NIS-2-Geschäftsleitungshaftung im Praxistest am Beispiel des SonicWall-Datenlecks

Die Geschäftsleitung trägt die persönliche Verantwortung dafür, dass Risikomanagementmaßnahmen umgesetzt und überwacht werden (§ 38 Abs. 1 BSIG-E). Der Umstand, dass sensible Firewall-Konfigurationsdaten einem externen Cloud-Dienstleister anvertraut wurden, deutet auf eine primäre Verletzung der Pflicht zur Sicherheit der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG-E) hin. 

Erforderliches Verhalten wäre gewesen:

• Cyber-Kompetenz und Schulung: Die gesetzlich zur Schulung verpflichtete Geschäftsleitung (§ 38 Abs. 3 BSIG-E) hätte zunächst die Fähigkeit besitzen müssen, sowohl die Auswahl des Firewall-Anbieters als auch die Auswirkungen eines Angriffs zu bewerten und die richtigen Fragen zu stellen, statt dies als reine IT-Aufgabe zu betrachten.
• Risikobewertung des Anbieters: Ein Firewall-Anbieter agiert als Cloud-Dienstanbieter und möglicherweise als MSP (Managed Security Provider), beides sogar explizit selbst im Anwendungsbereich von der NIS-2-Richtlinie genannte Einrichtungsarten und damit immer relevant für die Cybersecurity eines von der NIS-2-Richtlinie erfassten Unternehmens. Die Geschäftsleitung hätte sicherstellen müssen, dass die Schwachstellen und die Cybersicherheitspraktiken des Firewall-Anbieters (als unmittelbarer Anbieter) hinreichend bewertet werden. 
• Risikoakzeptanz der Datenspeicherung: Die Entscheidung, "Kronjuwelen" in Form der Firewall-Konfigurationsdaten des Netzwerks extern zu speichern, hätte formell gebilligt und protokolliert werden müssen. Eine entscheidende Schutzmaßnahme wäre die konsequente Anwendung von mandantenseitig (also kundenseitig) verwalteter Verschlüsselung (§ 30 Abs. 2 Nr. 8 BSIG-E) gewesen, was den Diebstahl wertlos gemacht hätte. 
• Proaktive Überwachung: Statt reaktiver Maßnahmen wären Investitionen in External Attack Surface Management (EASM) Scans zur kontinuierlichen Überwachung kritischer Dienstleister ein Nachweis für die Bewertung der Wirksamkeit gewesen. 
• Vertragliche Absicherung: Die Verträge mit dem Firewall-Anbieter hätten klare Sicherheitsklauseln, Audit- und Kontrollrechte sowie detaillierte Meldepflichten seitens des Anbieters enthalten müssen, um die eigenen NIS-2-Meldepflichten erfüllen zu können. 

Die Überwachungspflicht der Geschäftsleitung ist eine aktive Kontrollpflicht. Die Verletzung der Schulungs- und Überwachungspflichten (§ 38 BSIG-E) wird hier greifbar. Erforderliches Verhalten wäre gewesen: 

• Nachweisbare Aufsicht: Durch regelmäßige Berichte des CISO/IT-Leiters hätte die Wirksamkeit der Lieferketten-Sicherheitsmaßnahmen überprüft werden müssen. 
• Abwehr von Folgeschäden: Da die Firewall-Konfigurationsdaten aktiv genutzt werden, hätte die Geschäftsleitung die sofortige Umsetzung von Incident Response und Cyberhygiene (§ 30 Abs. 2 Nr. 2 BSIG-E) sicherstellen müssen, inklusive der Änderung von Passwörtern und der Anwendung des Prinzips der geringsten Rechte (PoLP).

Der Diebstahl der Firewall-Konfigurationsdaten erfüllt die Kriterien eines erheblichen Sicherheitsvorfalls. Die Geschäftsleitung ist für die korrekte Abwicklung verantwortlich – und haftet ggf. für Versäumnisse. 

• Erfüllung der Meldepflichten (§ 32 BSIG-E): Sicherstellung des gestuften Meldeprozesses an das BSI (24h-Frühwarnung, 72h-Bewertung, 1-Monats-Abschlussbericht). 
• Krisenmanagement und Unterrichtung Dritter: Aktivierung eines Krisenmanagements und potenzielle Information der eigenen Kunden auf Anweisung des BSI, um Kaskadeneffekte zu vermeiden (§ 35 BSIG-E). 
• Haftungsrisiken (§ 38 Abs. 2 BSIG-E): Der Vorfall schafft ein unmittelbares Haftungsrisiko. Eine Exkulpation ist nur möglich, wenn die Geschäftsleitung nachweisen kann, ihre Überwachungspflichten erfüllt zu haben. Die Frage, ob das Restrisiko bewusst und dokumentiert akzeptiert wurde, würde hier entscheidend sein.