Hackerangriff auf Unternehmen

ChatGPT Image 8. Apr. 2025, 16 06

Hackerangriff auf Unternehmen – was sind die juristischen Probleme? Wenn Unternehmen Opfer eines Hackerangriffs werden, endet das Problem nicht mit der Wiederherstellung der IT-Systeme. Vielmehr beginnt dann erst der juristische Albtraum – ein Geflecht aus zivilrechtlichen, strafrechtlichen und regulatorischen Fragen, das schnell zur existenziellen Bedrohung wird.

Aktueller Anlass, um das Thema nicht zu vergessen, ist der Cyberangriff auf die IT‑Systeme der Deutschen Bahn Anfang 2026: An mehreren Tagen waren unter anderem Bahn‑App und Online‑Buchung nur eingeschränkt verfügbar, es kam zu erheblichen Störungen für Kunden und Unternehmen. Auch wenn hier nach bisherigen Informationen kein klassischer Datendiebstahl im Vordergrund stand, zeigt der Vorfall sehr plastisch, wie verwundbar selbst große Organisationen sind – und wie schnell allein die schlichte Nichtverfügbarkeit von Systemen zum Problem wird. Für Unternehmen stellt sich in solchen Situationen nicht nur die Frage nach Technik und Wiederanlauf, sondern ganz konkret nach rechtlichen Pflichten, Haftungsrisiken und professioneller Kommunikation.

Für das Management ist das mehr als nur ein IT-Vorfall. Es ist eine Krise, die persönliche Haftung, Ermittlungen und mediale Reputationsverluste vereinen kann – und das mitunter binnen Stunden. Im Folgenden einige kurze Hinweise mit jeweiligem Verweis zu den dazu passenden Beiträgen zur Vertiefung. Der Beitrag wurde zuletzt im Februar 2026 aktualisiert.

Der Hackerangriff auf das Unternehmen als juristische Zäsur

Ein erfolgreicher Angriff ist für die juristische Bewertung zunächst ein Konfliktfall – nicht bloß ein Sicherheitsproblem. Von nun an steht im Raum, ob das Unternehmen seine Pflichten zur Sicherung von Daten, zur Organisation der IT-Infrastruktur und zur Einhaltung gesetzlicher Vorgaben verletzt hat. Denn mit dem Cyberangriff ist regelmäßig ein massiver Eingriff in die Rechte Dritter verbunden – von Kunden bis hin zu Partnerunternehmen.

Datenschutzrechtliche Konsequenzen

Im Zentrum steht die DSGVO. Wurden personenbezogene Daten – etwa Kundendaten, E-Mail-Postfächer oder Beschäftigtendaten – kompromittiert, greifen eine Vielzahl von Pflichten. Die Meldung an die Datenschutzbehörde muss binnen 72 Stunden erfolgen. Hinzu kommen Informationspflichten gegenüber den Betroffenen, die in ihrer Tragweite oft unterschätzt werden.

Was viele Unternehmen nicht wissen: Die Datenschutzbehörden interessieren sich nicht nur für den Vorfall, sondern auch für die Präventionsmaßnahmen. Hier beginnt die Frage nach „technischen und organisatorischen Maßnahmen“ (TOMs) im Sinne der DSGVO – und die Gefahr, dass ein unzureichendes Sicherheitsniveau zu Bußgeldern in Millionenhöhe führt.

Hacking im Blog

Datenleck2

DDoS, Ransomware, Datenabfluss: rechtlich unterschiedliche Lagen

Nicht jeder „Hackerangriff“ sieht gleich aus – und nicht jedes Szenario löst dieselben Pflichten aus. Für Unternehmen ist es entscheidend, ob vor allem die Verfügbarkeit betroffen ist, ob Systeme verschlüsselt und erpresst wird oder ob tatsächlich Daten abgeflossen sind.

Bei einem DDoS‑Angriff oder einer vergleichbaren Überlastung stehen zunächst die Nichtverfügbarkeit von Diensten, Vertragsbeziehungen zu Kunden sowie Fragen der Krisenkommunikation im Vordergrund. Datenschützern ist dabei wichtig, dass auch die Verfügbarkeit ein Schutzziel der DSGVO ist und im Einzelfall eine meldepflichtige Störung vorliegen kann, wenn personenbezogene Daten nicht rechtzeitig abrufbar sind.
Ransomware‑Angriffe zielen häufig darauf, Systeme zu verschlüsseln und Unternehmen durch Lösegeldforderungen unter Druck zu setzen. Neben dem technischen Wiederanlauf stellen sich hier strafrechtliche und versicherungsrechtliche Fragen, ebenso wie das Problem, dass nicht immer klar ist, ob neben der Verschlüsselung auch ein unbemerkter Abfluss von Daten erfolgt ist.

Klassische Datenabflüsse – also das unbefugte Kopieren oder Abziehen von personenbezogenen oder geschäftskritischen Informationen – stehen demgegenüber im Zentrum des datenschutzrechtlichen Melde‑ und Informationsregimes. Hier geht es um Betroffeneninformation, um den Nachweis angemessener technischer und organisatorischer Maßnahmen und um mögliche zivil‑ und bußgeldrechtliche Konsequenzen.
In der Praxis überschneiden sich diese Szenarien häufig. Entscheidend ist, dass Unternehmen frühzeitig ein klares Bild der Lage entwickeln und diese juristisch sauber einordnen, statt alle Vorfälle unter dem unscharfen Schlagwort „Hackerangriff“ laufen zu lassen.


Managementhaftung: Passivität als Risiko

Spätestens jetzt rückt das Management in den Fokus. War es fahrlässig, veraltete Systeme zu betreiben? Gab es keine IT-Sicherheitsstrategie, keine Notfallpläne, keine regelmäßigen Audits?

Die persönliche Haftung von Geschäftsführern und Vorständen steht im Raum, wenn sich Versäumnisse im Bereich der IT-Compliance nachweisen lassen. Dabei ist nicht entscheidend, ob ein Angriff erfolgt ist – sondern ob das Unternehmen sich angemessen auf diesen Fall vorbereitet hat. Die Maßstäbe hierfür ziehen sich längst auch durch die Rechtsprechung zum GmbH- und Aktienrecht.

Stillstand als Insolvenzgrund: Ein Punkt, der oft unterschätzt wird: Fällt ein Unternehmen durch einen Ransomware-Angriff vollständig aus, kann das binnen weniger Tage zur Zahlungsunfähigkeit führen. Und damit zur Pflicht, Insolvenz anzumelden. Wird diese Frist versäumt, droht Geschäftsführern nicht nur die zivilrechtliche Haftung, sondern auch strafrechtliche Konsequenzen wegen Insolvenzverschleppung. Ob ein Unternehmen „noch handlungsfähig“ ist, ist dabei nicht nur eine betriebswirtschaftliche Frage – sondern eine juristische. Die Praxis zeigt: Ein digitaler Stillstand kann binnen Tagen in eine wirtschaftliche Schieflage münden.

Beweissichere IT-Forensik

Bei der Beweissicherung trennt sich die Spreu vom Weizen. Denn IT-Forensik ist nicht nur eine technische Disziplin, sondern auch ein juristisches Thema. Welche Beweise können vor Gericht verwertet werden? Wie dokumentiert man forensisch sauber? Und wie verhindert man, dass Beweise durch Eigenmaßnahmen kompromittiert werden?

Hier ist frühzeitige anwaltliche Begleitung entscheidend – denn im Ernstfall werden die forensischen Erkenntnisse nicht nur gegenüber Ermittlungsbehörden und Gerichten verwendet, sondern auch zur Abwehr oder Geltendmachung zivilrechtlicher Ansprüche.

Verhandlungen mit Angreifern

In Fällen von Ransomware sehen sich Unternehmen oft mit der Frage konfrontiert: Zahlen oder nicht? Die Entscheidung ist nie einfach – und immer juristisch hochproblematisch. Denn eine Zahlung kann strafbar sein, insbesondere wenn dadurch terroristische Organisationen oder gelistete Personen unterstützt werden (§ 129a/b StGB, Geldwäschetatbestände).

Zugleich droht eine reale Insolvenzgefahr, wenn der Betrieb ohne Zahlung nicht wiederhergestellt werden kann. In dieser Lage braucht es strategisches Denken, rechtliche Begleitung und – im Zweifel – ein eingespieltes Team aus IT-Experten, Krisenkommunikation und Juristen.

CEO-Fraud: Der digitale Betrug in Maßanzug

Es beginnt meist mit einer harmlosen E-Mail. Der Absender: augenscheinlich ein Mitglied der Geschäftsführung, womöglich sogar der CEO persönlich. Der Inhalt: Ein diskreter Auftrag, eine dringende Zahlung, höchste Vertraulichkeit. Und ehe man es merkt, ist das Geld auf dem Weg – nicht zur Partnerfirma, sondern zu einem gut organisierten Betrügernetzwerk.

Der sogenannte CEO-Fraud zählt zu den effektivsten Angriffsmethoden auf Unternehmen. Nicht, weil er besonders technisch wäre, sondern weil er die Schwachstellen dort sucht, wo keine Firewall schützt: in der Psychologie und den internen Prozessen.

Was viele Unternehmen übersehen: CEO-Fraud ist mehr als nur ein Betrug. Es ist ein rechtlicher Drahtseilakt, der zivilrechtliche Haftung, interne Compliance-Fragen und in bestimmten Fällen sogar strafrechtliche Risiken vereinen kann. Die entscheidende Frage lautet oft nicht nur: Wer hat den Fehler gemacht? Sondern: Wer haftet – und gegenüber wem?

Für Geschäftsführung und Vorstand steht viel auf dem Spiel. Wurde ausreichend präventiv gearbeitet? Wurden Mitarbeiter geschult, Prozesse etabliert, Warnsysteme installiert? Denn wo Prävention fehlt, entsteht leicht der Eindruck eines Organisationsverschuldens – mit der Folge möglicher Regressforderungen durch Gesellschafter, Versicherungen oder gar Kunden.

Besonders problematisch wird es, wenn interne Kontrollmechanismen gezielt umgangen wurden – etwa durch improvisierte Freigabewege, Absprachen per privatem Messenger oder „schnelle Lösungen“, wie sie in hektischen Momenten entstehen. In der juristischen Bewertung geht es dann nicht mehr um die bloße Täuschung – sondern um Pflichtverletzungen auf Leitungsebene.

Unternehmen, die CEO-Fraud nicht nur als Sicherheitsvorfall, sondern als Compliance-Krise begreifen, sind klar im Vorteil. Denn sie stellen nicht bloß die IT in den Mittelpunkt der Aufarbeitung, sondern das, was wirklich zählt: die unternehmerische Verantwortung und ihre Absicherung.

Schadensersatz bei CEO-Fraud: Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen

Wirtschaftsspionage: Der unsichtbare Gegner im eigenen System

Wirtschaftsspionage ist kein Phänomen aus Agentenfilmen. Sie ist real, hochaktuell – und oft näher, als man denkt. In einer zunehmend vernetzten Welt, in der Informationen den entscheidenden Wettbewerbsvorteil ausmachen, genügt schon ein kleiner Code-Schnipsel, ein kompromittierter Zugang oder ein abgeworbener Mitarbeiter, um hochsensible Daten abfließen zu lassen.

Das perfide daran: Die Spionage bleibt häufig lange unbemerkt. Und wenn der Vorfall schließlich entdeckt wird, ist es zu spät – der Schaden ist angerichtet, der Informationsvorsprung des Wettbewerbers Realität. In der rechtlichen Betrachtung geht es dabei nicht nur um den klassischen Diebstahl von Geschäftsgeheimnissen. Vielmehr steht ein ganzes Arsenal an Rechtsfragen im Raum: von der strafrechtlichen Bewertung über arbeitsrechtliche Konsequenzen bis hin zu zivilrechtlichen Unterlassungs- und Schadensersatzansprüchen.

Unternehmen sind dabei nicht nur Opfer, sondern auch Akteure. Denn wer seine Schutzpflichten gegenüber sensiblen Informationen nicht erfüllt, läuft Gefahr, rechtlich auf der falschen Seite zu stehen – etwa gegenüber Vertragspartnern, deren Daten ebenfalls betroffen sind. Mit dem Geschäftsgeheimnisschutzgesetz (GeschGehG) wurden klare Anforderungen definiert, was Unternehmen leisten müssen, um sich auf den Schutz ihrer Daten überhaupt berufen zu können.

Zugleich stellen sich hochsensible Fragen des Umgangs mit internen Verdächtigungen. Was darf der Arbeitgeber tun, wenn der Verdacht auf eine illoyale Handlung im Raum steht? Welche Ermittlungsmaßnahmen sind zulässig, welche greifen in Persönlichkeitsrechte ein – und wie dokumentiert man das, ohne spätere Beweisverwertungsverbote zu riskieren?

Auch das Zusammenspiel mit ausländischen Akteuren, etwa staatlich unterstützten Hackergruppen, wird zunehmend brisanter. Hier reicht das klassische Strafrecht oft nicht aus. Vielmehr kommen außenpolitische Implikationen, Meldepflichten nach IT-Sicherheitsgesetzen und internationale Abwehrmaßnahmen hinzu.

Am Ende zeigt sich: Wirtschaftsspionage ist keine Frage von Technik allein – sondern eine komplexe juristische Herausforderung, die strategische Weitsicht und strukturelle Robustheit verlangt. Wer hier vorbereitet ist, schützt nicht nur sein geistiges Eigentum, sondern auch seine unternehmerische Souveränität.

Wirtschaftsspionage und die Wirtschaft: Aufgaben für das Management

Krisenkommunikation: Zwischen Pflicht und Image

Die Außenkommunikation muss juristisch abgestimmt sein. Falsche Aussagen können nicht nur das Vertrauen von Kunden und Partnern weiter erschüttern – sie bergen auch haftungsrechtliche Risiken. Gleichzeitig fordert die DSGVO eine offene Kommunikation gegenüber den Betroffenen.

Ein durchdachter Kommunikationsplan – idealerweise bereits vor dem Vorfall erarbeitet – ist unverzichtbar. Er muss die juristischen Anforderungen ebenso berücksichtigen wie das mediale Echo und die Anforderungen an Reputationsmanagement.

Hackerangriff auf Unternehmen: Rechtsanwalt für Hackerangriff auf Unternehmen

Beim Hackerangriff sind Sie das Opfer, keine Frage. Und wenn die Situation nicht mal trainiert, also simuliert, wurde, werden Sie auch noch überfordert sein – obwohl Sie bzw. Ihr Unternehmen Opfer einer Straftat sind, steht vieles ins Haus: vom Wirtschaftsstrafrecht bis zum Datenschutzrecht droht Ungemach mit weiteren Kosten. Ohne professionelle juristische Anbindung wird es dann nur teurer und undankbarer.

Entscheidungen der Geschäftsleitung im Angriffsfall

Wer als Unternehmen den digitalen Wandel ernst nimmt, muss auch den Rechtsrahmen in der digitalen Krisensituation beherrschen. Hackerangriffe sind keine seltenen Katastrophen mehr – sie sind der Alltag einer digitalisierten Wirtschaft. Die juristische Dimension dieser Angriffe ist enorm – und verlangt nach strategischer Vorbereitung, schneller Reaktion und einem interdisziplinären Team, das Recht, Technik und Kommunikation verbindet. Unternehmen, die diesen Anforderungen gerecht werden, können in der Krise nicht nur bestehen – sie können sogar gestärkt daraus hervorgehen.

Ein Cyberangriff ist keine rein technische Angelegenheit, sondern eine Situation, in der die Geschäftsleitung zentrale Weichen stellen muss. Zwar können und sollen Fachfragen an IT, Datenschutzbeauftragte und externe Spezialisten delegiert werden, die Verantwortung für die Grundentscheidungen bleibt aber auf der Leitungsebene. Typische Entscheidungen, die nicht „von unten“ getroffen werden sollten, betreffen etwa die Stilllegung ganzer Systeme oder Standorte, die Beauftragung externer Forensik‑ und Incident‑Response‑Teams, die Frage einer Strafanzeige, die Einbindung von Versicherern sowie den Umgang mit Lösegeldforderungen.

An dieser Stelle werden Haftungsrisiken geprägt – sowohl gegenüber Kunden und Geschäftspartnern als auch im Innenverhältnis der Organe. Ein belastbarer Notfall‑ und Kommunikationsplan muss diese Entscheidungen vorbereiten: Wer wird in welcher Reihenfolge informiert, welche Minimalinformationen dürfen nach außen gegeben werden, welche Kanäle nutzt das Unternehmen, falls die eigene Infrastruktur ausfällt? Solche Pläne sind kein Papier für die Schublade, sondern sollten durch regelmäßige Übungen mit Geschäftsleitung, IT und Kommunikation getestet werden. Tabletop‑Übungen sind hier ein pragmatischer Weg, um Schwachstellen in Prozessen aufzudecken, bevor der Ernstfall eintritt.

Die ersten 72 Stunden nach dem Angriff

Nach einem Hackerangriff geht es um drei Dinge: Schaden begrenzen, Pflichten einhalten, Haftung vermeiden. Dazu gehören einige Mindestschritte, die jedes Unternehmen unabhängig von Branche und Größe vorbereitet haben sollte.

Folgende Schritte sollten innerhalb der ersten 72 Stunden abgearbeitet werden:

  • Sofortige Einordnung des Vorfalls: Welche Systeme sind betroffen, welche Arten von Daten liegen dort, geht es um Vertraulichkeit, Integrität oder „nur“ Verfügbarkeit?
  • Zuständigkeiten klären: Wer entscheidet, wer dokumentiert, wer spricht nach außen? Es braucht einen klaren Kommunikationskanal zwischen Geschäftsleitung, interner IT, externen Dienstleistern, Datenschutzbeauftragtem und Rechtsberatung.
  • Innerhalb von 72 Stunden ist zu prüfen und zu dokumentieren, ob eine Meldepflicht an die Datenschutzaufsichtsbehörde besteht – inklusive einer nachvollziehbaren Begründung, wenn man sich gegen eine Meldung entscheidet.
  • Parallel sollte eine Betroffeneninformation vorbereitet werden, falls ein Risiko für Rechte und Freiheiten von Personen nicht ausgeschlossen werden kann. Sie lässt sich nötigfalls nachschärfen, sollte aber nicht erst begonnen werden, wenn die Uhr bereits abgelaufen ist.
  • Von Anfang an ist auf forensische Beweissicherung zu achten: Wer später Haftung abwehren oder Ansprüche durchsetzen möchte, darf die Spuren des Angriffs nicht durch vorschnelle „Aufräumarbeiten“ zerstören.

FAQ

Muss ein DDoS‑Angriff an die Datenschutzaufsicht gemeldet werden?

Ein reiner DDoS‑Angriff ohne Datendiebstahl kann eine meldepflichtige Datenpanne sein, muss es aber nicht. Maßgeblich ist, ob personenbezogene Daten in einer Weise betroffen sind, die ein Risiko für die Rechte und Freiheiten von Personen begründet.

Das kann etwa der Fall sein, wenn besonders schutzbedürftige Daten in kritischen Situationen nicht rechtzeitig abrufbar sind oder wenn vertraglich zugesicherte Verfügbarkeiten systematisch unterschritten werden. Entscheidend ist eine dokumentierte, nachvollziehbare Bewertung des Einzelfalls – pauschale Entwarnung nach dem Motto „Es wurde ja nichts gestohlen“ ist rechtlich zu kurz gegriffen.

Wann müssen Betroffene informiert werden?

Eine Information betroffener Personen ist immer dann erforderlich, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt. Das kann bei klassischen Datenlecks klar sein, ist aber auch in anderen Szenarien möglich.

Die Information muss so konkret sein, dass Betroffene die Tragweite einschätzen und eigene Schutzmaßnahmen ergreifen können. Unternehmen sollten deshalb nicht darauf spekulieren, dass der Vorfall „unentdeckt“ bleibt, sondern frühzeitig Entwürfe für Betroffeneninformationen vorbereiten und fortlaufend an den Stand der Ermittlungen anpassen.

Darf ein Unternehmen Lösegeld an Erpresser zahlen?

Die Zahlung von Lösegeld ist rechtlich heikel und sollte niemals ohne sorgfältige Prüfung erfolgen. Neben strafrechtlichen Risiken spielen aufsichtsrechtliche Anforderungen, Sanktionslisten und Versicherungsbedingungen eine Rolle.

Selbst wenn eine Zahlung rechtlich zulässig sein mag, löst sie die Kernprobleme eines Angriffs oft nicht dauerhaft. Unternehmen müssen berücksichtigen, dass sie durch Zahlungen zusätzliche Anreize für weitere Angriffe setzen und dass die versprochene Entschlüsselung oder Löschung von Daten keineswegs garantiert ist.

Trifft ein DDoS‑Angriff wie bei der Deutschen Bahn Unternehmen rechtlich genauso wie ein klassischer Datenabfluss?

Nein, ein DDoS‑Angriff wird rechtlich anders bewertet als ein klassischer Datenabfluss, kann aber durchaus ähnliche Pflichten auslösen. Beim Angriff auf die Deutsche Bahn standen vor allem Ausfälle und massive Störungen der Auskunfts‑ und Buchungssysteme im Vordergrund; betroffen waren insbesondere bahn.de und die App DB Navigator, die zeitweise nicht oder nur eingeschränkt nutzbar waren. Im Zentrum steht damit die Frage der Verfügbarkeit von Systemen und Daten, nicht primär deren Vertraulichkeit.

Gleichwohl kann auch die bloße Nichtverfügbarkeit eine meldepflichtige Datenpanne darstellen, wenn Personen dadurch in relevanter Weise beeinträchtigt werden, etwa weil sie auf wichtige Leistungen oder Informationen nicht zugreifen können. Unternehmen müssen im Einzelfall prüfen und dokumentieren, ob die Verfügbarkeitsstörung ein Risiko für Rechte und Freiheiten von Betroffenen begründet und ob regulatorische Meldepflichten – insbesondere gegenüber Datenschutzaufsichtsbehörden – ausgelöst werden. Anders als beim klaren Datenabfluss ist die Abgrenzung weniger offensichtlich, sodass eine strukturierte juristische Bewertung des konkreten Szenarios unverzichtbar ist.


Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.