Cyberrisiken und D&O-Haftung 2025: Warum Manager jetzt handeln müssen
Einleitung
In einer zunehmend digitalisierten Unternehmenswelt zählen Cyberangriffe zu den größten Bedrohungen für Organisationen – und für deren Führungskräfte. Nicht nur operative Ausfälle und finanzielle Verluste bedrohen Unternehmen, sondern auch die persönliche Haftung der Entscheider. Der Bedarf an durchdachter D&O- und Cyberversicherung wächst rapide. Dieser Beitrag beleuchtet die aktuellen Risiken, rechtlichen Grundlagen und Schutzmöglichkeiten für Unternehmensleiter in Deutschland.
Cyberrisiken im Überblick: Bedrohungslage 2025
Laut Allianz Risk Barometer 2024 sind Cybervorfälle das größte globale Unternehmensrisiko. In Deutschland sehen 44% der Befragten Cyberkriminalität als höchste Gefahr (Quelle).
Die durchschnittlichen Gesamtkosten eines Datenlecks betrugen 2023 weltweit 4,45 Mio. USD (IBM Cost of a Data Breach Report 2023).
Besonders im Visier: Mittelständische Unternehmen mit schlechter IT-Governance und mangelhafter Sensibilisierung des Managements.
Cyberattacken sind längst nicht mehr nur ein IT-Problem, sondern ein Governance-Thema. Sie ziehen gravierende Haftungsfolgen nach sich, wenn Vorstände und Geschäftsführer ihrer Sorgfaltspflicht nicht nachkommen.
Rechtliche Grundlagen: Haftung für Cyber-Versagen
Führungskräfte unterliegen in Deutschland strengen gesetzlichen Sorgfaltspflichten:
§43 GmbHG & §93 AktG: Pflicht zur ordnungsgemäßen Unternehmensführung.
BDSG & DSGVO: Datenschutzverstöße können hohe Bußgelder auslösen und persönliche Haftung begründen.
IT-Sicherheitsgesetz 2.0 & NIS2-Richtlinie: Verschärfte Anforderungen an IT-Risikomanagement insbesondere für KRITIS-Unternehmen.
Wer beispielsweise nachweislich keine angemessenen technischen und organisatorischen Maßnahmen zur Cyberabwehr getroffen hat, kann persönlich regresspflichtig gemacht werden.
D&O- vs. Cyberversicherung: Wo liegen die Unterschiede?
| Merkmal | D&O-Versicherung | Cyber-Versicherung |
|---|---|---|
| Schutzobjekt | Organe (GF, Vorstand, Aufsichtsrat) | Unternehmen selbst |
| Hauptzweck | Absicherung gegen Organhaftung | Absicherung von IT-/Daten-Schäden |
| Typische Schadenszenarien | Pflichtverletzung, Compliance-Verstoß | Ransomware, Datenklau, Betriebsunterbrechung |
| Versicherungsauszahlung | An Manager oder Unternehmen für Regress | An Unternehmen für direkte Kosten |
Wichtig: Cybervorfälle können sowohl die Unternehmensbilanz als auch die Persönlichkeitshaftung der Leitung betreffen. Eine Kombination beider Versicherungen ist daher unverzichtbar.
Aktuelle Marktentwicklung und Trends
Prämien für Cyberpolicen steigen, gleichzeitig weiten Versicherer ihre Ausschlüsse aus.
D&O-Märkte stabilisieren sich nach „harten Jahren“, zeigen aber weiter strenge Zeichnungskriterien.
Neue Risiken wie KI-Haftung, Software Supply Chain Risk und ESG-Versäumnisse rücken in den Fokus.
Ein großer Versicherer verweigerte kürzlich die Zahlung, da das Unternehmen keine Multi-Faktor-Authentifizierung nutzte – trotz grober Pflichtverletzung durch den IT-Leiter.
Praxisbeispiele & Urteile
OLG Düsseldorf 2023: Ein IT-Vorstand wurde nach einem massiven Cyberangriff persönlich haftbar gemacht, weil keine Incident-Response-Pläne vorlagen.
EuGH-Urteil zu Kartellbußen: Regressfähigkeit bei Organisationsversagen des Vorstands trotz D&O-Police.
Diese Beispiele zeigen: Versicherer prüfen genau, ob Obliegenheiten und Sicherheitsstandards eingehalten wurden.
Handlungsempfehlungen für Entscheider
Cyber-Risikomanagement implementieren: inklusive Notfallplan, Awareness-Schulungen, Auditierung.
Versicherungsportfolio kombinieren: D&O, Cyber, ggf. Vertrauensschadenversicherung.
Deckungsumfang prüfen: Sind Betriebsunterbrechungen, DSGVO-Bußgelder, Reputationskosten abgedeckt?
Regelmäßiges Reporting an Aufsichtsrat und Beirat über Sicherheitslage.
IT-Compliance dokumentieren: Protokolle, Richtlinien, Policy-Nachweise.
FAQ: Häufige Fragen
Wann greift die D&O-Versicherung bei Cybervorfällen?
Wenn der Vorwurf einer Pflichtverletzung vorliegt – etwa bei fehlenden Sicherheitsstrategien trotz bekannter Risiken.
Was deckt die Cyberversicherung nicht ab?
Regelverstöße, fahrlässige Unterlassungen oder vorsätzliche Pflichtverletzungen können ausgeschlossen sein.
Können Manager privat regresspflichtig gemacht werden?
Ja, bei grober Fahrlässigkeit oder Organisationsversagen ist dies in der Praxis häufig der Fall.
Fazit: Wer führt, haftet. Wer absichert, handelt richtig.
In Zeiten steigender Cyberrisiken genügt es nicht mehr, sich auf IT-Abteilungen zu verlassen. Vorstände und Geschäftsführer tragen die Gesamtverantwortung. Nur wer Risiken kennt, Verantwortung strukturiert delegiert und sich passend versichert, reduziert die Gefahr der persönlichen Haftung.
Externe Quellen :
Allianz Risk Barometer: https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html
IBM Data Breach Report: https://www.ibm.com/reports/data-breach
Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi.bund.de
European Union NIS2 Informationen: https://digital-strategy.ec.europa.eu/en/policies/nis2
GDV zu Cyber- und D&O-Markt: https://www.gdv.de
Alle Geselschaften & Tarife
Vergleich der Cyberversicherungen
Jetzt starten und Cyberrisiken effektiv absichern!