Cyberkriminalität trifft kleine und mittlere Unternehmen zunehmend dort, wo Abläufe pragmatisch organisiert sind und Vertrauen als Prozessersatz funktioniert. Viele Angriffe zielen nicht auf „Hightech-Lücken“, sondern auf Routinen:
gefälschte E-Mails, manipulierte Rechnungen, kompromittierte Postfächer, Support-Anrufe mit fingierter Rufnummer oder Fernzugriffsanfragen unter Zeitdruck.
Der Schaden entsteht dann entweder durch unmittelbare Zahlungsabflüsse („Rechnungstausch“, „CEO-Fraud“) oder durch den Zugriff auf IT-Konten, der anschließend für Datenabfluss oder Ransomware genutzt wird.
Ein hilfreicher Maßstab für die rechtliche und praktische Bewertung solcher Konstellationen findet sich (wenn auch aus einem anderen Kontext) in der Rechtsprechung zum Social Engineering. Der BGH hat im Zusammenhang mit Online-Banking entschieden, dass die Weitergabe von Authentifizierungsmerkmalen nach wiederholter Kontaktaufnahme regelmäßig als grob fahrlässig bewertet werden kann (BGH, Urt. v. 22.07.2025 – XI ZR 107/24).
Die vom Bundesgerichtshof zugrunde gelegte Wertung ist nicht auf den entschiedenen Einzelfall beschränkt, sondern lässt sich auf vergleichbare Sachverhalte übertragen.
Wer Warnsignale ignoriert und Freigaben ohne Plausibilitätsprüfung erteilt, vergrößert das Risiko in einer Weise, die rechtlich relevant werden kann.
Für Organisationen bedeutet das: Entscheidend ist weniger die Existenz einzelner Sicherheitsfunktionen, sondern die Frage, ob Prozesse so gestaltet sind, dass Manipulationen auch bei menschlichen Fehlern abgefangen werden.
Viele Unternehmen reagieren auf Phishing primär mit Warnhinweisen oder kurzer Awareness-Schulungen. Das ist sinnvoll, aber alleine nicht ausreichend. Moderne Angriffe sind gerade darauf ausgelegt, Aufmerksamkeit zu umgehen, etwa durch Autoritätsdruck („Geschäftsleitung“), angebliche IT-Sicherheitsmaßnahmen oder täuschend echte Login-Seiten. Wenn ein einzelnes Passwort oder ein unkritisch bestätigter „Support“-Vorgang genügt, um Zugriff auf E-Mail, Dateiablagen oder Administrationskonten zu erhalten, liegt das Kernproblem in der Architektur und den Freigabewegen, nicht im „falschen Klick“ einer Einzelperson.
Hier zeigt sich, warum die Einhaltung zentraler Pflichten der DSGVO ein praktisches Mittel gegen Hackerangriffe ist und nicht nur Compliance. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau, insbesondere zur Sicherung von Vertraulichkeit, Integrität und Verfügbarkeit. Phishing ist in der Sache ein Angriff auf Vertraulichkeit und Integrität, weil unbefugte Dritte Identitäten übernehmen und Handlungen auslösen. Wo Rechte streng begrenzt, privilegierte Zugriffe abgesichert und kritische Funktionen nur nach klaren Freigaben möglich sind, kann ein kompromittiertes Konto nicht ohne Weiteres zum Totalschaden führen. Ebenso zwingt Art. 32 DSGVO mittelbar zu Wiederherstellungsfähigkeit und Belastbarkeit gegen Störungen; genau das ist im Ransomware-Fall entscheidend, weil saubere Backups und geübte Wiederanläufe den Druck aus Erpressungssituationen nehmen. Ergänzend wirkt Art. 28 DSGVO in Dienstleisterkonstellationen als Schutzmechanismus: Gerade bei externer IT-Betreuung und Fernwartung entstehen typische Einfallstore, wenn Zugriffe nicht sauber geregelt, dokumentiert und kontrolliert werden.
Wirksame Abwehr entsteht daher vor allem durch robuste Kernprozesse. Zahlungs- und Stammdatenänderungen dürfen nicht allein auf Basis eines E-Mail-Auftrags erfolgen, sondern müssen über unabhängige Bestätigungskanäle abgesichert werden; gerade Kontowechsel und „dringende Sonderzahlungen“ sind klassische Betrugsfelder. Identitäts- und Zugriffsverwaltung muss so organisiert sein, dass kritische Systeme nicht mit überprivilegierten Standardkonten betrieben werden und dass Mehrfaktor-Authentisierung für besonders schützenswerte Zugänge konsequent gilt. Schließlich sind Protokollierung und Reaktion entscheidend: Viele Vorfälle werden nicht deshalb groß, weil sie technisch unentdeckbar wären, sondern weil Auffälligkeiten zu spät gesehen werden und Zuständigkeiten unklar sind. Die organisatorische Fähigkeit, Sicherheitsereignisse strukturiert zu erkennen, zu bewerten und zu begrenzen, ist damit nicht nur operativ, sondern auch rechtlich relevant, weil sie das geforderte Risikoniveau (Art. 32 DSGVO) konkretisiert.
Im Ergebnis sind Hacking und Phishing leider keine Ausnahmelagen mehr, sondern ein Dauerzustand. Gerade KMU profitieren davon, die Abwehr nicht als Sammlung einzelner Maßnahmen zu verstehen, sondern als Kombination aus Prozessdisziplin und technischer Begrenzung von Schäden. Die DSGVO liefert hierfür einen belastbaren Rahmen: nicht als „Datenschutz-Sonderweg“, sondern als Sicherheitsanforderung, die typische Angriffsmuster praktisch.