Cybersecurity

Unsere spezialisierten Rechtsanwälte unterstützen Sie im Bereich Cybersicherheit. Wir beraten bei der Erarbeitung oder Anpassung von IT-Sicherheitskonzepten und übernehmen für unsere Mandanten im Schadensfall die Rechtsdurchsetzung.

Unser Beratungsansatz

Vorderstes Ziel unserer juristischen Beratung im Bereich Cybersecurity ist die Schaffung oder Wiederherstellung sicherer Prozesse und Abläufe innerhalb des Geschäftsbereichs unserer Mandanten. Da die Ursachen für fehlende Sicherheit bei der Verarbeitung von Daten oder in der IT-Sicherheitsinfrastruktur vielfältig sein können, kommt auch unser Beratungsansatz unterschiedlich, in jedem Fall aber angepasst auf die spezifischen Bedürfnisse unserer Mandanten daher. Sie profitieren von unserer Expertise in allen relevanten Bereichen des IT- und Datenschutzrechts. Von der Implementierung eines umfassenden Informationssicherheits- oder Datenschutzmanagementsystems bis zum schnellen Eingreifen im Falle eines Cyberangriffs auf Ihre Systeme.

Unsere Berater arbeiten standortübergreifend in schnell handlungsfähigen Tasks-Forces zusammen und sorgen dafür, dass Ihr Unternehmen schnell wieder einsatzfähig wird und dies langfristig auch weiterhin bleibt. Auf den nachfolgenden Seiten geben wir Ihnen einen Überblick über die Schwerpunkte unserer IT-sicherheitsrechtlichen Praxis.  

Besuchen Sie auch unsere Themenseite zu Datenschutz & Datensicherheit.

In den vergangenen Jahren hat sich das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden, dramatisch erhöht. Sollte es Angreifern gelingen, in interne Systeme einzudringen, sehen sich Unternehmen regelmäßig beträchtlichen Lösegeldforderungen, Bußgeldern und/oder erheblichem Reputationsverlust ausgesetzt. Wir unterstützen Sie dabei, präventiv IT- und datenschutzrechtliche Schwachstellen Ihrer Infrastruktur zu erkennen und zu beheben. Sollten Sie Opfer eines Cyberangriffs werden, so helfen wir Ihnen mit unserem Netzwerk technischer IT-Sicherheitsberater bei der Incident and Emergency Response. Wir übernehmen für Sie die Kommunikation mit Ermittlungs- und Aufsichtsbehörden und unterstützen Sie dabei, die interne und externe Kommunikation zum Vorfall vorzubereiten und durchzuführen. 
 

Moderne Sicherheitsstandards setzen eine Vielzahl wirkungsvoller, synergetisch wirkender Maßnahmen zum Schutz der IT-Infrastruktur voraus. Ein Informationssicherheitsmanagementsystem hilft Ihnen dabei, Verfahren und Regeln innerhalb Ihrer Organisation aufzustellen, um die Sicherheit, der von Ihnen verarbeiteten Informationen, dauerhaft zu gewährleisten und fortlaufend zu verbessern. Um die Einhaltung der besonderen Anforderungen der Verarbeitung personenbezogener Daten zu organisieren und dauerhaft zu gewährleisten, sollte daneben auch ein Datenschutzmanagementsystem eingeführt und betrieben werden. 

Wir beraten Sie gerne dabei, Datenschutz- und Informationssicherheitsmanagementsysteme einzuführen und dafür zu sorgen, dass diese ineinandergreifen. Falls Sie dies wünschen, unterstützen wir Sie auch bei der Zertifizierung. 
 

Im Nachgang an einen IT-Sicherheitsvorfall können unter Umständen auch Gesellschaftsorgane, etwa handelnde Vorstände oder Geschäftsführer in Anspruch genommen werden. Wenn vorherige Schutzmechanismen nicht gewirkt haben, so sollte für den äußersten Fall eine Cyber-Versicherung greifen, um Verantwortungsträger wirksam abzusichern. Der Abschluss einer solchen erscheint vor allem deshalb ratsam, da die entstandenen Schäden in der Regel nicht von der D&O Versicherung berücksichtigt werden. Insgesamt sollte das Leistungsspektrum sämtlicher Versicherungen im Hinblick auf Schäden durch IT-Sicherheitsvorfälle unbedingt an die jeweilige Unternehmenssituation sowie das individuelle Haftungsrisiko an-gepasst werden. Hier hilft die juristische Expertise unserer Berater dabei zu erkennen, welche Leistungen wirklich abrufbar sein sollten.
 

Die Bedeutung des Datenschutzes und der Datenschutz-Compliance nimmt nicht nur vor dem Hintergrund immer neuer Meldungen zu Bußgeld- und Schadensersatzprozessen stetig zu. Daher ist ein mit den datenschutzrechtlichen Vorgaben zu vereinbarendes Vorgehen bei der Verarbeitung personenbezogener Daten unerlässlich. In der Praxis stellen diese Vorgaben die Verantwortlichen immer wieder vor neue, komplexe Aufgaben, deren Bewältigung mit einem immensen Zeit- und Kostenaufwand verbunden sein kann. 

Unser standortübergreifendes Team marktbekannter und ausgezeichneter Experten unterstützt Sie dabei, sowohl Einzelfragen zu beantworten, als auch umfangreiche Prozesse datenschutzkonform auszugestalten und die damit einhergehenden Risiken zu minimieren.

Im Falle eines Cyberangriffs gilt es vor allem, zügig zu handeln. Mit jeder Stunde, in der Geschäftsprozesse unterbrochen sind, entstehen weitere Schäden für betroffene Unternehmen. Daher sollten umgehend die erforderlichen Sofortmaßnahmen eingeleitet und ein Krisenstab gebildet werden, um das weitere Vorgehen zu koordinieren. Bei der Implementierung eines umfassenden Emergency Response Plans helfen wir Ihnen gerne und unterstützen Sie dabei, ein für Sie maßgeschneidertes Konzept zu entwickeln, mit dem Sie auf den Ernstfall vorbereitet sind.
 

Betreiber kritischer Infrastrukturen haben neben den allgemeinen IT-sicherheitsrechtlichen Anforderungen im Übrigen auch die Vorgaben des BSI-Gesetzes einzuhalten. Hierdurch haben Betreiber kritischer Infrastrukturen in besonderem Maße Sorge dafür zu tragen, dass die von ihnen betriebenen kritischen Infrastrukturen funktionsfähig sind und bleiben. Denn der Ausfall oder die Störung einer kritischen Infrastruktur hat erhebliche Folgen für eine Vielzahl von Personen. 

Die erhöhten Anforderungen an Betreiber kritischer Infrastrukturen gelten sowohl hinsichtlich der eingesetzten Elemente, Komponenten und Bestandteile, als auch hinsichtlich der eingesetzten Software.  
 

Jedes Unternehmen steht vor der Frage, ob und in welchem Maße es sich bei der Verwaltung seiner IT-Infrastruktur der Unterstützung externer Dienstleister bedient. Die Inanspruchnahme solcher Managed Services, die in Abgrenzung zu anderen Arten des IT-Outsourcings regelmäßig wiederkehrende Leistungen betreffen, kann für Unternehmen lohnend sein, da eigene Ressourcen eingespart werden. Der Umfang der zu erbringenden Dienstleistung sollte jedoch in beiderseitigem Interesse vorher klar definiert und vertraglich festgehalten werden. Die Schaffung von Transparenz über das erworbene Leistungsspektrum erfolgt durch den Abschluss eines Service Level Agreements, in dem vertraglich festgehalten wird, welche Leistungen das externe Unternehmen zu erbringen hat. Die Verhandlung dieses Vertrags erfordert im Einzelnen eine hohe Beratungs- und Verhandlungskompetenz, um Ihren Interessen optimal zur Geltung zu verhelfen. Hierbei unterstützen wir sie gerne.
 

Cybersecurity ist Chefsache. Daher ist die angemessene Berücksichtigung IT-sicherheitsrechtlicher Anforderungen und die Einhaltung datenschutzrechtlicher Vorschriften für Unternehmen, unabhängig von ihrer Größe, unerlässlich. Unternehmen, die diesen Pflichten nicht nachkommen und unter Umständen auch ihren Organen drohen die Inanspruchnahme durch Vertragspartner oder eine Haftung gegenüber der Gesellschaft. Bei gravierenden Verstößen gegen solche Pflichten können im Übrigen empfindliche Bußgelder verhängt werden. 

Mithilfe unseres ganzheitlichen Beratungsansatzes, können Sie ihre Haftungs- und Prozessrisiken bewerten und minimieren. Gerne unterstützen Sie unsere auf IT-Sicherheits-, Gesellschafts-, Versicherungsrecht und Compliance spezialisierten Rechtsanwälte bei der Implementierung und Durchsetzung geeigneter Maßnahmen, dem Abschluss einer D&O-Versicherung und notfalls der gerichtlichen Verteidigung gegen geltend gemachte Ansprüche.  
 

Immer häufiger erfolgen Cyberangriffe auch indirekt über externe Dienstleister. Wie bei jedem Cyberangriff, besteht auch im Falle eines indirekten Angriffs, also in Form eines Angriffs auf ein anderes Unternehmen innerhalb der Lieferkette ein herausragendes Haftungsrisiko für die betroffenen Unternehmen. Gerade vor dem Hintergrund immer neuer gesetzlicher und europarechtlicher Vorgaben, stehen Unternehmen beim Einsatz und Vertrieb von digitalen Produkten und digitalen Inhalten vor vielfältigen rechtlichen Fragestellungen. Wir beraten Sie bei der Implementierung einer Strategie, welche unterschiedliche, synergetisch wirkende Maßnahmen zur Sicherung der Lieferkette verzahnt.         
 

Der zentrale Begriff des IT-Sicherheitsrechts ist der des „Stands der Technik“. Nicht nur im Bereich kritischer Infrastrukturen, sondern auch bei Anbietern von Telemedien, dem Einsatz von IT-Systemen bei Kreditinstituten, der Einführung technischer und organisatorischer Maßnahmen im Bereich des Datenschutzes, Policen von Cyber-Versicherungen und vielem mehr ist die Auslegung dieses Begriffs von zentraler Bedeutung und gleichzeitig rechtlich hochkomplex. 

Auch die Abgrenzung zu „allgemein anerkannten Regeln der Technik“ oder dem „Stand der Wissenschaft und Technik“ stellen rechtlich eine nicht zu verkennende Anforderung dar.  Nicht zuletzt aufgrund der technischen Expertise unserer auf IT-Sicherheitsrecht spezialisierten Rechtsanwälte beraten wir Sie gerne zum Fragen des Stands der Technik in allen für Sie relevanten Bereichen. 
 

Aktuelles

Download

Neuer Flyer: "Cybersecurity – Themen und Aufgaben in der Rechtsberatung"

Download

Schauen Sie auch in unseren Flyer "Schutz vor Cyber-Attacken".

Auszeichnungen (Auswahl)

Legal 500 Deutschland 2023

Legal 500 Deutschland 2022

FOCUS Top Wirtschaftskanzleien 2022

JUVE Handbuch Wirtschaftskanzleien 2021/2022

Legal 500 EMEA 2022

Chambers Global 2022

WWL Thought Leaders - Data 2022

Legal 500 EMEA 2020

Ausgewählte Mitgliedschaften

Publikationen (Auswahl)

Mehr Publikationen...

Veranstaltungen (Auswahl)

  • IT-Sicherheit in der Gesetzgebung – Welche Regelungen Unternehmen im Blick haben sollen; Manuel Poncza; IT-Sicherheitstag NRW, Köln, 30. November 2023
  • Data Breach Management – An Overview from a Global Perspective, Michael Kuska, LL.M., LL.M., Nick Holland (Shoosmiths) und Jena Valdetero (Greenberg Traurig); Lexology Webinar, 23. Juni 2023
  • Cyber Resilience als Product Compliance-Anforderung, Manuel Poncza; 14. Europäische Druckgerätetage, Fürstenfeldbruck, 20. Juni 2023
  • Von Cloud bis Homeoffice – Rechtliche Aspekte einer sicheren IT, Michael Kuska, LL.M., LL.M., Deutsches Studierendenwerk e. V., 20. Juni 2023
  • NIS-2 Richtlinie, Michael Kuska, LL.M., LL.M., und Manuel Poncza; Cyber Insurance Conference, 1. Juni 2023, Borussia Park Mönchengladbach
  • AIR, CRA, DA und Co? Auswirkung der aktuellen EU-Gesetzgebung auf Robotics Geschäftsmodelle, Robotics: Eher "einfaches Gemüt" oder wirklich "Smart"?, Dr. Lutz M. Keppeler; Rittal, 11. Mai 2023, Haigar

Mehr Veranstaltungen...

  • Cyber Resilience Act - Und noch viel mehr?, Dr. Lutz M. Keppeler; ICT-Resilienz: "Nice-to-have zu Need-to-have?“, 26. April 2023, Hürth
  • Cybercrime und IT-Sicherheitsrechtsrecht inklusive Ausblick auf den Cyber Resilience Act, Dr. Lutz M. Keppeler; Heuking Compliance Days, 16. März 2023, Düsseldorf
  • Der Entwurf des Cyber Resilience Act und dessen Konsequenzen für KMUs; Manuel Poncza; IHK Köln, 14. März 2023
     
  • Cyberversicherung und der "Stand der Technik", Dr. Lutz M. Keppeler und Stefan Jöster; Messe Security Essen, 21. September 2022
  • Podiumsdiskussion mit zu Datenschutz und Cyber-Sicherheit, 3. Deutor Cyber Security Best Practice Conference, Markus Lennartz und Dr. Lutz M. Keppeler, Stuttgart, 30. Juni 2022
  • Haftung für Cyberrisiken in der Kommune, 8. Kommunaler IT-Sicherheitskongress 2022, Stefan Jöster und Dr. Lutz M. Keppeler, Berlin, 3. Mai 2022
  • Haftung und Organisationsverschulden der Kommune bei Cyber Vorfall. Digital.Kommunal.Sicher-Informationssicherheit in der Kommunalverwaltung, Dr. Lutz M. Keppeler, 15./17./23. und 14. Februar 2022
     
  • Die Folgen eines Cyberangriffs, Im Rahmen der Vortragsreihe „Kurz mal Recht“ der IHK Hanau, 25. November 2021
     
  • Live Online-Interview zu Cyberversicherungen, gemeinsam mit Dr. Stefan Jöster, durchgeführt von Malwarebytes, 11. September 2020
  • Datenschutz und IT-Sicherheitsrecht, Vortrag von Dr. Lutz M Keppeler, Webinar „Cyberrisiken und Datenschutz in Zeiten des Homeoffice“, zusammen mit GOSSLER, GOBERT & WOLTERS ASSEKURANZ-MAKLER GMBH & CO. KG und der Digitrace GmbH, 28. August 2020
     
  • BSI Basic Protection. New quasi-legal security standard?, Vortrag von Dr. Lutz M Keppeler, International Insuralex Meeting “Cyber beyond borders”, Frankfurt 29. November 2019
  • Teilnahme an Paneldiskussion “CYBER CRISIS MANAGEMENT”, Vortrag von Dr. Lutz M Keppeler, 2. Deutor Cyber Security Best Practice Conference 2019
  • Datenschutzgrund-Verordnung und E-Privacy-Verordnung, Vortrag von Dr. Hans Markus Wulf, Handelskammer Hamburg, 22. Oktober 2019
  • Cybersicherheit & Recht – Rechtliche und technische Anforderungen für Unternehmen, Vortrag von Dr. Hans Markus Wulf, WM Gruppe, 21. Compliance-Tagung, 19. September 2019

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.