Cyberrisiken und Unternehmensorganisation
BOOK
Cite BOOK
Style
Schuck, J. (2025). Cyberrisiken und Unternehmensorganisation. Duncker & Humblot. https://doi.org/10.3790/978-3-428-59292-0
Schuck, Jonas David. Cyberrisiken und Unternehmensorganisation. Duncker & Humblot, 2025. Book. https://doi.org/10.3790/978-3-428-59292-0
Schuck, J (2025): Cyberrisiken und Unternehmensorganisation, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-59292-0
Format
Cyberrisiken und Unternehmensorganisation
Abhandlungen zum Deutschen und Europäischen Gesellschafts- und Kapitalmarktrecht, Vol. 246
(2025)
Additional Information
Book Details
Pricing
About The Author
Jonas David Schuck hat an der European Business School sowie der Universität Stellenbosch Rechtswissenschaft und Betriebswirtschaft studiert. Während seines Studiums sowie des anschließenden Referendariats am OLG Frankfurt a.M. war er in verschiedenen nationalen und internationalen Kanzleien in Deutschland sowie in Kanada tätig, bevor er anschließend seine Promotion an der Albert-Ludwigs-Universität Freiburg im Jahr 2020 begann. Seit 2021 ist er als zugelassener Rechtsanwalt in einer internationalen Wirtschaftskanzlei in Hamburg tätig. Seine Promotion schloss er 2024 ab.Abstract
Cybersecurity ist neben der technischen Komponente vor allem eine Aufgabe der Unternehmensorganisation. Für die Aktiengesellschaft stellt sich daher die Frage, welche rechtlichen Rahmenbedingungen der für die Umsetzung verantwortliche Vorstand bei der Strukturierung einer entsprechenden Unternehmensorganisation im Hinblick auf die IT-Sicherheit zu beachten hat. Die Arbeit untersucht die für Cybersecurity einschlägigen aktienrechtlichen und spezialgesetzlichen Normen sowie Standards auf die sich daraus ergebenden Vorgaben für die Corporate Governance. Dabei erfolgt eine Einordnung der IT-Sicherheit innerhalb des Risikomanagements und der Compliance sowie eine Auseinandersetzung mit der diesbezüglichen Rolle von Vorstand und Aufsichtsrat, bevor die Rechtspflichten einzelner unternehmensorganisatorischer Aspekte vor und während einem IT-Sicherheitsvorfall aufgezeigt werden. Darüber hinaus wird diskutiert, ob Cybersecurity hinreichend im Aktiengesetz adressiert ist oder ob ein Regelungsbedarf besteht.»Cybersecurity and Corporate Governance«: This thesis examines the legal requirements regarding cybersecurity a board of directors of a German stock corporation must obey when establishing a corporate organization. In the course the relevant areas of corporate governance, distinguished among preventive and reactive measures, are analyzed, before a final assessment is made, whether amendments to the German Stock Corporation Act are necessary to ensure an adequate level of cybersecurity.
Table of Contents
| Section Title | Page | Action | Price |
|---|---|---|---|
| Vorwort | 7 | ||
| Inhaltsübersicht | 9 | ||
| Inhaltsverzeichnis | 17 | ||
| Abkürzungsverzeichnis | 29 | ||
| Kapitel 1: Einleitung | 31 | ||
| A. Relevanz von Cybersecurity in der AG | 31 | ||
| B. Problemaufriss | 33 | ||
| I. Rechtsgrundlagen | 33 | ||
| II. Anknüpfungspunkte im AktG | 34 | ||
| III. Gang der Untersuchung | 36 | ||
| Kapitel 2: Grundlagen Cybersecurity | 38 | ||
| A. Definitionen im Bereich der Cybersecurity | 38 | ||
| B. Arten von Cyberrisiken | 41 | ||
| I. Externe Risiken | 42 | ||
| 1. Ransomware | 42 | ||
| 2. Advanced Persistent Thread | 43 | ||
| 3. Weitere Malware | 44 | ||
| 4. DoS-Attacken | 44 | ||
| 5. Phishing und Social Engineering | 45 | ||
| II. Interne Risiken | 46 | ||
| III. Mitarbeiter als größter Risikofaktor | 47 | ||
| Kapitel 3: Cybersecurity im Kontext von Leitungsaufgaben und Corporate Governance | 48 | ||
| A. Cybersecurity als Leitungsaufgabe | 48 | ||
| I. Allgemeine Anforderungen | 49 | ||
| II. Cybersecurity als Leitungsaufgabe | 50 | ||
| 1. Leitungsaufgabe im Aktienrecht | 51 | ||
| 2. Leitungsaufgabe in Spezialgesetzen und Soft Law | 52 | ||
| III. Rechtliche Rahmenbedingungen einer Leitungsaufgabe | 53 | ||
| B. Corporate-Governance-Systeme | 54 | ||
| C. Risikomanagement | 56 | ||
| I. Rechtsgrundlage Risikomanagement | 57 | ||
| II. Differenzierung innerhalb des Risikomanagements | 58 | ||
| III. Risikomanagementpflicht | 59 | ||
| 1. Ob der Risikomanagementpflicht | 60 | ||
| 2. Wie der Risikomanagementpflicht | 61 | ||
| D. Compliance | 62 | ||
| I. Rechtsgrundlage Compliance | 63 | ||
| II. Ausgestaltung der Compliance | 64 | ||
| 1. Börsennotierte AG | 65 | ||
| 2. Nichtbörsennotierte AG | 66 | ||
| 3. CMS | 67 | ||
| 4. Ausgestaltung im Übrigen | 67 | ||
| E. Cybersecurity als Spezialgebiet | 68 | ||
| I. Cyberrisiken als Unternehmensrisiken | 69 | ||
| II. Cyberrisiken als Compliance-Risiken | 71 | ||
| F. Zwischenergebnis | 71 | ||
| Kapitel 4: Aktienrechtliche Grundlagen der Cybersecurity | 73 | ||
| A. § 91 Abs. 3 AktG | 73 | ||
| I. Risikomanagementsystem in Bezug auf Cyberrisiken | 74 | ||
| II. Funktionen eines Risikomanagementsystems | 75 | ||
| III. Angemessenheit und Wirksamkeit im Rahmen des § 91 Abs. 3 AktG | 78 | ||
| B. § 91 Abs. 2 AktG | 80 | ||
| I. Risikofrüherkennungssystem hinsichtlich Cyberrisiken | 81 | ||
| II. Ausgestaltung des Risikofrüherkennungssystems | 82 | ||
| C. §§ 76 Abs. 1, 93 Abs. 1 S. 1 AktG | 83 | ||
| I. § 76 Abs. 1 AktG | 83 | ||
| II. § 93 Abs. 1 AktG | 84 | ||
| 1. Legalitätspflicht | 85 | ||
| 2. Legalitätskontrollpflicht | 86 | ||
| III. IT-Risikomanagement | 87 | ||
| IV. IT-Compliance | 89 | ||
| D. § 93 Abs. 1 S. 2 AktG | 90 | ||
| I. Allgemein | 91 | ||
| II. Tatbestandsvoraussetzungen | 92 | ||
| III. Rechtlich gebundene Entscheidungen und unbestimmte Rechtsbegriffe | 93 | ||
| E. Zwischenergebnis | 95 | ||
| Kapitel 5: Relevanz von Spezialgesetzen und Soft Law | 97 | ||
| A. Ausstrahlungswirkung von Spezialgesetzen | 98 | ||
| I. Methodische Grundlagen der Ausstrahlungswirkung | 99 | ||
| 1. Rechtsfortbildung | 100 | ||
| 2. Auslegung | 101 | ||
| II. Arten der Ausstrahlungswirkung | 102 | ||
| III. Spezialgesetze als Lex specialis | 103 | ||
| IV. Bedenken gegen Ausstrahlungswirkung | 104 | ||
| V. Zwischenergebnis | 108 | ||
| B. Ausstrahlungswirkung von Soft Law | 108 | ||
| I. Relevanz von Soft Law | 109 | ||
| II. Übertragbarkeit der Vorgaben | 109 | ||
| C. Bedeutung von Spezialgesetzen und Soft Law bei Cybersecurity | 110 | ||
| I. Risikomanagement und Compliance | 111 | ||
| 1. Spezialgesetze | 111 | ||
| 2. Soft Law | 113 | ||
| II. Cybersecurity | 115 | ||
| 1. Spezialgesetzliche Vorgaben | 115 | ||
| 2. Soft Law | 118 | ||
| a) Relevanz im Rahmen des Aktienrechts | 118 | ||
| b) Einzelne Standards | 122 | ||
| III. Business Judgement Rule | 122 | ||
| 1. Gesetzliche Vorgaben | 123 | ||
| 2. Soft Law | 123 | ||
| IV. Stand der Technik | 125 | ||
| V. Vertragliche Übertragungen | 126 | ||
| D. Zwischenergebnis | 127 | ||
| Kapitel 6: Relevanz von Cybersecurity für Vorstand und Aufsichtsrat | 129 | ||
| A. Anforderungen an die Qualifikation des Vorstands | 129 | ||
| I. Aktienrechtliche Qualifikationsanforderungen | 130 | ||
| II. Ermessen des Aufsichtsrats bei der Bestellung des Vorstands | 133 | ||
| III. Einfluss des KWG und des VAG auf die Qualifikationsanforderungen | 133 | ||
| IV. Zwischenergebnis | 136 | ||
| B. Delegation durch den Gesamtvorstand | 136 | ||
| I. Leitungsaufgaben in der Delegation | 137 | ||
| II. Delegation von Cybersecurity | 138 | ||
| 1. Horizontale Delegation | 138 | ||
| a) Allgemein | 138 | ||
| b) Überwachungspflicht | 141 | ||
| 2. Vertikale Delegation | 143 | ||
| a) Allgemein | 144 | ||
| b) Überwachungsaufgabe | 146 | ||
| 3. Delegation an Dritte | 147 | ||
| a) Im Aktienrecht | 147 | ||
| b) Besonderheiten bei Cybersecurity | 149 | ||
| aa) Outsourcing digitaler Funktionen | 149 | ||
| bb) Outsourcing von Cybersecurity-Maßnahmen | 150 | ||
| c) Ausgestaltung des Outsourcings | 151 | ||
| aa) Generelles zur Ausgestaltung und Relevanz von Spezialgesetzen | 151 | ||
| bb) Kettenauslagerung | 152 | ||
| cc) Finanzielles Risiko | 152 | ||
| dd) Schutzrechte im Vertrag | 153 | ||
| III. Nicht delegierbare Kernbereiche von Cybersecurity | 154 | ||
| IV. Kontroll- und Überwachungspflichten bei Delegation von Cybersecurity | 155 | ||
| 1. Auswahl des Delegationsempfängers | 156 | ||
| 2. Kontrolle des Delegationsempfängers | 157 | ||
| V. Zwischenergebnis | 158 | ||
| C. Aufsichtsrat | 158 | ||
| I. Überwachung | 158 | ||
| 1. Unternehmensorganisation und Cybersecurity als Überwachungsgegenstand | 159 | ||
| 2. Überwachung des ISB | 162 | ||
| II. Beratung | 162 | ||
| III. Information des Aufsichtsrats | 164 | ||
| 1. Durch den Vorstand | 164 | ||
| 2. Eigene Informationspflicht und -möglichkeit | 165 | ||
| a) Allgemein | 165 | ||
| b) Informationsordnung | 166 | ||
| c) Auskunftsverlangen gegenüber Mitarbeitern | 166 | ||
| d) Auskunftsrecht des Prüfungsausschusses | 168 | ||
| IV. Anforderungen an die Qualifikation | 169 | ||
| 1. Aktienrechtliche Anforderungen | 169 | ||
| a) Allgemeine persönliche Qualifikation | 169 | ||
| b) Anforderung in Abhängigkeit vom jeweiligen Unternehmen | 171 | ||
| 2. DCGK | 172 | ||
| 3. Digitalisierungs- und Cybersecurity-Expertise | 172 | ||
| a) Cybersecurity-Know-how des Aufsichtsrats | 173 | ||
| b) Technologische Unterstützung | 174 | ||
| c) Steigerung der IT-Sicherheitskenntnisse | 175 | ||
| V. Interne Organisation | 175 | ||
| 1. Zustimmungspflichtiges Geschäft | 176 | ||
| 2. Expertenmitglied | 177 | ||
| 3. Aufsichtsratsausschuss | 179 | ||
| a) Cybersecurity-Ausschuss | 180 | ||
| b) Cybersecurity im Rahmen bestehender Ausschüsse | 181 | ||
| VI. Zwischenergebnis | 182 | ||
| Kapitel 7: Unternehmensorganisation durch ein ISMS | 183 | ||
| A. Informationssicherheitsmanagementsystem | 184 | ||
| I. Grundlagen | 185 | ||
| II. Verpflichtende Einrichtung | 186 | ||
| 1. ISMS nach § 91 Abs. 3 AktG | 186 | ||
| 2. ISMS nach § 91 Abs. 2 AktG | 187 | ||
| 3. ISMS nach §§ 76 Abs. 1, 93 Abs. 1 AktG | 187 | ||
| 4. Spezialgesetze | 189 | ||
| B. Rechtliche Anforderungen an ein ISMS | 189 | ||
| I. Aktienrechtliche Anforderungen | 189 | ||
| II. Spezialgesetzliche Anforderungen | 190 | ||
| 1. DSGVO | 190 | ||
| 2. BSIG | 192 | ||
| a) Allgemein | 192 | ||
| b) Gesetzliche Anforderungen | 193 | ||
| 3. KWG | 195 | ||
| 4. VAG | 196 | ||
| 5. GeschGehG | 197 | ||
| C. Ausgestaltung nach Soft-Law-Vorgaben | 198 | ||
| I. BSI-IT-Grundschutz | 198 | ||
| II. BAIT und VAIT | 200 | ||
| III. Ausgestaltung nach BSI-Standard 200–1 | 203 | ||
| 1. Sicherheitsprozess als PDCA-Zyklus | 203 | ||
| a) Plan | 204 | ||
| b) Do | 204 | ||
| c) Check | 205 | ||
| d) Act | 205 | ||
| 2. Managementprinzipien | 205 | ||
| a) Aufgaben und Pflichten des Managements | 206 | ||
| b) Weitere Managementprinzipien | 207 | ||
| 3. Ressourcen | 207 | ||
| 4. Einbindung der Mitarbeiter | 208 | ||
| IV. Vergleichbarkeit der Systeme | 209 | ||
| D. Zwischenergebnis | 209 | ||
| Kapitel 8: Preparedness: Funktionen eines ISMS | 211 | ||
| A. IT-Sicherheitsziele und Rahmenbedingungen | 212 | ||
| I. Sicherheitsziele | 212 | ||
| II. Sicherheitskultur | 213 | ||
| III. Gesetzliche Rahmenbedingungen und Compliance | 214 | ||
| B. Sicherheitsstrategie | 215 | ||
| I. Allgemein | 215 | ||
| II. Informationsverbund | 216 | ||
| III. Risikotragfähigkeit, Risikoappetit und Risikotoleranz | 216 | ||
| C. Sicherheitsorganisation | 218 | ||
| I. Allgemeines | 218 | ||
| 1. Organisationsstrukturen | 219 | ||
| 2. Prozesse | 220 | ||
| 3. Rollen und Aufgaben | 220 | ||
| 4. Three-Lines-Modell | 221 | ||
| II. Leitlinie zur Informationssicherheit | 223 | ||
| III. IT-Richtlinie des Unternehmens | 224 | ||
| 1. Inhalt und Ziele | 224 | ||
| 2. Verpflichtende Einrichtung durch den Vorstand | 225 | ||
| 3. Verbindliche Einhaltung durch die Mitarbeiter | 226 | ||
| 4. Inhaltliche Ausgestaltung | 228 | ||
| 5. Meldepflichten und Verhalten bei Verdachtsfällen | 230 | ||
| IV. Informationssicherheitsbeauftragter | 231 | ||
| 1. Verpflichtende Bestellung | 232 | ||
| 2. Aufgaben und Verantwortung | 234 | ||
| 3. Qualifikation des ISB | 237 | ||
| 4. Strukturelle Anbindung an das Unternehmen | 238 | ||
| a) Interner ISB | 239 | ||
| aa) Organisatorische Anbindung | 240 | ||
| bb) Weisungsunabhängigkeit | 241 | ||
| cc) Angemessene Ressourcen | 242 | ||
| b) Externer ISB | 243 | ||
| 5. Verhältnis zu übrigen Unternehmensbeauftragten | 243 | ||
| 6. Haftung | 245 | ||
| V. Interne Kommunikation | 247 | ||
| 1. Informationssystem und -organisation (bottom-up) | 248 | ||
| a) Pflicht zur Einrichtung eines Informationssystems | 248 | ||
| aa) Aktienrechtliche Sorgfaltspflicht | 249 | ||
| bb) Meldepflichten als Grundlage der Informationsverantwortung | 250 | ||
| cc) BJR als Grundlage der Informationsverantwortung | 251 | ||
| b) Ausgestaltung des Informationssystems | 251 | ||
| c) Information weiterer interner Stakeholder | 253 | ||
| 2. Hinweisgebersystem (Whistleblower) | 254 | ||
| a) Rechtliche Rahmenbedingungen | 254 | ||
| b) Konzept und Nutzen | 255 | ||
| c) Inhaltliche Reichweite | 258 | ||
| 3. Kommunikation von Entscheidungen (top-down) | 259 | ||
| VI. Zwischenergebnis | 259 | ||
| D. Cybersecurity-Konzept als Risikomanagementprozess | 260 | ||
| I. Analyse der Risiken | 261 | ||
| 1. Verpflichtende Risikoanalyse | 263 | ||
| 2. Ausgestaltung | 265 | ||
| a) Risikoidentifikation | 266 | ||
| aa) Lokalisierung der Schutzgüter | 266 | ||
| bb) Mögliche Risiken | 267 | ||
| cc) Relevante IT-Risikoquellen | 269 | ||
| b) Risikobewertung | 269 | ||
| c) Compliance-Risikoanalyse | 271 | ||
| II. Steuerung der Risiken | 271 | ||
| 1. Rechtliche Grundlagen | 272 | ||
| 2. Steuerungsmöglichkeiten | 272 | ||
| a) Risikoakzeptanz | 273 | ||
| b) Risikovermeidung | 275 | ||
| c) Risikotransfer | 276 | ||
| d) Risikoreduzierung | 276 | ||
| III. Auswahl der Maßnahmen | 276 | ||
| 1. Rechtliche Rahmenbedingungen | 277 | ||
| 2. Technische Maßnahmen | 278 | ||
| a) Allgemeine Maßnahmen | 278 | ||
| b) Wahrung des Stands der Technik | 281 | ||
| 3. Organisatorische Maßnahmen | 283 | ||
| 4. Physische Maßnahmen | 283 | ||
| 5. Personelle Maßnahmen | 284 | ||
| 6. Cyberversicherungen | 284 | ||
| a) Aufbau einer Cyberversicherung | 285 | ||
| aa) Basis-Baustein | 286 | ||
| bb) Service- und Kostenbaustein | 287 | ||
| cc) Drittschaden-Baustein | 288 | ||
| dd) Eigenschaden-Baustein | 288 | ||
| ee) Lösegeld-Baustein | 288 | ||
| b) Vorgaben zum Sicherheitsniveau | 289 | ||
| c) Pflicht zum Abschluss einer Cyberversicherung | 291 | ||
| IV. Umsetzung der Maßnahmen | 293 | ||
| V. Zwischenergebnis | 293 | ||
| E. Rechtliche Beschränkungen von IT-Sicherheitsmaßnahmen | 294 | ||
| I. Arbeitsrechtliche Problemfelder | 295 | ||
| 1. Mitbestimmung des Betriebsrats | 295 | ||
| 2. Arbeitnehmerhaftung | 296 | ||
| II. Datenschutzrechtliche Problemfelder | 297 | ||
| III. Strafrechtliche Problemfelder | 298 | ||
| F. Überprüfung und Überwachung | 298 | ||
| I. Anleihen des allgemeinen Aktienrechts | 299 | ||
| II. Konkrete Anforderungen an die Überwachung | 300 | ||
| 1. Prozessintegrierte Überwachung | 301 | ||
| 2. Prozessunabhängige Überwachung | 303 | ||
| G. Anpassungen | 304 | ||
| H. Dokumentation | 306 | ||
| Kapitel 9: Response: Business-Continuity | 308 | ||
| A. Business-Continuity-Management-System | 309 | ||
| I. Spezialgesetzliche Grundlagen | 310 | ||
| II. Verpflichtende Einrichtung eines BCMS | 311 | ||
| III. Ausgestaltung | 313 | ||
| IV. Leitlinie des BCMS | 314 | ||
| V. Verhältnis zu anderen Managementsystemen | 315 | ||
| B. Organisation | 316 | ||
| I. BC-Aufbauorganisation | 317 | ||
| II. Besondere Aufbauorganisation und das Notfallteam | 318 | ||
| 1. Aufgaben des Notfallteams | 318 | ||
| 2. Zusammensetzung des Notfallteams | 319 | ||
| 3. Involvierung des Vorstands | 321 | ||
| III. Externe Berater | 322 | ||
| C. Notfallkonzept | 324 | ||
| I. BCM-Analysen | 324 | ||
| II. BC-Strategien | 326 | ||
| III. Umsetzung der Strategien | 327 | ||
| 1. IT-Notfallpläne | 328 | ||
| 2. IT-Notfallhandbuch | 328 | ||
| D. Bewältigung | 329 | ||
| I. Chronologischer Ablauf der Bewältigung | 330 | ||
| II. Ausgewählte Maßnahmen | 332 | ||
| 1. Systeme zur Angriffserkennung | 332 | ||
| 2. Datenrettung | 332 | ||
| 3. Alternative Prozesse und Ressourcen | 333 | ||
| 4. IT-Forensik zur Angriffsanalyse | 334 | ||
| III. Rechtliche Maßnahmen | 335 | ||
| IV. Nachgelagerte Maßnahmen | 336 | ||
| E. Interne Kommunikation | 337 | ||
| I. Initialmeldung und Informationskette bei Cyberincidents | 337 | ||
| 1. Initialmeldung | 337 | ||
| 2. Informationskette | 338 | ||
| 3. Informationssystem während der Bewältigung | 340 | ||
| II. Kommunikation von Entscheidungen | 341 | ||
| III. Offenlegung gegenüber Beratern und Ermittlungsbehörden | 341 | ||
| F. Meldepflichten | 341 | ||
| I. DSGVO | 342 | ||
| 1. Art. 33 Abs. 1 DSGVO | 343 | ||
| 2. Art. 34 Abs. 1 DSGVO | 345 | ||
| II. BSIG | 345 | ||
| III. Vertragliche Meldepflichten | 347 | ||
| G. Insiderrecht und Ad-hoc-Publizität | 348 | ||
| I. Adressat der Ad-hoc-Publizitätspflicht | 348 | ||
| II. Cyberincident als Insiderinformation | 350 | ||
| 1. Präzise Information | 351 | ||
| 2. Unmittelbare Betroffenheit | 352 | ||
| 3. Nicht öffentlich bekannt | 352 | ||
| 4. Kursbeeinflussungspotential | 353 | ||
| III. Veröffentlichungspflicht | 356 | ||
| 1. Kenntnis des Emittenten | 357 | ||
| 2. Informationssystem des Unternehmens | 359 | ||
| a) Informationserkennung | 360 | ||
| b) Informationsweiterleitung | 360 | ||
| c) Informationsbewertung | 361 | ||
| d) Informationsveröffentlichung | 361 | ||
| 3. Überprüfungszeit | 362 | ||
| IV. Aufschieben der Veröffentlichung | 363 | ||
| 1. Berechtigte Interessen | 363 | ||
| a) Allgemein | 364 | ||
| b) Berechtigtes Interesse im Rahmen eines Cyberincidents | 366 | ||
| 2. Keine Irreführung der Öffentlichkeit | 368 | ||
| 3. Sicherstellung der Geheimhaltung | 370 | ||
| a) Weitergabe der Insiderinformation | 371 | ||
| b) Cyberspezifische Probleme der Geheimhaltung | 373 | ||
| c) Fehlende Geheimhaltung wegen Kenntnis des Cyberangreifers | 375 | ||
| d) Meldepflichten eines Cyberincidents im Rahmen der Geheimhaltung | 377 | ||
| 4. Aufschiebungsentscheidung | 378 | ||
| a) Zuständiges Organ | 379 | ||
| b) Beurteilungsspielraum | 380 | ||
| 5. Veröffentlichung von Zwischenschritten | 381 | ||
| 6. Rechtsfolge und Meldepflicht | 382 | ||
| V. Verfahren und Inhalt | 382 | ||
| VI. Zwischenergebnis | 383 | ||
| H. Externe Kommunikation | 384 | ||
| I. Aufgaben | 385 | ||
| II. Konsequenzen für die Unternehmensorganisation | 386 | ||
| III. Relevante Gruppen | 386 | ||
| 1. Mitarbeiter des Unternehmens | 387 | ||
| 2. Aktionäre | 387 | ||
| 3. Geschäfts- und Vertragspartner | 388 | ||
| 4. Breite Öffentlichkeit | 389 | ||
| I. Rechtliche Rahmenbedingungen von Lösegeldzahlungen | 389 | ||
| I. Allgemeines | 390 | ||
| II. Strafrechtliche Relevanz | 391 | ||
| III. Anderweitige gesetzliche Verstöße | 393 | ||
| IV. Aktienrechtliche Implikationen | 394 | ||
| 1. Annahme der Strafbarkeit/Rechtswidrigkeit | 394 | ||
| 2. Unklare Rechtslage | 396 | ||
| 3. Unternehmensinteresse | 396 | ||
| V. Zwischenergebnis | 397 | ||
| J. Kontrolle und Verbesserung | 398 | ||
| K. Dokumentation | 399 | ||
| Kapitel 10: Gesetzlicher Regelungsbedarf für Cybersecurity | 401 | ||
| A. Möglichkeit der Formulierung abstrakter Vorgaben | 401 | ||
| I. Regelungsbedarf | 402 | ||
| 1. Cybersecurity-Vorgaben als Flickenteppich | 402 | ||
| 2. Gefahr der Organhaftung | 403 | ||
| a) Tatbestandliche Voraussetzungen | 403 | ||
| b) Enthaftung | 404 | ||
| c) Folgen | 405 | ||
| 3. Positive Effekte einer Regelung | 405 | ||
| II. Gründe gegen eine Regelung | 406 | ||
| III. Schutzgut einer Regelung | 407 | ||
| IV. Regelungsqualität | 408 | ||
| 1. Lagebericht | 409 | ||
| 2. DCGK | 409 | ||
| V. Zwischenergebnis | 412 | ||
| B. Regelungsbedarf nach NIS2UmsuCG | 412 | ||
| I. Regelungsinhalt | 413 | ||
| 1. Anwendungsbereich | 413 | ||
| 2. IT-Risikomanagement | 414 | ||
| 3. Katalog technischer und organisatorischer Maßnahmen | 414 | ||
| 4. Geschäftsleiterpflichten | 415 | ||
| II. Übertragbarkeit auf die allgemeine AG | 416 | ||
| III. Zwischenergebnis | 417 | ||
| C. Ansatzpunkte und Inhalte einer möglichen Regelung | 418 | ||
| I. Anwendungsbereich | 418 | ||
| II. Regelungskonzepte | 419 | ||
| 1. Prinzipienbasierte Regelung | 419 | ||
| 2. Regelungskonzepte in Zusammenarbeit mit staatlichen Stellen | 420 | ||
| III. Konkrete Regelungsvorschläge | 422 | ||
| 1. Angemessenheit und Wirksamkeit | 422 | ||
| 2. Technische und organisatorische Maßnahmen | 423 | ||
| 3. Stand der Technik | 424 | ||
| 4. Informationssicherheitsbeauftragter | 424 | ||
| IV. Mehrwert einer prinzipienbasierten Regelung | 425 | ||
| V. Regelung auf Ebene des Aufsichtsrats | 426 | ||
| VI. Zwischenergebnis | 427 | ||
| Kapitel 11: Thesen | 429 | ||
| Literaturverzeichnis | 432 | ||
| Stichwortverzeichnis | 452 |