Cyber Atlas Israel

Cybersicherheit, Cyber Defense und künstliche Intelligenz

Die Zerstörung der Exkulpation: Angriffsvektoren der Klägerhaftung 2026

Die Zerstörung der Exkulpation: Angriffsvektoren der Klägerhaftung 2026

Verfasst von:

Thorsten Kraft

Executive Security Architect

Warum „Papier-Compliance“ vor Gericht scheitern wird – und wie die Beweiskette gehärtet werden muss

Wer sich im Januar 2026 nach einem Cybervorfall auf das NIS2-Umsetzungsgesetz (NIS2UmsuCG) beruft, um sich zu entlasten, betritt kein regulatorisches Routineverfahren, sondern ein juristisches Konfliktfeld. Die Phase, in der formale Compliance-Dokumente als ausreichender Nachweis unternehmerischer Sorgfalt galten, ist beendet. Während Unternehmen versuchen, ihre Verantwortung mithilfe von Exkulpations- und Überwachungsprotokollen zu belegen, haben Klägeranwälte, Cyber-Versicherer und Aufsichtsbehörden ihre Prüf- und Angriffslogiken konsequent weiterentwickelt.

Ihr Ziel ist nicht die abstrakte Bewertung von Sicherheitskonzepten, sondern die systematische Zerstörung der Entlastungskette der Geschäftsführung. Jeder formale Bruch, jede dokumentierte Leerstelle und jede nicht belegbare Entscheidung wird genutzt, um das Narrativ des „unvermeidbaren Ereignisses“ in den Vorwurf eines vorwerfbaren Organisationsversagens zu transformieren.

Wer seine eigene Haftungsresilienz realistisch einschätzen will, darf Exkulpation daher nicht aus der Binnenperspektive der eigenen Organisation betrachten. Maßgeblich ist allein, wie diese Nachweise einer feindlichen, retrospektiven Prüfung standhalten. Das erfordert ein Verständnis der Strategien jener Akteure, die ein strukturelles Interesse daran haben, bestehende Governance-Nachweise zu entwerten und aus formaler Sorgfalt rechtliche Verantwortlichkeit abzuleiten.

Exkulpation entscheidet sich im Jahr 2026 nicht mehr daran, dass dokumentiert wurde – sondern daran, ob die Beweiskette einer aggressiven rechtlichen Zerlegung standhält.

Der Angriff auf die Substanz: „Form over Substance“

Der häufigste und zugleich wirkungsvollste Angriffsvektor gegen Exkulpationsbemühungen ist der Vorwurf der Alibi-Compliance. Klägervertreter und Aufsichtsbehörden prüfen nicht primär, ob Überwachungsprotokolle existieren, sondern ob diese eine tatsächliche Kontroll- und Steuerungsleistung der Geschäftsführung erkennen lassen.

Die gegnerische Argumentation folgt dabei einem einfachen Muster. Weisen monatliche Protokolle über längere Zeit identische oder nahezu identische Formulierungen auf – etwa pauschale Feststellungen wie „Die IT-Sicherheitslage ist stabil“ oder „Maßnahmen werden planmäßig umgesetzt“ –, werden diese Dokumente als bloßer Formalismus gewertet. In der rechtlichen Bewertung wird die Geschäftsführung dann so behandelt, als habe keine inhaltliche Prüfung stattgefunden. Das Vorliegen von Dokumenten ersetzt keine Überwachung.

Wirksame Exkulpation erfordert daher mehr als formale Regelmäßigkeit. Sie setzt eine „dokumentierte Reibung“ voraus. Protokolle müssen erkennen lassen, dass Risiken hinterfragt, Maßnahmen kritisch diskutiert und Abweichungen thematisiert wurden. Rückfragen zu Verzögerungen im Patch-Management, Diskussionen über unzureichende Ressourcen, abgelehnte oder vertagte Budgetanträge sowie kritische Anmerkungen zur Wirksamkeit bestehender Kontrollen sind keine Schwäche der Dokumentation, sondern ihr zentraler Beweiswert.

Erst dort, wo dokumentiert wird, dass Überwachung nicht nur stattgefunden hat, sondern konfrontativ, kritisch und steuernd ausgeübt wurde, wird aus Papier ein belastbarer Nachweis aktiver Governance. In allen anderen Fällen bleibt das Protokoll ein formales Artefakt – und damit angreifbar.

Die Falle des „Stands der Technik“: Die Rosinenpickerei

Der Begriff „Stand der Technik“ im Sinne des § 21 NIS2UmsuCG ist bewusst als unbestimmter Rechtsbegriff ausgestaltet. Er soll technologische Entwicklungen abbilden, ohne starre Vorgaben zu machen. In Haftungsverfahren wird genau diese Offenheit jedoch gezielt ausgenutzt, um im Nachhinein eine retrospektive Perfektionsanforderung zu konstruieren.

Die gegnerische Strategie folgt dabei einem bekannten Muster. Nach einem Ransomware- oder Datendiebstahlvorfall wird ein technischer Sachverständiger benennen, dass zum Zeitpunkt des Vorfalls eine bestimmte, marktverfügbare Technologie existierte – etwa eine KI-gestützte Anomalieerkennung, phishing-resistente Authentifizierungsverfahren wie FIDO2 oder ein spezialisiertes E-Mail-Security-Gateway. Aus der bloßen Existenz dieser Lösung wird sodann der Schluss gezogen, dass ihr Einsatz den Schaden verhindert hätte. Da das betroffene Unternehmen diese Technologie nicht implementiert hatte, habe es den Stand der Technik unterschritten und damit pflichtwidrig gehandelt.

Diese Argumentation ist rechtlich trügerisch, aber wirkungsvoll. Sie verschiebt den Maßstab von Angemessenheit zu Vollständigkeit und ersetzt risikobasierte Sicherheitsarchitektur durch eine rückblickende „Best-of-Market“-Logik.

Die wirksame Verteidigung gegen diese Rosinenpickerei liegt ausschließlich in der dokumentierten Entscheidungsqualität. Die Business Judgment Rule schützt die Auswahl zwischen unterschiedlichen technischen und organisatorischen Lösungsansätzen, sofern diese Auswahl informiert, nachvollziehbar und zum Entscheidungszeitpunkt vertretbar getroffen wurde. Entscheidend ist nicht, ob eine bestimmte Technologie existierte, sondern ob ihre Nichtimplementierung Ergebnis einer bewussten, begründeten Risikoabwägung war.

Eine belastbare Verteidigungsposition entsteht daher nur dort, wo dokumentiert ist, warum sich das Unternehmen gegen Tool X und für Maßnahme Y entschieden hat – etwa aufgrund von Integrationsrisiken, operativer Komplexität, fehlender Reife, unzureichender Wirksamkeitsnachweise oder eines ungünstigen Kosten-Nutzen-Verhältnisses. Ohne diese Dokumentation wird jede nachträgliche Erklärung als Schutzbehauptung gewertet.

Der Stand der Technik schützt nicht vor Haftung. Nur der nachweisbar informierte Umgang mit ihm tut es.

Das Präventions-Paradoxon der lateralen Bewegung

Ein zentraler Streitpunkt in Cyberhaftungsverfahren des Jahres 2026 ist nicht mehr der initiale Einbruch, sondern die Dwell-Time, also die Verweildauer des Angreifers im System, sowie die laterale Bewegung innerhalb der Infrastruktur. Die rechtliche Auseinandersetzung verlagert sich damit vom „Ob“ des Eindringens zum „Wie lange“ und „Wie weit“.

Die gegnerische Argumentation setzt genau hier an. Klägerseite und Sachverständige führen an, dass ein Angreifer, der über Tage oder Wochen unentdeckt bleibt und erhebliche Datenmengen exfiltrieren kann, zwingend auf ein kollabiertes oder unzureichendes Monitoring hinweise. Typischerweise wird argumentiert: Wenn ein Angreifer 14 Tage im Netzwerk operieren und mehrere Terabyte an Daten abziehen konnte, sei dies bereits für sich genommen der Beweis eines Organisations- und Überwachungsversagens. Juristisch handelt es sich dabei um einen Anscheinsbeweis, bei dem vom Schadensausmaß unmittelbar auf eine Pflichtverletzung geschlossen wird.

Diese Argumentation ist aus Klägerperspektive effektiv, aber nicht zwingend. Sie vermengt Ergebnis und Ursache und ersetzt die Prüfung konkreter Überwachungsmaßnahmen durch eine pauschale Rückschau. Gerade deshalb ist sie für Unternehmen gefährlich, wenn sie nicht vorbereitet sind.

Die wirksame Verteidigung gegen diesen Anscheinsbeweis besteht darin, die eigene Erkennungs- und Reaktionsleistung objektiv einzuordnen. Unternehmen müssen nachweisen können, dass ihre Detektions- und Reaktionszeiten im Rahmen anerkannter Branchen-Benchmarks lagen. Kennzahlen wie MTTR (Mean Time to Respond), dokumentierte Alarmierungsprozesse, regelmäßige Threat-Hunting-Aktivitäten sowie nachvollziehbare Eskalationsketten sind dabei entscheidend.

Gelingt dieser Nachweis, kann das Schadensausmaß nicht mehr isoliert als Beweis für ein Pflichtversagen herangezogen werden. Die Frage verschiebt sich dann von „Warum wurde der Angriff nicht sofort entdeckt?“ zu „War die Erkennungs- und Reaktionsleistung unter den gegebenen Umständen angemessen?“. Erst an diesem Punkt wird eine sachgerechte exkulpationsfähige Bewertung möglich.

Nicht die Abwesenheit von Schäden ist der Maßstab. Der Maßstab ist die nachweisbare Angemessenheit der Reaktion.

Angriff auf die Beweisintegrität

In Haftungs- und Regressverfahren wird zunehmend nicht mehr nur der Inhalt von Exkulpationsunterlagen angegriffen, sondern deren Authentizität. Die Frage lautet nicht mehr, was dokumentiert wurde, sondern wann, wie und unter welchen technischen Rahmenbedingungen diese Dokumentation entstanden ist.

Die gegnerische Strategie zielt dabei auf die Zerstörung der Beweiskette. Typischerweise wird vorgetragen, dass vorgelegte Protokolle, Berichte oder Entscheidungsvorlagen erst nach dem Cybervorfall erstellt, rückdatiert oder inhaltlich angepasst worden seien. Besonders anfällig sind dabei statische Dokumente wie PDFs oder Word-Dateien ohne nachvollziehbare Entstehungshistorie. Fehlt eine technische Absicherung, reduziert sich die Beweisführung im Ernstfall auf eine klassische Aussage-gegen-Aussage-Konstellation – mit regelmäßig nachteiligen Folgen für das Unternehmen.

Diese Angriffslogik ist juristisch wirkungsvoll, weil sie nicht den Wahrheitsgehalt der Dokumente widerlegen muss, sondern lediglich deren Verlässlichkeit in Zweifel zieht. Gelingt dies, verlieren selbst inhaltlich saubere Exkulpationsnachweise ihren rechtlichen Wert.

Die wirksame Verteidigung setzt daher auf eine technisch gesicherte Beweisintegrität. Governance-Daten müssen wie Finanz- oder Buchhaltungsdaten behandelt werden. Die revisionssichere Archivierung von Exkulpations-Protokollen auf unveränderbaren Speichermedien (WORM), ihre digitale Signierung sowie die Verwendung qualifizierter Zeitstempel schaffen eine objektiv überprüfbare Entstehungs- und Änderungsdokumentation.

Nur dort, wo die zeitliche und inhaltliche Unveränderbarkeit der Dokumente technisch nachweisbar ist, bleibt die Beweiskette geschlossen. Exkulpation scheitert nicht selten nicht an fehlender Sorgfalt, sondern an fehlender Beweisfestigkeit. In modernen Haftungsverfahren entscheidet daher nicht nur, dass dokumentiert wurde, sondern wie belastbar diese Dokumentation ist.

Die Delegations-Falle (Culpa in eligendo)

Ein besonders wirksamer Angriffsvektor in Haftungsverfahren des Jahres 2026 ist der Angriff auf die Qualität der Delegation. Beruft sich die Geschäftsleitung darauf, Aufgaben der Cybersicherheit an einen CISO oder eine vergleichbare Funktion delegiert zu haben, wird diese Delegation selbst zum Prüfgegenstand.

Die gegnerische Strategie zielt darauf ab, die Delegation als bloß formal, aber materiell unzureichend darzustellen. Typischerweise wird vorgetragen, der CISO habe keine tatsächliche Steuerungs- und Durchsetzungsmacht besessen. Argumentiert wird mit fehlendem eigenem Budget, unzureichender personeller Ausstattung, fehlenden Eskalationsrechten oder einer Berichtslinie, die nicht unmittelbar an Vorstand oder Geschäftsführung angebunden war. Der CISO wird in diesem Narrativ zur „Lame Duck“: formell benannt, faktisch jedoch ohne die Mittel, die ihm übertragenen Pflichten wirksam zu erfüllen.

Gelingt diese Argumentation, greift der haftungsrechtliche Mechanismus der Culpa in eligendo. Die Delegation gilt dann als fehlerhaft, weil sie an eine ungeeignete oder strukturell handlungsunfähige Stelle erfolgt ist. Die Folge ist eine Rückverlagerung der Verantwortung auf die Geschäftsleitung. Die Berufung auf Delegation verliert ihre entlastende Wirkung und kehrt sich im Gegenteil zu einem zusätzlichen Haftungsargument um.

Die wirksame Verteidigung gegen diesen Vorwurf liegt nicht in der bloßen Existenz einer CISO-Rolle, sondern in der nachweisbaren organisatorischen Ausstattung dieser Funktion. Erforderlich ist ein klar formuliertes und vom Board beschlossenes Organisationsstatut, das Zuständigkeiten, Entscheidungsbefugnisse, Budgethoheit, personelle Ressourcen sowie Eskalations- und Berichtslinien eindeutig festlegt. Nur wenn dokumentiert ist, dass der CISO tatsächlich in der Lage war, Risiken zu adressieren, Maßnahmen durchzusetzen und die Geschäftsleitung zu informieren, entfaltet die Delegation exkulpierende Wirkung.

Delegation entlastet nur dort, wo sie nicht nur formell erfolgt ist, sondern strukturell wirksam ausgestaltet wurde. In allen anderen Fällen wird sie zur Haftungsfalle.

Fazit: Die Evolution der Sorgfalt

Die Exkulpation im Jahr 2026 ist kein statisches Dokument und kein formaler Compliance-Nachweis mehr. Sie ist eine dynamische Verteidigungsfähigkeit, die sich erst im Konflikt bewährt. Wer Cyber-Governance auf ritualisierte Protokolle und wohlklingende Textbausteine reduziert, betreibt lediglich Compliance-Theater – und wird von Klägeranwälten, Cyber-Versicherern oder Aufsichtsbehörden im Schadensfall systematisch zerlegt.

Wirkliche Haftungsresilienz entsteht ausschließlich dort, wo Governance-Prozesse so gestaltet sind, dass sie einer aggressiven, adversarialen Prüfung standhalten. Entscheidend ist nicht, ob Prozesse existieren, sondern ob sie Substanz haben, Reibung erzeugen, Entscheidungen sichtbar machen und Beweiswert entfalten. Exkulpation gelingt nicht durch Perfektion, sondern durch nachvollziehbare Verantwortung.

Der rechtliche Maßstab hat sich damit endgültig verschoben. Haftung wird nicht dadurch vermieden, dass Fehler ausbleiben – ein Anspruch, der in hochkomplexen IT-Systemen illusorisch ist. Haftung wird dadurch beherrscht, dass Unternehmen und ihre Leitungsebene nachweisen können, dass sie Risiken erkannt, Entscheidungen getroffen, Maßnahmen überwacht und Verantwortung kontinuierlich wahrgenommen haben.

Leitsatz für 2026:
Haftung wird nicht durch das Fehlen von Fehlern verhindert, sondern durch den Nachweis einer ununterbrochenen Kette verantwortungsvoller Entscheidungen.

Anmelden zu unserem Newsletter:

Vom Wissen zum Austausch: Sicherheit weiterdenken.

Diese Beiträge folgen der Überzeugung, dass echte Sicherheit dort beginnt, wo die bloße Compliance endet. Sie sind als Denkangebote zu verstehen – geformt aus der Praxis, aber offen für den Diskurs.

Ich schätze den fundierten Widerspruch ebenso wie die Ergänzung aus dem operativen Alltag. Ob als Gründer, Betreiber oder strategischer Entscheider: Ihre Sichtweise ist der Schlüssel zur Weiterentwicklung dieser Ansätze.

Lassen Sie uns den Dialog dort führen, wo er am fruchtbarsten ist – öffentlich in den Kommentaren oder vertraulich im direkten Gespräch. Substanz braucht Raum.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »