Die Gemengelage für viele Unternehmen ist angesichts der verschiedenen Risiken aktuell nicht einfach. Und das macht auch den Managern das Leben schwer, da ihr Haftungsrisiko steigt. Das Beratungsunternehmen WTW (früher Willis Towers Watson) hat zusammen mit der internationalen Anwaltssozietät Clyde & Co. ausgewertet, was Manager in Deutschland und international aktuell beschäftigt. Für die Umfrage wurden weltweit 662 Vorstände, Geschäftsführer und Risikomanager befragt.
In Deutschland nehmen Manager laut aktuellem „Directors and Officers Liability Survey“ vor allem Cyberrisiken als größtes Haftungsrisiko wahr. Die mit einem Hackerangriff verbundenen Gefahren eines Datenverlustes, von Betriebsunterbrechungen oder Erpressungen setzen Verantwortliche immer mehr unter Druck. 86 Prozent befürchten danach einen Datendiebstahl, 80 Prozent einen Cyberangriff, bei dem das Unternehmen etwa erpresst wird.
„Cyberrisiken bedrohen demnach nicht nur Unternehmen selbst, sondern auch deren Führungspersonen zunehmend“, sagt Lukas Nazaruk, Leiter der Abteilung „Corporate Risk & Broking Deutschland und Österreich“ bei WTW. „Manager können immer dann haften, wenn ihre Unternehmen keine ausreichenden IT-Sicherheitsmaßnahmen vorweisen können.“
Verstärkt werde das Risiko dabei durch neue Gesetze. Zu nennen ist hier etwa die sogenannte Dora-Verordnung der Europäischen Union. Dora steht für Digital Operational Resilience Act. Und mehr als 3.600 Unternehmen hierzulande werden sie im nächsten Jahr anwenden müssen, berichtet die Finanzaufsicht Bafin. Davon sind nicht nur Versicherungen und Rückversicherungen, sondern auch Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit betroffen.
Das Regelwerk soll den Finanzsektor besser gegen Cyberrisiken schützen. Wie das? Nun, Kern von Dora ist ein besseres Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Es soll vor allem gewährleisten, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden – und dass ihre Prozesse auch während eines Störungsfalls und danach aufrechterhalten werden können.
In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand – verantwortlich ist für das Management der IKT-Risiken. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Wissen im Unternehmen muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich. Sämtliche IKT-Vorfälle müssen die Finanzunternehmen klassifizieren. Schwerwiegende Vorfälle müssen sie an die zuständige Aufsichtsbehörde melden.
Ob das Ganze im eigenen Unternehmen klappt, müssen die Betriebe außerdem testen. Ausgewählte bedeutende Unternehmen des Finanzsektors sollen zudem spezielle Penetrationstests durchführen. Dabei werden Hacker damit beauftragt, IT-Schwachstellen beim Unternehmen aufzudecken. Alles in allem also ein umfangreiches Projekt – mit vielen offenen Flanken für die verantwortlichen Manager.
Einen weiteren Risikokomplex für Führungskräfte sieht die Umfrage von WTW in Verstößen zu Governance- und Compliance-Fragen: 80 Prozent der befragten Manager befürchten Bestechungs- oder Korruptionsvorwürfe und etwa 77 Prozent Konsequenzen aus einer fehlerhaften Unternehmensführung.
„Mehr als die Hälfte der deutschen Studienteilnehmer leitet international tätige Unternehmen – damit sind sie einer größeren Gefahr durch Korruption ausgesetzt als kleinere Organisationen“, sagt Philipp Rouget, Leiter der Abteilung „Financial Lines“ und D&O-Experte bei WTW. So sei aus Sicht der Risikomanager auch das Risiko im Zusammenhang mit Gesundheit und Sicherheit sprunghaft auf 80 Prozent gestiegen.
Als Hintergrund hierfür sieht Rouget insbesondere die neu verabschiedete EU-Lieferkettenrichtlinie sowie das Lieferkettensorgfaltspflichtengesetz. Diese Regularien verpflichten Unternehmen, Standards bei Menschenrechts- und Umweltaspekten in der Lieferkette einzuhalten und diese in der Geschäftstätigkeit und der Unternehmensführung zu verankern. Aber auch die geopolitische Situation – sprich die diversen Kriege in der Welt – spielt eine große Rolle.
Was momentan eher nicht oben bei den Managern auf der Agenda steht, ist der Klimawandel. „Nur sehr große Unternehmen sehen in Umweltrisiken einen Treiber für D&O-Schäden; für das Gros der Befragten sind andere Risiken wichtiger beziehungsweise schwieriger zu handhaben“, so Nazaruk. „Auch die ESG-Verpflichtungen tragen dazu bei, dass Klimarisiken für Manager zunehmend als beherrschbarer angesehen werden.“
Schutz gegen die finanziellen Folgen der Managerhaftung bietet die Managerhaftpflichtversicherung, auch Directors-and-Officers-Versicherung (D&O-Versicherung) genannt. Hier fragte WTW die Entscheider, was sie denn beeinflusst, sich eine solche Police zuzulegen.
Rund 72 Prozent der befragten Unternehmen in Deutschland nennen Kosten als den wichtigsten Faktor bei der Höhe der D&O-Versicherungssumme, 66 Prozent geben die Empfehlung des Maklers als maßgeblich an. „Die Jahre des harten Marktes haben unter diesem Gesichtspunkt in einigen Fällen zu teils deutlichen Reduktionen der Versicherungssummen geführt“, so Rouget.
Im Lichte der stetig steigenden Haftungsrisiken sei eine Überprüfung der bestehenden Versicherungssummen zur anstehenden Erneuerung empfehlenswert. Rouget: „Aus unserer Sicht bietet der aktuelle D&O-Markt entgegen den geopolitischen und makroökonomischen Rahmenbedingungen gute Chancen, die Versicherungssummen effizient zu erhöhen.“
