitsstrukturen schaffen;
  • und deren Umsetzung konsequent kontrollieren.

Viele Unternehmen haben inzwischen technische Schutzmassnahmen implementiert – etwa Firewalls oder regelmässige Softwareupdates. Gleichzeitig zeigt sich jedoch ein strukturelles Problem: technische Schutzmassnahmen allein reichen häufig nicht aus. Nur ein Teil der Unternehmen verfügt über ein umfassendes Sicherheitskonzept, regelmässige Sicherheitsaudits oder einen klar definierten Notfallplan.

Aus juristischer Sicht entscheidend ist nicht nur die Technik, sondern die Organisation der Sicherheit. Gerichte beurteilen die Sorgfaltspflicht der Unternehmensleitung danach, ob ein Unternehmen insgesamt angemessen geschützt ist. Fehlen ein Sicherheitskonzept oder ein getesteter Notfallplan, kann ein Cybervorfall schnell als Organisationsversagen – und damit Pflichtverletzung – der Geschäftsleitung gewertet werden.

Der Faktor Mensch: arbeitsrechtliche Verantwortung

Die grösste Sicherheitslücke sitzt jedoch oft vor dem Bildschirm. Viele Angriffe beginnen mit einer einfachen Phishing-Mail oder einem gestohlenen Passwort. Aus arbeitsrechtlicher Sicht ergeben sich daraus zwei zentrale Pflichten des Arbeitgebers:

  1. Instruktionspflicht: Mitarbeitende müssen angemessen über Sicherheitsregeln informiert und geschult werden.
  2. Überwachungspflicht: Unternehmen müssen sicherstellen, dass definierte Sicherheitsrichtlinien tatsächlich eingehalten werden.

Fehlt eine entsprechende – regelmässige – Sensibilisierung der Mitarbeitenden, kann dies ebenfalls als Organisationsmangel gewertet werden.

Praktische Lösungsansätze für Unternehmen

Um ihrer rechtlichen Verantwortung gerecht zu werden, sollten Unternehmen einen strukturierten Ansatz zur Cybersicherheit verfolgen. Aus juristischer und organisatorischer Sicht haben sich insbesondere folgende Schritte bewährt.

  1. Standortbestimmung und Risikoanalyse

Zu Beginn steht eine realistische Einschätzung der eigenen Risiken.

  1. Entwicklung eines Sicherheitskonzepts

Ein dokumentiertes Sicherheitskonzept sollte klare Zuständigkeiten, Richtlinien für den Umgang mit Daten und IT-Systemen sowie Notfall- und Wiederherstellungspläne enthalten.

  1. Technische Schutzmassnahmen

Zu den grundlegenden Schutzmassnahmen gehören insbesondere: Multi-Faktor-Authentifizierung, sichere Passwortverwaltung, regelmässige Backups, systematische Softwareupdates.

  1. Schulung der Mitarbeitenden

Regelmässige Sensibilisierungstrainings sind ein zentraler Bestandteil jeder Sicherheitsstrategie. Mitarbeitende müssen in der Lage sein, typische Angriffsversuche zu erkennen und korrekt darauf zu reagieren.

Fazit: Wer Cybersicherheit ignoriert, riskiert das Unternehmen

Die digitale Transformation eröffnet Unternehmen grosse Chancen. Gleichzeitig entstehen neue Risiken, die professionell gesteuert werden müssen. Cyberangriffe werden weiter zunehmen. Die Frage ist nicht mehr ob, sondern wann ein Unternehmen betroffen sein wird.

Wer Cybersicherheit strategisch steuert, schützt sein Unternehmen. Wer sie ignoriert, riskiert Betriebsstillstand, Vertrauensverlust – und unter Umständen persönliche Haftung.

Der Autor
lic. iur. Michel Rohrer
ist ein ausgewiesener Spezialist für KI-Recht
www.ki-rechtsexperten.ch

 

Lesen Sie auch: Recht: Digitaler Nachlass

Teilen:

Ähnliche Beiträge

Kommentar schreiben


Exit mobile version