Von den Forschungsergebnissen von Dr. iur. Dr. rer. pol. Fabian Teichmann.

Die digitale Transformation hat die Wirtschaft fundamental verändert – und mit ihr das Risikoprofil jedes Unternehmens. Ransomware-Angriffe legen Kliniken lahm, Deepfakes veranlassen Finanzabteilungen zu Millionenüberweisungen, und Cyberangriffe können ganze Betriebe in die Insolvenz treiben. Was wie ein dystopisches Zukunftsszenario klingt, ist für Unternehmer längst bittere Gegenwart.

Dr. Fabian Teichmann, Rechtsanwalt und IT-Forensiker mit Sitz in der Schweiz, hat in den vergangenen Jahren Forschungsarbeit geleistet: Mehr als hundert wissenschaftliche Artikel, mehrere Monographien und zahlreiche Beiträge in führenden Fachzeitschriften zeichnen ein präzises, evidenzbasiertes Bild der Bedrohungslage – und geben Unternehmern konkrete Antworten auf die Frage, was rechtlich, organisatorisch und technisch zu tun ist. Dieser Artikel fasst die zentralen Erkenntnisse aus diesem Forschungskorpus zusammen.

1. Die neue Qualität der Bedrohung: Ransomware als Unternehmensrisiko

Ransomware ist heute kein technisches Randproblem mehr – sie ist ein organisiertes Geschäftsmodell krimineller Netzwerke. Teichmann beschreibt diese Entwicklung in mehreren Beiträgen präzise: Hochprofessionelle Cyberkriminellen-Gruppen arbeiten arbeitsteilig und industriell organisiert. Sogenannte Initial Access Brokers verschaffen sich zunächst Zugang zu Netzwerken, verkaufen diesen Zugang im Darknet, und erst dann verschlüsselt ein Ransomware-Operator die Daten. Zunehmend handelt es sich dabei um Double Extortion: Die Täter exfiltrieren vor der Verschlüsselung vertrauliche Daten und drohen zusätzlich mit deren Veröffentlichung (Teichmann, Ransomware-Erpressung: Umgang, Rechtsfragen und Cyberversicherung, ZBJV 2025, S. 553–578).

Besonders beunruhigend: Kein Unternehmen ist „zu klein" oder fachlich „uninteressant" für Ransomware-Erpresser. Die Opferwahl erfolgt oft opportunistisch – Angreifer scannen breit nach verwundbaren Systemen. Professionelle Täter kalkulieren die Höhe des Lösegelds dabei so, dass sie gerade unter den voraussichtlichen Kosten einer Datenwiederherstellung liegt, was den Anreiz zu zahlen erhöht (Teichmann, ZBJV 2025, S. 553–578).

Die Schadensdimension ist enorm. Teichmann dokumentiert den Change-Healthcare-Angriff 2024, bei dem 6 Terabyte sensibler Patientendaten entwendet wurden und die Auswirkungen rund 100 Millionen Menschen betrafen (Teichmann, Ransomware-Bedrohung im Gesundheitswesen, Compliance Berater 2025, S. 227–233). In Europa zeigte ein Angriff auf einen Londoner Diagnostikdienstleister 2023, dass tausende Operationen abgesagt werden mussten und Notfallpatienten umgeleitet werden mussten – ein eindrücklicher Beleg dafür, dass Ransomware-Angriffe unmittelbar Leben gefährden können (Teichmann, Compliance Berater 2025, S. 227–233).

Auch mittelständische Unternehmen sind längst betroffen. Teichmann analysiert den Fall Fasana (2025), bei dem ein Cyberangriff direkt zur Insolvenz eines Unternehmens führte, als exemplarischen Weckruf für den Mittelstand (Teichmann, Cyberangriff als Insolvenzauslöser: Der Fall Fasana als Weckruf, ZRI 2026, S. 6–13; ders., Vom Cyberangriff in die Insolvenz – Der Fall Fasana (2025) und Lehren für den Mittelstand, InTeR 2025, S. 167–171).

2. Wenn Künstliche Intelligenz zur Waffe wird: Deepfakes und CEO-Fraud

Neben Ransomware identifiziert Teichmanns Forschung eine zweite, noch beunruhigendere Bedrohungsdimension: den Einsatz generativer Künstlicher Intelligenz für Betrugsmaschen.

Anfang 2024 überwies eine Finanzmitarbeiterin in Hongkong 25 Millionen US-Dollar an Betrüger, nachdem sie auf einer Videokonferenz von vermeintlichen Vorgesetzten angewiesen worden war. Was sie nicht ahnte: Weder der CFO noch die Kollegen waren wirklich zugeschaltet – Kriminelle hatten deren Erscheinung und Stimme per Deepfake simuliert (Teichmann, KI-gestützte Betrugsmaschen – Deepfakes als neue Herausforderung für Fraud Detection, Jusletter, 30. Juni 2025).

Diese Vorfälle sind kein Einzelfall. Teichmann verweist auf Prognosen, wonach durch generative KI Betrugsverluste allein in den USA bis 2027 von 12,3 Milliarden auf 40 Milliarden US-Dollar anwachsen könnten – eine jährliche Steigerungsrate von über 30 Prozent. Deepfake-Vorfälle im Fintech-Sektor haben sich 2023 um 700 Prozent erhöht (Teichmann, Jusletter, 30. Juni 2025).

Das Tückische: Deepfakes müssen nicht perfekt sein, um wirksam zu täuschen. Psychologisch wirkt die Tendenz des Menschen, dem zu vertrauen, was er sieht oder hört, als Verstärker. Selbst wenn subtile Unstimmigkeiten vorhanden sind, können Kontext und die natürliche Vertrauensbereitschaft verbleibende Zweifel überdecken (Teichmann, Jusletter, 30. Juni 2025). Dies hat direkte praktische Konsequenzen: Das übliche Prinzip „Rufen Sie im Zweifel den Vorgesetzten zurück" greift ins Leere, wenn auch die telefonische Identifikation per Voice-Cloning überwindbar ist.

In einem weiteren experimentellen Beitrag untersucht Teichmann auch die Nutzung generativer KI im Kontext von CEO-Fraud direkt (Teichmann, CEO Fraud im Kontext (generativer) künstlicher Intelligenz – Eine experimentelle Untersuchung, ZWH 2024, S. 1–8). Das Ergebnis: Klassische Kontrollmechanismen wie das Vier-Augen-Prinzip versagen, wenn die visuelle und akustische Authentizität der täuschenden Person perfekt simuliert wird.

3. Die rechtliche Dimension: Was Geschäftsleiter heute haften

Ein zentrales Thema in Teichmanns Forschung ist die persönliche Haftung von Unternehmensführern bei Cybervorfällen. Dies ist kein akademisches Problem – es hat unmittelbare praktische Relevanz für jeden Geschäftsführer und Vorstand.

NIS-2-Richtlinie und ihre Folgen für die Unternehmensleitung

Die EU-NIS-2-Richtlinie (EU 2022/2555), in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG), verlangt von Unternehmensleitungen nicht nur die Sicherstellung angemessener technischer Maßnahmen, sondern auch aktive Schulungsteilnahme. Teichmann analysiert diese Pflicht in mehreren Beiträgen ausführlich: Geschäftsleitungen müssen Cybersicherheitsrisiken kennen und aktiv managen – Unwissenheit schützt nicht vor Haftung (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung, Computer und Recht 2025, S. 718–725; ders., Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, S. 65–73).

Besonders weitreichend: Für wesentliche Einrichtungen können Verstöße gegen NIS-2-Pflichten mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Einige nationale Umsetzungsgesetze ermöglichen zudem, die Geschäftsleitung vorübergehend von ihren Funktionen zu suspendieren (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, S. 6–11).

Cyberkrise und Insolvenz: eine unterschätzte Verbindung

Teichmann deckt eine in der Praxis noch kaum beachtete Risikoverbindung auf: die Verbindung zwischen Cyberangriff und Insolvenzpflicht. Wenn ein Ransomware-Angriff die Zahlungsunfähigkeit eines Unternehmens herbeiführt oder droht, greifen die insolvenzrechtlichen Pflichten des § 15a InsO. Handlungsunfähige oder zögerliche Geschäftsführer riskieren nicht nur zivilrechtliche Haftung, sondern auch strafrechtliche Konsequenzen (Teichmann, Cyberbedingte Insolvenzreife und § 15a InsO: Zur straf- und haftungsrechtlichen Verantwortlichkeit der Geschäftsführung, ZInsO 2025, S. 2193–2207; ders., Cyberkrise und Insolvenzverschleppung – Strafrechtliche Risiken bei verspäteter Reaktion auf Ransomware-Angriffe, ZRI 2025, S. 877–884).

Der präventive Ansatz des NIS-2-Regimes zielt genau hier an: Es verpflichtet Unternehmen, Cyberrisiken zu erkennen und zu managen, bevor sie existenzbedrohend werden (Teichmann, Cyberrisiken und Insolvenzgefahr: Präventive Schutzpflichten des NIS2-Regimes, InsA 2026, S. 3–10).

D&O-Haftung: wenn Cyberkriminalität Vorstände persönlich trifft

Teichmann analysiert die steigende D&O-Haftung (Directors & Officers) als interdisziplinäre Folge aus Cyberkriminalität, Regulierung und KI. Vorstände und Geschäftsführer, die elementare IT-Sicherheitspflichten vernachlässigen, haften zunehmend persönlich – sowohl gegenüber dem Unternehmen als auch gegenüber Dritten (Teichmann, Steigende D&O-Haftungsrisiken durch Cyberkriminalität, Regulierung und KI, Compliance Berater 2026, S. 117–122).

4. Der Cyber Resilience Act: Cybersicherheit wird Produktpflicht

Eine der bedeutendsten Entwicklungen im europäischen Recht ist der Cyber Resilience Act (CRA), der im Oktober 2024 verabschiedet wurde und ab dem 11. Dezember 2027 für neue Produkte verbindlich gilt. Teichmann hat diesen Rechtsakt umfassend analysiert.

Der CRA markiert einen Paradigmenwechsel: Cybersicherheit wird – vergleichbar der elektrischen Sicherheit – zu einer verbindlichen Produkteigenschaft erhoben (Teichmann, Cybersicherheit als Produkteigenschaft – Der Cyber Resilience Act der Europäischen Union, NJW 2025, S. 2577–2582). Was bedeutet das für Unternehmen?

Hersteller von vernetzten Produkten – ob Smarthome-Geräte, Industriesteuerungssysteme oder Software – müssen künftig:

• Sicherheitslücken beim Marktstart minimieren (keine bekannten ungepatchten Schwachstellen bei Auslieferung)

• Sichere Voreinstellungen implementieren (keine Standardpasswörter)

• Mindestens fünf Jahre Sicherheitsupdates bereitstellen

• Eine Software Bill of Materials (SBOM) erstellen – eine Liste aller verwendeten Softwarekomponenten

• Sicherheitsvorfälle innerhalb von 24 Stunden melden

(Teichmann, NJW 2025, S. 2577–2582; ders., Der EU Cyber Resilience Act – Anforderungen aus strafrechtlicher, Compliance-, produktsicherheitsrechtlicher und Governance-Perspektive, RIW 2025, S. 777–785)

Auch Unternehmen, die vernetzte Produkte einsetzen, müssen die Implikationen verstehen. Die Pflicht zur Lieferkettensorgfalt bedeutet: Wer unsichere Drittkomponenten integriert, haftet mit. Teichmann betont, dass auch scheinbar simple Komponenten nicht vernachlässigt werden dürfen, da Angreifer oft Ketten von Schwachstellen ausnutzen und über kleine Einfallstore in große Systeme gelangen (Teichmann, The EU Cyber Resilience Act: Hybrid governance, compliance, and cybersecurity regulation in the digital ecosystem, Computer Law & Security Review 2025, S. 106209).

5. Kritische Infrastrukturen: Wenn der Cyberangriff zur öffentlichen Gefahr wird

Teichmanns Forschung widmet sich intensiv der besonderen Schutzbedürftigkeit kritischer Infrastrukturen – Krankenhäuser, Energieversorger, Kommunen, Finanzinstitute – und der rechtlichen Konsequenzen für deren Betreiber.

Gesundheitswesen

Ransomware-Angriffe auf Kliniken sind nicht nur wirtschaftlich verheerend, sondern können unmittelbar lebensbedrohlich sein. 2020 musste das Universitätsklinikum Düsseldorf nach einem Ransomware-Angriff die Notfallversorgung zeitweise einstellen; die Staatsanwaltschaft prüfte ein Verfahren wegen fahrlässiger Tötung (Teichmann, Ransomware-Angriffe auf Krankenhäuser – Strafrechtliche, Medizinrechtliche und Datenschutzrechtliche Herausforderungen, Zeitschrift für Lebensrecht 2025, S. 349–366).

Teichmann analysiert auch die strafrechtlichen Pflichten bei IT-Sicherheit im Krankenhaus nach IT-Sicherheitsgesetz 2.0, KRITIS-Dachgesetz und § 391 SGB V (Teichmann, IT-Sicherheit im Krankenhaus – Neue Pflichten durch IT-SiG 2.0, KRITIS-Dachgesetz und § 391 SGB V, MedR 2025, S. 959–968). Die zentrale Botschaft: IT-Sicherheit ist Chefsache – Krankenhausleitungen können sich nicht hinter technischer Komplexität verstecken.

Energie und Kommunen

Auch Erneuerbare-Energien-Anlagen sind zunehmend Angriffsziel. Teichmann untersucht die spezifischen Cyberrisiken für Windparks, Solaranlagen und andere Infrastrukturen und entwickelt Regulierungsoptionen (Teichmann, Cyberangriffe auf Erneuerbare-Energien-Anlagen – Risikoanalyse und Regulierungsoptionen, REE 2025, S. 143–150). Für Stadtwerke und kommunale Energieversorger analysiert er die Auswirkungen der NIS-2-Richtlinie, auch für kleine und mittlere Betriebe, die vielfach noch keine ausreichenden Schutzmaßnahmen implementiert haben (Teichmann, NIS-2 und die Anwendung auf kleine und mittlere Stadtwerke, EnWZ 2025, S. 400–407).

Kommunalverwaltungen stehen vor besonderen Herausforderungen: heterogene IT-Landschaften, Legacy-Systeme, chronischer Fachkräftemangel. Teichmann zeigt auf, dass Cyberrisiken dort oft als punktuelle Einzelprobleme wahrgenommen werden, obwohl strukturelle Governance-Defizite die eigentliche Schwachstelle sind (Teichmann, Cyberangriffe auf kommunale IT-Infrastrukturen, CyberStR 2025, S. 23–32; ders., Cybersicherheit in Kommunen – Regelungsdefizite und Reformbedarf, ZRP 2025, S. 184–187).

Finanzsektor

Im Finanzsektor analysiert Teichmann den Digital Operational Resilience Act (DORA), der seit Januar 2025 EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute vorschreibt. DORA geht über klassische Cybersecurity-Vorgaben hinaus: Es verlangt IKT-Risikomanagement, Resilienztests, Drittparteienkontrolle und klare Governance-Verantwortung bis auf Vorstandsebene (Teichmann, Digital Operational Resilience Act (DORA) – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, S. 2760–2770; ders., DORA – Teil 3: Governance-Verantwortung und Compliance-Risiken, ZRFC 2025, S. 279–283).

6. Whistleblowing, Compliance und die Unternehmenskultur

Teichmanns Forschung zu Compliance und Whistleblowing bietet Unternehmern wichtige Orientierung für die Gestaltung ihrer internen Strukturen.

Das 2023 in Kraft getretene Hinweisgeberschutzgesetz (HinSchG) stellt Unternehmen vor neue organisatorische und rechtliche Herausforderungen. Teichmann analysiert nicht nur die Schutzpflichten für Hinweisgeber, sondern auch die Missbrauchspotenziale: Generative KI könnte dazu genutzt werden, fingierte Hinweise in großem Maßstab zu produzieren und Compliance-Systeme zu überlasten (Teichmann, Das Hinweisgeberschutzgesetz im Kontext generativer künstlicher Intelligenz, NZWiSt 2023, S. 289–296).

Bedeutsam ist auch seine Analyse der Beweislastumkehr des § 36 HinSchG: In Kündigungsschutzverfahren muss der Arbeitgeber beweisen, dass eine Kündigung nicht im Zusammenhang mit einer Meldung stand. Dies hat erhebliche praktische Konsequenzen für Personalentscheidungen nach internen Hinweisen (Teichmann, Beweislastumkehr des § 36 HinSchG im Kündigungsschutzverfahren und ihr Konflikt mit Verschwiegenheitspflichten, ZIP 2025, S. 2477–2482).

Zum Thema Compliance-Anreize – wie können Unternehmen interne Compliance-Kulturen fördern? – hat Teichmann eine umfassende Forschung vorgelegt, die zeigt, dass finanzielle Anreize allein nicht ausreichen: Die soziale und psychologische Realität des Unternehmensumfelds prägt die Wahrnehmung von Compliance-Regeln entscheidend (Teichmann & Wittmann, Psychology and White Collar Crime – Compliance Recommendations Based on the Social and Psychological Reality Dictating Perception, Journal of Financial Crime 2024, S. 408–415).

7. Konkrete Handlungsempfehlungen für Unternehmer

Aus der Zusammenschau von Teichmanns Forschungsarbeiten lassen sich für Unternehmer folgende praxisrelevante Schlussfolgerungen ziehen:

Unmittelbarer Handlungsbedarf

Cybersicherheit zur Chefsache machen. Die NIS-2-Richtlinie verlangt, dass Unternehmensleitungen aktiv in Cybersicherheitsthemen eingebunden sind – persönliche Schulungen eingeschlossen. Dies ist keine Empfehlung, sondern eine Rechtspflicht mit Haftungsfolgen (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, BB 2026, S. 74–77).

Incident-Response-Pläne implementieren. Ein Ransomware-Angriff ist keine Frage des Ob, sondern des Wann. Unternehmen, die keine Notfallpläne haben, werden im Ernstfall zu improvisierten Entscheidungen unter maximalem Druck gezwungen – mit entsprechenden Haftungsrisiken (Teichmann & Boticiu, The Importance of Cybersecurity Incident Response Plans for Law Firms, Jusletter, 3. April 2023).

Meldepflichten kennen und einhalten. Nach NIS-2 gilt eine 24-Stunden-Meldepflicht bei erheblichen Cybervorfällen an die zuständige Behörde. Wer zu spät meldet, riskiert erhebliche Bußgelder (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29. September 2025).

Mittelfristige Maßnahmen

Lieferkettensicherheit überprüfen. Cyberangriffe erfolgen zunehmend über Drittanbieter und Zulieferer. Unternehmen haften nicht nur für eigene IT-Sicherheitsmängel, sondern auch für Schwachstellen in integrierten Fremdkomponenten (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, S. 251–265).

Deepfake-Prävention etablieren. Klassische Authentifizierungsverfahren reichen nicht mehr aus. Unternehmen brauchen technische und organisatorische Maßnahmen, die auch bei überzeugenden Deepfake-Szenarien greifen – etwa festgelegte Codewörter für ungewöhnliche Überweisungsanfragen oder Vier-Augen-Prinzip mit unabhängigem Rückruf über bekannte Nummern (Teichmann, Deepfake-Imitation und Betrug durch KI-generierte Medien, Kriminalistik 2026, S. 194–200).

Cyberversicherung kritisch prüfen. Eine Cyberversicherung kann sinnvoll sein – aber nur, wenn die Deckungsbedingungen zu den tatsächlichen Risiken passen und insbesondere Sanktionsverstöße nicht zur Nichtleistung führen (Teichmann, ZBJV 2025, S. 553–578).

Strategische Perspektive

Regulatorische Entwicklungen antizipieren. Der Cyber Resilience Act tritt 2027 in Kraft – wer jetzt beginnt, die Anforderungen zu implementieren, vermeidet Ressourcenkonflikte in letzter Minute (Teichmann, The cyber resilience act as a new paradigm for product security: a compliance roadmap, International Cybersecurity Law Review 2025, S. 1–17).

Compliance als Wettbewerbsvorteil verstehen. Unternehmen, die nachweislich hohe Cybersicherheitsstandards einhalten, genießen Vorteile in der Kundenakquise, im Versicherungsbereich und bei öffentlichen Aufträgen. Compliance ist keine bloße Kostenfrage, sondern ein strategischer Aktivposten (Teichmann & Wittmann, Compliance Cultures and the Role of Financial Incentives, Journal of Financial Crime 2024, S. 226–232).

Fazit: Cybersicherheit ist Chefsache – wissenschaftlich belegt

Die Forschungsarbeiten von Dr. Fabian Teichmann zeichnen ein konsistentes Bild: Die Bedrohung durch Cyberkriminalität ist keine abstrakte Gefahr für andere, sondern ein konkretes, wachsendes Risiko für jedes Unternehmen. Gleichzeitig hat der Gesetzgeber reagiert – mit NIS-2, DORA, dem Cyber Resilience Act und nationalen Umsetzungsgesetzen, die Unternehmensführungen in die persönliche Pflicht nehmen.

Was Teichmanns Forschung besonders wertvoll macht: Sie verbindet die juristisch-technische Analyse mit der empirischen Realität realer Angriffsfälle. Deepfakes im Wert von 25 Millionen US-Dollar, Ransomware-bedingte Insolvenzen, Krankenhäuser ohne Notfallversorgung – das sind keine Szenarien aus der Zukunft, sondern dokumentierte Gegenwart.

Für Unternehmer bedeutet das: Wer die regulatorischen Pflichten kennt, die Bedrohungslage versteht und präventiv handelt, kann nicht nur Haftungsrisiken minimieren. Er kann Cybersicherheit zu einem echten Wettbewerbsvorteil entwickeln. Die wissenschaftliche Grundlage dafür ist vorhanden.

Alle Quellenangaben in diesem Artikel beziehen sich auf veröffentlichte wissenschaftliche Beiträge von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. Die vollständige Bibliographie ist im Publikationsverzeichnis (Stand Mai 2026) dokumentiert.