Was in den ersten Stunden nach einem Cyberangriff über Schaden und Haftung entscheidet

Am Stuttgarter Staatstheater stand Anfang 2026 plötzlich ein Mann am Telefon, den niemand bestellt hatte: ein Verhandler, der zwischen einem öffentlichen Kulturbetrieb und einer Erpressergruppe vermitteln sollte. Die ZEIT hat den Fall im Januar nachgezeichnet – verschlüsselte Systeme, eine Lösegeldforderung in Kryptowährung, ein Prozess vor dem Landgericht, und am Ende die nüchterne Erkenntnis, dass die Täter sich verhalten wie scheue Wildtiere, die beim kleinsten Fehler verschwinden. Was sich liest wie ein Krimi, ist für die deutsche Wirtschaft längst Alltag. Und es trifft nicht mehr nur die Konzerne, sondern mit voller Wucht den Mittelstand.

Der Bitkom beziffert den jährlichen Schaden durch Datendiebstahl, Spionage und Sabotage für 2025 auf 289,2 Milliarden Euro, davon über 200 Milliarden allein durch Cyberattacken. 87 Prozent der Unternehmen waren betroffen. Das Bundesamt für Sicherheit in der Informationstechnik registrierte zuletzt täglich 119 neue Schwachstellen – ein Zuwachs von fast einem Viertel binnen eines Jahres. Wer in dieser Lage glaubt, ein gut gemeinter Notfallplan im Aktenordner reiche aus, hat die eigentliche Dynamik eines Angriffs nicht verstanden.

Ich selbst habe umfangreich fachlich zu dem Thema publiziert: zur Haftung der Geschäftsleitung, Haftungsverteilung im Schadensfall beim CEO-Fraud, dem Recht der Cyberversicherungen – aber auch zu Erscheinungsformen modernen Cybercrimes.

Cyberangriffe: Wie heute angegriffen wird

Das Bild des einzelnen Hackers im Kapuzenpulli ist überholt. Angegriffen wird heute arbeitsteilig und industriell. Ransomware wird als Dienstleistung vermietet – Ransomware-as-a-Service –, mit Support, Erfolgsbeteiligung und Marketing. Aktive Gruppen wie Qilin, Akira oder DragonForce zählen ihre Opfer im vierstelligen Bereich, und sie haben den deutschen Mittelstand als lohnendes Ziel entdeckt: Rund 80 Prozent der Ransomware-Angriffe treffen kleine und mittlere Unternehmen, die sich für hinreichend geschützt halten, die Grundlagen aber nur zur Hälfte erfüllen.

Verändert hat sich auch das Geschäftsmodell der Täter. Die klassische Verschlüsselung tritt in den Hintergrund, weil immer mehr Unternehmen funktionierende Backups vorhalten. Stattdessen wird abgegriffen: Daten werden exfiltriert, und mit ihrer Veröffentlichung wird gedroht. Diese Double Extortion ist inzwischen Standard, vielfach ergänzt um eine dritte Stufe – die Drohung gegen Kunden, Geschäftspartner oder Aufsichtsbehörden. Manche Gruppen verzichten ganz auf die Verschlüsselung und setzen rein auf den Diebstahl sensibler Datenbestände. Der entscheidende Satz aus dem letzten BSI-Lagebericht lautet deshalb: Backups schützen nicht vor Datenlecks.

Und die Werkzeuge werden besser. Nach Erhebungen von Sicherheitsdienstleistern sind über vier von fünf Phishing-Mails inzwischen KI-generiert – fehlerfrei, im richtigen Ton, auf das Zielunternehmen zugeschnitten. Deepfake-gestützte Angriffe haben sich vervielfacht. Beim Gabelstaplerhersteller Jungheinrich versuchte ein per Video zugeschalteter, täuschend echter „CEO“ über einen Messenger-Dienst eine Überweisung anzuweisen; gestoppt wurde der Betrug nur, weil ein Mitarbeiter stutzig wurde. Wer seine Belegschaft heute noch auf Rechtschreibfehler in der Erpresser-Mail trainiert, bereitet sie auf einen Krieg von gestern vor. Ich habe noch mehr dazu geschrieben in meinem Aufsatz „Neuentwicklungen der Cybercrime-Phänomenologie“, erschienen in Ferner, AnwZert ITR 22/2025 Anm. 2.

Die ersten 72 Stunden sind ein Rechtsproblem

Ein Cyberangriff ist zunächst ein technischer Vorfall. Was ihn für die Unternehmensleitung gefährlich macht, sind die rechtlichen Fristen, die in dem Moment zu laufen beginnen, in dem die Systeme stillstehen – und die niemand zurückdrehen kann.

Sind personenbezogene Daten betroffen, greift Artikel 33 der Datenschutz-Grundverordnung: Die Meldung an die Aufsichtsbehörde muss binnen 72 Stunden erfolgen. Wo ein hohes Risiko für die Betroffenen besteht, kommt nach Artikel 34 die Pflicht zur unmittelbaren Benachrichtigung hinzu. Wer hier zögert oder falsch meldet, riskiert ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes; die höchste in Deutschland verhängte Geldbuße lag bei 35 Millionen. Hinzu treten die früher reagierenden Pflichten aus dem BSI-Gesetz und – für die rund 29.500 künftig von NIS2 erfassten Unternehmen – verschärfte Melde- und Nachweispflichten mit persönlicher Verantwortung der Leitungsebene.

Diese Fristen kollidieren mit der ersten Reaktion fast jedes betroffenen Unternehmens, nämlich dem Reflex, alles abzuschalten, Spuren zu beseitigen und vor allem nicht auffällig zu werden. Genau das ist der Fehler. Die forensische Sicherung, die saubere Dokumentation des Geschehens und die fristgerechte Behördenkommunikation müssen parallel laufen – und sie müssen rechtlich begleitet sein, weil jede dieser Handlungen später bewertet wird: von der Aufsichtsbehörde, von Versicherern, von Geschäftspartnern und im Zweifel von der Staatsanwaltschaft. Ein Notfallplan auf Papier genügt dafür nicht. Er muss eingeübt, hartkopiert und mit klaren Zuständigkeiten hinterlegt sein, weil das verschlüsselte System im Ernstfall auch die Telefonliste und den Plan selbst mit verschlüsselt.

Soll man zahlen? Die heikelste Vorstandsfrage

Keine Frage wird in der akuten Phase so emotional und zugleich so unterschätzt diskutiert wie die nach dem Lösegeld. Sie ist keine kaufmännische, sondern eine straf- und gesellschaftsrechtliche.

Wer als Vorstand einer Aktiengesellschaft entscheidet, unterliegt der Legalitätspflicht des § 93 AktG. Eine Zahlung an eine kriminelle Erpressergruppe kann den Tatbestand der Unterstützung einer kriminellen oder terroristischen Vereinigung nach den §§ 129, 129b StGB berühren; gerät der Empfänger auf eine Sanktionsliste, drohen zusätzlich außenwirtschaftsrechtliche Konsequenzen nach § 18 AWG. Selbst steuerlich wird es heikel, denn die Behandlung einer Lösegeldzahlung als Betriebsausgabe ist alles andere als gesichert. Wer zahlt, ohne diese Linien geprüft zu haben, schützt vielleicht seine Daten und verliert seine Rückendeckung.

Zugleich gibt es Konstellationen, in denen eine Zahlung haftungsrechtlich vertretbar sein kann – über die Business Judgement Rule und, in engen Grenzen, über den Gedanken des Nötigungsnotstands nach § 34 StGB. Welcher Weg trägt, entscheidet sich nicht im Nachhinein vor Gericht, sondern in der Dokumentation der Entscheidung im Moment der Krise. Eine Cyberversicherung kann den finanziellen Schaden abfedern, ersetzt diese Abwägung aber nicht – und sie zahlt erfahrungsgemäß nur, wenn die vereinbarten Obliegenheiten eingehalten und sauber belegt wurden.

Hacking im Blog

• Cyberangriff im Unternehmen
• Unsere Hilfe bei einem Cyberangriff
• Datenleck: Herausforderungen für Unternehmen
• NIS2-Umsetzung in Deutschland 2026
• Fake News als Gefahr für Unternehmen
• IT-Forensik aus Sicht des Managements
• IT-Sicherheit im Arbeitsrecht
• Phishing-Seiten-Installation am Beispiel ZPhisher
• Bin ich von einem Hackangriff betroffen?
• Glossar zum Cybercrime mit klassischen Angriffsszenarien
• Strafbarkeit der Suche nach Sicherheitslücken
• Business-Continuity-Management
• Unser Hacker-Guide: Russland, Iran, Nordkorea und China
• Unser Ransomware-Guide:
  • Verhandlungsstrategien
  • BSI-Maßnahmenkatalog
  • Bezahlen oder nicht?
  • Wie Unternehmen mit Ransomware erpresst werden
  • Haftung des Arbeitnehmers bei Ransomware

Aus dem Opfer wird schnell ein Verantwortlicher

Die unbequeme Wahrheit lautet: Mit dem Angriff endet die Verantwortung des Unternehmens nicht, sie beginnt erst richtig. Wer Daten Dritter nicht hinreichend geschützt hat, sieht sich zivilrechtlichen Ansprüchen von Kunden, Vertragspartnern und Betroffenen ausgesetzt. Geschäftsführer und Vorstände haften gegenüber der eigenen Gesellschaft, wenn sie zumutbare Sicherheitsmaßnahmen unterlassen haben. Selbst arbeitsrechtlich entstehen Spannungen, etwa wenn Mitarbeiter in der Notlage zu Sonderschichten herangezogen werden müssen – der IT-Großausfall im Sommer 2024 hat gezeigt, wie schnell aus einem technischen Defekt ein Geflecht von Pflichten und Ansprüchen wird.

Die rechtlichen Linien laufen also in alle Richtungen: gegen die Täter und ihre Gehilfen, vom Unternehmen zu seinen Organen, von den Betroffenen zum Unternehmen. Wer diese Ketten erst nach dem Angriff sortiert, sortiert zu spät. Und genau hier liegt der Grund, warum technische Incident Response und juristische Begleitung nicht nacheinander, sondern von der ersten Stunde an zusammengehören.

Was bleibt

Der Angriff selbst ist meist in wenigen Stunden vorbei. Was bleibt, sind Fristen, Meldungen, Haftungsfragen und unter Umständen ein Ermittlungsverfahren – und über diese Folgen wird nicht in der IT-Abteilung entschieden, sondern an der Schnittstelle von IT-Recht und Strafrecht. Die Unternehmen, die einen solchen Fall ohne bleibenden Schaden überstehen, sind nicht die mit der teuersten Firewall, sondern die, die ihre rechtlichen Pflichten kannten, bevor das erste System ausfiel. Nach dem Cyber-Angriff ist vor dem Cyber-Angriff: Wer den Ernstfall einmal durchgespielt hat, trifft im echten Ernstfall die richtigen Entscheidungen – und das in einer Lage, in der für das Nachdenken keine Zeit mehr bleibt.

Hinweis: Dieser Beitrag ersetzt zwei ältere Texte zum selben Thema und bündelt deren Inhalte auf dem aktuellen Stand. Unternehmen, die einen Cyberangriff bemerken oder vorbeugend ihre Reaktionsfähigkeit prüfen wollen, sollten die Weichen früh stellen — gerade an der Schnittstelle von IT-Recht und Strafrecht entscheidet sich oft schon vor dem ersten Behördenkontakt, ob ein Vorfall beherrschbar bleibt. Bei akutem Verdacht erreichen Sie die Kanzlei Ferner Alsdorf rund um die Uhr unter der Notfallnummer 0175 1075646, per E-Mail an kontakt@ferner-alsdorf.de oder über Threema (FVNW2K7T). Ihre Gegner – meine Mandanten.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Steuerhinterziehung 2026: Wann aus einer Zahl im Bescheid ein Strafverfahren wird – 14. Juni 2026
• Cannabis-Strafbarkeit 2026: Was nach dem KCanG in Deutschland verboten bleibt – 14. Juni 2026
• KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5 – 13. Juni 2026