05. Dezember 2025

Cybersicherheit als Organisationspflicht: Warum der Mittelstand rechtlich keine Wahl mehr hat

Keine Kommentare Lesezeit:

Cyberangriffe sind für den Mittelstand längst ein reales Geschäftsrisiko – und die Geschäftsführung trägt dafür die volle rechtliche Verantwortung. Wo die Fallstricke liegen.

Von Mike Kersting, Vorstand der SMK Group

Cyberangriffe sind im deutschen Mittelstand längst von einer theoretischen Bedrohung zu einem realen unternehmerischen Risiko geworden. Laut der Bitkom-Studie „Wirtschaftsschutz 2025“ waren in den vergangenen zwölf Monaten rund 87 Prozent der Unternehmen in Deutschland von Datendiebstahl, Spionage oder Sabotage betroffen; der Gesamtschaden für die Wirtschaft liegt bei 289,2 Milliarden Euro. Diese Dimension macht deutlich: Cyberrisiken gehören nicht mehr in die IT-Abteilung, sondern in die unmittelbare Verantwortung der Geschäftsführung.

Cybersicherheit wird vielerorts noch als rein technisches Thema verstanden. Juristisch ist diese Sichtweise nicht mehr haltbar. Wer Cybersicherheit nicht strukturell verankert, riskiert hohe Schäden und persönliche Haftung. Wer hier unzureichend vorsorgt, setzt sich im Schadensfall erheblichen persönlichen Haftungsrisiken aus. Denn die Verantwortung für präventive Schutzmaßnahmen, für die Einhaltung datenschutzrechtlicher Vorgaben und für die Sicherstellung der Betriebsfähigkeit liegt eindeutig bei der Unternehmensleitung.

NIS-2 und Cloud-Nutzung erhöhen Haftungsdruck im Mittelstand

Diese Risikolage verschärft sich durch die nationale Umsetzung der NIS-2-Richtlinie erheblich. In Deutschland werden künftig rund 30.000 Unternehmen unmittelbar unter die neuen Cybersicherheitsanforderungen fallen. Die Verantwortung liegt nun ausdrücklich auf der Leitungsebene. Sicherheitsvorfälle müssen innerhalb von 24 Stunden angezeigt werden. Eine qualifizierte Meldung ist nach spätestens 72 Stunden fällig. Der Abschlussbericht folgt innerhalb eines Monats. Diese engen Fristen erhöhen den Druck auf Organisation, Prozesse und Entscheidungswege erheblich. Cybersicherheit lässt sich damit nicht mehr aufschieben, sie muss strukturell verankert werden.

Mike Kersting ist Vorstand der SMK Group, die mittelständische Unternehmen aus Handwerk, Technik und Industrie bei der Identifikation und Bewältigung unternehmerischer Risiken berät

Die wachsende Abhängigkeit von Cloud-Infrastrukturen verschärft diese Situation zusätzlich. Immer mehr mittelständische Unternehmen verlagern ihre Daten, Produktionssysteme und Kundenprozesse in externe Rechenzentren. Dies geschieht häufig aus Effizienzgründen, jedoch nicht immer auf Grundlage einer umfassenden rechtlichen Prüfung der Vertragswerke, der Speicherorte der Daten oder der Haftungsregelungen der Anbieter. Die verbreitete Annahme, dass mit der technischen Auslagerung zugleich auch die rechtliche Verantwortung übergeht, hält einer juristischen Betrachtung nicht stand. Die datenschutzrechtliche, organisatorische und wirtschaftliche Verantwortung verbleibt stets beim Unternehmen selbst.

Damit entsteht ein strukturelles Spannungsfeld. Einerseits zwingt der Markt zur Digitalisierung, andererseits steigen mit jeder digitalisierten Prozessstufe die rechtlichen Anforderungen an Organisation, Kontrolle und Dokumentation. Europäische Sicherheitsvorgaben, Datenschutzrecht und künftige Anforderungen aus der KI-Verordnung wirken inzwischen tief in den Mittelstand hinein. Diese Regelwerke verlangen keine perfekte IT-Architektur, wohl aber ein nachvollziehbares, systematisch aufgebautes Sicherheits- und Organisationskonzept. In vielen Betrieben bestehen hier noch erhebliche Defizite. Systeme sind historisch gewachsen, Zuständigkeiten bleiben unklar, Notfallpläne existieren häufig nur auf dem Papier. Juristisch entsteht daraus ein Organisationsverschulden, das sich im Schadensfall nicht mehr relativieren lässt.

Cybersicherheit als Bestandteil moderner Unternehmensführung

Die wirtschaftlichen Folgen eines Cyberangriffs gehen regelmäßig weit über den eigentlichen IT-Schaden hinaus. Betriebsunterbrechungen, Produktionsstillstände und Datenverluste führen zu Vertragsstörungen, Regressforderungen und erheblichen Liquiditätsbelastungen. Nicht selten zeigt sich erst im Ernstfall, dass Versicherungsdeckungen unzureichend waren oder formale Obliegenheiten nicht eingehalten wurden.

Vor diesem Hintergrund ist Cybersicherheit heute kein technisches Projekt mehr, sondern Teil ordnungsgemäßer Unternehmensorganisation. Rechtlich wirksamer Schutz beginnt nicht bei Software oder Firewalls, sondern bei der strukturierten Erfassung digitaler Prozesse, bei der rechtlichen Bewertung von Datenflüssen und bei klar geregelten Verantwortlichkeiten auf Geschäftsleitungsebene. Erst auf dieser Grundlage lassen sich technische Schutzmaßnahmen, Schulungskonzepte und versicherungsrechtliche Absicherung wirksam miteinander verzahnen.

In der Beratung zeigt sich immer wieder, dass mittelständische Unternehmen weniger an mangelndem Problembewusstsein scheitern als an der Komplexität der Umsetzung. Genau hier setzt der Ansatz der SMK Group an, die Cybersicherheit als Bestandteil unternehmerischer Governance versteht. Ergänzend bietet die SMK Group online buchbare Workshops zur Cybersicherheit für Geschäftsführungen und Führungsebenen an, in denen regulatorische Pflichten in konkrete organisatorische Handlungsschritte übersetzt werden.

Die entscheidende Weichenstellung liegt im Selbstverständnis der Unternehmensführung. Cybersicherheit ist keine Zusatzaufgabe mehr, sondern Bestandteil der Sorgfaltspflichten verantwortlicher Geschäftsleitung. Digitale Risiken lassen sich nicht vollständig vermeiden, sie lassen sich jedoch systematisch kontrollieren. Wer jetzt strukturiert handelt, schützt nicht nur seine IT, sondern seine gesamte unternehmerische Handlungsfähigkeit.

Mehr zum Thema:

Mike Kersting ist Vorstand der SMK Group. Die SMK Group mit Sitz in Gießen berät mittelständische Unternehmen aus Handwerk, Technik und Industrie bei der Identifikation und Bewältigung unternehmerischer Risiken. Mit einem interdisziplinären Team aus Versicherungs- und Unternehmensberatern, IT-Experten und Transformationsspezialisten bietet die SMK Group umfassende Lösungen für ein zukunftsfähiges, wirtschaftlich stabiles und digital aufgestelltes Mittelstandsökosystem.
Weitere Informationen unter: www.smk-group.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Willkommen in der deutschen Unternehmer-Community!

Gerne halten wir Sie mit dem kostenfreien DDW-Newsletter, einem der größten der deutschen Wirtschaft, über die neuesten Rankings und Top-Beiträge auf dem Laufenden. Hier anmelden

 

Database

Zu unseren Rankings und Unternehmenslisten >>

Wo steht Ihre Stadt?

Meistgelesen auf DDW in den letzten 24 Stunden

Zu unseren Top-Rankings

Klicken Sie auf die Logos oder kommen Sie hier↗ zum Gesamtüberblick über alle Rankings

Hier zum Gesamtüberblick über alle Rankings

Schon DDW-Exzellenzbetrieb / Exzellenzberater?

Die kostenfreie Prüfung und Auszeichnung als verlässlicher Mittelstandspartner auf DDW.

Hier Prüfbogen herunterladen:

als Unternehmen
→ als Berater

Lexikon des Chefwissens: Meistgefragt letzte 24h

Alle Begriffe im Lexikon des Chefwissens

Language