Cybersecurity & IT-Sicherheit
Cybersecurity wird in einer Welt, die zunehmend vernetzt und digitalisiert ist, zu einem unverzichtbaren Thema für Unternehmen aller Größenordnungen – vom Kleinstunternehmen bis hin zum Großkonzern. Cybersecurity bzw. Cyber Security, zu Deutsch „Cybersicherheit“ oder auch „IT-Sicherheit“ – wobei nach umstrittener Auffassung IT-Sicherheit ein Unterpunkt der Cybersecurity darstellt – umfasst alle Maßnahmen, die zum Schutz von Netzwerken, Computern, Programmen und Daten vor Angriffen, Schäden oder unberechtigtem Zugriff dienen. Hierzu zählen technische Aspekte wie auch die rechtlichen Rahmenbedingungen, die für Unternehmen von essenzieller Bedeutung sind. Unsere Rechtsanwaltskanzlei, spezialisiert auf IT-Recht, bietet Ihnen umfassende Beratung und Unterstützung, um sowohl Ihre digitalen Assets als auch Ihre rechtliche Position zu sichern.
Was wird unter Cybersecurity verstanden?
Cybersecurity umfasst ein breites Spektrum an Technologien, Prozessen und Kontrollmechanismen, die dazu entwickelt wurden, Netzwerke, Geräte, Programme und Daten vor Angriffen oder unautorisiertem Zugriff zu schützen. Die Bedrohung kommt häufig von außen, durch Cyberkriminelle, die in die eigenen Systeme eindringen. Teilweise entstammen die Bedrohungen aber auch den eigenen Reihen: durch strafbare Handlungen von Mitarbeitern oder – wie schon vorgekommen – durch schlichte Unaufmerksamkeit und/oder Fehlbedienung. Cyberangriffe können vielfältig sein. So versuchen Angreifer, Schadsoftware einzuschleusen, um das betroffene Gerät zu infiltrieren und schädliche, unerwünschte Funktionen auszuführen. Durch Phishing-Angriffe sollen sensible Daten erlangt und missbraucht werden.
Derzeit finden vermehrt Angriffe mit Ransomware statt, welche Daten verschlüsselt und Lösegeld fordert. Weitere Angriffsformen sind DDoS-Attacken, bei denen Server durch Überlastung zum Zusammenbruch gebracht werden, und Insider-Bedrohungen, die durch unzufriedene oder nachlässige Mitarbeiter entstehen können.
Zur Absicherung gegen Cyberbedrohungen stehen verschiedene technische Maßnahmen zur Verfügung. Firewalls und Antivirenprogramme bilden die erste Verteidigungslinie. Verschlüsselungstechnologien schützen sensible Daten auf Übertragungswegen und bei der Speicherung. Regelmäßige Sicherheitsupdates und Patches sind notwendig, um Sicherheitslücken zu schließen. Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) helfen, Angriffe frühzeitig zu erkennen und zu verhindern. Sicherheitsaudits und Penetrationstests identifizieren Schwachstellen und schließen diese. Diese vorbeugenden Maßnahmen („Preparedness“) sind exemplarisch – je nach Unternehmensgröße und Bedrohungsgrad kommen weitere hinzu. Für größere Unternehmen dient die DIN EN/IEC 27001 als internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Für kleine und Kleinstunternehmen steht die DIN SPEC 2706 zur Verfügung, die das BSI in Zusammenarbeit mit anderen Institutionen verfasst hat.
Unternehmensverantwortliche sind nicht nur technisch, sondern auch rechtlich verpflichtet, ihre IT-Systeme und die Daten von Kunden und Mitarbeitern zu schützen. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass personenbezogene Daten angemessen gesichert werden müssen. Verstöße können zu empfindlichen Bußgeldern und Reputationsverlust führen. Außerdem können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn sie ihren Sorgfaltspflichten nicht nachkommen. Das IT-Sicherheitsgesetz und weitere branchenspezifische Vorschriften – etwa das Kreditwesengesetz (KWG) für den Finanzsektor – legen zusätzliche rechtliche Anforderungen fest.
Neben vorbeugenden Maßnahmen muss auch das Verhalten im Ernstfall („Response“) vorher feststehen. Die Verantwortlichen müssen Vorkehrungen treffen, damit ein Angriff – bestenfalls noch während des Geschehens – erfasst und bewertet wird („Identification“). Die Attacke muss gestoppt werden – zum Beispiel durch Schließen eines Datenlecks, Entfernen von Schadsoftware und Wiederherstellen von Backups („Minimization“). Bevor der Normalbetrieb zurückkehrt („Remediation“), sind weitere Schritte erforderlich, die wir Ihnen gerne im persönlichen Gespräch erläutern.
Damit das Verhalten im Ernstfall bestmöglich abläuft, ist es Pflicht der Unternehmensführung, Mitarbeiter zu schulen und zu sensibilisieren. In kritischen Situationen müssen klare Handlungsabläufe und Ansprechpartner bekannt sein, damit Risiken besser eingeschätzt werden.
Durch entsprechende Schulung hätten beispielsweise sogenannte Chief-Fraud-Fälle verhindert werden können: Angreifer gaben sich als Geschäftsführer oder Vorstand eines Unternehmens aus und täuschten Mitarbeiter, sodass diese Geld auf ausländische Konten überwiesen.
Unsere Rechtsanwaltskanzlei mit dem Schwerpunkt IT-Recht unterstützt Sie dabei, die rechtlichen Herausforderungen im Bereich Cybersecurity zu identifizieren und ihnen sicher zu begegnen. Zu den vorbeugenden Maßnahmen beraten wir Sie umfassend zu Ihren Pflichten, entwickeln rechtssichere IT-Sicherheitskonzepte und unterstützen Sie im Ernstfall bei der rechtlichen Bewältigung eines Cyberangriffs. Unser Ziel ist es, Ihre Unternehmenswerte zu schützen und rechtliche Risiken zu minimieren. Auf Wunsch vermitteln wir Ihnen auch starke technische Partner.
