Close

Kontakt

München – +49 (0)89 122 230 810
Regensburg – +49 (0)941 280 948 0
Nürnberg – +49 (0)911 893 180 95

Datenschutzerklärung
Kontakt aufnehmen
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Skip to main content
zurück zum Wirtschaftsstrafrecht

Cybercrime und IT-Sicherheit – Verteidigung und Prävention für Unternehmen

Cybercrime umfasst Straftaten gegen IT-Systeme, Datennetze und digitale Kommunikationswege sowie Delikte, bei denen Informationstechnik als Tatmittel eingesetzt wird. Für Unternehmen hat dieses Rechtsgebiet regelmäßig zwei Seiten: Sie können Opfer von Hackerangriffen, Ransomware oder CEO-Fraud werden – und zugleich selbst in den Fokus der Ermittlungs- und Aufsichtsbehörden geraten, wenn IT-Sicherheits- und Meldepflichten verletzt worden sein könnten.

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes hat sich die regulatorische Lage erheblich verschärft. Pflichtverletzungen im Bereich der IT-Sicherheit sind heute nicht mehr nur ein technisches, sondern ein haftungs- und bußgeldrechtliches Thema, das die Geschäftsleitung persönlich betrifft.

Dieser Beitrag gibt einen Überblick über den geltenden Rechtsrahmen, die zentralen Tatbestände, typische Risikofelder und die wichtigsten Handlungsoptionen. Er richtet sich an Geschäftsführer und Vorstände, IT-, Sicherheits- und Compliance-Verantwortliche sowie an alle Unternehmen, die von einem Cybervorfall oder einem entsprechenden Vorwurf betroffen sind.

Was bedeutet Cybercrime im Unternehmenskontext?

Im engeren Sinn erfasst Cybercrime Angriffe, die sich gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen richten. Im weiteren Sinn gehören dazu klassische Vermögensdelikte, die mit digitalen Mitteln begangen werden, etwa der Computerbetrug. Für Unternehmen entstehen Risiken in beiden Rollen: als Geschädigte eines Angriffs und als möglicher Adressat von Vorwürfen, wenn interne Zugriffe unbefugt erfolgen, Daten unzureichend geschützt werden oder Organisations- und Meldepflichten verletzt wurden.

Rechtlicher Rahmen

Das Strafgesetzbuch enthält eine Reihe spezieller Tatbestände. § 202a StGB erfasst das Ausspähen von Daten, § 202b StGB das Abfangen von Daten und § 202c StGB das Vorbereiten solcher Taten. Datenveränderungen durch Schadsoftware können unter § 303a StGB fallen, Angriffe auf die Funktionsfähigkeit von Systemen – etwa durch Distributed-Denial-of-Service-Attacken – unter die Computersabotage nach § 303b StGB. Hinzu kommt der Computerbetrug nach § 263a StGB. Neben dem Strafrecht stehen aufsichtsrechtliche Pflichten: Datenschutzverstöße können nach der DSGVO mit empfindlichen Bußgeldern geahndet werden, und das Geschäftsgeheimnisgesetz (GeschGehG) kann zivil- und strafrechtliche Folgen auslösen.

Aktuelle Entwicklungen: Das NIS-2-Umsetzungsgesetz ist in Kraft

Wer die Risiken heute einschätzen will, muss die neuen IT-Sicherheitspflichten kennen. Sie treffen einen weit größeren Kreis von Unternehmen als bisher.

  • Inkrafttreten: Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten und setzt die EU-Richtlinie (EU) 2022/2555 in deutsches Recht um.
  • Erweiterter Anwendungsbereich: Geschätzt rund 29.500 Unternehmen unterliegen seitdem neuen Pflichten der Informationssicherheit – deutlich mehr als unter dem bisherigen Recht.
  • Pflichten ohne Übergangsfrist: Betroffene Einrichtungen müssen sich beim BSI registrieren, Risikomanagementmaßnahmen umsetzen und erhebliche Sicherheitsvorfälle melden – mit einer Frühwarnung binnen 24 Stunden, einem Bericht binnen 72 Stunden und einem Abschlussbericht binnen eines Monats. Eine allgemeine Übergangsfrist gibt es nicht; die Registrierungsfrist lief bereits am 6. März 2026 ab.
  • Verantwortung der Geschäftsleitung: Die Leitungsorgane müssen die Risikomanagementmaßnahmen billigen und überwachen und können bei Pflichtverletzungen persönlich in die Haftung geraten.
Praxishinweis: Eine reine IT-Abteilungslösung genügt nicht mehr. Die Pflichten der NIS-2-Umsetzung sind Chefsache. Geschäftsleitungen sollten Registrierung, Risikomanagement, Lieferkettensicherheit und Meldeprozesse dokumentiert nachweisen können – fehlende Vorkehrungen können im Schadensfall den Vorwurf einer Organpflichtverletzung begründen.

Die Grundlagen im Überblick

Vier Fragen bestimmen in der Praxis fast jeden Fall:

  1. Ist das Unternehmen Opfer eines Angriffs oder steht ein eigener Vorwurf im Raum?
  2. Welche Daten und Systeme sind betroffen – und welche Melde- und Benachrichtigungspflichten werden dadurch ausgelöst?
  3. Wurden angemessene IT-Sicherheits- und Organisationsmaßnahmen getroffen und dokumentiert?
  4. Wie ist die Kommunikation mit Ermittlungsbehörden, Datenschutzaufsicht und BSI zu steuern?

Von Hacking bis Computerbetrug

Die einschlägigen Tatbestände reichen vom Ausspähen und Abfangen von Daten (§§ 202a, 202b StGB) über die Datenveränderung durch Schadsoftware (§ 303a StGB) und die Computersabotage (§ 303b StGB) bis zum Computerbetrug (§ 263a StGB). Praktisch besonders relevant sind Ransomware-Angriffe, bei denen Daten verschlüsselt und Lösegelder gefordert werden, sowie der CEO-Fraud, bei dem Mitarbeiter durch gefälschte Anweisungen zu Zahlungen veranlasst werden. Hinzu treten Datenschutzverstöße und die Verletzung von Geschäftsgeheimnissen.

Wann gerät die Geschäftsführung in den Fokus?

Werden bei einem Cybervorfall sensible Kundendaten kompromittiert, prüfen Aufsichtsbehörden und in gravierenden Fällen auch Strafverfolgungsbehörden, ob die Geschäftsleitung ihre Organisations- und Überwachungspflichten verletzt hat. Im Mittelpunkt stehen Fragen nach angemessenen IT-Sicherheitsstandards, Backup-Konzepten, Zugriffsrechten und Notfallplänen. Eine bloße Opferrolle schützt nicht automatisch vor weiterer Prüfung. Fehlen angemessene Schutzmaßnahmen, können Organpflichtverletzungen, aufsichtsrechtliche Folgen und persönliche Haftungsrisiken im Raum stehen.

Achtung: Die persönliche Inanspruchnahme der Geschäftsleitung folgt nicht aus einer D&O-Versicherung als eigener Anspruchsgrundlage. Maßgeblich sind die organschaftlichen Pflichten aus § 43 GmbHG bzw. § 93 AktG und die daraus folgenden Haftungsregeln; die D&O-Police ist erst auf der Ebene der Deckung relevant.

Wirtschaftliche Folgen eines Cybervorfalls

Ist das Unternehmen selbst betroffen, drohen Betriebsunterbrechungen, Erpressungsschäden, erheblicher Reputationsverlust und gegebenenfalls Schadensersatzforderungen. Wird dem Unternehmen eine unzureichende IT-Compliance vorgeworfen, können Datenschutzbehörden Bußgelder in erheblicher Höhe verhängen. Hinzu kommen mögliche Ansprüche betroffener Kunden, Geschäftspartner oder Gesellschafter sowie aufsichtsrechtliche Maßnahmen nach dem NIS-2-Regime.

Das Verfahren und die Rechte der Betroffenen

Bei einem Cybervorfall treffen Gefahrenabwehr, Meldepflichten und strafprozessuale Vorsicht aufeinander. Im Strafverfahren besteht ein Schweigerecht; zugleich bestehen Melde- und Benachrichtigungspflichten gegenüber BSI und Datenschutzaufsicht. Diese Pflichten müssen erfüllt, ihre Inhalte aber sorgfältig abgestimmt werden, weil sie strafrechtliche Bedeutung erlangen können.

Praxishinweis: Bevor Systeme vorschnell neu aufgesetzt, Daten gelöscht oder Stellungnahmen gegenüber Behörden abgegeben werden, sollte ein spezialisierter Rechtsanwalt eingebunden werden. Beweise sind gerichtsfest zu sichern – ihre vorschnelle Vernichtung kann nicht nur die spätere Aufklärung erschweren, sondern auch eigene Vorwürfe auslösen.

Typische Risikofelder – und wie sie sich vermeiden lassen

Unzureichende IT-Sicherheit. Fehlende Backups, veraltete Systeme und unklare Zugriffsrechte sind die häufigsten Einfallstore – und zugleich der häufigste Vorwurf gegen die Geschäftsleitung.

Versäumte Melde- und Registrierungspflichten. Wer der NIS-2-Umsetzung unterfällt, muss Registrierung und Meldewege nachweisbar erfüllen. Versäumnisse sind bußgeldbewehrt.

Innentäter und unbefugte Zugriffe. Auch Mitarbeiter können Tatbestände wie das Ausspähen von Daten verwirklichen. Klare Berechtigungskonzepte und Protokollierung beugen vor.

Lösegeldzahlungen. Zahlungen an Erpresser können eigene rechtliche Risiken bergen, etwa mit Blick auf Sanktionsrecht. Sie sollten nie ohne rechtliche Prüfung erfolgen.

Was Unternehmen jetzt tun sollten

IT-Compliance aufbauen. Reine IT-Sicherheit genügt nicht; erforderlich ist ein belastbares IT-Compliance-Management mit Risikoanalyse, Schulungen und Notfallplänen.

NIS-2-Pflichten prüfen. Unternehmen sollten klären, ob sie der NIS-2-Umsetzung unterfallen, und Registrierung, Risikomanagement und Meldeprozesse umsetzen.

Notfallplan mit Rechtsbeistand. Der Kontakt zu einem spezialisierten Rechtsanwalt sollte bereits im Vorfeld fester Bestandteil des Notfallplans sein.

Im Ernstfall kontrolliert handeln. Schnelligkeit ist wichtig, darf aber nicht zu Beweisverlust oder vorschnellen Erklärungen führen.

Wir verteidigen Ihre Interessen

Wir beraten und verteidigen Unternehmen, Geschäftsführer, Vorstände sowie IT- und Compliance-Verantwortliche im gesamten Bereich Cybercrime und IT-Sicherheit – als Geschädigte eines Angriffs ebenso wie bei dem Vorwurf unzureichender IT-Compliance. Wir koordinieren die Kommunikation mit Ermittlungsbehörden, Datenschutzaufsicht und BSI, sichern Beweise gerichtsfest und wahren die Interessen des Unternehmens. Diskret, spezialisiert und mit der Erfahrung aus komplexen Wirtschaftsstrafverfahren.

zuletzt aktualisiert:
12.06.2026

Fragen & Antworten

Weitere interessante Artikel

Wirtschaftsstrafrecht

Umsatzsteuerkarussell: Strafrechtliche Risiken und Verteidigungsstrategien für Unternehmer

Beitrag lesen
Umsatzsteuerkarussell verteidigen
5/26/2026
Wirtschaftsstrafrecht

Internal Investigations: Wenn das Unternehmen vor dem Strafverfahren selbst ermittelt

Beitrag lesen
Interne Untersuchungen strukturieren
5/26/2026

Brauchen Sie eine sichere Beratung?

Anwalt kontaktieren

Zunächst sind Sie Geschädigte. Allerdings prüfen Aufsichts- und teils auch Strafverfolgungsbehörden, ob angemessene IT-Sicherheits- und Organisationsmaßnahmen getroffen wurden. Eine Opferrolle schützt also nicht automatisch vor weiterer Prüfung. Frühzeitige rechtliche Begleitung ist deshalb wichtig.

In Betracht kommen insbesondere das Ausspähen und Abfangen von Daten (§§ 202a, 202b StGB), die Datenveränderung (§ 303a StGB), die Computersabotage (§ 303b StGB) und der Computerbetrug (§ 263a StGB). Hinzu treten Datenschutzverstöße und die Verletzung von Geschäftsgeheimnissen.

Seit dem 6. Dezember 2025 gelten für einen deutlich erweiterten Kreis von Unternehmen neue Pflichten: Registrierung beim BSI, Risikomanagementmaßnahmen und gestufte Meldepflichten bei erheblichen Sicherheitsvorfällen (24 Stunden, 72 Stunden, ein Monat). Eine allgemeine Übergangsfrist besteht nicht; die Geschäftsleitung trägt die Verantwortung.

Ja, das ist möglich. Maßgeblich sind die organschaftlichen Sorgfaltspflichten (§ 43 GmbHG, § 93 AktG) sowie die Pflichten aus dem NIS-2-Regime. Werden erforderliche Maßnahmen unterlassen, kommen zivilrechtliche Haftung und in gravierenden Fällen auch strafrechtliche Vorwürfe in Betracht.

Davon ist ohne vorherige rechtliche Prüfung dringend abzuraten. Zahlungen an Erpresser können eigene rechtliche Risiken bergen, etwa im Hinblick auf das Sanktionsrecht, und garantieren nicht die Wiederherstellung der Daten. Die Entscheidung sollte stets mit rechtlicher und technischer Beratung getroffen werden.

Den Vorfall eindämmen, Beweise gerichtsfest sichern (nicht vorschnell Systeme neu aufsetzen oder Daten löschen), Melde- und Benachrichtigungspflichten prüfen und frühzeitig einen spezialisierten Rechtsanwalt einbinden, der die Kommunikation mit Behörden steuert.