Informationssicherheit
Informationssicherheit ist wesentlicher Bestandteil des Risikomanagements und bezieht sich auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Im Mittelpunkt steht die Identifizierung und Bewertung von Risken, die Umsetzung von angemessenen Schutzmaßnahmen sowie deren kontinuierliche Überwachung und Verbesserung zur Sicherstellung eines hohen Schutzniveaus. Kernbereiche der Informationssicherheit umfassen die IT- und Cybersicherheit, d.h. der Schutz informationstechnischer Netzwerke und Systeme vor Sicherheitslücken und Cyberbedrohungen
Unsere Leistungen auf einen Blick
Informationssicherheitsrisikomanagement
Informationssicherheitsrisikomanagement
Die immer weiter zunehmende gesetzliche Regulierung im Bereich der Informationssicherheit setzt eine Vielzahl wirkungsvoller Maßnahmen zum Schutz der IT-Infrastruktur voraus. Ein Informationssicherheitsmanagementsystem (ISMS) auf Basis von international anerkannten Standards (z.B. ISO 27001) hilft Ihnen dabei, Verfahren und Regeln innerhalb Ihrer Organisation aufzustellen, um die Sicherheit ihrer Informationen dauerhaft zu gewährleisten und fortlaufend zu verbessern.
Wir beraten Sie gerne bei der gesamtheitlichen Einführung von Informationssicherheitsmanagementsystemen. Hierzu gehört insbesondere die Unterstützung bei der Risikobewertung sowie der Auswahl und Umsetzung von geeigneten Sicherheitsmaßnahmen und -prozessen, einschließlich der Unterstützung bei der Beschaffung und Implementierung von technischen Lösungen (z.B. SIEM, SOC, IDS, EDR, XDR Diensten). Ebenfalls unterstützen wir Sie im Rahmen von Überwachungs- und Zertifizierungsaudits als externer Ansprechpartner.
Bewältigung von Sicherheitsvorfällen
Bewältigung von Sicherheitsvorfällen
In den vergangenen Jahren hat sich das Risiko für Unternehmen, Opfer von Sicherheitsvorfällen zu werden, dramatisch erhöht. Im Mittelpunkt stehen hier vor allem Ransomware-Attacken, bei denen die gesamte IT-Infrastruktur innerhalb eines Unternehmens oder gar einer gesamten Unternehmensgruppe verschlüsselt werden. In diesem Fall sehen sich die betroffenen Unternehmen bzw. Unternehmensgruppen regelmäßig beträchtlichen Lösegeldforderungen, Bußgeldern und/oder erheblichem Reputationsverlust ausgesetzt. Im Falle eines Cyberangriffs gilt es daher vor allem, zügig zu handeln. Mit jeder Stunde, in der Geschäftsprozesse unterbrochen sind, entstehen weitere Schäden für betroffene Unternehmen.
Wir unterstützen Sie dabei, präventiv geeignete Maßnahmen und Prozesse zu etablieren, um Sicherheitsvorfälle effektiv erkennen und behandeln zu können. Dies umfasst insbesondere die Implementierung von gesamtheitlichen Incident Response und Business Continuity Plänen. Sollten Sie Opfer eines Cyberangriffs werden, helfen wir Ihnen bei der Incident and Emergency Response, mit denen Sie auf den Ernstfall vorbereitet sind. Wir unterstützen bei der Einhaltung der gesetzlichen Meldepflichten und übernehmen für Sie die Kommunikation mit Ermittlungs- und Aufsichtsbehörden. Ebenfalls unterstützen wir Sie dabei, die interne und externe Kommunikation mit Kunden und sonstigen Betroffenen zum Vorfall vorzubereiten und durchzuführen.
Bei Bedarf können wir im Zusammenhang mit den vorgenannten Leistungen auf ein umfassendes Netzwerk an spezialisierten Kooperationspartnern zurückgreifen. Dies umfasst etwa die Erbringung von Leistungen in den Bereichen Schwachstellenmanagement (z.B. Penetrationtesting, Schwachstellenscans), Krisenkommunikation und forensischer Untersuchung.
Betroffenheitsanalysen und Bestandsaufnahmen
Betroffenheitsanalysen und Bestandsaufnahmen
Gerade vor dem Hintergrund immer neuer europäischer und nationaler – mit teilweise umfassenden sektorspezifischen - Vorgaben, stehen Unternehmen oftmals vor der Herausforderung, die für sie geltenden Vorgaben ordnungsgemäß zu identifizieren und umzusetzen. Wir unterstützen Sie daher bei der Frage, ob Ihr Unternehmen in den Anwendungsbereich der jeweiligen gesetzlichen Vorgaben fällt, und führen mit Ihnen gemeinsam einen Abgleich der aktuell in Ihrem Unternehmen bestehenden IT-Sicherheitsinfrastruktur (Ist-Zustand) mit den gesetzlich vorgegebenen Anforderungen (Soll-Zustand) durch. Auf der Basis einer solchen Bestandsaufnahme legen wir mit Ihnen konkrete sodann Umsetzungsmaßnahmen fest und begleiten Sie bei der Implementierung.
Sicherheit in der Lieferkette
Sicherheit in der Lieferkette
Unternehmen greifen heutzutage regelmäßig auf die Dienste von externen Anbietern zurück. Dies gilt insbesondere mit Blick auf den Betrieb und die Wartung der eigenen IT-Infrastruktur. Die Inanspruchnahme solcher Managed Services Provider kann für Unternehmen lohnend sein, da eigene Ressourcen eingespart und Kapazitäten flexibel skaliert werden können. Daneben setzen Unternehmen entlang ihrer Wertschöpfungsketten regelmäßig externe Lieferanten ein, die mitunter auch Zugriff auf unternehmenseigene Informationen und Systeme erhalten. Entsprechend nimmt auch das Risiko von Cyberangriffen über die Lieferkette (sog. Supply Chain Attacks) immer weiter zu.
Im Rahmen der Informationssicherheit ist es essentiell, angemessene Maßnahmen und Prozesse für den Einsatz von externen Dienstleistern zu etablieren. Ein wesentlicher Baustein hierbei ist der Abschluss von geeigneten vertraglichen Vereinbarungen, in denen vor allem Regelungen zum Sicherheitsrisikomanagement enthalten sind (z.B. in Form eines Security Addendums). Teilweise bestehen hier auch explizite gesetzlichen Vorgaben zum Inhalt der vertraglichen Vereinbarungen (siehe hierzu die Bestimmungen zum IKT-Drittdienstleistermanagement im DORA). Dies betrifft etwa die Nutzung von unternehmenseigenen Informationen und Systemen, den Umgang mit Sicherheitsvorfällen und Schwachstellen sowie die Haftung der Parteien im Falle von Schadensersatzansprüchen. Entsprechend sind in den vertraglichen Vereinbarungen klare Verantwortlichkeiten und Pflichten aufzunehmen.
Wir beraten Sie bei der Implementierung von geeigneten Richtlinien und Konzepten beim Einsatz von externen Dienstleistern, um einen angemessenen Schutz innerhalb der Lieferkette zu gewährleisten. Hierzu gehört insbesondere die Durchführung von Risikobewertungen beim Einsatz von externen Lieferanten sowie die Ausgestaltung und Verhandlung von geeigneten vertraglichen Vereinbarungen mit eben diesen.
Produktsicherheit bei Software- und Hardwareprodukten
Produktsicherheit bei Software- und Hardwareprodukten
Die Digitalisierung schreitet immer weiter voran. Damit einhergehend steigt auch das Risiko von Cyberangriffen aufgrund von Sicherheitslücken in Software- und Hardwareprodukten zunehmend. Der europäische Gesetzgeber reagiert hierauf mit verschiedenen gesetzlichen Vorgaben, um die Sicherheit von bestimmten Software- Hardwareprodukt zu gewährleisten. Exemplarisch sind hier etwa die Funkanlagen-Richtlinie (RED) und der geplante Cyber Resilience Act (CRA) zu nennen, die unterschiedliche Vorgaben an Hersteller, Einführer und Händler der jeweils erfassten Produkte enthalten. Hierzu gehört etwa die Durchführung eines vorgeschriebenen Konformitätsverfahrens, die Erstellung der technischen Dokumentation sowie der Umgang mit Schwachstellen mitsamt der Bereitstellung von Sicherheitsaktualisierungen. Diese Vorgaben greifen bereits bei der Konzeptionierung und Entwicklung und erstrecken sich – je nach Rechtsakt - auch auf den jeweils gesetzlich vorgesehenen Lebenszyklus des einzelnen Produkts nach Inverkehrbringen. Insoweit können auf die beteiligten Akteure somit umfangreiche Pflichten zur Gewährleistung der Produktsicherheit zukommen, die diese während des maßgeblichen Entwicklungs- und Lebenszyklus einhalten müssen.
Wir unterstützen Sie bei der Umsetzung von Maßnahmen und Prozessen zur Einhaltung der anwendbaren gesetzlichen Anforderungen. Hierzu gehört insbesondere die Unterstützung bei der Durchführung von Risikobewertungen beim Inverkehrbringen der erfassten Produkte, der Durchführung von Konformitätsverfahren sowie der Erstellung der technischen Dokumentation.
Beratung von KRITIS-Betreibern und regulierten Sektoren
Beratung von KRITIS-Betreibern und regulierten Sektoren
Betreiber kritischer Infrastrukturen (zukünftig: Betreiber kritischer Anlagen) unterliegen umfangreichen gesetzlichen Vorgaben zur Informationssicherheit. Diese Vorgaben werden durch die NIS2-Richtlinie sowie die CER-Richtlinie noch einmal erheblich verschärft. Hierdurch sind Betreiber kritischer Infrastrukturen in besonderem Maße verpflichtet, sicherzustellen, dass die von ihnen betriebenen kritischen Infrastrukturen bzw. Anlagen funktionsfähig sind und bleiben. Denn der Ausfall oder die Störung einer kritischen Infrastruktur bzw. Anlage kann erhebliche Folgen für eine Vielzahl von Personen haben. Inhaltlich betrifft dies die Umsetzung von spezifischen Sicherheitsmaßnahmen und -prozessen (z.B. Implementierung von Systemen zur Angriffserkennung), die Einhaltung von Anforderungen beim Einsatz von bestimmten sicherheitsrelevanten Komponenten sowie die Einhaltung von Nachweispflichten. Auch unterhalb der KRITIS-Schwellenwerte werden eine Vielzahl von Unternehmen und Organisationen von sektorspezifischen Regelungen und Standards zur Informationssicherheit erfasst, die diese einhalten müssen. Dies gilt etwa für die Sektoren Energie, Finanz, Telekommunikation, Automotive und Health Care. Wir beraten Sie bei der Einhaltung und Umsetzung der anwendbaren gesetzlichen Vorgaben sowie branchenspezifischer Sicherheitsstandards (z.B. B3S). Ebenfalls unterstützen wir Sie bei der Kommunikation mit den Aufsichtsbehörden.
Schulung von Mitarbeitern und Geschäftsleitungen
Schulung von Mitarbeitern und Geschäftsleitungen
Wesentliches Element eines funktionierendes Informationssicherheitsmanagements ist die adäquate Schulung der eigenen Mitarbeiter und Geschäftsleitungsorgane im Umgang mit Sicherheitsrisiken. Dies gilt nicht zuletzt auch vor dem Hintergrund, dass die Durchführung von Schulungen (etwa im Bereich der Cybersicherheit) zunehmend als zwingende Vorgabe gesetzlich vorgeschrieben wird.
Wir unterstützen Sie bei der Vorbereitung und Durchführung von entsprechenden Schulungen für Ihre Mitarbeiter und Geschäftsleitungsorgane. Unsere Schulungen werden dabei gezielt an die Bedürfnisse Ihres Unternehmens und der jeweiligen Schulungsteilnehmer angepasst. Insoweit bieten wir verschiedene Format und Inhalte an, abhängig von Ihrer persönlichen Präferenz.
Cyber-Versicherung
Cyber-Versicherung
Cyber-Versicherung stellen ein wesentliches Element dar, um etwaige Schadensfälle im Zusammenhang mit einem Cyberangriff abzufangen. Dies ist etwa der Fall, wenn vorherige Schutzmechanismen nicht oder nicht effektiv gewirkt haben. Dabei sollte darauf geachtet werden, dass das Leistungsspektrum der ausgewählten Cyber-Versicherung unbedingt an die jeweilige Unternehmenssituation sowie das individuelle Haftungsrisiko angepasst wird. Ebenso ist sicherzustellen, dass das Unternehmen überhaupt versicherungsfähig ist, d.h. die jeweils vorgeschriebenen Bedingungen der Versicherungen erfüllt (z.B. regelmäßige Schulung der Belegschaft). Fehlt es daran, droht der Worst Case: Die Versicherung zahlt nicht! Hier hilft die juristische Expertise unserer Berater dabei zu erkennen, welche Leistungen wirklich abrufbar sind und wie im Versicherungsfall vorzugehen ist.
Pflichten der Geschäftsleitung und Organhaftung
Pflichten der Geschäftsleitung und Organhaftung
Informationssicherheit ist Chefsache. Für die Geschäftsleitung ist es daher unerlässlich, die Umsetzung von angemessenen Sicherheitsmaßnahmen ordnungsgemäß zu billigen und zu überwachen. Geschäftsleitungsorgane, die diesen Pflichten nicht nachkommen, droht daher eine persönliche Haftung gegenüber der Gesellschaft. Gleichzeitig drohen dem Unternehmen selbst empfindliche Bußgelder, wenn gesetzliche Vorgaben zur Informationssicherheit aufgrund eines Fehlverhaltens der Geschäftsleitung nicht eingehalten werden.
Wir beraten Geschäftsleitungsorgane bei der Umsetzung von geeigneten Maßnahmen und Prozessen, um die gesetzlichen Geschäftsleitungspflichten einzuhalten, dem Abschluss einer D&O-Versicherung und notfalls der gerichtlichen Verteidigung gegen geltend gemachte Ansprüche.
Prozessführung und Rechtsdurchsetzung
Prozessführung und Rechtsdurchsetzung
Unternehmen und Organisationen sehen sich im Bereich der Informationssicherheit zunehmend Haftungsrisiken ausgesetzt. Ursache hierfür können etwa Cyberangriffe oder Sicherheitslücken sein, die zu gravierenden Schäden und Bußgeldern führen können.
Wir beraten Sie bei der Bewertung und Durchsetzung von Haftungsansprüchen. Dies umfasst etwa die Durchsetzung von Regressansprüchen gegen externe Dienstleister sowie gegen Geschäftsleitungsorgane des eigenen Unternehmens. Letzteres gilt etwa bei unzureichender Billigung und Überwachung der gesetzlichen Vorgaben zur Informationssicherheit durch die Geschäftsleitungsorgane.
Ein weiterer Beratungsschwerpunkt liegt in der Kommunikation mit Aufsichtsbehörden sowie der Verteidigung gegen Bußgelder und anderen Aufsichtsmaßnahmen durch die zuständigen Aufsichtsbehörden.
Prüfung von Rechtsfragen zum Stand der Technik
Prüfung von Rechtsfragen zum Stand der Technik
Der zentrale Begriff der Informationssicherheit ist der des „Stands der Technik“. Gerade bei der Einführung von technischen und organisatorischen Maßnahmen im Bereich der IT- und Cybersicherheit, aber auch des Datenschutzes ist die Auslegung dieses Begriffs von zentraler Bedeutung und gleichzeitig rechtlich hochkomplex. Insoweit gilt, dass sowohl der europäische als auch der deutsche Gesetzgeber regelmäßig auf den „Stand der Technik“ als eine maßgebliche Umsetzungsanforderung abstellt. Es ist daher essentiell, dass Unternehmen und Organisationen bei der praktischen Umsetzung von entsprechenden Maßnahmen und Prozessen diese ordnungsgemäß dem Stand der Technik zuordnen. Wir beraten Sie daher gerne zu Fragen zum Stand der Technik in allen für Sie relevanten Bereichen
Unterstützung bei öffentlichen Ausschreibungen
Unterstützung bei öffentlichen Ausschreibungen
Öffentliche Auftraggeber stehen bei der Beschaffung von IT-Leistungen und hier speziell bei der Beschaffung von IT-Sicherheitsleistungen vor zunehmenden Herausforderungen in Bezug auf die Informationssicherheit. So müssen öffentliche Auftraggeber die Einhaltung der komplexen rechtlichen Rahmenbedingungen im Bereich der IT- und Cybersicherheit sicherstellen. Gleichzeitig haben öffentliche Auftraggeber darauf zu achten, vertrauenswürdige und qualifizierte IT-(Sicherheits-)Dienstleister zu finden, die den hohen Sicherheitsstandards und spezifischen Anforderungen gerecht werden. Daneben stellen sich regelmäßig weitere Herausforderungen (z.B. Koordinationen verschiedener Interessengruppen innerhalb der öffentlichen Verwaltung sowie vorgegebene Budgetrahmen). Wir unterstützen daher öffentliche Auftraggeber effektiv bei der Vorbereitung und Durchführung von öffentlichen Ausschreibungen.
Beratung bei arbeits- und betriebsverfassungsrechtlichen Fragestellungen
Beratung bei arbeits- und betriebsverfassungsrechtlichen Fragestellungen
IT- und Cybersicherheit spielen im arbeits- und betriebsverfassungsrechtlichen Kontext eine immer wichtigere Rolle. Dies betrifft insbesondere die Einführung neuer digitaler Lösungen, denn durch den zunehmenden Einsatz digitaler Technologien steigt auch das Risiko für Cyberangriffe, Datenverluste und Systemausfälle. Arbeitgeber müssen daher sicherstellen, dass alle digitalen Systeme und Prozesse optimal gegen Bedrohungen abgesichert sind, um sensible Unternehmens-, Kunden- und Mitarbeiterdaten zu schützen. Gleichzeitig sind bei der Einführung von neuen Lösungen die Rechte der Arbeitnehmer und deren Vertretungsorganen (z.B. Betriebsrat, Mitarbeitervertretung) zu gewährleisten. Dies gilt gerade auch bei der Einführung von neuen Security-Lösungen (z.B. SIEM, SOC, IDS, EDR, XDR Diensten), soweit diese einer entsprechenden Mitbestimmung unterliegen. Daneben können sich zahlreiche weitere Fragestellungen mit Bezug zur IT- und Cybersicherheit stellen, die im arbeits- und betriebsverfassungsrechtlichen Kontext von Relevanz sind (z.B. Umsetzung von IT-Sicherheitsvorkehrungen und -richtlinien). Wir unterstützen Unternehmen daher mit unserem interdisziplinären Expertenteam bei sämtlichen arbeits- und betriebsverfassungsrechtlichen Fragestellungen in Bezug auf IT- und Cybersicherheit.
Einsatz von KI-Systemen
Einsatz von KI-Systemen
Der Einsatz von KI-Systemen steht wie kaum ein anderes Thema im Mittelpunkt, da sie zahlreiche Chancen und Möglichkeiten bieten. Mit der zunehmenden Verbreitung von KI-Systemen gehen jedoch auch vielfältige Herausforderungen im Bereich der Informationssicherheit einher. Dies betrifft sowohl die IT- und Cybersicherheit der KI-Systeme selbst, als auch die Nutzung von KI zur Verbesserung der Sicherheitsinfrastruktur und den potenziellen Missbrauch von KI als Angriffswerkzeug. Seit der Einführung der neuen EU-KI-Verordnung gibt es nun erstmals einen einheitlichen Rechtsrahmen, der insbesondere die Sicherheit von KI-Systemen regelt. Dieser muss in Einklang mit den bereits bestehenden rechtlichen Anforderungen gebracht werden. Unser Expertenteam unterstützt Unternehmen umfassend aus IT-sicherheitsrechtlicher Perspektive, angefangen bei der Entwicklung von KI-Systemen bis hin zu deren Verbreitung, Einführung, Bereitstellung und Nutzung.
Aktuelle Themen
NIS2-Richtlinie
Übersicht zu den Vorgaben zur EU-weiten IT-Sicherheit
Digital Operational Resilience Act (DORA)
Übersicht zu den Vorgaben zur IT-Sicherheit im Finanzsektor
Cyber Resilience Act (CRA)
Informationen zum geplanten digitalen Produktsicherheitsrecht der EU
Ausgezeichnete Expertise
Unser Beratungsteam besteht aus international ausgezeichneten Expertinnen und Experten (JUVE, Legal500, Chambers) und verfügt über langjährige Erfahrungen im Bereich der IT- und Cybersicherheit.
Hervorragende Spezialisierung
Unsere Expertinnen und Experten verfügen über international anerkannte Zertifizierungen im Bereich der IT- und Cybersicherheit (TÜV, ICO) und sind auf unterschiedliche Branchen und Sektoren spezialisiert.
Umfangreiche Vernetzung
Wir sind in verschiedenen Branchenverbänden und Arbeitsgruppen im Bereich der IT- und Cybersicherheit tätig (z.B. Bundesverband für IT-Sicherheit e.V. - „TeleTrusT“). Zudem verfügen wir über ein umfangreiches Netzwerk an Kooperations-partnern, bestehend aus technischen IT-Sicherheitsberatern sowie Anbietern von technischen Sicherheitslösungen.