Mit der zunehmenden Digitalisierung von Prozessen und der immer komplexer werdenden IT-Landschaft steigt auch das Risiko von Cyber-Attacken. Das Bundesamt für Sicherheit in der Informationstechnik hat Cyberangriffe mit Ransomware als Hauptbedrohung im Bereich IT-Sicherheit für Unternehmen und Verwaltung in Deutschland identifiziert.
Allein die Schadensstatistik durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2023 (Quelle: Statista) zeigt ein alarmierendes Bild: Bei Gesamtschäden von mehr als 200 Mrd Euro führen die Themenfelder Imageschaden (35 Mrd Euro), Ausfall- / Schädigung von IT Systemen sowie Betriebsausfälle (35 Mrd Euro) und Kosten für Rechtsstreitigkeiten (30 Mrd Euro) diese Statistik an.
Eine weltweit durchgeführte Umfrage aus dem Jahr 2023 ergab, dass rund 58 Prozent der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden waren. Im Durchschnitt gaben rund 53 Prozent der befragten Unternehmen aus den verschiedenen Ländern an, in den letzten 12 Monaten mindestens eine Cyber-Attacke erlebt zu haben.
Luthers multidisziplinäre Praxis für Cybersicherheit und Datenschutz unterstützt Mandanten bei der Bewältigung von Cyber Security Risiken und Attacken. Mit mehr als 40 Experten kann unser Team alle Herausforderungen unserer Mandanten in den Bereichen Cybersicherheit, Incident Response, Datenschutz und ggf. eingebettete KI lösen. Als erfahrene „Cause (oder Cyber) Coaches“ bieten wir praktische, technische und betriebliche Beratung während und nach Ransomware und anderen Cyber-Attacken an. Mit unserer Erfahrungen aus erster Hand operieren wir an der Schnittstelle von Technologie, Cybersicherheit und Datenschutz für unsere Mandanten.
Unsere Beratungsleistungen lassen sich in vier Beratungsfelder einteilen:
Die Prävention von Cyber-Vorfällen (Cyber Audits um Verständnis entwickeln und Awareness zu schaffen, Dokumentation, Schulungen), den Response bzw. die Krisenreaktion auf Cyber-Vorfälle (Notfallplan starten, relevante Assets sichern, Notfall-Team einbinden, Kommunikation B2B, Behörden etc.), die Anspruchsverfolgung und Prozessführung zur Durchsetzung von Ansprüchen (Absicherung personelle und sachliche Vorgaben, Versicherung etc.) sowie den regelmäßigen „Future Prove“ Audit.
Die gesetzlichen Anforderungen im Bereich IT-Sicherheit ändern sich laufend und können sich je nach Industriezweig unterscheiden. Sie ergeben sich nicht nur aus Gesetzen, sondern auch aus Branchenspezifischen Sicherheitsstandards, technischen Normen, Vertragsbeziehungen und aufgrund von Haftungsrisiken. Unsere Experten im IT-Sicherheitsrecht ermitteln, welche rechtlichen Anforderungen für Ihr Unternehmen gelten und welcher Handlungsbedarf in Bezug auf diese Anforderungen besteht. Aufgrund unserer Branchenkenntnisse und unseres Verständnisses für komplexe Unternehmensstrukturen wissen wir, dass eine sichere, aber pragmatische Umsetzung der rechtlichen Anforderungen Grundlage für ein wachstumsfähiges Unternehmen in Zeiten der digitalen Transformation ist.
Unser Cyber Security Audit bietet ein umfassendes Beratungsangebot, um eine Bewertung der aktuell im Unternehmen vorhandenen Prozesse und Systeme zur Sicherung der Unternehmensdaten aus juristischer Sicht durchzuführen. Die Implementierung technischer, operativer und organisatorischer Maßnahmen zur Sicherstellung der IT-Sicherheit ist wesentlich, um Ihr Unternehmen angemessen vor Schäden aufgrund von Cyberangriffen zu schützen. Dabei begleiten wir Sie von der initialen Gap-Analyse bis hin zur Implementierung von Richtlinien, Handlungsanweisungen, Schulungen und anderen rechtlichen, operativen und organisatorischen Maßnahmen. Wir sind über unser Expertennetzwerk darüber hinaus bestens mit technischen Beratern vernetzt, die bei der Ermittlung und Umsetzung von technischen Maßnahmen unterstützen können.
Eng verknüpft mit der Umsetzung der IT-sicherheitsrechtlichen Anforderungen ist der Schutz personenbezogener Daten. Denn bei Cybervorfällen sind häufig personenbezogene Daten betroffen, was wiederum spezifische Verpflichtungen bei der Behandlung solcher Vorfälle hervorruft. Umgekehrt stellt Cyber Security gleichzeitig immer ein Mittel zum Schutz personenbezogener Daten dar. Daher können insbesondere bei der Umsetzung technischer und organisatorischer Maßnahmen Synergieeffekte zwischen Cyber Security und dem Datenschutz geschaffen werden.
Cybervorfälle können unter anderem hohe Bußgelder oder andere Aufsichtsmaßnahmen der (Datenschutz-)Aufsichtsbehörden nach sich ziehen. Unser spezialisiertes Team berät Sie daher auch bei der Kommunikation mit Aufsichtsbehörden und der außergerichtlichen und gerichtlichen Verteidigung gegen aufsichtsbehördliche Maßnahmen.
Unser Beratungsangebot im Zusammenhang mit der Umsetzung der datenschutzrechtlichen Anforderungen finden Sie darüber hinaus hier.
Die aktuellen gesetzlichen Neuregelungen auf europäischer Ebene legen ein besonderes Augenmerk auf die Sicherheit der Lieferkette. Betroffene Unternehmen werden jeweils verpflichtet, die IT-Sicherheit auch in der Lieferkette sicherzustellen. Vor diesem Hintergrund erarbeitetet unser Expertenteam wirksame Strategien, um Ihr Unternehmen in der Lieferkette gegen Cyberrisiken abzusichern.
Neue Cyber Security Regelungen beziehen sich unter anderem auch auf Produkte mit digitalen Elementen. Um Nutzer gegen Cyberrisiken zu schützen, müssen Hersteller die Cyber Security bereits bei der Konzeption und Entwicklung solcher Produkte berücksichtigen. Unser spezialisiertes Team begleitet Sie in diesem Zusammenhang während des gesamten Produktzyklus, von der Entwicklung über die Einholung von Genehmigungen und Zertifikaten, dem Vertrieb und etwaigen Verpflichtungen nach dem Verlauf der Produkte.
Bereits seit einigen Jahren bestehen in der Finanz- und Versicherungsbranche sektorenspezifische nationale Regelungen zu den aufsichtsrechtlichen Anforderungen an die IT und deren Auslagerung in Form von insbesondere Aufsichtsmitteilungen (BAIT, VAIT, MaRisk, MaGo, EBA Guideline on Outsourcing Agreements, Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, etc.). Mit dem Digital Operational Resilience Act (DORA) wurde erstmalig ein europaweit einheitlicher Rechtsrahmen für ein effektives Risikomanagement von Cybersicherheits- und IKT-Risiken im Finanzsektor geschaffen. Ziele der DORA sind die Stärkung der Widerstandsfähigkeit und Sicherheit des gesamten europäischen Finanzsektors und die Schaffung einheitlicher und konsistenter Anforderungen für den Finanzsektor in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Wesentliche Handlungsfelder sind die IKT-Governance, das IKT-Risikomanagement, das Management von IKT-Vorfällen, das Testing der digitalen operationellen Resilienz und das Management von IKT-Drittparteienrisiken. In interdisziplinären Teams begleiten wir den Finanzsektor seit vielen Jahren bei der digitalen Transformation und dabei ganzheitlich auch bei der Umsetzung der regulatorischen Anforderungen an die IT-Sicherheit und damit zusammenhängender Compliance-Anforderungen.
Nicht immer können Cybervorfälle mit präventiven Maßnahmen verhindert werden. Über unentdeckte Sicherheitslücken oder aufgrund menschlicher Fehler schaffen es Angreifer immer wieder, in IT-Systeme einzudringen. Unsere Experten aus dem Datenschutz und dem IT-Sicherheitsrecht begleiten Ihr Unternehmen im Fall eines Cybervorfalls unmittelbar und kompetent, etwa bei der Umsetzung gesetzlicher Meldepflichten und bei der Kommunikation mit Behörden und Stakeholdern.
Die Folge von Cyber-Angriffen sind häufig komplexe Anspruchsverhältnisse. Sie betreffen verschiedene Beteiligte innerhalb der oft internationalen Lieferkette.
Eine Cyber-Attacke kann immense Schäden zur Folge haben, wie die Kosten zur Wiederherstellung der IT-Systeme bis hin zu Reputationsschäden und entgangenem Gewinn. Diese können möglicherweise gegenüber anderen Beteiligten geltend gemacht werden, etwa gegenüber Dienstleistern, Herstellern und vielen mehr, die Mitschuld an dem Cybervorfall tragen.
Zudem können Ansprüche von Dritten drohen, etwa aus Vertragsverletzung, wenn infolge des Cyberangriffs Geschäftsabläufe nicht mehr eingehalten werden können. Auch können Kundendaten betroffen sein. Hier können sogar immer häufiger werdende Mass Claims aufgrund von Datenschutzverstößen drohen.
Unsere Complex Disputes Experten entwickeln mit Ihnen die jeweils beste Prozessstrategie, um komplexe Streitigkeiten in diesen Verhältnissen vor (Schieds-)Gerichten oder außergerichtlich effizient zu lösen und optimale Ergebnisse für unsere Mandanten zu erzielen, wehren Ansprüche ab und sichern Ansprüche im Verhältnis zu Dritten.
Gesetzliche Anforderungen werden sich auch in der Zukunft laufend ändern und werden sich auch branchenspezifisch unterscheiden. Hierunter fallen Gesetze, Branchenspezifische Sicherheitsstandards, technischen Normen, Vertragsbeziehungen und Haftungsrisiken. Unser Future Security Audit bietet für die Zukunftssicherheit ein umfassendes Beratungsangebot, um die aktuell im Unternehmen vorhandenen Prozesse und Systeme zur Sicherung der Unternehmensdaten aus juristischer Sicht regelmäßig auf den Prüfstand zu stellen. Hierbei liegt unser Augenmerk bei den regelmäßigen Audits auf Gap-Analysen bis hin zu Handlungsempfehlungen zur Implementierung von Richtlinien, Handlungsanweisungen, Schulungen und anderen rechtlichen, operativen und organisatorischen Maßnahmen.
Umsetzungsprojekte im Bereich der IT-Sicherheit sind in der Regel hochkomplex und es müssen verschiedene anwaltliche und weitere externe Kompetenzen miteinander verbunden werden. Unsere Erfahrung zeigt, dass für eine effektive und fristgemäße Umsetzung der juristischen Tätigkeiten in solchen Projekten deren Erfassung, Planung und Steuerung in Abstimmung mit den Unternehmenszielen und Stakeholdern unerlässlich ist.
Wir fangen dies mit dem Einsatz von spezialisierten Know-how-Trägern in unseren Reihen ab, die an der Schnittstelle zwischen Inhalt und Organisation arbeiten und folgende projektfördernde Aufgaben als steuernde Instanz umsetzen: (Konstante) Evaluierung sowie Festlegung der Ziele und Anforderungen der Transformation, Aufsetzen der juristischen Projektorganisation und des Managements aller intern und extern beteiligten Ressourcen, Projektplanung (Festlegung von Work-Packages, Ressourcen, In- und Output-Formate), Projektcontrollings (Transparente Open Issues, Risiken, Zeiten und Aufwände) sowie Projektkommunikation (Informationsaustausch, Jour Fixe Management und Dokumentation)
Wir sehen Legal Projekt Management als wichtige Disziplin, die nicht durch einen Rechtsanwalt, sondern vielmehr durch Legal Project Manager mit rechtsspezifischen Fachkenntnissen erbracht werden können. So erhalten Sie für jeden Kompetenzbereich eine hoch wirtschaftliche Herangehensweise.
Ihr/e Ansprechpartner >>
Facebook 
Linkedin 
XING 
Youtube