Cybersecurity

Viele Unternehmen unterhalten eine Versicherung, die auch Cyberschäden absichern kann. In diesen Fällen ist es wichtig, die Versicherung frühzeitig einzubinden, um die versicherungsrechtlichen Obliegenheiten zu erfüllen. Gleichzeitig enthalten viele Policen die Obliegenheit spezialisierte Dienstleister einzuschalten, die die Koordination übernehmen.

Wir unterstützen Sie dabei, den richtigen Zeitpunkt für die Meldung zu identifizieren und mit den Versicherern zu kommunizieren.

Teilweise gelten für Organisationen sehr kurze Meldepflichten, die die Aufsichtsbehörden auch sehr ernst nehmen. Dabei bestehen unterschiedliche Definitionen des IT-Sicherheitsvorfalls in den verschiedenen Gesetzen, die es zu beachten gilt. Den meisten dieser Definitionen ist gemein, dass die Schutzziele Vertraulichkeit, Integrität, Authentizität und/oder Verfügbarkeit von Daten beeinträchtigt sein müssen. Nach einigen Gesetzen wird eine Meldepflicht erst bei Vorliegen weiterer Voraussetzungen ausgelöst.

Sehen Sie hier eine Übersicht aller Meldepflichten >

Für Wirtschafts­unternehmen besteht zudem eine Zentrale Ansprechstelle Cybercrime der Polizeien, die im Zuge einer Cybercrime Straftat kontaktiert werden kann.

Oft ist es im Interesse der Unternehmen, die Strafverfolgungs­behörden zu informieren. Die Behörden können durch staatliche Ermittlungsbefugnisse bei der Aufarbeitung des Cyberangriffs helfen.

Eine der am häufigsten anzutreffenden Cyberangriffe sind Ransomware-Attacken. Das Ziel der Angreifenden ist es, von den Opfern Lösegeld zu erpressen. Sie drohen ansonsten damit, Daten zu veröffentlichen oder haben Daten verschlüsselt.

Daher müssen die angegriffenen Unternehmen entscheiden, ob sie das Lösegeld bezahlen oder anderweitige Lösungen haben (etwa nicht-betroffene Backups). Rechtlich gesehen sind bei einer etwaigen Lösegeld­zahlung einige Aspekte zu beachten:

Straf- und Sanktions­recht: Im Raume stehen etwa Unterstützung einer kriminellen Vereinigung oder Geldwäsche. Das ist wiederum abzuwägen mit Rechtfertigungs- oder Entschuldigungsgründen.

Sollte klar sein, woher die Angreifenden kommen, ist zu prüfen, ob ein sanktionierter Verstoß gegen das Außen­wirtschaftsrecht droht.

Gesellschafts­rechtliche Befugnis/Business Judgement Rule: Die Organe müssen prüfen, ob es mit ihren Organpflichten vereinbar ist, eine Lösegeld­zahlung zu veranlassen (sog. Business Judgement-Rule).

Wir unterstützen bei all diesen Fragen durch belastbare Gutachten.

Bei manchen Cyberangriffen kann eine kapitalmarkt­rechtliche ad-hoc Mitteilung erforderlich sein. Wir begleiten bei der Prüfung, ob eine solche Mitteilung erforderlich ist und beraten den konkreten Inhalt.

Ein erfolgreicher Cyberangriff kann nicht nur Ihr Unternehmen, sondern auch Ihre Kunden betreffen, was zu Schadens­ersatz­ansprüchen führen kann. 
Wir vertreten Ihr Unternehmen bei der Abwehr solcher Ansprüche, sowohl außergerichtlich als auch gerichtlich. Bei Bedarf führen wir Internal Investigations zur Beweis­sicherung durch und entwickeln eine Strategie zur Reaktion auf Kunden­beschwerden.

Unsere Expertise erfasst Alternative Dispute Resolution, Gerichts­verfahren vor staatlichen Gerichten, Schiedsverfahren, die Führung und Steuerung von Massen­verfahren, die Führung von Groß­verfahren und den kollektiven Rechtsschutz wie Muster­feststellungs­klagen.

Whitepaper: Data Protection Litigation

Eine zentrale Rolle nach einem Cyberangriff spielt die Identifizierung und Verfolgung von Ansprüchen Ihrer Organisation.

Wir begleiten Sie von der Anspruchs­sicherung bis zur Geltendmachung der zivilrechtlichen Ansprüche gegenüber den Tätern, Versicherungen, IT-Dienstleistern bis hin zu etwaigen Ansprüchen gegen die Geschäftsleitung.

Des Weiteren begleiten wir die strafrechtliche Vermögens­abschöpfung und -rückführung zusammen mit den zuständigen Behörden. Wir prüfen und bewerten für Sie, ob eine Anspruchs­sicherung und -durchsetzung mithilfe strafrechtlicher Verfahrens­regelungen sinnvoll ist und ob ein solcher Weg isoliert oder flankierend zu zivilrechtlichen Ansprüchen angezeigt ist. Auch können die Erkenntnisse der Ermittlungs­behörden zur Anspruchs­durchsetzung auf zivil­rechtlichem Wege genutzt werden, nicht allein gegen die Schädiger, sondern auch gegen Dritte, beispielsweise involvierte Dienstleister.

Abgesehen von dem Inkrafttreten weiterer umfangreicher Cybersicherheits-Pflichten, sollte sich die Geschäftsleitung um eine den Anforderungen entsprechende Compliance kümmern. Wir identifizieren für Sie die einschlägigen gesetzlichen Regelungen und unterstützen Sie bei der Implementierung der geforderten Compliance Maßnahmen.

Geschäftsleitungen sind – ganz unabhängig von anwendbaren Rechtsakten wie NIS2 oder CRA – gehalten, Cybersicherheit in ihren Unternehmen umzusetzen. Dazu gehört es auch, über ein gutes Grundwissen über Gesetze und aktuelle Entwicklungen zu verfügen, etwa durch Schulungen. So vermeiden Sie Schäden und Haftung auf Seiten des Unternehmens, ebenso wie eine eigene Haftung als Geschäftsleitung. Je konkreter die Anforderungen von Gesetzen sind, desto weniger Ermessen steht den Geschäfts­leitenden zu.

Dank unseres weltweiten Netzwerks Lex Mundi und der Zusammenarbeit mit Fachexperten, darunter IT-Sicherheits­spezialisten, Datenschutz­beauftragte, Forensiker und Krisen­kommunikations­berater, bieten wir Ihnen eine nahtlose Beratung und Ausarbeitung über Fachgebiete und Länder­grenzen hinweg.

In den letzten Jahren haben die Gesetzgeber auf Europäischer als auch nationaler Ebene neue Cybersicherheits­regelungen erlassen. Aktuelle Beispiele sind die NIS2-Richtlinie, der Cyber Resilience Act (CRA), das KRITIS-Dach-Gesetz, DORA, RED und die KI-VO. Diese Regelungen haben jeweils unterschiedliche Anwendungs­bereiche. Wir unterstützen Sie bei der Prüfung, ob Sie diesen Rechtsakten unterfallen

Neben der Umsetzung von Compliance-Maßnahmen im eigenen Unternehmen, rückt auch die Gewährleistung eines angemessenen Cybersicherheitsniveaus in der Liefer-kette immer mehr in den Fokus. Je nach Branche kann es notwendig sein, dafür Sorge zu tragen, dass Ihre gesamte Lieferkette Schutzmaßnahmen trifft und einen gewissen Sicherheits­standard einhält.
Wir unterstützen Sie bei der Umsetzung solcher Vertrags­projekte mit einem hybriden Ansatz. Neben der Ausarbeitung von Standard­verträgen, kümmern wir uns bei Leistungen mit höherer Kritikalität um eine „tailor-made“ Überarbeitung Ihrer bestehenden Verträge. Eine solche Vorgehens­weise bietet sich vor allem bei Großprojekten an, etwa in Folge von NIS2-Betroffenheit oder der Umsetzung von DORA, wo es erforderlich ist, in einer Vielzahl von Verträgen neue Cybersicherheits­anforderungen einzuarbeiten.

Zusätzlich unterstützen wir Sie bei der Identifikation sowie Implementierung von Vorgaben, die die Cyber Security der von Ihnen hergestellten oder angebotenen Produkten in den Blick nehmen. Dies kann namentlich die rechtliche Überprüfung des Zertifizierungs­rahmens für Produkte, Dienstleistungen und Prozesse der Informations- und Kommunikations­technik aufgrund des Cyber Resilience Act umfassen.

Darüber hinaus existieren speziell für Hersteller von Automobilen neue Anforderungen hinsichtlich der Cybersicherheit von Fahrzeugen. So müssen neue Fahrzeugtypen sowie Neufahrzeuge insbesondere über ein zertifiziertes Cyber-Security Management System verfügen, das Voraussetzung für die Erteilung der Typgenehmigung ist.

Die von Unternehmen üblicherweise unterhaltenen (Industrie-) Versicherungs­produkte sichern den Versicherungsnehmer nicht gegen alle bei einem Cybervorfall regelmäßig entstehenden Schäden und Aufwendungen ab. Hier schließen Cyberversicherungen wichtige Deckungs­lücken. Sie bietet weitergehenden Versicherungs­schutz für bestimmte aus einem Cyberangriff resultierende Haftpflichtschäden, Eigenschäden (wie z.B. Betriebs­unterbrechung) und die mit einem solchen Angriff einhergehenden Kosten, z.B. für IT-Forensik und Daten­wiederherstellung.

Wir prüfen die Bedingungen Ihrer bestehenden Cyber­versicherungen und sorgen dafür, dass Sie ganzheitlich für einen Cybersicherheits­vorfall abgesichert sind. So sind beispielsweise nicht unter allen auf dem Markt angebotenen Produkten auch alle Varianten einer Denial-of-Service-Attacke versichert. Generell sind verdeckte Deckungs­ausschlüsse zu beachten. Gleiches gilt hinsichtlich Fehler von Mitarbeitenden, einem in der Praxis häufigen Fall. Zudem ist vor Abschluss zu prüfen, welcher Schutz bereits über die konventionellen, vom Unternehmen unterhaltenen Versicherungen besteht.

Cybersicherheits­regelungen verpflichten neben der Umsetzung von technischen Maßnahmen auch dazu, hinreichende organisatorische Maßnahmen umzusetzen. Hierzu gehört insbesondere die Schaffung einer klaren und fundierten IT-Security-Governance im Unternehmen. Dabei gilt es, ganz konkrete Vorgaben zu treffen, welche konkreten Rollen im Unternehmen welche ganz konkreten Aufgaben verantworten. Diese Cyber-Security-Governance muss klar, verständlich und somit operationalisierbar sein und sollte in bestehende Governance-Rahmen eingepasst werden. 

Wir konzipieren und implementieren mit Ihnen die IT-Sicherheits­organisation und ein IT-Sicherheits­managementsystem. Dabei kommt Ihnen auch unsere umfassende Expertise zur Daten- und AI-Governance zugute.

Mit den in naher Zukunft in Kraft tretenden Regelungen der NIS2-Richtlinie sowie DORA werden die Pflichten der Geschäftsführung weiter spezifiziert. Konkret müssen Führungs­kräfte als auch das Personal regelmäßig Schulungen absolvieren. Die Behörden machen bereits klar, dass sie diese Anforderungen ernst nehmen.

Wir bieten individuelle Schulungs­programme, aber auch Standard­produkte für Ihr Unternehmen, um eine rechtssichere und dokumentierte Einhaltung der Schulungs­pflichten zu gewährleisten und um im Ernstfall den Vorwurf einer sorgfaltspflicht­widrigen Organisation zu verhindern.

Um den Schaden durch einen etwaigen Cyberangriff so gering wie möglich zu halten, ist es von entscheidender Bedeutung, dass alle potenziell involvierten Personen so gut wie möglich vorbereitet sind und genau wissen, welche Maßnahmen im Ernstfall zu ergreifen sind.

Unsere umfassende Erfahrung aus zahlreichen Cyberangriffen und Datenschutzverletzungen in unterschiedlichsten Branchen nutzen wir, um Ihr Unternehmen optimal vorzubereiten. Wir liefern maßgeschneiderte Lösungen für Ihren Notfallplan, damit Sie dem Ernstfall gelassen entgegensehen können.

Ein solcher Notfallplan umfasst eine Beschreibung der Abläufe im Krisenfall, Kommunikationswege, Kontaktinformationen wichtiger interner und externer Ansprechpartner, Aufgabenzuweisungen an die verantwortlichen Personen, Regelungen für Wochenenden, Urlaub und Feiertage sowie Vorlagen für ggf. erforderliche Meldungen und Dokumentation.