Nach Angaben des Digitalverbands Bitkom waren bereits rund 80 Prozent der Unternehmen in Deutschland von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen. Die Frage ist daher längst nicht mehr, ob ein Unternehmen ins Visier von Cyberkriminellen gerät, sondern wann. Umso wichtiger ist es zu wissen, wie im Ernstfall richtig reagiert wird.
Angriffe sind keine Ausnahme mehr
Trotz der hohen Zahl bekannter Vorfälle hoffen viele Unternehmen, bislang verschont geblieben zu sein. IT-Sicherheitsexperten weisen jedoch darauf hin, dass es eine erhebliche Dunkelziffer gibt: Zahlreiche Angriffe bleiben über längere Zeit unentdeckt. Schadsoftware kann sich unbemerkt in Systemen festsetzen und erst nach Tagen, Wochen oder sogar Monaten auffallen – wenn der Schaden häufig bereits entstanden ist.
Früherkennung allein genügt nicht
Viele Organisationen investieren daher in Maßnahmen zur schnelleren Erkennung von Cyberangriffen. Doch das reine Feststellen eines Sicherheitsvorfalls ist nur der erste Schritt. Entscheidend ist, wie anschließend reagiert wird, um Schäden zu begrenzen und rechtliche Risiken zu vermeiden.
Ein zentraler Punkt ist dabei die Frage, welche Stellen informiert werden müssen. Liegt der Fall ähnlich wie bei einem physischen Einbruch, bei dem automatisch die Polizei eingeschaltet wird? Oder gelten bei IT-Vorfällen andere Regeln?
Mehrere Meldepflichten können greifen
Bekannt ist vor allem die Meldepflicht nach der Datenschutz-Grundverordnung (DSGVO). Viele Cyberangriffe betreffen personenbezogene Daten, etwa von Mitarbeitenden, Kundinnen und Kunden oder Geschäftspartnern. In solchen Fällen kann eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich sein – und unter bestimmten Voraussetzungen auch eine Information der betroffenen Personen selbst.
Darüber hinaus existieren weitere gesetzliche Informationspflichten. So müssen beispielsweise Träger von Sozialleistungen Datenschutzverletzungen zusätzlich ihrer Fach- oder Rechtsaufsicht anzeigen. Betreiber kritischer Infrastrukturen, Energieversorgungsnetze oder bestimmter Energieanlagen sind verpflichtet, relevante Störungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Datenschutzaufsichtsbehörden haben zuletzt nochmals klargestellt, dass diese Pflichten parallel bestehen können.
Bleibt die Frage: Muss auch die Polizei informiert werden?
Keine Pflicht – aber oft sinnvoll
Grundsätzlich besteht keine gesetzliche Verpflichtung, einen nach der DSGVO meldepflichtigen Vorfall zusätzlich bei den Strafverfolgungsbehörden anzuzeigen. In der Praxis führt dies nicht selten dazu, dass auf eine Strafanzeige verzichtet wird.
Dennoch kann die Einschaltung der Polizei erhebliche Vorteile haben. Ermittlungen können helfen, Art und Ursprung des Angriffs zu klären, Täterstrukturen zu identifizieren und Schwachstellen in den eigenen Systemen offenzulegen. Die gewonnenen Erkenntnisse können nicht nur zur Schadensbegrenzung beitragen, sondern auch die Abwehr zukünftiger Angriffe verbessern.
Wichtig ist dabei: Eine Strafanzeige ersetzt nicht die datenschutzrechtlichen Meldepflichten. Beide Wege stehen nebeneinander und erfüllen unterschiedliche Zwecke.
Unterstützung frühzeitig einbinden
Wer unsicher ist, ob ein Vorfall meldepflichtig ist oder welche Stellen informiert werden müssen, sollte frühzeitig die oder den Datenschutzbeauftragten einbeziehen. Eine strukturierte Bewertung hilft, Fehlentscheidungen zu vermeiden und trägt dazu bei, Cyberangriffe schneller zu erkennen und korrekt zu behandeln.
Jede Meldung hilft zudem, das tatsächliche Ausmaß von Cyberkriminalität besser sichtbar zu machen – und damit langfristig die Sicherheitslage für alle zu verbessern.