---
name: cyberangriff
description: "Prüft Insiderinformations-Qualitaet eines Cyberangriffs: Kursrelevanz, Ad-hoc-Pflicht, Aufschub wegen laufender Strafverfolgung und Koordination mit IT-Forensik im Insiderrecht Compliance."
---

# Cyberangriff – Insiderrecht und Ad-hoc-Pflicht

## Arbeitsweg

- Emittent, Instrument, Handelsplatz, Zeitpunkt und Informationskette feststellen: Wer wusste wann was, war die Information präzise, nicht öffentlich und potenziell erheblich kursrelevant?
- MAR-Pflichten getrennt prüfen: Insiderinformation nach Art. 7 MAR, Handels-/Empfehlungs-/Weitergabeverbot nach Art. 14 MAR, Ad-hoc-Publizität nach Art. 17 MAR, Aufschub nach Art. 17 Abs. 4 MAR, Insiderliste nach Art. 18 MAR, Eigengeschäfte von Führungskräften nach Art. 19 MAR.
- Deutsche Sanktions- und Verfahrensspur live verifizieren: WpHG §§ 119 ff., BaFin-Zuständigkeit, Börsenrecht, ggf. WpÜG/AktG bei Übernahme, Delisting, Kapitalmaßnahme oder Hauptversammlung.
- Beweise aktenfest sichern: Timeline, Board-/AR-Unterlagen, Datenraum-Log, Insiderlisten-Versionen, Handelsdaten, Kommunikationskanäle, Aufschubvermerk, Veröffentlichungszeitpunkt und BaFin-/DGAP-/EQS-Belege.
- Strategische Ausgabe wählen: Ad-hoc-Entscheidungsvorlage, Aufschubvermerk, Leak-Response, Handelsstopp-Empfehlung, Insiderlisten-Audit, PDMR-Meldecheck, BaFin-Antwort oder Verteidigungsnotiz.
- Rechtsprechung und Behördenpraxis nur mit frei prüfbarer Quelle zitieren; keine BeckRS-/juris-Blindzitate und keine alten WpHG-Paragrafen als Ersatz für die unmittelbar geltende MAR verwenden.

## Rechtlicher Rahmen

Ein wesentlicher Cyberangriff auf einen börsennotierten Emittenten kann eine Insiderinformation
nach Art. 7 MAR darstellen. Kursrelevanz ist anzunehmen bei: erheblichem Datenverlust,
Betriebsunterbrechung, Reputationsschaden, Haftungsrisiken oder regulatorischen Konsequenzen.
NIS-2-Richtlinie (Umsetzungsfrist 2024) schafft zusätzliche Meldepflichten, die parallel zu
MAR bestehen.

Rechtsgrundlagen:
- Art. 7, 17 MAR: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0596
- NIS-2-Richtlinie (EU) 2022/2555: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
- DSGVO Art. 33 (Datenschutzverletzung): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
- BaFin-Emittentenleitfaden: https://www.bafin.de/dok/8252648

## Ziel dieses Skills

Prüft die Insiderinformations-Qualität eines Cyberangriffs, entwickelt die
Ad-hoc-Strategie und koordiniert die parallelen Meldepflichten (MAR, DSGVO, NIS-2).

## Arbeitsprogramm

### Schritt 1 – Initialerkennung und Schadensbewertung

- Zeitpunkt: Wann war dem Emittenten der Angriff bekannt?
- Art: Datenverlust, Ransomware, Systemaufall, Datenleck, IP-Diebstahl?
- Umfang: Betroffene Systeme, betroffene Daten (Kundendaten, Finanzdaten, Geschäftsgeheimnisse)
- Quantifizierung: Geschätzter finanzieller Schaden, Wiederherstellungskosten, Haftungsrisiko

### Schritt 2 – Insiderinformations-Prüfung

- Kursrelevanz: Würde ein verständiger Anleger die Information berücksichtigen?
 Indikation für hohe Kursrelevanz: erhebliche Betriebsunterbrechung, große Kundendaten-
 verluste, behördliche Ermittlungen, drohende Schadensersatzklagen
- Zeitpunkt: Ab wann lag präzise Information vor (erster sicherer Kenntnisstand)?
- Unsicherheit: Frühe Phasen eines Angriffs können noch unpräzise sein; laufende
 Forensik kann den Eintritt von Schäden als noch unbekannt qualifizieren

### Schritt 3 – Aufschub wegen laufender Strafverfolgung / IT-Forensik

- Legitimes Interesse: Laufende strafrechtliche Ermittlungen oder Forensik können
 durch frühzeitige Veröffentlichung beeinträchtigt werden
- ESMA-Guidance: Aufschub möglich, wenn Behörden (BSI, BKA) bestätigen, dass
 Veröffentlichung Ermittlungen gefährdet
- Praktisch: Emittent sollte BSI/BKA schriftlich anfragen und Antwort dokumentieren
- Aufschub endet: Wenn kein behördlicher Vorbehalt mehr besteht oder Öffentlichkeit
 durch Dritte informiert wurde

### Schritt 4 – Parallele Meldepflichten

- DSGVO Art. 33: Datenschutzbehörde (BfDI / Landesbehörde) innerhalb 72 Stunden
- NIS-2: BSI innerhalb 24 Stunden (Early Warning) und 72 Stunden (Notification)
- BaFin: Ggf. KWG-Meldepflicht für Finanzinstitute (§ 25a KWG)
- Koordination aller Meldepflichten mit einheitlicher Kommunikationsstrategie

### Schritt 5 – Ad-hoc-Veröffentlichung

- Inhalt: Art des Angriffs (soweit bekannt), betroffene Systeme, geschätzte Auswirkungen,
 ergriffene Maßnahmen, Ausblick
- Keine Offenlegung von Informationen, die laufende Ermittlungen gefährden
- Aktualisierungs-Ad-hoc: Wenn neue wesentliche Informationen bekannt werden
