Cyber Risks
Die Gefahr für Unternehmen, Opfer von Cyberangriffen zu werden, nimmt rasant zu. Die Formen und Ziele der Angreifer sind vielfältig, gemeinsam ist ihnen aber das enorme Schadenspotenzial für die Wirtschaft.
Vorbereitung (Prevent)
Cybersicherheit und der Schutz von internen Daten und IT-Systemen ist eine Managementaufgabe. Geschäftsleiter werden sich deshalb stets fragen müssen, ob ihr Unternehmen gut aufgestellt ist, um den regulatorischen Anforderungen zur Cyber- und Datensicherheit gerecht zu werden und um im Falle eines Cyberangriffs Schäden zu minimieren. Besondere regulatorische Anforderungen bestehen für Betreiber kritischer Infrastrukturen und regulierte Industrien. Themen wie Versicherung, Datenschutz und Supply-Chain-Management betreffen aber auch alle übrigen Branchen.
Betreiber kritischer Intrastrukturen (§ 8a BSIG) und digitaler Dienste (§ 8c BSIG)
Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Betreiber kritischer Infrastrukturen treffen daher hinsichtlich der IT-Sicherheit besondere Pflichten nach den §§ 8a, 8b BSIG. Wir prüfen mit Ihnen gemeinsam, ob Ihr Unternehmen als kritische Infrastruktur einzuordnen ist.
Zudem beraten wir Sie als Betreiber einer kritischen Infrastruktur zu den Ihr Unternehmen betreffenden besonderen IT-sicherheitsrechtlichen Pflichten, wie der Benennung einer Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Meldung von IT-Störungen, der Umsetzung des „Stands der Technik“ in der IT-Sicherheit und dem Nachweis gegenüber dem BSI in einem Zeitabstand von zwei Jahren.
Anbieter digitaler Dienste treffen nach § 8c BSIG besondere Pflichten zur IT-Sicherheit. Erfasst als digitale Dienste sind Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Wir prüfen mit Ihnen, ob Ihr Unternehmen als digitaler Dienst einzuordnen ist, und beraten Sie hinsichtlich der Einhaltung der besonderen Anforderungen für digitale Dienste.
Datenschutzrechtliche Anforderungen
Die Datenschutz-Grundverordnung (DS-GVO) und die Datenschutzgesetze des Bundes und der Länder regeln nicht nur den Datenschutz, sondern auch die IT-Sicherheit. Datenschutz und IT-Sicherheit gehen Hand in Hand.
Wir beraten Ihr Unternehmen bei der Anpassung von Datenschutzorganisation und -management sowie bei der Anpassung der Datenschutzdokumentation an die Anforderungen der DS-GVO bzw. der Datenschutzgesetze des Bundes und der Länder. Relevant sind insbesondere Datenschutzverträge, Betriebsvereinbarungen, Datenschutzorganisationsrichtlinien, interne Datenschutzrichtlinien, Einwilligungserklärungen und Betroffeneninformationen. Wir konzipieren, strukturieren und implementieren mit Ihnen die Datenschutzorganisation und ein Datenschutzmanagementsystem in Ihrem Unternehmen, Ihrem Konzern oder Ihrer Behörde.
Notfallplan und Managementvorbereitung
Um den Schaden durch einen Cyberangriff so gering wie möglich zu halten, ist es von entscheidender Bedeutung, dass alle potenziell involvierten Personen so gut wie möglich vorbereitet sind und genau wissen, welche Maßnahmen in einem Ernstfall zu ergreifen sind.
Dazu gehört zunächst ein funktionierender, auf das jeweilige Unternehmen zugeschnittener Notfallplan. Dieser enthält eine Beschreibung der Abläufe im Krisenfall, Kommunikationswege, Kontaktinformationen wichtiger interner und externer Ansprechpartner, Aufgabenzuweisungen an die verantwortlichen Personen, Regelungen für Wochenenden, Urlaub und Feiertage sowie Vorlagen für ggf. erforderliche Meldungen und Dokumentation.
Ein Notfallplan auf dem Papier alleine hilft allerdings kaum, da in der Krisensituation, die ohnehin schon eine besondere Belastung für alle Beteiligten darstellt, rein theoretisch vorhandenes Wissen nicht angewendet werden kann. Daher ist es essenziell für die Schadensminimierung im Ernstfall, den Notfallplan in der Praxis auf seine Bewährung zu testen. Basierend auf dem Notfallplan, der Mitarbeiterstruktur, der Branche und den Besonderheiten Ihres Unternehmens erarbeiten wir ein maßgeschneidertes Trainingsprogramm.
Rechtliche Begleitung von Penetration Tests
Viele IT-Dienstleister bieten unter dem Begriff „Penetration Test“ oder „Legal Hacking“ Maßnahmen zur Überprüfung der Sicherheit von IT-Systemen an. Es handelt sich hierbei um mit dem Unternehmen abgestimmte fingierte Angriffe, mit denen die IT-Sicherheit des Unternehmens auf die Probe gestellt wird. Das Ziel ist es, dem Unternehmen zu ermöglichen, im Nachgang seine Schwachstellen besser analysieren zu können.
Solche Tests sind zweifellos sinnvoll. Was Dienstleister aber nicht anbieten, ist eine rechtliche Begleitung solcher Tests. So führt ein Penetration Test regelmäßig zu einem Zugriff des Dienstleisters auf Daten Dritter, insbesondere von Lieferanten oder Kunden, mit denen ein solcher Test in der Regel nicht abgestimmt ist. Hier können vertragliche Geheimhaltungsabreden verletzt werden. Auch setzen solche Tests datenschutzrechtliche Zustimmungen oder dokumentierte Abwägungen voraus. All dies erfordert sorgfältige Vorbereitung.
Wir unterstützen Sie beim Aufsetzen, bei der Vorbereitung und der Durchführung solcher Penetration Tests, um hierdurch die IT-Sicherheit zu erhöhen und gerade nicht durch den Test Schaden für das Unternehmen zu verursachen.
Regulierte Industrien
Kritische Infrastrukturen decken sich weitgehend mit regulierten Industrien. In diese Branchen greift der Gesetzgeber vielfach noch zusätzlich durch Spezialgesetze regulierend ein. Richtlinien zur IT-Sicherheit sind deshalb teilweise in die bereits existierenden Spezialgesetze für regulierte Industrien wie TMG, TKG, EnWG, AtomG, KWG und VAG integriert worden. Wir beraten Sie hinsichtlich der IT-sicherheitsrechtlichen Anforderungen für regulierte Industrien.
Organpflichten
Bisher sind Ausschlüsse in den D&O-Policen für Cyberangriffe nicht üblich. Daher sollten die Geschäftsleitungen präventiv ihrer Sorgfaltspflicht entsprechende Maßnahmen ergreifen. Diese hängen von der Sensibilität der Unternehmen ab. Soweit Betreiber kritischer Infrastrukturen betroffen sind, bestehen detaillierte Vorgaben. Aber auch andere Unternehmen werden sich in abgestufter Form an diesen Leitlinien orientieren müssen, damit ihre Geschäftsleitung sich nicht den Vorwurf sorgfaltspflichtwidriger Organisation machen lassen muss. Wesentlich ist für die Geschäftsleitung, dass diese Aufgabe – wieder abhängig von der möglichen Betroffenheit durch Cyberangriffe – zu den Leitungspflichten zählen dürfte und in ihrem Kerngehalt nicht delegierbar ist. Ein Versäumnis beträfe also nicht den für Informationstechnik zuständigen Vorstand oder Geschäftsführer, sondern das Gremium als Ganzes.
Service Level Agreement mit IT-Dienstleistern
Zur Absicherung gegen Haftungsrisiken nach Cyberangriffen gehört auch, die Verträge mit IT-Dienstleistern auf ihre Sicherheits- und Haftungsregelungen zu prüfen. Häufig konzentrieren sich die vertraglichen Vereinbarungen mit Dienstleistern auf die Regelung der Leistungsbestandteile wie etwa Leistungsumfang, Verfügbarkeit und Reaktionszeit. Regelmäßig wird der Dienstleister nur eine vertragliche Pflicht zur Wartung vage nach „Stand der Technik“ haben. Auch wird die Haftung zudem häufig – jedenfalls bei größeren Outsourcing-Verträgen – individualvertraglich auf absolute Haftungsobergrenzen oder prozentuale Haftungsanteile beschränkt sein.
Üblicherweise können IT-Dienstleister daher kaum erfolgreich in Anspruch genommen werden, wenn es um große Schäden nach Cyberangriffen geht. Die Verträge sollten daher daraufhin geprüft werden, welche Anforderungen im Einzelnen einzuhalten sind und wer das Risiko nach Vertragsschluss eintretender Änderungen trägt.
Supply Chain Management
Auch wenn die Absicherung des eigenen Unternehmens gegen Cyberangriffe schon eine große Herausforderung ist, bedeutet dies noch nicht das Ende des Pflichtenkatalogs. Je nach Branche kann es notwendig sein, dafür Sorge zu tragen, dass Ihre gesamte Lieferkette Schutzmaßnahmen trifft und einen gewissen Sicherheitsstandard einhält.
Wir unterstützen Sie bei der Erarbeitung der für Ihre Lieferkette maßgeblichen Standards und der rechtlichen Gestaltung zu deren Umsetzung. Dabei ist vor allem die rechtssichere Formulierung von Vertragsbedingungen, technischen Spezifikationen und Audit-Rechten von Bedeutung. Aber auch die ganz praktische Gestaltung entsprechender Dokumentation, das Aufsetzen von Übermittlungsprozessen und schließlich die Archivierung im eigenen Unternehmen stellen Herausforderungen dar.
Versicherungsschutz
Die von Unternehmen üblicherweise unterhaltenen (Industrie-)Versicherungsprodukte sichern den Versicherungsnehmer nicht gegen alle bei einem Cybervorfall regelmäßig entstehenden Schäden und Aufwendungen ab. Hier schließt insbesondere die zunehmend auf dem Markt angebotene Cyberversicherung wichtige Deckungslücken. Sie bietet weitergehenden Versicherungsschutz für bestimmte aus einem Cyberangriff resultierende Haftpflichtschäden, Eigenschäden (wie z.B. Betriebsunterbrechung) und die mit einem solchen Angriff einhergehenden Kosten, z.B. für IT-Forensik und Datenwiederherstellung. Bei Abschluss einer Cyberversicherung muss das Unternehmen prüfen, welche konkreten Risiken abgedeckt sind. Beispielsweise sind nicht unter allen angebotenen Produkten auch alle Varianten einer Denial-of-Service-Attacke versichert. Generell sind verdeckte Deckungsausschlüsse zu beachten. Gleiches gilt hinsichtlich Fehler von Mitarbeitern, einem in der Praxis relativ häufigen Fall. Zudem ist vor Abschluss zu prüfen, welcher Schutz bereits über die konventionellen, vom Unternehmen unterhaltenen Versicherungen besteht.
Krisenreaktion (React)
Im Falle eines Cyberangriffs ist eine rasche Reaktion existenziell. Hier ist es wichtig, alle wesentlichen Schutzmaßnahmen, insbesondere zur Daten- und Beweissicherung und zur Verfolgung von Schadensersatzansprüchen, schnell zu ergreifen. Technischer Support ist entscheidend, aber nicht ausreichend. Wirklicher Schutz kann nur mit einem erfahrenen Partner gelingen, der nicht nur die konkrete Krisensituation vor Augen hat, sondern auch die langfristige Schadensminimierung durch Sicherung und Verfolgung von Ansprüchen. Auch bestehen im Angriffsfall vielfältige regulatorische Anforderungen, etwa Notifikationspflichten, die wegen des drohenden Haftungsszenarios mindestens ebenso wichtig sind wie die Anspruchssicherung.
Meldepflichten für Betreiber kritischer Infrastruktur
Betreiber kritischer Infrastrukturen, die gemäß der BSI-Kritisverordnung unter das BSI-Gesetz fallen, treffen besondere Notifikationspflichten. Sie sind gesetzlich verpflichtet, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, -Komponenten und -Prozesse (IT-Störung), die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen kritischen Infrastrukturen führen könnten oder bereits geführt haben, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Eine Meldung ist beispielsweise immer dann erforderlich, wenn es bereits zu einem Ausfall oder zu einer Beeinträchtigung der betriebenen kritischen Infrastruktur gekommen ist. Ist ein Ausfall oder eine Beeinträchtigung zwar möglich, aber (noch) nicht eingetreten, so kann eine Meldung im Einzelfall dennoch erforderlich sein, wenn es sich z.B. um eine außergewöhnliche IT-Störung handelt. Die Erstmeldung muss unverzüglich erfolgen – hier gilt daher ausnahmsweise der Grundsatz: Schnelligkeit vor Vollständigkeit. Kommt das Unternehmen diesen Verpflichtungen nicht nach, drohen Bußgelder und ggf. weitere behördliche Maßnahmen.
Wir prüfen, ob Ihr Unternehmen zur Meldung der konkreten IT-Störung verpflichtet ist. Wir beraten und begleiten Sie bei der Meldung an das BSI und andere staatliche Stellen und vertreten Ihr Unternehmen gegenüber den Aufsichtsbehörden wie z.B. der Bundesnetzagentur. Sollte Ihr Unternehmen einer Meldepflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachgekommen sein, so vertreten wir Ihre Interessen in dem Bußgeldverfahren gegenüber dem BSI und anderen Aufsichtsbehörden.
Begleitung technischer Unterstützung
Eine Absicherung Ihres Unternehmens gegen Cyberangriffe wird immer die Unterstützung durch technische Experten erfordern. Hier zählt oft jede Sekunde, sodass idealerweise schon im Vorfeld im Rahmen eines Notfallplans die Möglichkeit technischer Unterstützung geprüft wurde. Auch wenn das nicht geschehen ist, unterstützen wir bei der raschen und maßgeschneiderten Auswahl technischer Dienstleister.
Datenschutzrechtliche Notifikationspflichten
Nach einem Cyberangriff muss das Unternehmen unverzüglich – im Regelfall binnen 72 Stunden – prüfen, ob und wem der Vorfall gemeldet werden muss, und den Angriff ggf. innerhalb vorgenannter Frist den zuständigen Behörden mitteilen.
Eine solche Notifikationspflicht ergibt sich regelmäßig aus den geltenden Datenschutzgesetzen, beispielsweise aus der EU-Datenschutz-Grundverordnung (DS-GVO). Solche Notifikationspflichten können gegenüber der Aufsichtsbehörde bestehen, im Fall einer Auftragsverarbeitung auch gegenüber dem Vertragspartner als datenschutzrechtlich Verantwortlichem.
Letztlich muss das Unternehmen auch stets damit rechnen, dass ein Cyberangriff, insbesondere wenn personenbezogene Daten von Verbrauchern betroffen sind, schnell in der Öffentlichkeit bekannt werden kann. Eine proaktive Bekanntgabe kann daher auch aus Reputationsgründen der richtige Schritt sein.
Wir unterstützen bei der Bewertung von Notifikationspflichten und ggf. proaktiver Kunden- und Geschäftspartnerinformation und ggf. bei deren Umsetzung.
Strafverfolgung und Einfrieren von Vermögenswerten
Im Falle eines entdeckten Cyberangriffs muss schnell reagiert werden. Hier geht es dann vor allem darum, möglichst rasch Beweise zu sichern, verlorene Daten zurückzuerhalten und Ansprüche gegen die Schädiger oder Dritte durchzusetzen und zu sichern.
Die meisten Angriffe stellen nach deutschem Recht Straftaten dar. So können Denial-of-Service-Attacken strafbar sein als Computersabotage nach § 303b Abs. 1 Nr. 2 StGB bzw. als Datenveränderung nach § 303a Abs. 1 StGB und Hacking als Ausspähen von Daten nach § 202a StGB. Malware wie Trojaner und Ransomware können ebenfalls strafbar sein als Ausspähen von Daten nach § 202a StGB, als Datenveränderung nach § 303a StGB, als Computersabotage nach § 303b StGB oder als Erpressung nach § 253 StGB. In diesen Fällen bietet sich Unterstützung durch die Strafverfolgungsbehörden an. So haben die meisten Bundesländer, darunter Nordrhein-Westfalen, Bayern oder Baden-Württemberg, inzwischen Schwerpunktstaatsanwaltschaften und eigene Einheiten bei den Landeskriminalämtern gebildet. Diese Einheiten besitzen große Erfahrung bei Cyberangriffen und können im Rahmen von Ermittlungsverfahren schnell und trotzdem behutsam eingreifen, um die Arbeitsfähigkeit der IT des Unternehmens im größtmöglichen Umfang (weiterhin) zu gewährleisten.
Wir stehen in engem Austausch mit entsprechenden Ermittlungsbehörden und können im Fall eines Angriffs beurteilen, ob deren Inanspruchnahme sinnvoll ist. In einem solchen Fall begleiten wir das Strafverfahren, um die Interessen des geschädigten Unternehmens bestmöglich sichern und durchsetzen zu können.
Ein Strafverfahren kann, wenn es rasch eingeleitet wird, auch dabei helfen, verlorene Vermögenswerte zurückzuverfolgen und zu sichern. Hier bestehen inzwischen recht weitgehende strafprozessuale Möglichkeiten wie der Vermögensarrest, dessen Nutzen wir bewerten und worauf wir – soweit sinnvoll –gegenüber den Strafverfolgungsbehörden hinwirken.
Im internationalen Kontext ist häufig die Einbindung ausländischer Ermittlungsbehörden notwendig. Hier sind Rechtshilfeverfahren deutscher Behörden ebenso denkbar wie die Einbindung ausländischer Partnerkanzleien, die in ihren Rechtsordnungen strafrechtliche Verfolgung und Zurückverfolgung von Vermögenswerten sicherstellen. In allen Fällen unterstützen und begleiten wir diese Maßnahmen.
Versicherungsrechtliche Obliegenheiten
Hat das Unternehmen eine Versicherung abgeschlossen, die durch den Cyberangriff eingetretene Schäden decken soll, muss es während der Laufzeit der Versicherung und insbesondere im Versicherungsfall versicherungsrechtliche Obliegenheiten erfüllen. Typischerweise hat das Unternehmen dem Versicherer einen Cyberangriff unverzüglich anzuzeigen, nachdem ein solcher dem Unternehmen bekannt geworden ist.
Hier steht das Unternehmen im Krisenfall vor der Herausforderung, den Versicherer zutreffend und umfassend über alle Tatsachen zu informieren, die für die Beurteilung des Schadensfalls und der rechtlichen Implikationen notwendig sind. Dazu muss das Unternehmen oftmals binnen einer Woche z.B. auch alle Tatsachen anzeigen, die seine Verantwortung gegenüber einem Dritten zur Folge haben könnten, also versicherte Haftpflichtansprüche auslösen könnten. Aufgrund der Komplexität besteht insbesondere die Gefahr, dass das Unternehmen potenzielle Haftungsrisiken gegenüber Geschäftspartnern und Dritten dem Versicherer nicht meldet, weil es sie nicht erkennt. Liegt aber eine Obliegenheitsverletzung vor, kann sich der Versicherer von seiner Leistungsverpflichtung gänzlich oder zum Teil freisprechen – je nach dem Grad des Verschuldens des Versicherten.
Wertpapierhandelsrechtliche Publizität und Krisen-PR
Soweit das von einem Cyberangriff betroffene Unternehmen börsennotiert ist, hat es einen Cyberangriff unverzüglich zu melden, soweit der Angriff eine Insiderinformation darstellt. Zur Vermeidung weiterer Schäden wie z.B. einer Schadensersatzpflicht aus § 97 WpHG ist eine unverzügliche Information des Kapitalmarkts erforderlich. Der Emittent hat daher organisatorische Maßnahmen zu treffen, um eine notwendige Veröffentlichung unverzüglich herbeizuführen. Ein Aufschub der Veröffentlichung ist nur innerhalb enger Grenzen zulässig. Ein Verstoß kann auch mit einem Bußgeld durch die BaFin sanktioniert werden und bei vorsätzlichen Verstößen sogar die persönliche Haftung des Vorstands nach § 826 BGB zur Folge haben. Sollte der Angriff öffentlich werden oder die Möglichkeit bestehen, dass er öffentlich bekannt wird, droht ein erheblicher Reputationsverlust. Deswegen sollte frühzeitig über Krisenkommunikation gegenüber Kunden, der BaFin und der Öffentlichkeit nachgedacht werden. Wir unterstützen bei der Gestaltung einer Kommunikations- und PR-Strategie.
Anspruchsverfolgung (Respond)
Die rasche Daten- und Anspruchssicherung ist natürlich nur dann sinnvoll, wenn Ansprüche gegen die Schädiger oder gegen Dritte auch verfolgt und Ansprüche anderer Beteiligter, insbesondere Kunden, wirksam abgewehrt werden. Wir unterstützen Sie auch langfristig bei der Sicherung und Rückgewinnung von Vermögenswerten durch zivilrechtliche Prozessführung, strafrechtliche Begleitung und versicherungsrechtliche Beratung. Die Krisenreaktion ist dafür nur ein erster Schritt, denn häufig werden die Schäden nicht von den eigentlichen Angreifern kompensiert werden können. Damit endet die Prüfung von Ansprüchen allerdings nicht. So sind Ansprüche gegen Dienstleister, Versicherer und Organe möglich. Hinzu kommt häufig die Notwendigkeit, sich gegen Ansprüche Dritter verteidigen zu müssen.
Geltendmachung von Ansprüchen gegen Beteiligte
Eine zentrale Rolle nach einem Cyberangriff spielen die Identifizierung und die Verfolgung von Ansprüchen des angegriffenen Unternehmens gegen den oder die Schädiger. Dabei kann es sich um externe oder interne Schädiger handeln. Gegen externe Schädiger kommen vor allem deliktische Ansprüche in Betracht, die aber in der Praxis letztlich fast nur bei dem sogenannten „CEO-Fraud“ erfolgreich durchgesetzt werden können. Bei internen Schädigern – z.B. Mitarbeitern – können ggf. vertragliche Ansprüche geltend gemacht werden. In der Praxis relevant sind Kombinationen von internen und externen Schädigern, wenn der Angriff (ungewollt oder gewollt) durch Mitarbeiter oder eingeschleuste Hilfspersonen ermöglicht wird. Ein Unterfall dieser Fallgruppe sind Ansprüche gegen Arbeitnehmer des angegriffenen Unternehmens, die inzwischen in Ausnahmefällen sogar zu einer wirtschaftlich signifikanten Wiedergutmachung führten.
Die Verfolgung von Ansprüchen gegen den Schädiger gestaltet sich oft komplex, gerade bei Angriffen aus dem Ausland, und erfordert Erfahrung im Bereich des internationalen Prozessrechts und der grenzüberschreitenden Beweissicherung. In diesem Zusammenhang können auch die internationale Rechtshilfe oder Auskunftsersuchen über internationale Übereinkommen relevant werden.
Organhaftung und D&O-Versicherung
In Betracht kommt schließlich die Haftung der Geschäftsleitung gemäß den §§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG für die wirtschaftlichen Folgen eines Cyberangriffs. Die Inanspruchnahme der Geschäftsleitung und des dahinter stehenden, in der Regel wirtschaftlich leistungsstarken D&O-Versicherers liegt nahe, soweit der Schadensfall – wie häufig – nicht hinreichend über andere Versicherungen abgedeckt ist. Urteile sind zwar – soweit ersichtlich – noch nicht bekannt. In den USA sind allerdings die ersten Vergleiche in Managerhaftungsprozessen bekannt geworden.
Strafrechtliche Vermögensabschöpfung und -rückführung
Die Neuregelung des Rechts der strafrechtlichen Vermögensabschöpfung sieht nicht nur eine Pflicht der Strafverfolgungsbehörden vor, möglichst schon zu Beginn eines Ermittlungsverfahrens Vermögenswerte zu sichern. Es enthält auch weitgehende Erleichterungen für den Geschädigten, aus den so gesicherten Vermögenswerten Entschädigung zu erhalten. Insbesondere entfällt die Notwendigkeit einer zivilrechtlichen Anspruchsdurchsetzung, wenn sich bereits aus dem strafrechtlichen Urteil und der Einziehung ergibt, dass ein Anspruch des Geschädigten besteht.
Wir prüfen und bewerten für Sie, ob eine Anspruchssicherung und -durchsetzung mithilfe strafrechtlicher Verfahrensregelungen sinnvoll ist und ob ein solcher Weg isoliert oder flankierend zu zivilrechtlichen Ansprüchen angezeigt ist. Auch können die Erkenntnisse der Ermittlungsbehörden zur Anspruchsdurchsetzung auf zivilrechtlichem Wege genutzt werden, nicht allein gegen die Schädiger, sondern auch gegen Dritte, beispielsweise involvierte Dienstleister oder Kreditinstitute.
Verfolgung von Ansprüchen gegen Dienstleister
Zusätzlich zu Ansprüchen gegen den Schädiger selbst kommen vertragliche oder deliktische Schadensersatzansprüche des angegriffenen Unternehmens gegen Dienstleister in Betracht, falls die im angegriffenen Unternehmen verwandte Software nicht dem Stand von Wissenschaft und Technik entspricht oder Sicherheitslücken aufweist. In den Umlauf gebrachte Software, die ein Unternehmen zum Schutz vor Cyberangriffen erworben und implementiert hat, muss beim Inverkehrbringen dem Stand von Wissenschaft und Technik entsprochen haben. Vor aufgetretenen Sicherheitslücken muss gewarnt werden. Ggf. müssen die Lücken durch Updates geschlossen werden. In diesem Zusammenhang sind die Produktbeobachtungspflichten von Herstellern in der Praxis relevant, da Sicherheitssoftware kontinuierlich aktualisiert werden muss, um mit der Weiterentwicklung der potenziellen Schadsoftware Schritt zu halten. Anerkannte Marktstandards können als Maßstab herangezogen werden, um zu beurteilen, ob am IT-Produkt Beteiligte ihren Pflichten ordnungsgemäß nachgekommen sind.
Versicherungsdeckung
Ein wichtiger Teil der Schadenskompensation ist die zeitnahe und formwahrende Geltendmachung von Versicherungsleistungen aus den bestehenden Betriebshaftpflicht-, Sach- und Cyberversicherungen. Dies kann im Einzelfall eine umfangreiche Aufarbeitung und Zusammenstellung des Sachverhalts erfordern sowie die rechtliche Prüfung, welche konkreten Schäden unter welchem jeweiligen Versicherungsprodukt versichert sind bzw. zweckmäßigerweise auch geltend gemacht werden sollten. Oft bieten Versicherer teils überdeckenden Schutz gleicher oder ähnlicher Gefahren in unterschiedlichen Versicherungssparten an. Unternehmen sollten daher bereits vor der Geltendmachung von Versicherungsansprüchen sorgfältig prüfen, welche Schäden in welchem Umfang geltend gemacht werden sollten.
Verteidigung gegen Kundenansprüche
Ein erfolgreicher Cyberangriff kann nicht nur Auswirkungen auf das betroffene Unternehmen, sondern auch auf die Kunden dieses Unternehmens haben. Dies kann Schadensersatzansprüche der Kunden gegen das Unternehmen auslösen.
Wir vertreten Ihr Unternehmen außergerichtlich und gerichtlich zur Abwehr von Kundenansprüchen. Zur Aufarbeitung des Sachverhalts und zur Sicherung von Beweisen in gerichtsverwertbarer Form führen wir – falls erforderlich – Internal Investigations durch. Wir entwickeln mit Ihnen eine Strategie als Reaktion auf (befürchtete) Kundenbeschwerden. Unsere Expertise erfasst Alternative Dispute Resolution, Gerichtsverfahren vor staatlichen Gerichten, Schiedsverfahren, die Führung und Steuerung von Massenverfahren, die Führung von Großverfahren und den kollektiven Rechtsschutz wie (die Abwehr von) Musterfeststellungsklagen.
NIS2-Checker
Im Dezember 2022 hat die EU die Network-and-Information-Security-2.0-Richtlinie (NIS2-Richtlinie) verabschiedet. Die Mitgliedsstaaten müssen die Richtlinie bis zum 17.10.2024 in ihr jeweiliges nationales Cybersicherheitsrecht umsetzen. Ziel der Richtlinie ist es, einheitliche Standards für die IT- und Cybersicherheit von Unternehmen zu schaffen.
Die Richtlinie sieht etwa ganz konkrete Risikomanagementmaßnahmen vor, die die Unternehmen umsetzen müssen. Ebenso geht es um den Umgang mit IT-Vorfällen. Häufig werden sich die regulierten Unternehmen auch bei nationalen Behörden registrieren müssen. Verstoßen die Unternehmen gegen die NIS2-Vorgaben, drohen etwa Bußgelder. Die Geschäftsleitungsorgane können dann auch persönlich in die Haftung genommen werden. Nicht zuletzt deshalb rückt die Richtlinie die Verantwortung des Managements auch in den absoluten Fokus.
In Deutschland läuft das Gesetzgebungsverfahren derzeit auf Hochtouren, mit dem sog. NIS2UmsuCG soll das BSIG umfassend reformiert und um die Anforderungen der NIS2-Richtlinie ergänzt werden.
Die NIS2-Richtlinie wird auf viel mehr Unternehmen anwendbar sein, als das heute etwa in Deutschland nach dem BSIG der Fall ist. Erhalten Sie in unserem NIS2-Checker kostenfrei und unkompliziert eine unverbindliche Einschätzung, ob Ihr Unternehmen betroffen sein könnte.
Disclaimer:
Bitte beachten Sie, dass der NIS2-Checker keine Rechtsberatung darstellt. Für die Handhabbarkeit des NIS2-Checkers sind aufgrund der komplexen Rechtslage gewisse Vereinfachungen von Nöten. Ferner stellt der
NIS2-Checker allein auf die Vorgaben der NIS2-Richtlinie ab, nicht aber auf die Entwurfsfassungen des deutschen Umsetzungsgesetzes. Die Ergebnisse des NIS2-Checkers sind deshalb nur eine erste und unverbindliche
Einschätzung der Anwendbarkeit der NIS2-Richtlinie. Eine verbindliche Aussage darüber, ob die NIS2-Richtlinie [in Ihrem Unternehmen] anzuwenden ist oder nicht, setzt den Abschluss einer Mandatsvereinbarung mit uns voraus. Welche personenbezogenen Daten im Zusammenhang mit dem NIS2-Checker [inwiefern] verarbeitet werden, erfahren Sie in unseren Datenschutzinformationen.
Verwandte Themen
Bestens
informiert
Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.
Jetzt anmelden