Der aktuelle Hack des „Notepad“-Editors durch chinesische Akteure offenbart die Verwundbarkeit digitaler Lieferketten. Eine Analyse der haftungsrechtlichen Konsequenzen für deutsche Unternehmen unter NIS-2 und DORA.
In der modernen Unternehmens-IT gilt der Grundsatz: „Halten Sie Ihre Systeme aktuell.“ Patch-Management ist das A und O der IT-Sicherheit. Doch was passiert, wenn genau dieser Mechanismus zur Einfallstür für staatliche Spionage wird? Der jüngste Vorfall, der gestern bekannt wurde, stellt Sicherheitsverantwortliche und Rechtsabteilungen vor ein Dilemma. Wie wir auf Bankrecht-Ratgeber.de im Kontext der IT-Sicherheit im Bankensektor immer wieder betonen, endet die Sorgfaltspflicht nicht bei der Installation einer Firewall. Der aktuelle Fall zeigt, dass das Vertrauen in Software-Hersteller juristisch neu bewertet werden muss.
Am gestrigen 2. Februar 2026 erschütterte eine Meldung die IT-Welt, deren juristische Schockwellen erst in den kommenden Wochen spürbar sein werden. Der beliebte Texteditor „Notepad“ (nicht zu verwechseln mit dem Windows-Standardprogramm, sondern eine weit verbreitete Third-Party-Anwendung für Entwickler) bestätigte, dass sein Update-Mechanismus über Monate hinweg von chinesischen Regierungshackern kompromittiert war.
Anatomie des Angriffs: Die unterwanderte Vertrauenskette
Wie TechCrunch am 2. Februar 2026 berichtet, gelang es den Angreifern, den Server zu kapern, der für die Verteilung von Software-Updates zuständig ist. Nutzer, die im guten Glauben auf „Aktualisieren“ klickten oder deren Systeme dies automatisch taten, luden sich statt Sicherheitspatches eine hochentwickelte Spionage-Software herunter.
Warum dieser Fall juristisch so brisant ist
Technisch sprechen wir von einer „Supply Chain Attack“. Juristisch sprechen wir von einem Kontrollverlust in der Kette der Auftragsverarbeitung. Für deutsche Unternehmen, insbesondere im kritischen Infrastruktur-Sektor (KRITIS) und im Finanzwesen, ist dies ein Albtraum-Szenario.
Normalerweise schützt das Einspielen von Updates vor Haftung, da es dem „Stand der Technik“ entspricht. Hier jedoch führte genau diese Maßnahme zur Infektion. Dies wirft fundamentale Fragen auf:
- Erkennbarkeit: Hätte eine Unternehmens-IT diesen Angriff erkennen können?
- Verhinderung: Welche Sicherheitsmaßnahmen (z.B. Prüfung von Hash-Werten, Sandbox-Testing) sind rechtlich geboten, bevor ein Update im Firmennetzwerk ausgerollt wird?
NIS-2 und die verschärften Meldepflichten
Seit der vollständigen nationalen Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive) in deutsches Recht stehen Geschäftsführer stärker denn je in der Verantwortung. Betroffene Unternehmen müssen sich fragen:
- Ist dies ein meldepflichtiger Vorfall? Ja. Wenn durch das kompromittierte Update die Verfügbarkeit, Vertraulichkeit oder Integrität der Dienste beeinträchtigt wurde, greifen die strikten Meldefristen (24 Stunden für Frühwarnung, 72 Stunden für Vollmeldung an das BSI).
- Risikomanagement: NIS-2 fordert explizit die „Sicherheit der Lieferkette“. Unternehmen müssen bewerten, welche Risiken von ihren Software-Lieferanten ausgehen. Der Fall Notepad zeigt, dass selbst kleine Tools („Petty Software“) massive Risiken bergen können, wenn sie privilegierte Rechte auf Entwickler-Rechnern haben.
Ein Unternehmen, das nun Opfer von Industriespionage wurde, weil ein Administrator das Notepad-Update ungeprüft durchgewunken hat, könnte sich dem Vorwurf der Organisationsverschuldens ausgesetzt sehen. Die Ausrede „Wir haben dem Hersteller vertraut“ zieht im Jahr 2026 juristisch kaum noch.
DORA: Sonderregeln für den Finanzsektor
Für Banken und Finanzdienstleister ist die Lage durch den Digital Operational Resilience Act (DORA) noch prekärer. DORA verlangt ein umfassendes Management des IKT-Drittparteienrisikos.
Wenn Bank-IT-Mitarbeiter kompromittierte Editoren nutzen, ist potenziell der Zugriff auf sensible Kundendaten gefährdet.
- Haftungsszenario: Sollten durch diesen Zugriff Transaktionsdaten abfließen oder Systeme manipuliert werden, drohen nicht nur Bußgelder der Aufsichtsbehörden (BaFin/EZB), sondern auch zivilrechtliche Schadensersatzforderungen.
- Zero Trust als Rechtspflicht: Der Vorfall unterstreicht, dass das „Zero Trust“-Konzept (Niemandem vertrauen, auch nicht dem Update-Server) keine technische Spielerei mehr ist, sondern faktisch zum rechtlichen Standard für angemessene Schutzmaßnahmen im Finanzsektor avanciert.
Datenschutz und DSGVO: Die unsichtbare Gefahr
Neben der Betriebsspionage ist der Abfluss personenbezogener Daten das zweite große Risiko. Ein kompromittierter Rechner in der HR-Abteilung oder im Vertrieb bedeutet fast zwangsläufig eine Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).
Das Problem: Die Malware war „monatelang“ aktiv. Dies bedeutet, dass Unternehmen potenziell über einen langen Zeitraum „gläsern“ waren.
- Forensische Aufarbeitung: Rechtlich sind Unternehmen nun verpflichtet, zu untersuchen, welche Daten abgeflossen sein könnten. Eine pauschale Annahme „es ist nichts passiert“ verstößt gegen die Rechenschaftspflicht (Accountability) der DSGVO.
- Benachrichtigung: Sollte das Risiko für die Rechte und Freiheiten der Betroffenen hoch sein (z.B. Identitätsdiebstahl durch abgeflossene Passwörter), müssen auch die betroffenen Personen (Kunden, Mitarbeiter) informiert werden.
Die geopolitische Dimension: China und die „Cyber-Souveränität“
Dass die Angriffe explizit chinesischen Regierungsstellen zugeordnet werden, hat auch handelsrechtliche und strategische Implikationen. Deutsche Unternehmen müssen ihre Software-Assets inventarisieren.
Der Einsatz von Software, deren Entwicklung oder Update-Infrastruktur in geopolitisch angespannten Regionen liegt oder die – wie im Fall von Open-Source-Projekten – oft unzureichend gegen staatliche Akteure geschützt ist, wird zunehmend zum Compliance-Risiko. Es ist absehbar, dass Versicherer für Cyber-Policen künftig Fragen stellen werden wie: „Prüfen Sie Updates von Drittanbietern in einer isolierten Umgebung, bevor Sie diese ausrollen?“ Wer hier mit „Nein“ antwortet, riskiert im Schadensfall den Versicherungsschutz.
Handlungsbedarf für die Geschäftsführung
Der Fall Notepad ist ein Weckruf. Er zeigt, dass die „Supply Chain“ nicht nur Hardware-Chips betrifft, sondern jede Zeile Code, die wir importieren.
Checkliste für die Rechtsabteilung und IT-Security:
- Inventur: Wird die betroffene Software im Unternehmen eingesetzt? (Shadow-IT beachten!)
- Forensik: Gab es im Zeitraum der Kompromittierung (letzte Monate) ungeklärte Netzwerkausleitungen?
- Meldung: Muss eine Meldung an das BSI oder den Landesdatenschutzbeauftragten erfolgen?
- Prozessanpassung: Wie werden Updates künftig validiert? Die bloße Signaturprüfung des Herstellers reicht offensichtlich nicht mehr aus, wenn der Hersteller selbst (bzw. seine Infrastruktur) kompromittiert ist.
Wir bewegen uns auf ein Zeitalter zu, in dem Software-Updates juristisch ähnlich behandelt werden müssen wie der Zutritt externer Dienstleister zum Firmengelände: Vertrauen ist gut, Kontrolle ist überlebenswichtig. Der „bequeme“ Klick auf „Update All“ kann im Jahr 2026 die Existenz eines Unternehmens gefährden.