Ein erfolgreicher Angriff beginnt selten mit Technik allein. Für die Geschäftsleitung wird er zum Problem, wenn aus einem IT-Vorfall eine bestandsgefährdende Entwicklung wird. Genau dort trifft das Thema staRUG cyberrisiken geschäftsführung einen wunden Punkt vieler mittelständischer Unternehmen: Cyberrisiken sind längst nicht mehr nur operative Störungen, sondern können zur Frage ordnungsgemäßer Unternehmenssteuerung werden.

Wer als Geschäftsführer Cybergefahren weiterhin ausschließlich an die IT delegiert, unterschätzt die wirtschaftliche Tragweite. Produktionsausfälle, Betriebsunterbrechungen, Vertragsstrafen, Datenschutzfolgen, Krisenkommunikation und externe Forensik können sich in kurzer Zeit zu einer Lage verdichten, die Liquidität, Finanzierung und Fortführungsfähigkeit belastet. StaRUG macht aus dieser Entwicklung kein IT-Thema, sondern ein Leitungs- und Frühwarnungsthema.

Was StaRUG für Cyberrisiken der Geschäftsführung bedeutet

Das Unternehmensstabilisierungs- und -restrukturierungsgesetz hat die Erwartungen an die Unternehmensleitung geschärft. Im Kern geht es darum, bestandsgefährdende Risiken früh zu erkennen und geeignete Gegenmaßnahmen zu organisieren. Cyberrisiken fallen heute ohne Weiteres in diesen Rahmen, wenn sie geeignet sind, den Fortbestand des Unternehmens zu gefährden oder wesentliche Vermögenswerte, Lieferfähigkeit oder Finanzierung zu beeinträchtigen.

Für die Geschäftsführung heißt das nicht, jede technische Einzelmaßnahme selbst zu steuern. Die Pflicht liegt vielmehr darin, ein angemessenes System zur Risikoerkennung und Krisenvorsorge zu etablieren. Dazu gehört, Cyberrisiken nicht nur abstrakt zu dokumentieren, sondern hinsichtlich Eintrittswahrscheinlichkeit, möglicher Schadenshöhe, Abhängigkeiten und Reaktionsfähigkeit realistisch zu bewerten.

Gerade im Mittelstand entsteht hier eine Lücke. Viele Unternehmen verfügen über IT-Dienstleister, Firewalls, Backups und Awareness-Maßnahmen. Was oft fehlt, ist die Verbindung zur Unternehmenssteuerung: Welche Szenarien wären tatsächlich existenzkritisch? Wie schnell ließe sich der Betrieb wiederherstellen? Welche vertraglichen Verpflichtungen würden reißen? Und welche finanziellen Folgen bleiben trotz technischer Maßnahmen beim Unternehmen?

Cyberrisiken sind keine reine IT-Frage

In der Praxis entstehen die größten Schäden selten aus der eigentlichen Kompromittierung, sondern aus den Folgekosten. Fällt ein ERP-System aus, stockt nicht nur die IT, sondern Auftragsabwicklung, Einkauf, Versand, Rechnungsstellung und Liquiditätszufluss. Werden Kundendaten oder sensible interne Daten betroffen, kommen Meldepflichten, Kommunikationsaufwand und mögliche Haftungsfolgen hinzu. Betrifft ein Vorfall kritische Dienstleister oder Cloud-Abhängigkeiten, wird aus einem Sicherheitsproblem sehr schnell ein Steuerungsproblem.

Die Geschäftsführung muss deshalb auf zwei Ebenen denken. Erstens technisch-organisatorisch: Welche Schutzmaßnahmen sind angemessen, nachweisbar und wirksam? Zweitens finanziell-strukturell: Welche Restrisiken verbleiben trotz dieser Maßnahmen und wie werden sie getragen? Genau an dieser Stelle gehört Cyberversicherung in die strategische Betrachtung – nicht als Ersatz für IT-Sicherheit, sondern als dritte Säule neben Prävention und Incident Response.

StaRUG cyberrisiken geschäftsführung – wo Haftungsrisiken entstehen

Haftung entsteht nicht automatisch, nur weil ein Cyberangriff stattfindet. Maßgeblich ist, ob die Geschäftsleitung Risiken pflichtgemäß erkannt, bewertet, adressiert und überwacht hat. Ein Vorfall kann trotz solider Organisation eintreten. Kritisch wird es, wenn sich im Nachgang zeigt, dass erkennbare Risiken über längere Zeit ignoriert wurden, Zuständigkeiten unklar waren oder Versicherungs- und Sicherheitsanforderungen zwar bekannt, aber nicht umgesetzt wurden.

Besonders heikel ist die Situation, wenn Warnsignale vorhanden waren. Dazu zählen wiederkehrende Sicherheitsmängel ohne Priorisierung, fehlende Mehrfaktor-Authentifizierung bei kritischen Zugängen, ungetestete Backups, keine geregelte Notfallkommunikation oder eine Cyberpolice, deren Voraussetzungen intern nicht erfüllt werden. Dann geht es nicht mehr nur um Schadenbegrenzung, sondern auch um die Frage, ob die Unternehmensleitung ihrer Organisationsverantwortung ausreichend nachgekommen ist.

Dabei gilt immer: Angemessenheit ist keine starre Größe. Ein kleineres Unternehmen muss nicht dieselben Strukturen aufbauen wie ein Konzern. Es muss aber zeigen können, dass es seine konkrete Risikolage verstanden und daraus nachvollziehbare Maßnahmen abgeleitet hat. Wer hohe digitale Abhängigkeiten, sensible Daten oder knappe Wiederanlaufzeiten hat, braucht ein entsprechend belastbares Steuerungsmodell.

Was die Geschäftsführung dokumentieren können sollte

Entscheidend ist nicht nur, dass Maßnahmen existieren, sondern dass sie belastbar nachvollzogen werden können. In einer Prüfungssituation zählt, ob Entscheidungen strukturiert getroffen wurden und ob Risiken in die Unternehmensführung eingebettet sind. Dazu gehört ein realistischer Überblick über kritische Prozesse, wesentliche Systeme, externe Abhängigkeiten und wirtschaftliche Schadensszenarien.

Ebenso wichtig ist die Trennung zwischen vorhandenen Schutzmaßnahmen und tatsächlicher Versicherbarkeit. Viele Unternehmen gehen davon aus, dass ihre technischen Standards automatisch zu umfassendem Versicherungsschutz führen. Das ist zu kurz gedacht. Versicherer prüfen heute deutlich genauer, ob Sicherheitsangaben belastbar sind, ob Obliegenheiten eingehalten werden und ob die tatsächliche IT-Organisation zur beantragten Deckung passt. Zwischen Selbsteinschätzung und Policenrealität liegt oft ein riskanter Abstand.

Für die Geschäftsführung bedeutet das: Dokumentation ist nicht bloße Formalität, sondern Teil der Risikosteuerung. Wer nur auf den Versicherungsabschluss schaut, aber die operative Umsetzbarkeit der Anforderungen offenlässt, schafft neue Unsicherheit statt Entlastung.

Warum Cyberversicherung unter StaRUG nicht isoliert betrachtet werden sollte

Cyberversicherung wird häufig erst dann diskutiert, wenn ein Fragebogen auf dem Tisch liegt oder ein Kunde Sicherheitsnachweise verlangt. Strategisch sinnvoll ist ein anderer Weg. Zuerst steht die Frage, welche Cyberereignisse die wirtschaftliche Stabilität des Unternehmens ernsthaft gefährden können. Danach folgt die Prüfung, welche technischen, organisatorischen und vertraglichen Maßnahmen diese Risiken reduzieren. Erst dann lässt sich sauber beurteilen, welcher Restrisiko-Transfer über eine Police sinnvoll und überhaupt versicherbar ist.

Diese Reihenfolge ist wichtig, weil eine Police nur dann ihren Zweck erfüllt, wenn Deckung, Sicherheitsniveau und betriebliche Realität zusammenpassen. Eine umfangreich klingende Versicherung hilft wenig, wenn im Ernstfall Ausschlüsse, Obliegenheitsverletzungen oder unklare Schadenkategorien zu Diskussionen führen. Umgekehrt kann eine gut strukturierte Police erhebliche Stabilität schaffen – etwa durch Kostenübernahme für Forensik, Wiederherstellung, Betriebsunterbrechung, Krisenmanagement oder Haftpflichtkomponenten.

Für Geschäftsführer ist das keine Detailfrage des Einkaufs, sondern ein Element geordneter Krisenvorsorge. Wer Cyberversicherung als Teil des Risikomanagements versteht, trifft belastbarere Entscheidungen als jemand, der nur Prämien und Summen vergleicht.

So entsteht ein belastbarer Umgang mit Cyberrisiken

Ein praxistauglicher Ansatz beginnt mit einer ehrlichen Standortbestimmung. Welche Prozesse sind wirklich geschäftskritisch? Welche Ausfallzeiten wären wirtschaftlich nicht tragbar? Welche Systeme, Dienstleister und Personen sind dafür unverzichtbar? Daraus ergibt sich, wo Cyberrisiken bestandsgefährdend werden können.

Im nächsten Schritt müssen Schutzmaßnahmen mit Versichererwartungen abgeglichen werden. Nicht jede IT-Struktur ist automatisch versicherbar, und nicht jede versicherbare Konstellation ist aus Unternehmenssicht ausreichend abgesichert. Genau deshalb ist die Abstimmung zwischen Geschäftsführung, IT-Verantwortlichen, externem IT-Partner und spezialisiertem Makler so wertvoll. Sie schafft eine gemeinsame Sicht auf das, was technisch vorhanden, regulatorisch relevant und vertraglich gedeckt ist.

An dieser Stelle zeigt sich auch der Unterschied zwischen Einkauf und Beratung. Ein strukturierter Prozess prüft nicht nur, ob eine Police abgeschlossen werden kann, sondern ob sie im Ernstfall voraussichtlich belastbar funktioniert. Das betrifft Fragebogendaten ebenso wie Sicherheitsnachweise, Deckungsbausteine, Selbstbehalte, Meldewege und das Zusammenspiel mit internen Notfallabläufen.

Was mittelständische Unternehmen jetzt konkret mitnehmen sollten

StaRUG erhöht nicht die Zahl der Cyberangriffe. Es verändert aber den Maßstab, nach dem mit bestandsgefährdenden Risiken umzugehen ist. Für die Geschäftsführung heißt das: Cyber muss in die Sprache der Unternehmenssteuerung übersetzt werden. Nicht jeder Angriff gefährdet den Fortbestand, aber jedes Unternehmen sollte wissen, welches Szenario genau diese Schwelle überschreiten würde.

Wer hier Klarheit schafft, gewinnt mehr als nur Compliance-Nähe. Das Unternehmen wird entscheidungsfähiger. Sicherheitsmaßnahmen lassen sich besser priorisieren, Investitionen nachvollziehbarer begründen und Versicherungsschutz präziser strukturieren. Gerade im Mittelstand ist das ein Vorteil, weil Budgets begrenzt sind und Maßnahmen deshalb passen müssen, statt nur gut zu klingen.

CyberShield begleitet Unternehmen genau an dieser Schnittstelle aus Sicherheitsanforderungen, Versicherbarkeit und Leitungsverantwortung. Das ist besonders dann relevant, wenn bereits eine Police besteht, aber offen ist, ob sie zur tatsächlichen Risikolage passt.

Die sinnvollste nächste Frage lautet daher nicht, ob Cyber ein Thema der Geschäftsführung ist. Sie lautet, ob Ihr Unternehmen seine bestandsgefährdenden Cyberrisiken heute bereits so steuert, dass diese Antwort auch unter Druck noch trägt.