Cyberangriffe können Unternehmen innerhalb weniger Stunden in die Zahlungsunfähigkeit treiben. Wann löst ein Ransomware-Angriff die Insolvenzantragspflicht nach § 15a InsO aus – und wie schützen sich Geschäftsführer vor persönlicher Haftung?
Ein Hackerangriff als Existenzbedrohung
Im Juli 2021 rief der Landkreis Anhalt-Bitterfeld als erste deutsche Kommune den Katastrophenfall aufgrund eines Cyberangriffs aus. Mehr als sechs Monate lang waren die IT-Systeme weitgehend lahmgelegt, die Kosten beliefen sich auf rund 2,5 Millionen Euro. Was für eine öffentliche Körperschaft dramatisch, aber überlebbar war, kann für ein privatwirtschaftliches Unternehmen das Ende bedeuten: die Cyber-Insolvenz.
Der Begriff beschreibt Fälle, in denen ein Cyberangriff – typischerweise durch Ransomware – den Geschäftsbetrieb so massiv stört, dass das Unternehmen zahlungsunfähig wird und Insolvenz anmelden muss. Die Zahl solcher Fälle steigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet in seinem Lagebericht 2025 durchschnittlich 119 neue Schwachstellen pro Tag – ein Anstieg von 24 Prozent gegenüber dem Vorjahr.
Prominente Fälle: Von Maersk bis Südwestfalen
Maersk und NotPetya: 300 Millionen Dollar Schaden
Der bekannteste Fall einer Cyber-Katastrophe traf 2017 den dänischen Logistikriesen A.P. Møller-Maersk. Die Schadsoftware NotPetya verschlüsselte innerhalb weniger Stunden nahezu die gesamte IT-Infrastruktur – 49.000 Laptops, 3.500 Server in 130 Ländern. Maersk, das rund 20 Prozent des globalen Containerhandels abwickelt, war für Tage nicht operationsfähig. Der Gesamtschaden belief sich auf rund 300 Millionen US-Dollar. Nur ein zufällig erhaltenes Backup in Ghana ermöglichte die Wiederherstellung. Ein Unternehmen mit geringeren Reserven wäre nicht überlebensfähig gewesen.
Südwestfalen-IT: 103 Kommunen offline
Im Oktober 2023 legte ein Ransomware-Angriff auf die Südwestfalen-IT (SIT) die IT-Infrastruktur von über 100 Kommunen in Nordrhein-Westfalen lahm. Bürgerbüros konnten keine Ausweise ausstellen, Kfz-Zulassungsstellen standen still, Sozialleistungen konnten nicht ausgezahlt werden. Die Wiederherstellung dauerte über elf Monate. Brisant: Der SIT-Verwaltungsrat hatte wenige Wochen vor dem Angriff einstimmig gegen den Abschluss einer Cyberversicherung entschieden.
Deutsche Mittelständler: Fasana und Einhaus
Besonders gefährdet ist der deutsche Mittelstand. Der Serviettenhersteller Fasana aus Euskirchen musste 2024 nach einem Ransomware-Angriff Insolvenz anmelden – allein am ersten Tag nach dem Angriff konnten Aufträge im Wert von über 250.000 Euro nicht ausgeführt werden, der Umsatzverlust in den folgenden zwei Wochen belief sich auf rund zwei Millionen Euro. Ähnlich erging es der Einhaus-Gruppe aus Hamm, einst Deutschlands führendem Elektronikversicherer, die nach einem Angriff der Ransomware-Gruppe „Royal“ vor dem wirtschaftlichen Aus stand.
Wann löst ein Cyberangriff die Insolvenzantragspflicht aus?
Zahlungsunfähigkeit durch Betriebsunterbrechung
Die zentrale Frage für betroffene Geschäftsführer lautet: Wann wird aus einer IT-Störung eine insolvenzrechtliche Pflicht? Nach § 15a InsO müssen Geschäftsführer einer GmbH ohne schuldhaftes Zögern, spätestens aber innerhalb von drei Wochen nach Eintritt der Zahlungsunfähigkeit einen Insolvenzantrag stellen.
Zahlungsunfähigkeit im Sinne des § 17 InsO liegt vor, wenn das Unternehmen nicht in der Lage ist, seine fälligen Zahlungspflichten zu erfüllen. Der IDW Standard S 11 konkretisiert: Eine bloße Zahlungsstörung – also eine vorübergehende Liquiditätsunterdeckung von unter zehn Prozent, die innerhalb von drei Wochen behoben werden kann – reicht noch nicht aus.
Ein Ransomware-Angriff kann jedoch schnell über diese Schwelle hinausgehen:
- Produktionsstillstand: Wenn IT-Systeme verschlüsselt sind, können viele Unternehmen nicht produzieren, liefern oder abrechnen
- Zahlungsausfälle: Online-Banking und Buchhaltungssysteme sind blockiert, fällige Löhne und Lieferantenrechnungen können nicht bedient werden
- Kundenabwanderung: Großkunden kündigen Verträge, wenn Liefertermine nicht eingehalten werden
- Wiederherstellungskosten: Die forensische Analyse und der Neuaufbau der IT verschlingen erhebliche Mittel
Die Drei-Wochen-Frist in der Praxis
Die Frist des § 15a InsO beginnt objektiv mit Eintritt der Zahlungsunfähigkeit – nicht erst, wenn der Geschäftsführer sie erkennt. In der Praxis empfiehlt sich daher: Sofort nach einem schwerwiegenden Cyberangriff eine Liquiditätsanalyse durchführen. Dokumentieren Sie laufend den Status der Zahlungsfähigkeit und holen Sie unverzüglich rechtliche Beratung ein.
Überschuldung als zusätzlicher Insolvenzgrund
Neben der Zahlungsunfähigkeit kann auch eine Überschuldung (§ 19 InsO) vorliegen, wenn die Verbindlichkeiten das Vermögen übersteigen und keine positive Fortbestehensprognose mehr gegeben ist. Ein Cyberangriff kann die Fortbestehensprognose massiv beeinträchtigen, etwa wenn wesentliche Kundendaten unwiederbringlich verloren sind oder das Vertrauen der Geschäftspartner zerstört ist.
Geschäftsführerhaftung: Wenn der Angriff zum persönlichen Risiko wird
Sorgfaltspflicht nach § 43 GmbHG
Nach § 43 GmbHG haben Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Diese Pflicht umfasst nach herrschender Meinung auch die IT-Sicherheit. Ein Geschäftsführer, der keine angemessenen Cybersecurity-Maßnahmen implementiert, riskiert eine persönliche Haftung gegenüber der Gesellschaft.
Die Haftung kann sich konkretisieren durch:
- Unterlassene Investitionen in IT-Sicherheit trotz bekannter Bedrohungslage
- Fehlende Notfallpläne (Business Continuity Management)
- Mangelnde Versicherung: Der bewusste Verzicht auf eine Cyberversicherung kann haftungsbegründend sein
- Verzögerte Reaktion nach einem Angriff, insbesondere bei der Insolvenzantragsstellung
Insolvenzverschleppung als Straftat
Wird der Insolvenzantrag nach einem Cyberangriff verspätet gestellt, droht neben der zivilrechtlichen Haftung eine strafrechtliche Verfolgung wegen Insolvenzverschleppung (§ 15a Abs. 4 InsO). Die Strafe: Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Bereits Fahrlässigkeit reicht aus.
Cyberversicherung: Schutz mit Lücken
Der Markt für Cyberversicherungen in Deutschland wächst rasant – Deutschland hält mit 24,4 Prozent den größten Marktanteil in Europa. Doch eine Cyberversicherung ist kein Allheilmittel:
- Höhere Ablehnungsquoten: Fast jeder dritte Antrag wird mittlerweile abgelehnt, da Versicherer strengere Anforderungen an die IT-Sicherheit der Versicherungsnehmer stellen
- Deckungslücken: Viele Policen decken nicht den vollen Betriebsunterbrechungsschaden ab, insbesondere nicht entgangene Gewinne über längere Zeiträume
- Obliegenheiten: Werden vereinbarte Sicherheitsstandards nicht eingehalten, kann der Versicherer die Leistung verweigern
- Summenobergrenzen: Die Deckungssummen sind häufig nicht ausreichend für einen existenzbedrohenden Angriff
Dennoch ist eine adäquate Cyberversicherung ein wesentlicher Baustein der Risikostrategie und kann im Ernstfall den Unterschied zwischen Sanierung und Insolvenz ausmachen.
Präventive Maßnahmen: Was Unternehmen jetzt tun sollten
Business Continuity Management nach BSI-Standard 200-4
Das BSI hat mit dem Standard 200-4 einen praxisorientierten Leitfaden für Business Continuity Management (BCM) veröffentlicht. Für die Cyber-Resilienz sind folgende Maßnahmen zentral:
- Business Impact Analyse: Identifizieren Sie geschäftskritische Prozesse und deren Abhängigkeit von IT-Systemen
- Notfallpläne: Erstellen Sie dokumentierte Pläne für den Betrieb ohne IT – mindestens für Kernprozesse
- Backup-Strategie: Implementieren Sie die 3-2-1-Regel (drei Kopien, zwei Medientypen, eine extern) mit regelmäßigen Wiederherstellungstests
- Incident Response Team: Definieren Sie Rollen und Verantwortlichkeiten für den Krisenfall – inklusive externer Forensik-Dienstleister und Rechtsberater
Technische und organisatorische Maßnahmen
- Netzwerksegmentierung: Verhindern Sie die laterale Ausbreitung von Schadsoftware
- Multi-Faktor-Authentifizierung: Schützen Sie insbesondere privilegierte Zugänge und VPN-Verbindungen
- Mitarbeiterschulung: 90 Prozent aller Cyberangriffe beginnen mit Phishing – regelmäßige Awareness-Trainings sind unverzichtbar
- Patch-Management: Schließen Sie Sicherheitslücken zeitnah – der SIT-Angriff nutzte eine bekannte VPN-Schwachstelle
Rechtliche Vorsorge
- Vertragsklauseln prüfen: Enthält Ihre Cyberversicherung Force-Majeure-Regelungen? Sind Ihre Lieferverträge für den Fall einer IT-Betriebsunterbrechung vorbereitet?
- Dokumentation: Halten Sie alle Sicherheitsmaßnahmen und Investitionsentscheidungen schriftlich fest – diese Dokumentation kann im Haftungsfall entscheidend sein
- Krisenkommunikationsplan: Bereiten Sie die Kommunikation mit Kunden, Lieferanten, Behörden und Medien vor
Handlungsempfehlungen für Geschäftsführer
Die Cyber-Insolvenz ist kein theoretisches Risiko mehr, sondern geschäftliche Realität. Für Geschäftsführer ergeben sich daraus konkrete Handlungspflichten:
- IT-Sicherheit ist Chefsache: Die Verantwortung kann nicht vollständig an die IT-Abteilung delegiert werden
- Regelmäßige Risikoanalysen: Bewerten Sie Ihre Cyber-Risiken mindestens jährlich – unter Berücksichtigung des aktuellen BSI-Lageberichts
- Liquiditätsreserven: Halten Sie Reserven vor, die einen mehrwöchigen Betriebsausfall überbrücken können
- Rechtsberatung einbeziehen: Lassen Sie Ihre Haftungsrisiken prüfen und Ihre Versicherungspolicen überprüfen
- Krisenplan testen: Führen Sie regelmäßig Übungen durch – ein Notfallplan, der nicht getestet ist, ist kein Notfallplan
Bei compleneo unterstützen wir Sie an der Schnittstelle von Insolvenzrecht, Gesellschaftsrecht und Krisenberatung. Ob präventive Haftungsanalyse, Notfallplanung oder akute Krisenbewältigung nach einem Cyberangriff – sprechen Sie uns an.
