Die immer weiter zunehmende gesetzliche Regulierung im Bereich der Informationssicherheit setzt eine Vielzahl wirkungsvoller Maßnahmen zum Schutz der IT-Infrastruktur voraus. Ein Informationssicherheitsmanagementsystem (ISMS) auf Basis von international anerkannten Standards (z.B. ISO 27001) hilft Ihnen dabei, Verfahren und Regeln innerhalb Ihrer Organisation aufzustellen, um die Sicherheit ihrer Informationen dauerhaft zu gewährleisten und fortlaufend zu verbessern.

Wir beraten Sie gerne bei der gesamtheitlichen Einführung von Informationssicherheitsmanagementsystemen. Hierzu gehört insbesondere die Unterstützung bei der Risikobewertung sowie der Auswahl und Umsetzung von geeigneten Sicherheitsmaßnahmen und -prozessen, einschließlich der Unterstützung bei der Beschaffung und Implementierung von technischen Lösungen (z.B. SIEM, SOC, IDS, EDR, XDR Diensten). Ebenfalls unterstützen wir Sie im Rahmen von Überwachungs- und Zertifizierungsaudits als externer Ansprechpartner. 

In den vergangenen Jahren hat sich das Risiko für Unternehmen, Opfer von Sicherheitsvorfällen zu werden, dramatisch erhöht. Im Mittelpunkt stehen hier vor allem Ransomware-Attacken, bei denen die gesamte IT-Infrastruktur innerhalb eines Unternehmens oder gar einer gesamten Unternehmensgruppe verschlüsselt werden. In diesem Fall sehen sich die betroffenen Unternehmen bzw. Unternehmensgruppen regelmäßig beträchtlichen Lösegeldforderungen, Bußgeldern und/oder erheblichem Reputationsverlust ausgesetzt. Im Falle eines Cyberangriffs gilt es daher vor allem, zügig zu handeln. Mit jeder Stunde, in der Geschäftsprozesse unterbrochen sind, entstehen weitere Schäden für betroffene Unternehmen.

Wir unterstützen Sie dabei, präventiv geeignete Maßnahmen und Prozesse zu etablieren, um Sicherheitsvorfälle effektiv erkennen und behandeln zu können. Dies umfasst insbesondere die Implementierung von gesamtheitlichen Incident Response und Business Continuity Plänen. Sollten Sie Opfer eines Cyberangriffs werden, helfen wir Ihnen bei der Incident and Emergency Response, mit denen Sie auf den Ernstfall vorbereitet sind. Wir unterstützen bei der Einhaltung der gesetzlichen Meldepflichten und übernehmen für Sie die Kommunikation mit Ermittlungs- und Aufsichtsbehörden. Ebenfalls unterstützen wir Sie dabei, die interne und externe Kommunikation mit Kunden und sonstigen Betroffenen zum Vorfall vorzubereiten und durchzuführen. 

Bei Bedarf können wir im Zusammenhang mit den vorgenannten Leistungen auf ein umfassendes Netzwerk an spezialisierten Kooperationspartnern zurückgreifen. Dies umfasst etwa die Erbringung von Leistungen in den Bereichen Schwachstellenmanagement (z.B. Penetrationtesting, Schwachstellenscans), Krisenkommunikation und forensischer Untersuchung.

Gerade vor dem Hintergrund immer neuer europäischer und nationaler – mit teilweise umfassenden sektorspezifischen - Vorgaben, stehen Unternehmen oftmals vor der Herausforderung, die für sie geltenden Vorgaben ordnungsgemäß zu identifizieren und umzusetzen. Wir unterstützen Sie daher bei der Frage, ob Ihr Unternehmen in den Anwendungsbereich der jeweiligen gesetzlichen Vorgaben fällt, und führen mit Ihnen gemeinsam einen Abgleich der aktuell in Ihrem Unternehmen bestehenden IT-Sicherheitsinfrastruktur (Ist-Zustand) mit den gesetzlich vorgegebenen Anforderungen (Soll-Zustand) durch. Auf der Basis einer solchen Bestandsaufnahme legen wir mit Ihnen konkrete sodann Umsetzungsmaßnahmen fest und begleiten Sie bei der Implementierung.

Unternehmen greifen heutzutage regelmäßig auf die Dienste von externen Anbietern zurück. Dies gilt insbesondere mit Blick auf den Betrieb und die Wartung der eigenen IT-Infrastruktur. Die Inanspruchnahme solcher Managed Services Provider kann für Unternehmen lohnend sein, da eigene Ressourcen eingespart und Kapazitäten flexibel skaliert werden können. Daneben setzen Unternehmen entlang ihrer Wertschöpfungsketten regelmäßig externe Lieferanten ein, die mitunter auch Zugriff auf unternehmenseigene Informationen und Systeme erhalten. Entsprechend nimmt auch das Risiko von Cyberangriffen über die Lieferkette (sog. Supply Chain Attacks) immer weiter zu.

Im Rahmen der Informationssicherheit ist es essentiell, angemessene Maßnahmen und Prozesse für den Einsatz von externen Dienstleistern zu etablieren. Ein wesentlicher Baustein hierbei ist der Abschluss von geeigneten vertraglichen Vereinbarungen, in denen vor allem Regelungen zum Sicherheitsrisikomanagement enthalten sind (z.B. in Form eines Security Addendums). Teilweise bestehen hier auch explizite gesetzlichen Vorgaben zum Inhalt der vertraglichen Vereinbarungen (siehe hierzu die Bestimmungen zum IKT-Drittdienstleistermanagement im DORA). Dies betrifft etwa die Nutzung von unternehmenseigenen Informationen und Systemen, den Umgang mit Sicherheitsvorfällen und Schwachstellen sowie die Haftung der Parteien im Falle von Schadensersatzansprüchen. Entsprechend sind in den vertraglichen Vereinbarungen klare Verantwortlichkeiten und Pflichten aufzunehmen.

Wir beraten Sie bei der Implementierung von geeigneten Richtlinien und Konzepten beim Einsatz von externen Dienstleistern, um einen angemessenen Schutz innerhalb der Lieferkette zu gewährleisten. Hierzu gehört insbesondere die Durchführung von Risikobewertungen beim Einsatz von externen Lieferanten sowie die Ausgestaltung und Verhandlung von geeigneten vertraglichen Vereinbarungen mit eben diesen.

Die Digitalisierung schreitet immer weiter voran. Damit einhergehend steigt auch das Risiko von Cyberangriffen aufgrund von Sicherheitslücken in Software- und Hardwareprodukten zunehmend. Der europäische Gesetzgeber reagiert hierauf mit verschiedenen gesetzlichen Vorgaben, um die Sicherheit von bestimmten Software- Hardwareprodukt zu gewährleisten. Exemplarisch sind hier etwa die Funkanlagen-Richtlinie (RED) und der geplante Cyber Resilience Act (CRA) zu nennen, die unterschiedliche Vorgaben an Hersteller, Einführer und Händler der jeweils erfassten Produkte enthalten. Hierzu gehört etwa die Durchführung eines vorgeschriebenen Konformitätsverfahrens, die Erstellung der technischen Dokumentation sowie der Umgang mit Schwachstellen mitsamt der Bereitstellung von Sicherheitsaktualisierungen. Diese Vorgaben greifen bereits bei der Konzeptionierung und Entwicklung und erstrecken sich – je nach Rechtsakt - auch auf den jeweils gesetzlich vorgesehenen Lebenszyklus des einzelnen Produkts nach Inverkehrbringen. Insoweit können auf die beteiligten Akteure somit umfangreiche Pflichten zur Gewährleistung der Produktsicherheit zukommen, die diese während des maßgeblichen Entwicklungs- und Lebenszyklus einhalten müssen.

Wir unterstützen Sie bei der Umsetzung von Maßnahmen und Prozessen zur Einhaltung der anwendbaren gesetzlichen Anforderungen. Hierzu gehört insbesondere die Unterstützung bei der Durchführung von Risikobewertungen beim Inverkehrbringen der erfassten Produkte, der Durchführung von Konformitätsverfahren sowie der Erstellung der technischen Dokumentation.

Betreiber kritischer Infrastrukturen (zukünftig: Betreiber kritischer Anlagen) unterliegen umfangreichen gesetzlichen Vorgaben zur Informationssicherheit. Diese Vorgaben werden durch die NIS2-Richtlinie sowie die CER-Richtlinie noch einmal erheblich verschärft. Hierdurch sind Betreiber kritischer Infrastrukturen in besonderem Maße verpflichtet, sicherzustellen, dass die von ihnen betriebenen kritischen Infrastrukturen bzw. Anlagen funktionsfähig sind und bleiben. Denn der Ausfall oder die Störung einer kritischen Infrastruktur bzw. Anlage kann erhebliche Folgen für eine Vielzahl von Personen haben. Inhaltlich betrifft dies die Umsetzung von spezifischen Sicherheitsmaßnahmen und -prozessen (z.B. Implementierung von Systemen zur Angriffserkennung), die Einhaltung von Anforderungen beim Einsatz von bestimmten sicherheitsrelevanten Komponenten sowie die Einhaltung von Nachweispflichten. Auch unterhalb der KRITIS-Schwellenwerte werden eine Vielzahl von Unternehmen und Organisationen von sektorspezifischen Regelungen und Standards zur Informationssicherheit erfasst, die diese einhalten müssen. Dies gilt etwa für die Sektoren Energie, Finanz, Telekommunikation, Automotive und Health Care. Wir beraten Sie bei der Einhaltung und Umsetzung der anwendbaren gesetzlichen Vorgaben sowie branchenspezifischer Sicherheitsstandards (z.B. B3S). Ebenfalls unterstützen wir Sie bei der Kommunikation mit den Aufsichtsbehörden.

Wesentliches Element eines funktionierendes Informationssicherheitsmanagements ist die adäquate Schulung der eigenen Mitarbeiter und Geschäftsleitungsorgane im Umgang mit Sicherheitsrisiken. Dies gilt nicht zuletzt auch vor dem Hintergrund, dass die Durchführung von Schulungen (etwa im Bereich der Cybersicherheit) zunehmend als zwingende Vorgabe gesetzlich vorgeschrieben wird.

Wir unterstützen Sie bei der Vorbereitung und Durchführung von entsprechenden Schulungen für Ihre Mitarbeiter und Geschäftsleitungsorgane. Unsere Schulungen werden dabei gezielt an die Bedürfnisse Ihres Unternehmens und der jeweiligen Schulungsteilnehmer angepasst. Insoweit bieten wir verschiedene Format und Inhalte an, abhängig von Ihrer persönlichen Präferenz.

Cyber-Versicherung stellen ein wesentliches Element dar, um etwaige Schadensfälle im Zusammenhang mit einem Cyberangriff abzufangen. Dies ist etwa der Fall, wenn vorherige Schutzmechanismen nicht oder nicht effektiv gewirkt haben. Dabei sollte darauf geachtet werden, dass das Leistungsspektrum der ausgewählten Cyber-Versicherung unbedingt an die jeweilige Unternehmenssituation sowie das individuelle Haftungsrisiko angepasst wird. Ebenso ist sicherzustellen, dass das Unternehmen überhaupt versicherungsfähig ist, d.h. die jeweils vorgeschriebenen Bedingungen der Versicherungen erfüllt (z.B. regelmäßige Schulung der Belegschaft). Fehlt es daran, droht der Worst Case: Die Versicherung zahlt nicht! Hier hilft die juristische Expertise unserer Berater dabei zu erkennen, welche Leistungen wirklich abrufbar sind und wie im Versicherungsfall vorzugehen ist.

Informationssicherheit ist Chefsache. Für die Geschäftsleitung ist es daher unerlässlich, die Umsetzung von angemessenen Sicherheitsmaßnahmen ordnungsgemäß zu billigen und zu überwachen. Geschäftsleitungsorgane, die diesen Pflichten nicht nachkommen, droht daher eine persönliche Haftung gegenüber der Gesellschaft. Gleichzeitig drohen dem Unternehmen selbst empfindliche Bußgelder, wenn gesetzliche Vorgaben zur Informationssicherheit aufgrund eines Fehlverhaltens der Geschäftsleitung nicht eingehalten werden.

Wir beraten Geschäftsleitungsorgane bei der Umsetzung von geeigneten Maßnahmen und Prozessen, um die gesetzlichen Geschäftsleitungspflichten einzuhalten, dem Abschluss einer D&O-Versicherung und notfalls der gerichtlichen Verteidigung gegen geltend gemachte Ansprüche.  

Unternehmen und Organisationen sehen sich im Bereich der Informationssicherheit zunehmend Haftungsrisiken ausgesetzt. Ursache hierfür können etwa Cyberangriffe oder Sicherheitslücken sein, die zu gravierenden Schäden und Bußgeldern führen können.

Wir beraten Sie bei der Bewertung und Durchsetzung von Haftungsansprüchen. Dies umfasst etwa die Durchsetzung von Regressansprüchen gegen externe Dienstleister sowie gegen Geschäftsleitungsorgane des eigenen Unternehmens. Letzteres gilt etwa bei unzureichender Billigung und Überwachung der gesetzlichen Vorgaben zur Informationssicherheit durch die Geschäftsleitungsorgane.

Ein weiterer Beratungsschwerpunkt liegt in der Kommunikation mit Aufsichtsbehörden sowie der Verteidigung gegen Bußgelder und anderen Aufsichtsmaßnahmen durch die zuständigen Aufsichtsbehörden.

Der zentrale Begriff der Informationssicherheit ist der des „Stands der Technik“. Gerade bei der Einführung von technischen und organisatorischen Maßnahmen im Bereich der IT- und Cybersicherheit, aber auch des Datenschutzes ist die Auslegung dieses Begriffs von zentraler Bedeutung und gleichzeitig rechtlich hochkomplex. Insoweit gilt, dass sowohl der europäische als auch der deutsche Gesetzgeber regelmäßig auf den „Stand der Technik“ als eine maßgebliche Umsetzungsanforderung abstellt. Es ist daher essentiell, dass Unternehmen und Organisationen bei der praktischen Umsetzung von entsprechenden Maßnahmen und Prozessen diese ordnungsgemäß dem Stand der Technik zuordnen. Wir beraten Sie daher gerne zu Fragen zum Stand der Technik in allen für Sie relevanten Bereichen