Cyberrisiken im Unternehmensalltag

Die fortschreitende Digitalisierung bringt enorme Effizienzgewinne, eröffnet Cyberkriminellen jedoch gleichzeitig neue Angriffsflächen. Die Kanzlei Stoff Meier Simma hat sich mit den aktuell häufigsten Fragen zum Thema befasst.  

Die Täter agieren heute hochprofessionell, arbeitsteilig und international. Doch mit welchen konkreten Cyberbedrohungen sehen sich Unternehmen derzeit konfrontiert, und wie sieht die rechtliche Realität im akuten Schadensfall aus? 

Welche Cybercrime-Fälle prägen aktuell den Kanzleialltag am stärksten? 

In der Beratungspraxis dominieren vor allem drei Deliktsformen, die Unternehmen finanziell massiv schädigen können:  

Erstens der sogenannte CEO-Fraud (Täter geben sich als Geschäftsführer aus): Täter spionieren interne Kommunikationswege aus und fälschen Identitäten der Geschäftsführung. Durch enormen psychologischen Druck verleiten sie Mitarbeiter zu eiligen Überweisungen auf inländische oder oft auch ausländische Konten. Dies erfüllt regelmäßig den Tatbestand des schweren, gewerbsmäßigen Betrugs (§§ 146, 147 Abs 3, 148 StGB).  

Zweitens sehen wir vermehrt Unternehmenserpressungen durch Ransomware, bei denen das gesamte Firmennetzwerk durch Schadsoftware verschlüsselt und Lösegeld gefordert wird.  

Drittens bleibt Phishing allgegenwärtig: Über manipulierte Nachrichten werden sensible Zugangsdaten für das Firmenkonto ausgespäht, um unberechtigte Zahlungen vorzunehmen. Eine strafrechtliche Haftung des getäuschten Mitarbeiters ist bei all diesen Fällen in der Regel auszuschließen, da er ohne Vorsatz handelte und selbst Opfer einer Täuschung wurde. 

Wie handle ich bei einem Angriff am besten, um den wirtschaftlichen Schaden minimal zu halten? 

Im Ernstfall entscheidet das konsequente Handeln der ersten Stunden über den Erfolg der Schadensbegrenzung. Fließt Geld unberechtigt ab, ist unverzüglich die Hausbank zu kontaktieren, um einen möglichen Zahlungsrückruf zu initiieren. Je schneller dies geschieht, desto höher ist die Chance, den Geldfluss zu stoppen. Parallel müssen die IT-Systeme gesichert und Beweise gerichtsverwertbar dokumentiert (E-Mails, Server-Logs, gefälschte Überweisungsbelege) werden. 

Mit diesen Unterlagen ist umgehend eine Sachverhaltsanzeige bei der Polizei oder der Staatsanwaltschaft zu erstatten. Über strafprozessuale Sicherstellungen (§ 109 ff StPO) können veruntreute Gelder im Ermittlungsverfahren oft selbst von ausländischen Konten erfolgreich eingefroren und zurückgeholt werden. Zudem ist es wichtig, sich dem Strafverfahren als Privatbeteiligter anzuschließen, um Schadenersatzansprüche direkt geltend zu machen. 

Treffen mich gesetzliche Handlungspflichten?  

Das hängt rechtlich stark von der Art des Cyberangriffs ab. Bei einem reinen CEO-Fraud, bei dem das Unternehmen durch eine Täuschung „nur“ um einen Geldbetrag geschädigt wird, besteht für das Unternehmen als Opfer keine automatische behördliche Meldepflicht abseits der polizeilichen Anzeige. 

Völlig anders stellt sich die rechtliche Lage dar, wenn, wie bei Ransomware oder gezieltem Phishing, das IT-System kompromittiert wird und personenbezogene Daten (beispielsweise von Kunden, Mandanten oder Mitarbeitern) abfließen, kopiert oder unzugänglich gemacht werden. In diesem Moment greift die Datenschutzgrundverordnung (DSGVO) streng durch: Es besteht eine zwingende Meldepflicht an die österreichische Datenschutzbehörde (DSB) unverzüglich und möglichst binnen 72 Stunden ab Bekanntwerden der Verletzung des Datenschutzes. Ein schuldhaftes Versäumnis dieser Meldefrist kann drastische Geldbußen nach sich ziehen. Die Einbindung anwaltlicher Hilfe zur fristgerechten DSB-Meldung ist hier essenziell. 

Mein Unternehmen wurde Opfer einer Ransomware-Erpressung: Soll die geforderte Summe bezahlt werden? 

Aus juristischer und kriminalpräventiver Sicht wird von einer Lösegeldzahlung dezidiert abgeraten. Zunächst gibt es bei Kriminellen keinerlei Garantie, dass die Systeme nach einer Zahlung in Kryptowährungen tatsächlich wieder freigegeben und entschlüsselt werden. 

Viel gravierender ist jedoch das strategische Risiko: Unternehmen finanzieren durch die Zahlung weitere Straftaten und markieren sich in entsprechenden Darknet-Foren selbst als zahlungswilliges, lukratives Ziel. Das Risiko von Folgeerpressungen steigt dadurch massiv an. Der unternehmerische Fokus sollte im Ernstfall nicht auf der Verhandlung mit Erpressern, sondern auf einer sauberen IT-forensischen Wiederherstellung aus sauberen Backups sowie der rechtlichen Begleitung (insbesondere hinsichtlich der erwähnten DSGVO-Pflichten) liegen. 

Zusammenfassung 

Die effektivste Verteidigung gegen Cyberkriminalität ist entschlossenes Vorgehen im Ernstfall. Schnelles und rechtlich koordiniertes Handeln, vom Bankkontakt bis zur Einschaltung der Ermittlungsbehörden, ist unerlässlich, um Vermögenswerte zu retten und Haftungsfallen zu vermeiden. Da Cyberkriminelle technische Schutzmaßnahmen oft geschickt umgehen, sind wachsame Mitarbeiter unabdingbar. Deren gezielte Sensibilisierung durch regelmäßige Schulungen bildet den wichtigsten unternehmerischen Schutzschild im digitalen Alltag. 

 

Die Kanzlei Stoff Meier Simma Rechtsanwälte 
zwei Anwälte
Stoff-Meier-Simma 

steht Ihnen mit mehr als 30-jähriger Berufserfahrung lösungsorientiert und tatkräftig zur Seite. Unsere Kanzlei ist auf allen Gebieten des Arbeits- und Sozialrechts, des Zivilrechts, des Straf- und Verwaltungsrechts, des Erb- und Familienrechts und des Wirtschaftsrechts tätig. Wir sind befugt, unsere Klienten vor allen österreichischen Gerichten und Behörden zu vertreten. 

 

Aus dem Magazin forum.ksv - Ausgabe 02/2026.  

 

Credit: Foto Fischer