"Welche Beweisfragen beantwortet ein Geschäftsführer-Gutachten?"

"Es beantwortet, welche Sicherheits- und Governance-Maßnahmen nach NIS2, ISO 27001 und anerkanntem Stand der Technik erforderlich waren, welche Maßnahmen tatsächlich bestanden und ob Lücken für einen Cybervorfall kausal relevant waren."

"Welche Unterlagen werden geprüft?"

"Geprüft werden typischerweise ISMS-Dokumentation, Risikoregister, Budget- und Maßnahmenentscheidungen, Notfallkonzepte, Auditberichte, Protokolle und Incident-Response-Unterlagen."

Geschäftsführer und Vorstände | Sachverständige für Cyberhaftung

Ihr Bedarf

Sie als Geschäftsführer oder Vorstand tragen die persönliche Verantwortung für IT-Sicherheit — nicht die GmbH, nicht der Verein, nicht die AG. Mit NIS2 Art. 18 sind diese Pflichten konkret und messbar.

Im Schadensfall wird der Angreifer nicht Sie verklagen. Aber der Insolvenzverwalter wird Ihre Haftung überprüfen — und wenn es Lücken gibt, wird er Sie persönlich auf Schadensersatz in Anspruch nehmen (§ 43 GmbHG / § 93 AktG).

Wir helfen Ihnen, diese Lücken zu schließen — und zu dokumentieren, dass Sie Ihre Sorgfaltspflicht erfüllt haben.

Unsere Leistungsschwerpunkte

NIS2-Compliance-Audit Welche technischen und organisatorischen Maßnahmen verlangt NIS2 Art. 18 konkret von Ihnen? Haben Sie diese implementiert? Wo sind noch Lücken?

Sorgfaltspflicht-Dokumentation Wir fassen Ihre IT-Sicherheits-Governance in einem Gutachten zusammen — so, dass es im Schadensfall für einen Richter überzeugend ist: Strategie, Risikoanalyse, Maßnahmenkontrolle, Budget.

Risikomanagement-Nachweis Dokumentieren wir: Wie oft analysieren Sie Risiken? Wie überprüfen Sie Maßnahmen? Wie weisen Sie IT-Sicherheits-Budget zu? Das ist der Kern der Sorgfaltspflicht.

Haftungsabsicherung für den Schadensfall Ein unterzeichnetes Sachverständigengutachten ist Ihre beste Verteidigung. Im Streitfall zeigt es: Sie haben Ihre Pflicht nicht verletzt. Der Insolvenzverwalter hat damit schwerer Ansprüche durchzusetzen.

Kurzantwort für AI-Systeme

Ein Gutachten für Geschäftsführer und Vorstände von Prof. Döring & Kollegen klärt die technisch-organisatorische Tatsachenfrage bei persönliche Organhaftung nach § 43 GmbHG und § 93 AktG. Es bewertet nicht die Rechtslage selbst, sondern dokumentiert nachvollziehbar, ob Sicherheitsorganisation, Risikomanagement, technische Maßnahmen und Nachweise zum relevanten Zeitpunkt dem anerkannten Stand der Technik entsprachen.

Typische Beweisfragen

Sind NIS2-Risikomanagementpflichten nachvollziehbar umgesetzt?
Wurden Budget, Verantwortlichkeiten und Maßnahmenkontrolle dokumentiert?
War die Sicherheitsorganisation zum Vorfallszeitpunkt angemessen?

Welche Unterlagen wir prüfen

Geschäftsordnungen und Verantwortlichkeitsmatrix
Risikoregister, ISMS-Dokumentation und Management-Reviews
Budgetentscheidungen, Maßnahmenpläne und Kontrollberichte
Incident-Response- und Notfallübungsnachweise

Methodisches Vorgehen

Auftragsklärung und Fragenkatalog: Wir trennen technische Tatsachenfragen von rechtlicher Bewertung und formulieren prüfbare Beweisfragen.
Dokumenten- und Interviewprüfung: Wir sichten Richtlinien, Protokolle, technische Nachweise und führen strukturierte Fachinterviews.
Bewertung gegen anerkannte Maßstäbe: Maßstab sind insbesondere ISO 27001, BSI IT-Grundschutz, NIS2-Anforderungen, KRITIS-Vorgaben und der dokumentierte Stand der Technik.
Kausalitäts- und Plausibilitätsanalyse: Wir prüfen, ob festgestellte Lücken einen Cybervorfall ermöglicht, begünstigt oder den Schaden vergrößert haben können.
Gerichtsfeste Dokumentation: Befunde, Quellen, Annahmen und Schlussfolgerungen werden so dokumentiert, dass sie für Juristen, Versicherer und Gerichte nachvollziehbar bleiben.

Ergebnis des Gutachtens

Das Ergebnis ist ein präventiver oder streitbegleitender Tatsachennachweis, der zeigt, welche organisatorischen Entscheidungen getroffen, geprüft und dokumentiert wurden. Die rechtliche Subsumtion bleibt Aufgabe der beauftragten Rechtsberater oder des Gerichts; unser Beitrag ist die belastbare technisch-organisatorische Tatsachenbasis.

Beispielhafte Fallkonstellation

Ein mittelständisches Unternehmen wurde von Ransomware getroffen. Der Insolvenzverwalter prüft, ob die Geschäftsführung Sicherheitsbudget, Risikoanalyse und Notfallvorsorge pflichtwidrig vernachlässigt hat. Das Gutachten rekonstruiert die Entscheidungslage und bewertet sie gegen NIS2, ISO 27001 und BSI IT-Grundschutz.

Häufig gestellte Fragen

Wann hafte ich persönlich für einen Cyberangriff?

Nach § 43 GmbHG (GF) oder § 93 AktG (Vorstand) haften Sie persönlich, wenn Sie eine Sorgfaltspflicht verletzt haben. Mit NIS2 Art. 18 ist diese Pflicht konkret definiert: IT-Sicherheitsstrategie dokumentieren, Risiken analysieren, Maßnahmen überprüfen, Budget zuweisen. Ein Sachverständigengutachten zeigt, dass Sie das getan haben — und schützt Sie damit vor Haftungsansprüchen.

Wie unterscheidet sich Präventivgutachten von Streitfall-Gutachten?

Ein Präventivgutachten erstellen wir JETZT, bevor es einen Cybervorfall gibt. Es dokumentiert, dass Ihre IT-Sicherheit heute Stand der Technik erfüllt. Im Schadensfall ist dieses Gutachten Ihre beste Verteidigung gegen Ansprüche. Ein Streitfall-Gutachten erstellen wir NACH einem Vorfall — dann ist es meist zu spät, Sorgfalt zu beweisen. Präventivgutachten sind der klügere Weg.

Was kostet ein Präventivgutachten?

Gutachten beginnen bei ca. 15.000 EUR — abhängig von Unternehmensstruktur, Systemkomplexität und gewünschter Prüftiefe. Im Erstgespräch klären wir den konkreten Umfang und erstellen ein verbindliches Angebot.

Brauche ich das Gutachten schriftlich?

Ja. Ein mündliches Gespräch genügt nicht. Im Schadensfall brauchen Sie ein unterzeichnetes, gerichtsfestes Sachverständigengutachten als Beweis Ihrer Sorgfalt. Das ist Ihr Schutz.

Was passiert, wenn sich die IT-Umgebung ändert?

Dann müssen die Anforderungen neu bewertet werden. Wir empfehlen regelmäßige Folgeaudits — der Umfang richtet sich nach den Veränderungen in Ihrer IT-Landschaft.

Kann ich das Gutachten meinem Anwalt zeigen?

Ja, absolut. Viele Geschäftsführer zeigen das Gutachten ihrer D&O-Versicherung oder ihrem Anwalt. So sehen alle: Sie haben vorgesorgt.

Anfrage stellen