Ein Mitarbeiter wurde am Telefon getäuscht, hat 180.000 Euro überwiesen, und als Sie es bemerken, ist eine Stunde vergangen. Was jetzt? Die nächsten 24 Stunden entscheiden, ob das Geld zurückzuholen ist, ob die Aufsichtsbehörde das Unternehmen sanktioniert und ob die Versicherung zahlt. Es gibt klare rechtliche Schritte, die in dieser Reihenfolge zu gehen sind.

Auf einen Blick

Nach einem Deepfake-Vorfall im Unternehmen gelten harte zeitliche Grenzen. In den ersten ein bis zwei Stunden ist das Geld eventuell noch über die Bank zurückrufbar. Innerhalb von 72 Stunden muss bei Datenleck eine Meldung an die Aufsichtsbehörde erfolgen (Art. 33 DSGVO). Innerhalb von drei Monaten muss Strafantrag gestellt werden (§77b StGB), sonst kein Strafverfahren mehr. Die Reihenfolge der Schritte: Bank, Polizei, Aufsichtsbehörde, Versicherung, Innenrevision. Jeder Schritt ist parallel zu beginnen, nicht sequenziell. Dokumentation lückenlos von der ersten Minute an. Cyber-Versicherungen verlangen oft, dass alle Schritte in 24 Stunden gemeldet wurden, sonst wird die Leistung gekürzt oder verweigert.

Die ersten 24 Stunden: Reihenfolge der Schritte

Sofort nach Bekanntwerden des Vorfalls läuft die Uhr. Was in den ersten Stunden passiert, entscheidet über sechsstellige Beträge. Folgende Reihenfolge hat sich als robust erwiesen.

Schritt eins: Geld stoppen versuchen (Minuten 0 bis 60). Anruf bei der Hausbank über die Notfall-Hotline. Nicht über die normale Filiale, weil dort die Bearbeitung Stunden dauert. Die Bank hat in vielen Fällen die Möglichkeit, eine SEPA-Überweisung in den ersten ein bis zwei Stunden noch zurückzurufen, vor allem bei Inlands-Empfängern. Bei Auslandsüberweisungen sinkt die Chance, ist aber nicht null. Die Bank braucht: Datum, Uhrzeit, Betrag, Empfänger-IBAN, Empfänger-Bank, falls bekannt. Während dieses Anrufs läuft schon Schritt zwei.

Schritt zwei: IT-Forensik einleiten (Stunde 1 bis 4). Den betroffenen Computer oder das Smartphone des Mitarbeiters, der den Anruf erhalten hat, sichern. Nicht ausschalten, nicht löschen, nicht "schnell aufräumen". Idealerweise vom Netz nehmen, damit eventuelle Schadsoftware sich nicht weiter ausbreitet. Anrufprotokolle, E-Mails, Chats werden für die spätere Polizeiarbeit benötigt. Wer eine eigene IT-Abteilung hat, lässt diese ein Image des Geräts ziehen. Wer extern arbeitet, kontaktiert eine IT-Forensik-Firma (es gibt darauf spezialisierte Kanzleien und Dienstleister).

Schritt drei: Polizei (Stunde 1 bis 6). Strafanzeige bei der nächsten Polizeidienststelle oder online über die Internetwache des jeweiligen Bundeslandes. Wichtig: Das Aktenzeichen erhält man oft erst Tage später, aber die Anzeige selbst muss sofort erfolgen. Tatbestand: Betrug nach §263 StGB, häufig in Verbindung mit Computerbetrug §263a StGB. Bei Beträgen über 10.000 Euro wird zuständigkeitshalber die Cybercrime-Einheit des Landeskriminalamts informiert. Die Polizei kann unter Umständen über IBAN-Tracking weitere Konten in der Geldwäschekette identifizieren und einfrieren lassen.

Schritt vier: Datenschutzbehörde, falls personenbezogene Daten betroffen (Stunde 6 bis 24). Wenn beim Vorfall personenbezogene Daten herausgegeben oder eingesehen wurden, gilt nach Art. 33 DSGVO eine Meldepflicht binnen 72 Stunden an die zuständige Landesdatenschutzbehörde. Bei reinen Geldschäden ohne Datenleck entfällt die Meldepflicht. Bei Mischfällen (zum Beispiel Anruf, bei dem auch Kundenstammdaten genannt wurden) im Zweifel melden. Die Aufsichtsbehörde bewertet eine ehrliche, schnelle Meldung mit Selbstanzeige-Charakter milder als eine spätere Entdeckung.

Schritt fünf: Cyber-Versicherung (Stunde 6 bis 24). Wenn eine Cyber-Versicherung besteht, sofort Meldung über die Hotline. Versicherer haben in der Regel 24-Stunden-Hotlines. Die meisten Policen verlangen, dass der Vorfall in 24 oder spätestens 48 Stunden gemeldet wird, sonst sinkt oder entfällt die Leistung. Versicherer schicken oft eigene Forensiker und Anwälte, die den Fall begleiten. Wichtig: Wer den Versicherer erst nach Tagen informiert, riskiert Leistungskürzung wegen Obliegenheitsverletzung.

Schritt sechs: Innenrevision und Geschäftsleitung (Stunde 12 bis 24). Der Vorfall muss intern dokumentiert und an die Geschäftsführung gemeldet werden. Wenn die Geschäftsleitung selbst betroffen ist, geht die Meldung an den Aufsichtsrat oder Beirat. Diese interne Dokumentation ist nicht nur Compliance, sondern auch Schutz für die Mitarbeiter, die den Vorfall gemeldet haben. Eine Whistleblower-Schutz-Mechanik nach dem Hinweisgeberschutzgesetz greift, wenn der meldende Mitarbeiter befürchtet, persönlich für den Fehler bestraft zu werden.

Welche Strafanzeige stellen und welche Tatbestände sind relevant

Der Hauptvorwurf bei einem Deepfake-Vorfall ist Betrug nach §263 StGB. Das gilt unabhängig vom Schadensbetrag. Strafrahmen: Geldstrafe oder Freiheitsstrafe bis fünf Jahre, in besonders schweren Fällen bis zehn Jahre.

Bei Computerbetrug, also wenn die Täter über manipulierte IT-Systeme an Geld kommen, kommt §263a StGB hinzu. Das ist häufig der Fall, wenn nach dem Anruf auch noch Anmeldedaten oder Banking-Zugänge weitergegeben wurden.

Bei reinem Datenmissbrauch (Anruf, bei dem nur Daten erfragt wurden) greift §202a StGB (Ausspähen von Daten) oder §202c StGB (Vorbereitung des Ausspähens). Diese Tatbestände kommen oft bei Phishing-Attacken zum Tragen, die als Vorstufe zu späterem Betrug dienen.

Wichtige Frist: Strafantrag muss nach §77b StGB innerhalb von drei Monaten gestellt werden. Diese Frist beginnt mit Kenntnis der Tat und der Person des Täters. Wer länger wartet, verliert den Anspruch auf Strafverfolgung. In der Praxis machen viele Unternehmen den Fehler, erst die Versicherung abzuwarten und dann die Anzeige zu stellen. Das kann zu spät sein.

Datenschutz-Meldepflicht im Detail

Artikel 33 DSGVO verpflichtet zur Meldung an die Aufsichtsbehörde "unverzüglich und möglichst binnen 72 Stunden" nach Bekanntwerden, wenn personenbezogene Daten verletzt wurden. "Bekanntwerden" ist nicht der Moment des Vorfalls, sondern der Moment, in dem das Unternehmen Kenntnis erlangt. Eine Verzögerung muss begründet werden.

Was muss in der Meldung stehen:

Bei "voraussichtlich hohem Risiko" für Betroffene gilt zusätzlich Art. 34 DSGVO: Direkte Information der Betroffenen. Das ist häufig der Fall, wenn Bankdaten oder Sozialversicherungsnummern abgeflossen sind.

Welche Behörde zuständig ist, hängt vom Sitz des Unternehmens ab. Für bayerische Unternehmen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Für andere Bundesländer die jeweilige Landesdatenschutzbehörde. Bei bundesweit tätigen Unternehmen kann die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig sein, in der Regel aber nur bei Telekommunikations- oder Postdienstleistern.

Bußgelder bei Verstoß gegen Art. 33: Bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). Bußgelder bei zusätzlichem Verstoß gegen Art. 32 (Sicherheit der Verarbeitung): Bis 20 Millionen oder 4 Prozent.

Cyber-Versicherung: Was wird abgedeckt und was nicht

Die meisten Cyber-Versicherungen decken Deepfake-Schäden, aber die Bedingungen sind tückisch. Folgende Punkte vor Vertragsabschluss prüfen, oder bei bestehender Police nachverhandeln.

Social Engineering und Voice-Cloning müssen explizit eingeschlossen sein. Ältere Policen aus 2022 oder früher decken oft nur klassische Cyberangriffe (Hacking, Ransomware, DDoS), nicht aber Betrug durch menschliche Manipulation. Ein einzelner Satz im Vertrag entscheidet über sechsstellige Differenz im Schadensfall.

4-Augen-Prinzip als Voraussetzung. Viele Versicherer verlangen, dass interne Sicherheitsvorgaben dokumentiert eingehalten wurden. Wenn der Schaden eintritt, weil ein Mitarbeiter ohne Rückfrage 200.000 Euro überwiesen hat, prüft der Versicherer, ob das überhaupt erlaubt war. Ohne dokumentierte Genehmigungsregeln zahlt die Versicherung ggf. nicht.

Schulungspflicht. Häufig setzt die Police voraus, dass Mitarbeiter regelmäßig in IT-Sicherheit geschult sind. Ohne Nachweis (Schulungsdokumentation) kann die Versicherung Leistungen ablehnen.

Selbstbehalt. Realistisch sind 10.000 bis 25.000 Euro Selbstbehalt bei mittelständischen Policen. Bei kleineren Unternehmen oft 5.000 bis 10.000 Euro. Über dem Selbstbehalt zahlt die Versicherung bis zur Deckungssumme.

Ausschlüsse. Vorsatz und grobe Fahrlässigkeit werden in der Regel nicht gedeckt. Wenn der Mitarbeiter trotz Schulung und klarer Regeln auf den Trick reingefallen ist, ist das normale Fahrlässigkeit (gedeckt). Wenn er aber zum Beispiel ein Codewort übergangen hat, das er nachweisbar kannte, kann der Versicherer grobe Fahrlässigkeit annehmen.

Wer eine Cyber-Versicherung neu abschließt, sollte sich von einem auf Wirtschaftskriminalität spezialisierten Versicherungsmakler beraten lassen, nicht vom Allgemeinmakler. Die Prämienunterschiede sind oft kleiner als die Unterschiede in der Deckung.

Was tun mit dem betroffenen Mitarbeiter

Schwieriges Thema. Der Mitarbeiter, der den Anruf entgegengenommen und überwiesen hat, ist Opfer und Verursacher zugleich. Drei Empfehlungen aus der Praxis.

Keine sofortige Konsequenz. Der erste Reflex (Abmahnung, Kündigung) ist meist falsch. Bei normalem menschlichen Fehler nach einer plausiblen Täuschung ist arbeitsrechtlich kaum etwas durchsetzbar. Eine fristlose Kündigung gegen einen Mitarbeiter, der gutgläubig auf einen perfekten Deepfake reingefallen ist, hält vor dem Arbeitsgericht in der Regel nicht stand.

Mitarbeiter intensiv einbinden. Er kennt die Anrufdetails, die Stimme, die Wortwahl. Diese Informationen sind für Polizei, Versicherung und für die interne Aufarbeitung wertvoll. Wer den Mitarbeiter in dieser Phase beschuldigt, verliert wertvolle Zeit und Information.

Schulung statt Strafe. Die richtige Reaktion ist eine erweiterte Schulung im Anschluss, nicht nur für den betroffenen Mitarbeiter, sondern für alle. Der Vorfall wird zur Lerngelegenheit. Das schafft im Unternehmen mehr Sicherheit als jede arbeitsrechtliche Maßnahme.

Anders sieht es aus, wenn der Mitarbeiter bekannte und dokumentierte Sicherheitsregeln vorsätzlich umgangen hat (zum Beispiel das 4-Augen-Prinzip ignoriert hat, obwohl er nachweislich darauf geschult war). Dann sind Abmahnung oder im Wiederholungsfall verhaltensbedingte Kündigung möglich. Hier sollte aber zwingend ein Arbeitsrechtler eingeschaltet werden.

FAQ

Muss der Vorfall öffentlich gemacht werden?

Nicht zwingend. Eine Veröffentlichungspflicht besteht nur in zwei Fällen: Bei börsennotierten Unternehmen kann eine Ad-hoc-Mitteilung nötig sein, wenn der Schaden kursrelevant ist. Bei "voraussichtlich hohem Risiko" für Betroffene nach Art. 34 DSGVO müssen Betroffene direkt informiert werden, was bei vielen Betroffenen einer Quasi-Veröffentlichung gleichkommt. In allen anderen Fällen kann der Vorfall vertraulich behandelt werden.

Wie lange dauert ein Strafverfahren bei einem Deepfake-Fall?

Realistisch zwölf bis 36 Monate, oft länger. Die Aufklärungsquote ist niedrig, weil die Täter meist im Ausland sitzen. Die Anzeige ist trotzdem wichtig, weil sie für Versicherungsleistungen, Bankrückbuchungen und für die polizeiliche Statistik (die wiederum Ressourcen für Cybercrime-Einheiten begründet) gebraucht wird.

Können wir uns das Geld von der eigenen Bank zurückholen?

Nur unter engen Voraussetzungen. Wenn die Bank durch eigene Versäumnisse den Schaden mitverursacht hat (zum Beispiel durch fehlende Plausibilitätsprüfung bei ungewöhnlich hoher Überweisung in ungewöhnliches Land), kann es Mithaftung geben. In der Regel haftet die Bank aber nicht, wenn die Überweisung mit korrekten TAN/Authentifizierung freigegeben wurde. Hier hilft nur ein Anwalt, der die Bankunterlagen prüft.

Was ist der Unterschied zwischen Cyber-Versicherung und Vertrauensschadenversicherung?

Cyber-Versicherung deckt Schäden durch Cyber-Vorfälle ab (Hacking, Phishing, Voice-Cloning). Vertrauensschadenversicherung (VSV) deckt Schäden durch Vorsatz von Mitarbeitern oder externen Tätern ab. Bei einem Deepfake-Anruf, der einen Mitarbeiter zur Überweisung verleitet, greifen oft beide Versicherungen ergänzend. Eine Doppelversicherung ist sinnvoll, weil die Cyber-Police die Forensik und IT-Wiederherstellung deckt, die VSV den Geldverlust selbst.

Müssen wir die Kunden informieren wenn nur unsere Konten betroffen waren?

Wenn keine Kundendaten abgeflossen sind und nur Unternehmensgeld verloren ging, besteht keine direkte Informationspflicht gegenüber Kunden. Das ist eine reine Vermögensschadensache zwischen Unternehmen und Tätern. Allerdings: Bei börsennotierten Unternehmen kann die Mitteilungspflicht an Aktionäre greifen. Bei Geschäftspartnern mit langfristigen Verträgen kann eine vertragliche Informationspflicht bestehen, die im Einzelfall geprüft werden muss.

Eigene Haltung

Aus den Vorfällen, die wir aus dem KMU-Umfeld kennen, kristallisiert sich ein Muster heraus. Unternehmen, die einen Notfallplan haben (auch wenn er nur eine A4-Seite ist), kommen in 24 Stunden durch die Schritte und retten oft 30 bis 70 Prozent des Schadens. Unternehmen ohne Plan brauchen drei bis fünf Tage und retten oft nichts. Der Unterschied liegt nicht in der Versicherung oder der IT, sondern in der Klarheit der Reihenfolge: Bank, Polizei, Aufsichtsbehörde, Versicherung. Wer im Schadensfall erst diskutiert, wen man zuerst anruft, hat die Stunden schon verloren. Diese vier Telefonnummern und ihre Reihenfolge gehören in jeden Compliance-Ordner. Das ist die zweitwichtigste Investition nach der Schulung selbst.

Mehr zum Thema:

Zuletzt aktualisiert: 25.04.2026. Stand der rechtlichen Aussagen: April 2026, vorbehaltlich aktueller Rechtsprechung.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp