
Yannick H.,
TLDR;
Seit das Schweizer Recht die Sorgfaltspflicht des Verwaltungsrats (Art. 717 OR) auf Cybersecurity ausweitet und das nDSG Bussen bis CHF 250'000 gegen die verantwortliche Person persönlich vorsieht, ist Cybersicherheit für den Verwaltungsrat ein Haftungsthema, kein IT-Thema. Im Ernstfall schützt dich vor allem eines: der schriftliche Nachweis, dass du sorgfältig gehandelt hast. Frag dich bei jeder Cyber-Entscheidung im Gremium: Könnten wir das vor Gericht belegen?

Die Sitzung, die niemand führen will
Stell dir die Verwaltungsratssitzung vor, die drei Wochen nach einem Ransomware-Vorfall stattfindet. Die Produktion stand fünf Tage still. Kundendaten sind abgeflossen. Die Versicherung stellt Fragen, die niemand sauber beantworten kann.
Und dann kommt der Satz, den jeder im Raum gefürchtet hat: "Wer war hier eigentlich verantwortlich?"
Die übliche Antwort lautet "die IT". In unserer Erfahrung ist das genau der Moment, in dem die meisten Verwaltungsräte zum ersten Mal verstehen, dass diese Antwort sie nicht mehr schützt. Cybersicherheit ist in den letzten Jahren leise von einer technischen Frage zu einer Haftungsfrage geworden. Und Haftung lässt sich nicht delegieren.
Warum "das macht die IT" als Verteidigung nicht mehr funktioniert
Die Sorgfaltspflicht des Verwaltungsrats nach Art. 717 OR umfasst heute ausdrücklich auch Cybersecurity. Dazu gehören das Festlegen einer Cyberstrategie, das Sicherstellen der regulatorischen Vorgaben und klare Vorgaben, wie Cyberrisiken identifiziert, bewertet und überwacht werden. Das sind keine Aufgaben, die du an die IT-Abteilung abgibst. Das sind Aufsichtspflichten, die beim Gremium bleiben.
Dazu kommt das revidierte Datenschutzgesetz. Das nDSG sieht Bussen bis CHF 250'000 vor, und zwar gegen die verantwortliche natürliche Person. Nicht gegen die Firma. Gegen dich, mit deinem Privatvermögen. Wer bekannte Risiken ignoriert oder die Relevanz des Themas unterschätzt, kann nach einem Vorfall persönlich belangt werden.
Für Betreiber kritischer Infrastrukturen verschärft das Informationssicherheitsgesetz die Lage zusätzlich. Ein ISMS ist bis Ende 2026 Pflicht, die Meldepflicht bei Cyberangriffen gilt bereits, und Bussen sind seit Herbst 2025 in Kraft.
Die Zahlen geben dem Thema Dringlichkeit. Das Bundesamt für Cybersicherheit (BACS) verzeichnete für 2025 einen Höchststand an gemeldeten Vorfällen. Es ist also keine Frage, ob dein Unternehmen ins Visier gerät, sondern wann.
Der teure Reflex: nach dem Vorfall mehr kaufen
An diesem Punkt machen die meisten Gremien denselben Denkfehler.
Nach einem Vorfall greifen Verwaltungsräte zum naheliegendsten Hebel: Sie geben mehr Geld aus. Ein neues Tool. Eine zusätzliche Versicherung. Ein weiterer Anbieter, der verspricht, dass so etwas nie wieder passiert. Das Gremium fühlt sich danach besser, weil es gehandelt hat.
Das Problem: Mehr Sicherheitsausgaben senken dein persönliches Haftungsrisiko kaum. Ein Gericht fragt nach einem Vorfall nicht, wie viele Tools du lizenziert hast. Es fragt, ob du deine Sorgfaltspflicht erfüllt hast. Das sind zwei völlig verschiedene Dinge.
Ein Unternehmen kann sieben sich überlappende Sicherheitsprodukte betreiben und trotzdem haftbar sein, weil niemand je dokumentiert hat, welche Risiken das Gremium kannte, welche Entscheidungen es traf und warum. Ein anderes Unternehmen kann mit deutlich weniger Werkzeugen auskommen und gut geschützt dastehen, weil seine Sorgfalt lückenlos belegt ist.
Geld kauft Werkzeuge. Im Haftungsfall zählt aber etwas anderes: deine dokumentierte Sorgfalt.
Was dich tatsächlich schützt: der Sorgfaltsnachweis
Im Fall einer Klage gegen den Verwaltungsrat zählt nur eine Währung: der lückenlose, schriftliche Beweis der ausgeübten Sorgfalt. Mündliche Abmachungen, informelle Updates oder ein vages "Wir haben darüber gesprochen" sind vor Gericht wertlos.
Konkret heisst das, dass dein Gremium belegen können sollte:
dass die wesentlichen Cyberrisiken identifiziert und im Verwaltungsrat behandelt wurden
dass es eine Cyberstrategie gibt, die das Gremium verabschiedet hat
dass regelmässig an den Verwaltungsrat berichtet wird, nicht nur dann, wenn etwas brennt
dass getroffene Entscheidungen, auch bewusst akzeptierte Restrisiken, protokolliert sind
Das ist kein Mehraufwand um des Aufwands willen. Es ist die Verschiebung weg von "Wir geben aus, also sind wir geschützt" hin zu "Wir können belegen, dass wir sorgfältig handeln". Genau diese Verschiebung entlastet dich persönlich.

Abbildung: Was den Verwaltungsrat im Haftungsfall schützt, ist dokumentierte Sorgfalt, nicht die Anzahl der eingesetzten Sicherheitswerkzeuge.
Und hier schliesst sich der Kreis zum Budget. Wenn der eigentliche Schutz aus Struktur und Nachweis besteht und nicht aus zusätzlichen Lizenzen, dann ist die richtige Frage nicht "Was müssen wir noch kaufen?", sondern "Haben wir das, was wir schon haben, im Griff und belegt?". In vielen Mandaten beginnt echte Sicherheit damit, vorhandene Werkzeuge aufzuräumen und die Sorgfalt sauber zu dokumentieren, nicht damit, neue dazuzukaufen. Mehr Schutz, weniger Tools, weniger Kosten ist hier kein Sparargument, sondern die wirksamere Verteidigung.
Was das für deine nächste Sitzung bedeutet
Du musst nicht zum Cyber-Experten werden. Das ist nicht die Erwartung an einen Verwaltungsrat. Die Erwartung ist, dass du die richtigen Fragen stellst und die Antworten dokumentierst.
Drei Fragen reichen für den Anfang. Kennen wir unsere grössten Cyberrisiken, schriftlich? Berichtet uns jemand regelmässig dazu, in einer Sprache, die das Gremium versteht? Und könnten wir nach einem Vorfall belegen, dass wir sorgfältig gehandelt haben?
Wenn die Antwort auf eine dieser Fragen ein Zögern ist, hast du eine Lücke. Keine technische Lücke. Eine Haftungslücke.
Genau dafür gibt es das Security-Reporting an die Geschäftsleitung und den Verwaltungsrat, wie wir es in unseren CISO-Mandaten aufsetzen. Es übersetzt die Risikolage in Geschäfts- und Haftungssprache und hält gleichzeitig fest, dass das Gremium informiert war und gehandelt hat. Der Bericht ist die Sicherheitsmassnahme und der Sorgfaltsnachweis in einem.
(Mehr zum strukturellen Rahmen findest du in unseren Beiträgen zu IT Governance für KMU und zum nDSG.)
Die ehrliche Frage
Stell dir noch einmal die Sitzung nach dem Vorfall vor. Die Frage "Wer war verantwortlich?" steht im Raum.
Die Antwort, die dich schützt, ist nicht "Wir hatten die beste Software". Sie lautet "Hier ist dokumentiert, welche Risiken wir kannten, welche Entscheidungen wir trafen und warum".
Welche dieser beiden Antworten könnte dein Verwaltungsrat heute geben? Deine Antwort entscheidet, ob Cybersicherheit für dich ein beherrschbares Aufsichtsthema ist oder ein persönliches Haftungsrisiko, das du noch nicht siehst.
Wenn du wissen willst, wo dein Gremium hier steht, sprich uns an. Ein erstes Gespräch ist unverbindlich.


