Cyberangriff: Was tun nach einem Hackerangriff?

Gehackt und was nun? Was tun nach einem Hackerangriff – Rechtsanwalt Jens Ferner erläutert erste Schritte und Maßnahmen, die sich nach einem Cyberangriff anbieten.

Cybersecurity Datenschutz Dataleak DSGVO Hacker

Was ist nach einem Hackerangriff zu tun? Nach einem Hacker- oder Cyberangriff sehen sich Unternehmen mit diversen Pflichten konfrontiert. Neben dem Ärger mit den Kunden droht dabei auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht, wie sie damit umgehen sollen.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hackerangriff. Diese orientieren sich insbesondere an der ersten Frage, ob es sich um einen Verbraucher oder ein Unternehmen handelt – insbesondere bei der Frage, gegen wen man vorgeht. Tatsächlich muss ich immer wieder feststellen, dass gerade in den ersten entscheidenden Momenten gravierende Fehler gemacht werden, die sich später auf die Aufklärung auswirken. Dies ist auf die eingetretene Schocksituation zurückzuführen, die aber durch eine saubere Vorbereitung zumindest in Unternehmen verhindert werden kann.

Für Unternehmen ist ein Cyberangriff heute nicht mehr nur ein technisches Problem, sondern vor allem ein Compliance‑Thema: Neben DSGVO, BDSG‑neu und IT‑Sicherheitsgesetz 2.0 gelten seit Dezember 2025 das NIS2‑Umsetzungs‑ und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sowie sektorspezifische Vorgaben wie DORA für Finanzunternehmen Damit greifen für Unternehmen, die von Cybercrime betroffen sind, heute empfindliche Entwicklungen ineinander, wobei gerade KMU kaum und größtenteils unzureichend auf die Thematik IT-Sicherheit vorbereitet sind. Zudem müssen Datenpannen gemeldet werden, wobei Betroffene Schadensersatzansprüche haben. Mit der DSGVO haben sie auch Anspruch auf Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Hinweise: Wir sind für Verbraucher / Privatpersonen zu diesem Thema nicht tätig! Der Beitrag wurde zudem 2026 aktualisiert: Für Unternehmen greifen heute parallel DSGVO, BDSG‑neu, das IT‑Sicherheitsgesetz 2.0, branchenspezifische Sicherheitsvorgaben sowie die neuen Regelungen aus NIS2‑Umsetzungsgesetz und DORA, die Melde‑ und Organisationspflichten bei Sicherheitsvorfällen weiter verschärfen.

Was kann eine Privatperson nach einem Cyberangriff tun?

Auch wenn wir für Privatpersonen bei diesem Thema nicht tätig sind, kurz ein paar Worte für Betroffene: Wenn man als Privatperson betroffen ist liegen eine Vielzahl von Rechtsverletzungen vor – datenschutzrechtlich, allgemein Persönlichkeitsrechtlich, strafrechtlich. Dabei möchte man als Opfer von Cybercrime, insbesondere Stalking, vor allem eines: Ruhe haben. Man weiss aber nicht zwingend, wer der Angreifer ist – jedenfalls bei einem standardisierten Angriff mit Breitenwirkung.

In individuellen Fällen, wenn der Ex-Partner oder ein Dritter sich konkret an einem „abarbeiten“, etwa durch Stalking, hat man bereits einen Verdacht und möchte mitunter direkt zielgerichtet gegen diese Person vorgehen. Gerade in individuellen Fällen lohnt es sich, mit professioneller Hilfe rechtlich gegen die Übeltäter vorzugehen, auch wenn es sich hier regelmäßig um sehr langfristige Schritte handelt, die viel Zeit und Nerven benötigen.

Es kann insbesondere in faktischer Hinsicht sinnvoll sein, sein näheres Umfeld zu informieren, um zu verhindern, dass durch einen Identitätsdiebstahl die kopierten Daten auch noch zur Täuschung des eigenen Umfelds genutzt werden. Generell mag überlegt werden, die bisherigen Kommunikationskanäle einzufrieren und einmal kompromittierte Mail-Adressen oder Telefonnummern nicht weiter zu verwenden – auch wenn dies mit deutlichem Aufwand beim Wechsel verbunden ist.

Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:

Welche rechtlichen Möglichkeiten haben Opfer von Cyberverbrechen?

Insbesondere stehen Ihnen nach einem Hackerangriff zivilrechtliche und strafrechtliche Schritte zur Verfügung, deren Einsatz man im Einzelfall abwägen muss:

  • Datenschutzrechtlich: Sie haben Löschungs- und Auskunftsansprüche, zudem können Sie die zuständige datenschutzrechtliche Aufsichtsbehörde einschalten ohne dass dies Kosten verursacht.
  • Zivilrechtlich: Wenn ein Schädigen konkret individualisiert werden kann und die entsprechenden Beweise geführt werden können steht Ihnen zivilrechtlich die Möglichkeit zu, sich auch kurzfristig zu wehren, indem etwa befristete Kontakt- und Annäherungsverbote erwirkt werden. Auch können Unterlassungs- und Beseitigungsansprüche, mitunter ein Schmerzensgeld, geltend gemacht werden.
  • Strafrechtlich: Wenn Straftaten vorliegen ist die Strafanzeige nur der „Einstieg“ – ein Rechtsanwalt kann Ihre Rechte im Strafverfahren wahrnehmen, Sie können mitunter – je nach Delikt oder Schwere – als Nebenkläger auftreten und auch schon im Strafverfahren zivilrechtliche Ansprüche geltend machen.
  • Vorgehen gegen Plattformen im Kampf gegen die Verbreitung von Inhalten: Gerade die Hostprovider-Störerhaftung und die gesetzlichen Lösch‑ und Sperrmechanismen (u.a. nach DSGVO und Plattform‑Regeln) ermöglichen es, Inhalte bei Suchmaschinen, Host‑Providern und sozialen Netzwerken relativ schnell entfernen oder sperren zu lassen, selbst wenn der eigentliche Täter im Hintergrund bleibt.

An wen kann ich mich als Opfer von Verbrechen wenden?

Als Opfer eines Verbrechens haben Sie viele Sorgen, fühlen sich überfordert und brauchen Hilfe beim strukturieren der Abläufe. Hierbei gibt es viele Hilfen, die aus meiner Sicht wichtigsten Hilfestellen auch nach einem Hackerangriff sind:

  • Verein für Opferschutz: Es gibt gemeinnützige Vereine, wie etwa den Weissen Ring, die Ihnen Hilfe bieten. Hier erhalten Sie mitunter auch „Beratungsschecks“ um anwaltliche Hilfe in Anspruch zu nehmen. Informieren Sie sich beispielsweise beim Weissen Ring.
  • Hilfetelefon: Das Hilfetelefon hilft bei Gewalt gegen Frauen und ist rund um die Uhr kostenlos verfügbar, hier finden Sie dazu Informationen.
  • Anwälte: Rechtsanwälte können helfen bei der strukturierten Durchsetzung Ihrer Rechte, wir in unserer Kanzlei helfen aber nicht, da wir Strafverteidiger sind.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten für Unternehmen (nicht für Privatpersonen!) juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

IT-Sicherheitsrecht
Sicherheitsvorfall

Was kann man als Unternehmen nach einem Cyberangriff tun?

Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Denn auch im Jahr 2019 gilt, dass Unternehmen die Risiken unterschätzen und unzureichend auf Angriffe vorbereitet sind. Dabei kümmern sich Unternehmen schlicht zu wenig um die Frage, wie etwa mit dem Problem umzugehen ist, dass viele Mitarbeiter mit externen Geräten in der eigenen Umgebung tätig sind.

Hackerangriffe auf Unternehmen sind Alltag

Wenn man von Hackerangriffen auf Unternehmen hört, denkt man schnell an internationale Großkonzerne die von Wirtschaftsspionage betroffen sind, was aber falsch ist: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr, sondern vielmehr wirtschaftlicher Alltag. Schon alleine, weil der Alltag digital durchsetzt ist, nicht nur von Webseiten, sondern eben auch, weil die eigene Infrastruktur teilweise ungeschützt am Internet hängt, so wie die IP-Telefone.

Gerade in kleinen mittelständischen Unternehmen werden die Risiken massiv unterschätzt oder aus Kostengründen ignoriert. Ein Cyberangriff kann dabei jeden treffen. Webshop-Betreiber, deren Server gehackt werden etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird um Daten zu stehlen.

Was tun als Unternehmen nach einem Cyberangriff

Wenn ein Unternehmen von einem Hackerangriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment mehrere rechtlich und technisch relevante Aufgaben, die später Probleme bereiten können nachdem man „gehackt“ wurde:

  • Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die Strafanzeige schnell ins Auge gefasst
  • Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  • Die datenschutzrechtliche Informationspflicht der Betroffenen nach DSGVO muss eingehalten werden (dazu hier von mir im Detail)
  • Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.
  • Spätestens jetzt sofort prüfen, ob das Unternehmen als „wichtige“ oder „besonders wichtige Einrichtung“ nach NIS2‑Umsetzungs‑ und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eingestuft ist; dann bestehen Registrierungspflichten beim BSI sowie sehr kurze Meldefristen für erhebliche Sicherheitsvorfälle (Erstmeldung binnen 24 Stunden, weitere Meldungen binnen 72 Stunden und Abschlussbericht).
  • Für besonders regulierte Unternehmen (insbesondere Finanz‑ und KRITIS‑Sektor sowie „wichtige Einrichtungen“ nach NIS2‑Umsetzungsgesetz) bestehen zusätzliche, teilweise sehr kurze Meldefristen gegenüber Aufsichtsbehörden und Brancheneinrichtungen, die in internen Notfallplänen konkret hinterlegt sein müssen.

In technischer Hinsicht muss umsichtig gehandelt werden – parallel dazu verlangt NIS2UmsuCG ein dokumentiertes Risikomanagement, klare Verantwortlichkeiten der Geschäftsleitung und nachweisbare Incident‑Response‑Prozesse, die im Ernstfall „von der Stange“ abrufbar sein müssen. Ein Löschen von vorhandenen Inhalten kann Schäden begrenzen, behindert aber das juristische Vorgehen – Angreifer können zudem bei Erreichbarkeit der Systeme mitunter von außen nach erfolgreichem Angriff noch Spuren verwischen oder weiter Daten abgreifen.

Ein vorbereitetes Vorgehen im Fall der Fälle, das etwa durch ein IT-Sicherheitskonzept und ein Betriebskontinuitätsmanagement (business continuity management, BCM) geschaffen werden kann, schützt hier Betriebe ebenso wie eine IT-Betriebsvereinbarung. Inzwischen erwarten Aufsichtsbehörden und Versicherer regelmäßig ein dokumentiertes Incident‑Response‑Konzept inklusive Forensik‑Strategie, um sowohl Beweissicherung als auch Wiederanlauf des Betriebs geordnet zu steuern.

IT-Sicherheit: Mitarbeiter als Gefahrenquelle begreifen

Ganz erheblich ist es, die eigenen Mitarbeiter als Gefahrenquelle einzuschätzen, gleich ob man ihnen böses unterstellt:

  • Der „nicht böse“ Mitarbeiter: Auch ein Mitarbeiter der sich Mühe gibt und nichts Böses im Sinn hat kann zu Problemen führen. Unbedachte Auskünfte am Telefon können schon personenbezogene Daten an den Falschen darstellen oder erste Hilfen für spätere Angriffe auf das Unternehmen bieten; ebenso wie ungeprüft Emails verarbeitet werden – etwa indem gefälschte Rechnungen ausgedruckt und bearbeitet werden oder man auf Phishing hereinfällt.
  • Der „böse“ Mitarbeiter („Innentäter“): Hier muss man immer wieder daran erinnern – der böse Mitarbeiter existiert! Sie müssen als Unternehmen im Auge haben, dass Mitarbeiter Geld damit verdienen können, hausinterne Daten an Dritte weiter zu geben. Oder dass ein geschasster Mitarbeiter sich schlichtweg rächen möchte. Bei der Computerwoche gibt es hierzu einige Berichte. Gegen böse gesinnte Mitarbeiter hilft vor allem Kontrolle und eine gesicherte Verarbeitungspraxis im Unternehmen.
Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

NIS2: Haftung der Geschäftsleitung

Mit dem NIS2UmsuCG wird die Verantwortung der Geschäftsleitung ausdrücklich betont: Board-Mitglieder müssen Cybersicherheitsmaßnahmen nicht nur absegnen, sondern auch aktiv überwachen. Bei groben Versäumnissen drohen Bußgelder und persönliche Haftungsrisiken. Im Rahmen der forensischen Aufarbeitung eines Cyberangriffs rückt deshalb zunehmend in den Fokus, ob angemessene technische und organisatorische Maßnahmen dokumentiert, geschult und regelmäßig überprüft wurden. Ein „Notfallplan auf Papier“ genügt den Anforderungen nicht.

Cyberangriff: Sorge des Unternehmens vor Kosten

Neben den technischen und organisatorischen Herausforderungen drohen heute empfindliche finanzielle Folgen: Die Aufsichtsbehörden verhängen bei Verstößen gegen Art. 32, 33, 34 DSGVO spürbare Bußgelder, während Betroffene zunehmend immateriellen Schadensersatz nach Art. 82 DSGVO – also „Schmerzensgeld bei Datenschutzverstößen“ – geltend machen.

Wenn Daten von Betroffenen nach einem Hackangriff verbreitet werden stehen damit erhebliche Folgekosten im Raum – und die Lage wird anspruchsvoller: Neben vertraglichen Ansprüchen und DSGVO‑Bußgeldern treten nun empfindliche Sanktionen nach dem NIS2UmsuCG hinzu, das Bußgeldrahmen nach DSGVO‑Vorbild vorsieht und die Zahl direkt betroffener Unternehmen auf rund 30.000 erweitert.

Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB). Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch zur Erfüllung der NIS2- & DSGVO-Meldepflicht. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der datenschutzrechtlichen Meldepflicht Bußgelder im Raum stehen und weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

Stand: aktualisiert 2026 unter Berücksichtigung des NIS2‑Umsetzungs‑ und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), der aktuellen DSGVO‑Rechtsprechung und der aufsichtsrechtlichen Erwartungen an Incident‑Response‑ und Risikomanagement‑Prozesse.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.