Cybercrime-Welle: KI-gestützte Rechnungsmanipulationen und die neue NIS2-Haftung
Unternehmen in Deutschland stehen vor einer verschärften Bedrohungslage durch KI-gestützte Cyberangriffe, die bereits zu Schäden in Millionenhöhe geführt haben. Seit dem 6. Dezember 2025 zwingt die Umsetzung der europäischen NIS2-Richtlinie durch das deutsche IT-Sicherheitsgesetz (BSIG) über 29.000 Firmen zu strengeren Sicherheitsvorkehrungen, wobei Geschäftsführungen für Versäumnisse persönlich haften können.
Die Eskalation des Rechnungsbetrugs
Kriminelle nutzen zunehmend Künstliche Intelligenz, um E-Mails zu manipulieren und IBANs in Rechnungen auszutauschen. Dieser sogenannte „Invoice Fraud“ hat in den vergangenen Monaten zu erheblichen finanziellen Verlusten bei Unternehmen und öffentlichen Einrichtungen geführt. Laut dem IBM X-Force Threat Intelligence Index 2025 stieg die Zahl der Phishing-E-Mails mit Infostealern im Jahr 2024 um 84 Prozent, gefolgt von einer weiteren Beschleunigung um 180 Prozent Anfang 2025. Deutschland ist dabei besonders betroffen und belegt mit 18 Prozent aller Angriffe in Europa den zweiten Platz hinter dem Vereinigten Königreich.
Haftungsfragen bei manipulierten Zahlungen

Die rechtliche Verantwortung bei einem erfolgreichen Betrug ist komplex. Nach § 362 BGB gilt eine Geldschuld erst dann als beglichen, wenn das Geld den tatsächlichen Gläubiger erreicht. Überweist ein Unternehmen auf ein Betrügerkonto, bleibt die ursprüngliche Forderung bestehen.
Gerichte bewerten die Haftung zunehmend anhand der getroffenen Sicherheitsvorkehrungen:
- OLG Schleswig-Holstein (Dezember 2024): Das Gericht entschied, dass ein Rechnungssteller voll haftet, wenn er Rechnungen ohne Ende-zu-Ende-Verschlüsselung versendet und diese von Dritten abgefangen werden.
- OLG Karlsruhe (2023): Hier wurde die Haftung des Kunden bejaht, da der Händler nachweislich ausreichende IT-Sicherheitsmaßnahmen, wie aktuelle Antivirensoftware und komplexe Passwörter, implementiert hatte.
- Landgericht Koblenz: In einem weiteren Fall entschied das Gericht auf eine Haftungsteilung, bei der der Auftraggeber 75 Prozent und der Unternehmer 25 Prozent des Schadens trug.
NIS2-Richtlinie: Neue Pflichten für die Geschäftsführung
Mit dem Inkrafttreten des IT-Sicherheitsgesetzes (BSIG) zur Umsetzung der NIS2-Richtlinie am 6. Dezember 2025 unterliegen nun rund 29.000 Unternehmen in 18 Sektoren – darunter Abfallwirtschaft, Postdienste und öffentliche Verwaltung – strengeren Auflagen. Betroffen sind mittelgroße Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz sowie Großunternehmen.
Die neuen Anforderungen umfassen:
- Schulungspflichten: Mitarbeiter müssen gemäß § 30 BSIG während des Onboardings und danach jährlich sensibilisiert werden.
- Verantwortung der Geschäftsführung: § 38 BSIG verpflichtet die Geschäftsführung zu einer mindestens dreijährigen Schulung. Diese Pflicht ist nicht delegierbar; bei Verstößen droht eine persönliche Haftung.
Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für „wesentliche Einrichtungen“. Für „wichtige Einrichtungen“ liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.
Technische Schutzstrategien gegen KI-Angriffe
Der Phishing Threat Trends Report weist darauf hin, dass mittlerweile 86 Prozent aller Phishing-Angriffe KI-gestützt sind. Besonders Angriffe über Kalendereinladungen (+49 Prozent) und Kollaborationsplattformen wie Microsoft Teams (+41 Prozent) haben zugenommen. Experten empfehlen daher einen mehrschichtigen Schutz:
- Identitätsschutz: Die Multi-Faktor-Authentifizierung (MFA) gilt als Standard, um laut Sicherheitsanalysen bis zu 99,9 Prozent der automatisierten Angriffe abzuwehren.
- Kommunikationssicherheit: Die Verwendung von Ende-zu-Ende-Verschlüsselung und digitalen Signaturen ist für den Rechnungsversand ratsam, um NIS2-Vorgaben zu erfüllen und Haftungsrisiken zu mindern.
- Prozessuale Absicherung: Änderungen von Bankverbindungen sollten stets telefonisch über bekannte, verifizierte Rufnummern bestätigt werden. Zudem unterstützt der seit Oktober 2025 EU-weit verpflichtende IBAN-Namensabgleich die Identifikation von Unstimmigkeiten bei Überweisungen.
- Risikoanalyse: Ab 2026 wird für viele KMU eine dokumentierte Risikoanalyse (Threat Modeling) verpflichtend, um Bedrohungswege systematisch zu identifizieren.
Unternehmen sollten ihre IT-Sicherheitsarchitektur regelmäßig an die sich wandelnden Methoden der Cyberkriminellen anpassen, um sowohl rechtliche Konsequenzen als auch finanzielle Verluste zu vermeiden.
Keep reading