Esche Schümann Commichau

Cyberkriminalität

I. Warum ist jedes Unternehmen bedroht?

  • Angriffsmittel sind aufgrund bestehender Internetverbindung stets verfügbar
  • Angriffsziele sind omnipräsent, z. B. über Apps auf Smartphones und Tablets
  • Mehrere Angriffsziele können gleichzeitig attackiert werden
  • Hohe Gewinne bei geringem Entdeckungsrisiko für die Täter
  • Mangelndes Bewusstsein für Bedrohung führt zu unzu- reichenden technischen und organisatorischen Schutz- maßnahmen
  • Schwachstellen in der Software

2. Wer sind die Täter?

  • Hacker
  • Cyber-Aktivisten
  • Konkurrenten
  • Staatliche Nachrichtendienste

3. Was ist das Schadenspotential?

  • Vermögensschäden
  • Verlust von Geschäfts- und Betriebsgeheimnissen an die Konkurrenz
  • Ausfall oder Beeinträchtigung von IT-Infrastrukturen
  • Erpressung mit Veröffentlichung von Daten
  • Identitätsdiebstahl
  • Reputationsverlust

4. Wer ist zur Sicherung der IT-Systeme verpflichtet?

  • Jedes Unternehmen sowie jede andere öffentliche oder nicht öffentliche verantwortliche Stelle (§ 9 BDSG)
  • Vorstand einer AG (§ 91 Abs. 2 AktG)
  • Geschäftsführer einer GmbH (§ 91 Abs. 1 AktG analog)
  • Kredit- und Finanzdienstleistungsinstitute (§ 25a KWG)
  • Telekommunikationsdiensteanbieter (§ 109 Abs. 1 TKG)
  • Vertragsparteien aufgrund von Haupt- oder Neben- leistungspflichten

5. Welche Informationspflichten gibt es i. d. R. nach einem Cyberangriff?

  • Unverzügliche Information der Betroffenen
  • Unverzügliche Information der Aufsichts behörde

6. Welche Risiken drohen bei Nichteinhaltung gesetzlicher und vertraglicher Pflichten?

  • Bußgelder gegen Unternehmen und verantwortliche Personen bis zu € 300.000
  • Vertragliche oder deliktische Schadensersatzansprüche von Betroffenen in unbegrenzter Höhe

7. Unsere Leistung

Wir beraten Sie zu allen rechtlichen Fragen zum Thema Cyberkriminalität – vor und nach einem Cyberangriff:

Vor einem Cyberangriff

  • Individuelle Risikoanalyse
  • Vorbeugende Maßnahmen
  • Umsetzung der gesetzlichen und vertraglichen Pflichten durch individuelle Lösungen

Nach einem Cyberangriff

  • Analyse des Datenverlustes
  • Prüfung der Informationspflichten
  • Einrichtung eines Krisenmanagements unter Einbeziehung von IT-Sachverständigen
  • Etwaige Einbindung von Strafverfolgungsbehörden / ggf. Strafantragstellung
  • Erfüllung von Informationspflichten gegenüber Betroffenen und Aufsichtsbehörden
  • Unterstützung des Unternehmens bei Prüfungen durch die Aufsichtsbehörde
  • Öffentlichkeitsarbeit
  • Prüfung und Durchsetzung von Schadensersatzansprüchen gegen Dritte
  • Prüfung und Abwehr von Schadensersatzansprüchen Dritter