Es war ein ganz normaler Montag. Ransomware auf dem Server, Produktion steht, Kundendaten weg. Und der Geschäftsführer sagt: „Aber wir haben doch ein Systemhaus.“
Ja. Hatten sie. Das hat trotzdem nicht geholfen.
Was viele Geschäftsführer wirklich glauben
In deutschen KMU gibt es einen weit verbreiteten Gedanken, der sich hartnäckig hält wie eine Access-Datenbank aus dem Jahr 2003: Wenn ein IT-Dienstleister beauftragt ist, liegt die Verantwortung für IT-Sicherheit auch bei ihm. Man hat schließlich bezahlt, einen Vertrag unterschrieben, und der Typ kennt sich aus. Also: Thema erledigt, Haken dran.
Das ist menschlich verständlich. Und rechtlich falsch.
Was § 43 GmbHG tatsächlich sagt
Der Paragraph ist kurz, aber er hat es in sich. § 43 GmbHG verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmannes. Das klingt abstrakt, hat aber sehr konkrete Konsequenzen: Wer ein Unternehmen leitet, muss dafür sorgen, dass grundlegende Risiken erkannt, bewertet und adressiert werden – darunter auch IT-Sicherheitsrisiken.
Das bedeutet nicht, dass jeder Geschäftsführer selbst Firewalls konfigurieren muss. Aber es bedeutet, dass die Delegation an einen Dienstleister nicht das Ende der Verantwortung ist, sondern der Anfang einer Aufsichtspflicht. Wer delegiert, muss auswählen, anweisen, kontrollieren und dokumentieren. Passiert das nicht, haftet im Ernstfall die Geschäftsführung – persönlich, mit dem Privatvermögen.
Eine Zahl zur Einordnung: Laut einer Studie des Digitalverbands Bitkom entstand der deutschen Wirtschaft im Jahr 2023 ein Schaden von rund 148 Milliarden Euro durch Cyberangriffe. Die meisten Betroffenen hatten irgendjemanden, der sich „um IT kümmert“.
Was ein Systemhaus kann – und was nicht
Ein guter IT-Dienstleister ist wertvoll. Er übernimmt den Betrieb, wartet Systeme, reagiert auf Störungen, empfiehlt Maßnahmen. Das ist sein Job, und viele machen ihn gut.
Aber er kann keine Verantwortung übernehmen, die gesetzlich beim Geschäftsführer liegt. Er kennt Ihr Geschäftsmodell nicht so gut wie Sie. Er weiß nicht, welche Daten wirklich kritisch sind. Er hat keinen Einblick in neue Geschäftsprozesse, von denen er nie erfahren hat. Und er haftet – wenn überhaupt – nur im Rahmen des Dienstleistungsvertrags, der in der Praxis selten das vollständige Schadensausmaß abdeckt.
Kurz gesagt: Das Systemhaus ist das Werkzeug. Die Hand am Steuer bleibt die Geschäftsführung.
Der pragmatische Haftungscheck
Kein Anwaltsgutachten, kein Audit in fünf Tagen. Aber drei Fragen, die jeder Geschäftsführer heute beantworten können sollte:
Erstens: Gibt es ein aktuelles Verzeichnis der kritischen Systeme und Daten – und weiß das Systemhaus, was davon wirklich schützenswert ist?
Zweitens: Wann wurde zuletzt geprüft, ob vereinbarte Maßnahmen tatsächlich umgesetzt und wirksam sind – und ist das dokumentiert?
Drittens: Was passiert, wenn das Systemhaus morgen nicht erreichbar ist? Gibt es einen Notfallplan, und kennt ihn jemand im Unternehmen?
Wer auf alle drei Fragen eine klare Antwort hat, ist schon deutlich besser aufgestellt als der Durchschnitt. Wer ins Stocken gerät, hat jetzt zumindest gewusst, wo er anfangen soll.
Fazit: Delegation ist kein Freifahrtschein
IT-Sicherheit ist Chefsache. Nicht weil Geschäftsführer plötzlich IT-Experten werden müssen, sondern weil das Gesetz die Sorgfaltspflicht nicht an einen Dienstleister weitergeben lässt. Wer das versteht, beauftragt sein Systemhaus anders – gezielter, mit klaren Anforderungen, mit Kontrollmechanismen.
Und falls Ihnen das alles zu abstrakt klingt: Denken Sie an den Geschäftsführer vom Montag. Der hat jetzt sehr viel Zeit, darüber nachzudenken. Die Produktion steht seit drei Tagen.
