IT-Sicherheit Geschäftsführer
IT-Sicherheit ist Chefsache: Geschäftsführer haften nach § 43 GmbHG, § 93 AktG und den NIS2-Vorgaben über Art. 20 der Richtlinie sowie den deutschen BSIG-Regelungen persönlich für IT-Sicherheitsmängel, mit Bußgeldern für Unternehmen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für 2026 heißt das praktisch: Wer Risiken, Budget, Schulung, Überwachung und Notfallfähigkeit nicht auf Geschäftsleitungsebene organisiert, schafft ein eigenes Haftungsproblem.
Letzte Aktualisierung: 20. März 2026
Die kurze Antwort lautet deshalb: Ja, Geschäftsführer können wegen mangelhafter IT-Sicherheit persönlich in Regress geraten. Das Risiko entsteht selten nur aus einem einzelnen Hackerangriff. Es entsteht vor allem dann, wenn dokumentierbare Organisationslücken auf bekannte Cyberrisiken treffen. Wenn Sie die Haftungslogik vertiefen wollen, lesen Sie ergänzend Geschäftsführer-Haftung bei Cyberangriffen, den Beitrag zum BSI IT-Grundschutz, den Leitfaden zum Krisenmanagement bei Cyberangriffen, unser Glossar zu KI-Kompetenz und die EU AI Act Schulung.
Geschäftsführer haften bei IT-Sicherheit über klare Rechtsgrundlagen
Geschäftsführer haften nicht wegen eines diffusen „Digitalisierungstrends“, sondern über konkrete Organpflichten. Für die GmbH ist § 43 Abs. 1 GmbHG der Ausgangspunkt: Geschäftsführer müssen die Sorgfalt eines ordentlichen Geschäftsmanns anwenden. Bei der AG formuliert § 93 Abs. 1 AktG denselben Maßstab für den Vorstand. Cybersecurity gehört 2026 eindeutig zu dieser ordnungsgemäßen Unternehmensorganisation.
NIS2 verschärft diese Lage, weil die Verantwortung der Leitungsebene ausdrücklich benannt wird. Art. 20 der Richtlinie (EU) 2022/2555 verpflichtet Leitungsorgane, Maßnahmen des Cyber-Risikomanagements zu billigen, ihre Umsetzung zu überwachen und selbst Schulungen zu absolvieren. Im deutschen Umsetzungsrahmen wird diese Leitungsverantwortung über die BSIG-Regelungen, insbesondere den in der Praxis diskutierten § 38 BSIG, konkretisiert. Für Geschäftsführer ist der Punkt entscheidend: Die operative Arbeit darf delegiert werden, die Letztverantwortung nicht.
Die Haftung ist deshalb mehrstufig. Erstens drohen dem Unternehmen Bußgelder und Aufsichtsmaßnahmen. Zweitens kann die Gesellschaft bei Pflichtverletzungen internen Regress gegen die Geschäftsführung prüfen. Drittens verschärfen fehlende Nachweise den Konflikt mit D&O- und Cyberversicherern. Viertens können in Einzelfällen Außenhaftungsfragen hinzukommen, etwa bei Datenschutz- oder Deliktssachverhalten. Genau diese Ketten machen IT-Sicherheit für Geschäftsführer zu einem Organ- und nicht nur zu einem IT-Thema.
Persönliche Haftung nach § 43 GmbHG und § 93 AktG beginnt bei der Sorgfaltspflicht
§ 43 GmbHG verlangt keine eigene technische Detailkompetenz des Geschäftsführers, wohl aber eine belastbare Leitung und Überwachung. Für Cybersecurity bedeutet das mindestens: Risiken verstehen, Verantwortlichkeiten festlegen, Budget freigeben, Berichte einfordern, kritische Maßnahmen priorisieren und die Umsetzung kontrollieren. Wer sich darauf zurückzieht, „nicht technisch genug“ zu sein, verkennt den rechtlichen Maßstab.
Für Vorstände einer AG gilt über § 93 AktG die gleiche Grundlogik. Die Business Judgment Rule schützt nur informierte und vertretbare Geschäftsentscheidungen. Sie schützt nicht das vollständige Unterlassen von Governance. Zwischen „Wir haben nach Risikobewertung Tool A statt Tool B gewählt“ und „Wir haben trotz Warnsignalen keine Backup-Tests, keine Schulungen und keinen Incident-Plan verlangt“ liegt rechtlich ein wesentlicher Unterschied.
Besonders relevant ist die Innenhaftung. Nach einem schweren Vorfall kann die Gesellschaft prüfen, ob Wiederherstellungskosten, Betriebsunterbrechung, externe Forensik, Rechtsberatung, Vertragsstrafen oder Bußgeldfolgen durch pflichtwidrige Untätigkeit der Geschäftsleitung mitverursacht wurden. Das trifft Geschäftsführer im Ernstfall nicht nur theoretisch. Regressansprüche werden wahrscheinlicher, wenn Behörden, Versicherer oder Sonderprüfer klare Organisationsmängel feststellen.
Hinzu kommt die Beweislastproblematik. In der Organhaftung hilft es der Geschäftsführung nicht, nachträglich pauschal auf „grundsätzlich vorhandene Prozesse“ zu verweisen. Maßgeblich ist, was sich nachweisen lässt. Genau deshalb ist Dokumentation kein Bürokratie-Anhang, sondern Teil der Haftungsverteidigung. Wer Beschlüsse, Budgets, Risikoanalysen, Schulungsstände und Umsetzungsberichte nicht belegen kann, verliert oft den entscheidenden Entlastungshebel.
Rechtsprechung und Überwachungspflicht machen Delegation ohne Kontrolle gefährlich
Die Rechtsprechung behandelt fehlende IT- und Compliance-Organisation nicht als bloße Schönheitsfehler. Das OLG Hamm, Urteil vom 01.12.2004, Az. 13 U 133/03, zeigt seit Jahren, dass mangelhafte Datensicherung haftungsrechtlich erheblich sein kann. Die Botschaft ist bis heute aktuell: Datensicherung und Wiederherstellbarkeit sind keine Komfortfunktionen, sondern Teil ordnungsgemäßer Betriebsorganisation.
Für die Leitungsverantwortung ist außerdem die Überwachungspflicht zentral. Der BGH, Urteil vom 17.07.2009, Az. 5 StR 394/08, betont in der Compliance-Logik, dass Aufgaben delegiert werden können, die Pflicht zur Kontrolle aber bleibt. Übertragen auf Cybersecurity heißt das: Ein CISO, IT-Leiter oder externer Dienstleister entlastet nur dann, wenn die Geschäftsführung Berichte einfordert, kritische Lücken adressiert und nachhält, ob Maßnahmen tatsächlich umgesetzt werden.
Die Delegationsgrenze ist damit klar. Geschäftsführer dürfen operative Sicherheit nicht selbst administrieren müssen. Sie dürfen aber auch nicht vollständig aussteigen. Wer nie nach Pentest-Ergebnissen fragt, kein Reporting zu offenen Schwachstellen verlangt, Budgets verzögert oder Lessons Learned nach Vorfällen nicht auf Leitungsebene behandelt, delegiert nicht sinnvoll, sondern entzieht sich seiner Organpflicht.
Wenn Sie diese Logik auf die NIS2-Perspektive übertragen möchten, ist auch der Beitrag AI Act, NIS2 und DSGVO im Vergleich relevant. Dort wird deutlich, dass heutige Leitungsverantwortung nicht bei klassischer IT-Security endet, sondern angrenzende Governance-Themen einschließt.
NIS2 verschärft die Lage: Billigungspflicht, Schulungspflicht, keine vollständige Delegation
NIS2 macht Cybersecurity ausdrücklich zur Geschäftsleitungsaufgabe. Art. 20 Abs. 1 der Richtlinie (EU) 2022/2555 verlangt, dass Leitungsorgane die Maßnahmen des Risikomanagements billigen und deren Umsetzung überwachen. Art. 20 Abs. 2 verpflichtet dieselben Leitungsorgane zusätzlich dazu, Schulungen zu absolvieren und Schulungen innerhalb der Organisation zu fördern. Diese Kombination ist für Geschäftsführer entscheidend, weil sie Governance, Aufsicht und Kompetenz auf einer Ebene zusammenführt.
Für deutsche Unternehmen mit NIS2-Bezug wird diese Verantwortung nach aktuellem Rechtsstand über die BSIG-Regelungen gespiegelt. In der Praxis wird dabei regelmäßig auf § 38 BSIG verwiesen, weil dort die Management-Verantwortung und Schulungspflicht im deutschen Kontext konkretisiert werden. Selbst wenn Fachabteilungen, MSSPs oder ein CISO die operative Umsetzung tragen, bleibt die Letztverantwortung für Billigung, Kontrolle und Nachweis auf Ebene der Geschäftsführung.
Das Bußgeldniveau erhöht den Druck zusätzlich. Für wesentliche Einrichtungen sieht NIS2 bei schweren Verstößen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor; für wichtige Einrichtungen gelten niedrigere, aber weiterhin erhebliche Schwellen. Die Sanktion trifft primär das Unternehmen. Für Geschäftsführer ist sie dennoch persönlich relevant, weil ein behördlich festgestellter Organisationsmangel die Grundlage für internen Regress deutlich stärkt.
Die Kernaussage lautet deshalb: Sie können IT-Sicherheit organisatorisch verteilen, aber nicht rechtlich abschieben. Wer NIS2 nur als Aufgabe „der IT“ behandelt, wird dem Gesetz nicht gerecht. Sinnvoll ist ein Management-Setup mit regelmäßigen Cyber-Reviews, klaren Eskalationswegen, dokumentierten Freigaben und nachvollziehbarer Nachschulung der Leitungsebene.
Die 5 größten IT-Sicherheits-Risiken 2026 für Geschäftsführer
Geschäftsführer müssen 2026 mit einem anhaltend hohen Bedrohungsniveau rechnen. Laut Research auf Basis des BSI-Lageberichts 2025 wurden täglich deutlich mehr Schwachstellen bekannt, Deutschland blieb ein Hochrisikoland für Ransomware, und das BKA registrierte 131.391 Cybercrime-Fälle in Deutschland für 2024. Bitkom beziffert den Schaden für die deutsche Wirtschaft 2025 auf 289,2 Mrd. EUR. Diese Zahlen ändern die Management-Perspektive: Cyberrisiken sind kein Sonderfall, sondern ein wiederkehrendes Geschäftsrisiko.
Die fünf größten Risikofelder für Geschäftsführer lassen sich 2026 so zusammenfassen:
| Risiko | Warum es auf Geschäftsleitungsebene relevant ist | Typische Management-Frage |
|---|---|---|
| Ransomware | Führt zu Betriebsunterbrechung, Lösegeldforderungen, Datenverlust und Regressdiskussionen | Sind Backups getestet und Wiederanlaufzeiten realistisch? |
| Supply-Chain-Angriffe | Dritte werden zum Einfallstor in eigene Systeme und Prozesse | Welche kritischen Dienstleister prüfen wir wie tief? |
| Phishing und CEO-Fraud | Menschliche Fehlentscheidungen umgehen technische Schutzmaßnahmen | Gibt es Schulung, Simulationen und klare Freigabeprozesse? |
| Cloud- und Identitätsrisiken | Fehlkonfigurationen und kompromittierte Accounts skalieren Schäden schnell | Sind MFA, Rechtekonzepte und Logging auf Management-Niveau berichtet? |
| Schwachstellen- und Patch-Management | Bekannte Lücken bleiben offen und machen Unterlassen beweisbar | Welche kritischen Findings sind offen, und wer priorisiert das Budget? |
Ransomware bleibt das sichtbarste Risiko. Sie verursacht nicht nur technische Schäden, sondern legt oft Vertrieb, Produktion, Buchhaltung und Kundenkommunikation lahm. Für Geschäftsführer zählt deshalb nicht nur die Frage, ob ein Angriff theoretisch möglich ist. Entscheidend ist, ob Wiederherstellung getestet wurde, wer über Abschaltung oder Isolation entscheidet und ob der Krisenstab handlungsfähig ist. Unser Beitrag zum Krisenmanagement bei Cyberangriffen vertieft genau diese operative Ebene.
Supply-Chain-Angriffe haben ebenfalls stark an Bedeutung gewonnen. Research für 2025/2026 zeigt, dass rund 30 % der Sicherheitsverletzungen inzwischen Dritte betreffen oder über Drittparteien laufen. Für Geschäftsführer heißt das: Lieferantenprüfung, Vertragsanforderungen, Zugangsrechte und Notfallprozesse für IT-Dienstleister gehören ins Leitungs-Reporting und nicht nur in den Einkauf.
Phishing und CEO-Fraud bleiben die häufigsten Einstiegstore, weil sie Organisation statt Technik ausnutzen. Gerade die Geschäftsleitung ist Zielgruppe solcher Angriffe. Ohne rollenspezifische Schulung, Vier-Augen-Freigaben und klare Meldewege entsteht aus einer einzelnen Fehlentscheidung schnell ein größerer Compliance- und Haftungsfall.
Cloud- und Identitätsrisiken sind deshalb kritisch, weil sie oft „leise“ eskalieren. Ein kompromittierter Admin-Account, fehlende Multi-Faktor-Authentifizierung oder zu weit gefasste Berechtigungen ermöglichen massive Schäden ohne sichtbaren Infrastrukturbruch. Für Geschäftsführer genügt es hier nicht, auf den Cloud-Anbieter zu vertrauen. Sie müssen sich berichten lassen, wie Rechte, Logs, Drittzugriffe und Exit-Szenarien gesteuert werden.
Mindestmaßnahmen für Geschäftsführer: Was 2026 praktisch erwartet wird
Geschäftsführer müssen nicht jede Sicherheitsmaßnahme selbst entwerfen, aber ein belastbares Mindestprogramm auf Leitungsebene sicherstellen. Dieses Mindestprogramm beginnt mit einer dokumentierten Risikoanalyse. Ohne priorisierte Sicht auf Kronjuwelen, Angriffsflächen, Abhängigkeiten und mögliche Schadenshöhen bleibt jede Budget- und Maßnahmenentscheidung angreifbar.
Darauf aufbauend braucht das Unternehmen ein funktionierendes Informationssicherheits- oder Risikomanagement-System. Das muss kein überdimensioniertes Zertifizierungsprojekt sein. Entscheidend ist, dass Verantwortlichkeiten, Schutzbedarfe, Kontrollen, Review-Zyklen und Eskalationswege nachvollziehbar geregelt sind. Für viele Mittelständler reicht anfangs ein pragmatisches ISMS-Grundgerüst mit klaren Management-Reviews, Risikoregister und Maßnahmen-Tracking.
Ebenso pflichtrelevant ist Incident Response. Unternehmen müssen wissen, wer in den ersten Stunden entscheidet, meldet, kommuniziert und technische Gegenmaßnahmen freigibt. Ein Incident-Response-Plan ist nicht nur eine IT-Anlage, sondern ein Geschäftsleitungsinstrument. Er verbindet Technik, Recht, Kommunikation, Datenschutz, Versicherung und Krisensteuerung.
Schulung ist seit NIS2 ausdrücklich Teil des Pflichtprogramms. Management, Fachbereiche und operative Schlüsselrollen brauchen rollenspezifische Inhalte. Für angrenzende Governance-Pflichten ist zusätzlich KI-Kompetenz relevant, weil Führungskräfte heute häufig auch KI-gestützte Prozesse beaufsichtigen. Wenn Sie Schulungsnachweis und Governance zusammen aufbauen wollen, ist die EU AI Act Schulung ein sinnvoller Anschluss.
Versicherung ist schließlich kein Ersatz für Organisation, aber ein relevanter Schutzbaustein. D&O- und Cyberpolicen sollten vor dem Schadenfall geprüft werden: Decken sie Cybervorfälle, interne Regressansprüche, Krisenkosten und typische Ausschlüsse sauber ab? Wer die Police erst nach dem Angriff liest, steuert ein zusätzliches Geschäftsleitungsrisiko.
Dokumentationspflicht: Was Geschäftsführer im Ernstfall nachweisen müssen
Geschäftsführer entlasten sich im Ernstfall vor allem durch Dokumentation. Wenn ein Vorfall, eine Prüfung oder ein Regressverfahren beginnt, zählt weniger die mündliche Erklärung als der belastbare Nachweis. Gute Dokumentation zeigt, dass Risiken erkannt, Entscheidungen getroffen, Maßnahmen finanziert und Umsetzungen überwacht wurden.
Besonders wichtig sind vier Nachweisgruppen:
| Nachweis | Warum er zählt | Typisches Beispiel |
|---|---|---|
| Beschluss- und Freigabedokumente | Belegen, dass die Geschäftsleitung Risiken aktiv behandelt hat | Protokoll zum Cyber-Review, Budgetfreigabe, Maßnahmenbeschluss |
| Schulungs- und Awareness-Nachweise | Zeigen Management- und Mitarbeiterkompetenz | Teilnahmeberichte, LMS-Exports, Agenda, Wiederholungstermine |
| Umsetzungs- und Kontrollnachweise | Belegen Überwachung statt bloßer Delegation | Maßnahmen-Tracking, offene Findings, Statusberichte, Review-Protokolle |
| Notfall- und Testnachweise | Zeigen reale Vorbereitung auf den Ernstfall | Backup-Restore-Test, Tabletop-Übung, Incident-Response-Protokoll |
Gerade Beschlussfassungen sind ein unterschätzter Entlastungsfaktor. Ein abstraktes IT-Konzept ist schwächer als ein Protokoll, aus dem hervorgeht, dass die Geschäftsführung eine Risikolage bewertet, Prioritäten gesetzt und Fristen vorgegeben hat. Dasselbe gilt für Budgets: Wer Investitionen mit Risikobezug, Kritikalität und Zeitplan dokumentiert, steht deutlich besser da als jemand, der nur auf allgemeine IT-Kostenstellen verweist.
Schulungsnachweise müssen ebenfalls mehr sein als eine einfache Teilnehmerliste. Entscheidend sind Zielgruppe, Inhalt, Version, Datum, Abschlussstatus und bei sensiblen Rollen idealerweise eine Lernkontrolle. Genau diese Logik ist auch für Cybersecurity relevant, nicht nur für AI-Act-Themen. Wenn Sie Nachweise strukturiert aufbauen möchten, helfen ergänzend die Beiträge zum BSI IT-Grundschutz und zur EU AI Act Schulung.
Ebenso wichtig ist der Nachweis laufender Überwachung. Offene Schwachstellenlisten, Eskalationen, Management-Reports, Testprotokolle und dokumentierte Nachsteuerung zeigen, dass Delegation kontrolliert wurde. Für Geschäftsführer ist genau das der Unterschied zwischen pflichtgemäßer Leitung und bloßem Hoffen, dass „die IT es schon regelt“.
Typische Fehler, die Geschäftsführer in Haftungsnähe bringen
Der häufigste Fehler ist strategische Unterlassung. Viele Geschäftsleitungen wissen, dass Cybersecurity wichtig ist, verschieben aber Entscheidungen zu lange, weil die Lage komplex, technisch oder unangenehm erscheint. Genau dieses Zögern wird später problematisch, wenn bekannte Risiken nie priorisiert oder dokumentiert behandelt wurden.
Der zweite Fehler ist reine Papier-Compliance. Richtlinien, Organigramme und Policies helfen nur begrenzt, wenn Schulung, Tests, Reporting und Übungen fehlen. Ein Incident-Response-Plan, den niemand kennt, entlastet nicht. Eine Backup-Policy ohne Restore-Test ebenfalls nicht.
Der dritte Fehler ist falsche Delegation. Ein CISO ohne Budgetzugang, ein IT-Leiter ohne Geschäftsleitungszugang oder ein externer Dienstleister ohne klare Eskalationspflichten lösen das Problem nicht. Delegation ist nur belastbar, wenn sie mit Steuerung, Monitoring und dokumentierter Rückkopplung verbunden wird.
Der vierte Fehler ist isoliertes Denken in Silos. Cybersecurity, Datenschutz, Lieferkette, KI-Governance und Krisenkommunikation greifen heute zusammen. Wer Vorfälle ausschließlich technisch bewertet, übersieht Meldepflichten, Reputationsschäden, Versicherungsfragen und Organhaftungsfolgen.
Fazit: IT-Sicherheit ist 2026 eine persönliche Führungsaufgabe
IT-Sicherheit ist für Geschäftsführer 2026 keine optionale IT-Frage mehr, sondern eine persönliche Führungsaufgabe mit unmittelbarer Haftungsrelevanz. § 43 GmbHG, § 93 AktG, Art. 20 NIS2 und die deutschen BSIG-Regelungen ziehen Risikoanalyse, Überwachung, Schulung und Dokumentation sichtbar auf die Leitungsebene.
Die pragmatische Konsequenz ist klar: Lassen Sie Ihr Cyber-Risikobild dokumentieren, priorisieren Sie Mindestmaßnahmen, verlangen Sie regelmäßige Berichte und sichern Sie belastbare Nachweise. Wenn Sie die Governance-Basis für Geschäftsleitung und Fachbereiche strukturiert aufbauen wollen, starten Sie mit der EU AI Act Schulung und nutzen Sie ergänzend unsere Inhalte zu Geschäftsführer-Haftung bei Cyberangriffen und KI-Kompetenz.
FAQ: IT-Sicherheit für Geschäftsführer
Haftet der Geschäftsführer persönlich für IT-Sicherheit?
Ja. Persönliche Haftung entsteht, wenn Geschäftsführer erkennbare Cyberrisiken nicht angemessen organisieren und dadurch Schäden entstehen. Maßgeblich sind vor allem § 43 GmbHG, § 93 AktG und die Leitungsanforderungen aus NIS2.
Was muss ein Geschäftsführer über NIS2 wissen?
Geschäftsleiter müssen Cyber-Risikomaßnahmen billigen, ihre Umsetzung überwachen und selbst Schulungen absolvieren. NIS2 macht IT-Sicherheit damit ausdrücklich zum Thema der Führungsebene und nicht nur der IT-Abteilung.
Kann ich IT-Sicherheit komplett an den CISO delegieren?
Nein. Sie können operative Aufgaben delegieren, aber nicht Ihre Letztverantwortung. Geschäftsführer müssen sich informieren, Reports einfordern, Entscheidungen treffen und die Umsetzung wesentlicher Maßnahmen nachhalten.
Welche IT-Sicherheitsmaßnahmen sind Pflicht?
Pflichtrelevant sind mindestens Risikoanalyse, Zuständigkeiten, angemessene technische und organisatorische Maßnahmen, Incident Response, Schulung, Lieferkettenkontrolle und belastbare Dokumentation. Welche Tiefe erforderlich ist, richtet sich nach Größe, Branche und Risikoprofil des Unternehmens.
Wie dokumentiere ich IT-Sicherheit als Geschäftsführer richtig?
Belastbar sind vor allem Protokolle zu Risikoentscheidungen, Budgetfreigaben, Schulungsnachweise, Maßnahmen-Tracking, Testprotokolle und Incident-Response-Unterlagen. Entscheidend ist, dass Dokumente nicht nur Existenz, sondern aktive Management-Kontrolle zeigen.
Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine individuelle Rechtsberatung. Für die Bewertung Ihres konkreten Haftungsrisikos sollten Sie spezialisierten Rechtsrat einholen.