Artikel erstmals veröffentlicht in JUVE, Magazin für Wirtschaftsjuristen in Österreich, Ausgabe Mai/Juni 2025
Täglich kommt es in Europa zu über 1.600 Cyberangriffen auf Unternehmen – ein Anstieg von mehr als 80 % im Vergleich zum Vorjahr. Die finanziellen Schäden gehen in die Milliarden, und die Dunkelziffer ist hoch. Ein erfolgreicher Angriff bringt oft nicht nur einen Stillstand der IT-Systeme mit sich. Unternehmen sind mit Lösegeldforderungen, Datenverlust, massiven Reputationsschäden und rechtlichen Konsequenzen konfrontiert. Dabei sind die versteckten Gefahren oft größer als das Offensichtliche: Fragen nach der Haftung gegenüber Vertragspartnern, interner Verantwortlichkeit und Versicherungsdeckung treten zunehmend in den Vordergrund. Wurde hinreichend Vorsorge getroffen, um dem Angriff vorzubeugen? Warum konnte der Angriff (trotzdem) nicht abgewehrt werden? Warum wurde keine Versicherung abgeschlossen? Ist ein Regress möglich und bei wem? Der Beitrag beleuchtet diesen Fragen anhand von zwei konkreten Praxisbeispielen.
Mehr als nur ein IT-Problem: Haftungsfallen
Cyberkriminalität ist äußerst vielfältig. Kriminelle können auf eine prall gefüllte Trickkiste zurückgreifen: Neben den bekannten Bedrohungen wie Malware, Ransomware, Passwortangriffen, URL-Poisoning und Phishing-Attacken geraten zunehmend auch die Geschäftsleitung und externe Dienstleister ins Visier. Besonders gefürchtet ist die so genannte Ransomware, die Daten verschlüsselt oder absaugt. Wenn die Opfer nicht rasch ein – oftmals erhebliches – Lösegeld bezahlen, sind die betroffenen Daten, sofern nicht ein Backup besteht, verloren, werden am Schwarzmarkt an den Bestbietenden verkauft oder veröffentlicht. Die Ransomware wird häufig über ein sog. „Rootkit“ vorbei an Sicherheitsvorkehrungen, in das betroffene System eingeschleust. Dies erfolgt, wie auch bei anderen Formen der Schadsoftware (zB Trojaner), entweder über eine bösartige Website oder in Form scheinbar harmloser Anhänge zu E-Mails. Die Ransomware startet die Verschlüsselung erst, nachdem sie sich im System ausbreiten konnte. Hierdurch können die Auswirkungen auf das betroffene Netzwerk maximiert und das Opfer zur Zahlung des Lösegelds genötigt werden. Neben den mit dem Verlust sensibler (Kunden-)Daten einhergehenden Reputationsschäden drohen aber auch erhebliche Strafen. Der Fokus verschiebt sich von der reinen IT-Sicherheit hin zu zahlreichen Haftungsfragen, wie etwa:
- Welche Kunden könnten gegen das Unternehmen vorgehen und wie groß ist das drohende Haftungspotenzial?
- Wurde für hinreichenden Versicherungsschutz gesorgt und was konkret muss der Versicherung wann mitgeteilt werden?
- Besteht die Möglichkeit eines Regresses gegen Geschäftspartner, wie Lieferanten oder Dienstleister?
- Wurden hinreichende Vorkehrungen getroffen, um dem Angriff vorzubeugen und dessen Folgen abzumildern? Funktioniert das interne Krisenmanagement?
- Sind unternehmensintern (Organisations-)Fehler passiert und wer ist für diese verantwortlich?
Besonders kritisch sind Angriffe auf Provider, die sensible Daten verarbeiten. Kommt es bei diesen zu einer Kompromittierung, so sind diese erheblichen (haftungs-)rechtlichen Konsequenzen ausgesetzt.
Zwei Beispiele aus der Praxis
In einem Fall etwa wurde ein spezialisierter IT-Dienstleister und Software-Anbieter Ziel eines Cyberangriffs. Über eine Schwachstelle in der Backup-Infrastruktur gelang es den Angreifern, vollständige Kundendatenbanken zu kopieren. Die betroffenen Kunden des IT-Dienstleisters sahen sich nicht nur mit erheblichen Reputationsschäden konfrontiert, sondern auch mit Unterlassungs- und Schadensersatzforderungen ihrer eigenen Kunden. Schnell stellten sich die Fragen, ob der Dienstleister vertraglich ausreichend abgesichert war, ob Sorgfaltspflichten verletzt wurden und ob ausreichende Versicherungsdeckung besteht.
In einem anderen Fall gelang es Cyberkriminellen, über den Zahlungsdienstleister eines Dienstleistungsunternehmens Zugriff auf eine Vielzahl an Kreditkartendaten der Kunden zu erlangen. Der Angriff erfolgte durch eine kompromittierte Update-Software, die Schadsoftware in die Systeme einschleuste. Die Folge war nicht nur ein erheblicher Verlust an Kundenvertrauen, sondern auch eine Welle von Stornierungen, behördlichen Untersuchungen und Datenschutzverfahren. Das Dienstleistungsunternehmen musste sich nicht nur mit Regressansprüchen von Kreditkartenanbietern und Partnerunternehmen auseinandersetzen, sondern stand zusätzlich im Fokus möglicher Schadenersatzansprüche seiner betroffenen Kunden.
Prävention und Reaktion – ein umfassender Ansatz ist nötig
Um Cyberangriffen wirksam vorzubeugen und mit ihnen richtig umzugehen, bedarf es eines strukturierten Konzepts, das unter anderem Folgendes beinhalten sollte:
- Regelmäßige Schulungen
- Erarbeitung von Notfallplänen
- Gesicherte Kommunikationswege und Backup-Systeme
- Überprüfung und Anpassung bestehender Verträge und Sicherstellung angemessener Versicherungsdeckungen
- Simulierte Angriffsszenarien und ständige Systemüberprüfungen
Kommt es zum Ernstfall, ist schnelles, koordiniertes Handeln entscheidend: Schadensbegrenzung durch Information betroffener Kunden, professionelle Öffentlichkeitsarbeit, Zusammenarbeit mit den zuständigen Behörden sowie – wo möglich und sinnvoll – Verhandlungen mit den Angreifern.
Nach einem Angriff sollten Unternehmen hierfür dessen Quelle identifizieren, die entstandenen Schäden genau dokumentieren und etwaige Haftpflichtige eruieren. Und essenziell im Nachgang ist es jedenfalls, Lehren aus der Krise zu ziehen und aus dem Vorfall konkrete Verbesserungsmaßnahmen abzuleiten.
Fazit
Cyberangriffe stellen heute eine der größten, gleichzeitig aber immer noch oft unterschätzten, Bedrohungen für Unternehmen dar. Wer sich ausschließlich auf IT-Schutzmechanismen verlässt, übersieht versteckte Gefahren: Drohende Haftungen, Fehlschlagen von Regressansprüchen und weitere massive Folgeprobleme, wie Reputationsverlust. Cybersicherheit muss umfassend gedacht werden: Technisch, organisatorisch und auch rechtlich.
