Pohlmann & Company unterstützt Sie sofort und umfassend bei Cyberangriffen.

Cyberangriffe

Incident Response - Unterstützung bei Cyberangriffen

Wir helfen unseren Mandanten dabei, ihre Infrastruktur und Geschäftsprozesse auf kriminelle Angriffe durch Hacker vorzubereiten. Im Falle erfolgreicher Angriffe beraten wir umfassend über Reaktionsmöglichkeiten, Krisenkommunikation und Schadensersatzansprüche.

Kriminelle Hacker greifen täglich tausendfach die IT-Infrastruktur von Unternehmen an. Erfolgreiche Angriffe können zum Verlust von Daten führen oder das betroffene Unternehmen auf Wochen und Monate handlungsunfähig machen. Eine besondere Gefahr stellen Ransomware-Attacken dar, bei denen die Angreifer versuchen, ihre Opfer um hohe Lösegeldsummen zu erpressen. Leider haben sie damit häufig Erfolg.

Pohlmann & Company berät umfassend zu allen rechtlichen Fragen der präventiven sowie der reaktiven Abwehr von Cyberangriffen. Wir begleiten unsere Mandanten bei der Vorbereitung, etwa dem Erstellen von Notfallplänen und -prozessen und der Bestimmung besonderer regulatorischer Anforderungen.

Wenn ein Angriff stattgefunden hat oder noch andauert, beraten wir zu schadensmindernden Maßnahmen und regulatorischen Pflichten, vertreten unsere Mandanten gegenüber Strafverfolgungsbehörden und begleiten Maßnahmen zur Sicherung und Verfolgung von Ansprüchen.

Übersicht

Vorbereitung
  • Um Schäden durch Cyberangriffe möglichst gering zu halten, sollten alle potentiell involvierten Personen so gut wie möglich vorbereitet sein und genau wissen, welche Maßnahmen in einem Ernstfall zu ergreifen sind.
  • Dies garantiert ein funktionierender, individuell auf Ihr Unternehmen zugeschnittener Notfallplan. Dieser enthält eine Beschreibung der Abläufe im Krisenfall, alternativer Kommunikationswege im Fall gestörter IT-Kommunikation, Kontaktinformationen interner und externer Ansprechpartner, Aufgabenzuweisungen an verantwortliche Personen, sowie Vorlagen für ggf. erforderliche Meldungen und Dokumentation gegenüber Behörden und Kunden.
  • Der beste Notfallplan hilft allerdings kaum, wenn Ihre Mitarbeiter ihn nicht verinnerlicht haben und im Krisenfall nicht anwenden können. Daher ist es besonders wichtig für die Schadensminimierung im Ernstfall, den Notfallplan in der Praxis zu testen. Basierend auf dem Notfallplan, der Mitarbeiterstruktur, der Branche und den Besonderheiten Ihres Unternehmens erarbeiten wir mit Ihnen gerne ein maßgeschneidertes Trainingsprogramm, damit Sie auf Cyberangriffe bestens vorbereitet sind.
Versicherungsschutz
  • Die von Unternehmen üblicherweise unterhaltenen Versicherungsprodukte decken regelmäßig nicht alle bei einem Cyberangriff entstehenden Schäden und Aufwendungen ab. Zur Schließung solcher Versicherungslücken leisten Cyberversicherungen einen wichtigen Beitrag. Sie bieten weitergehenden Versicherungsschutz für bestimmte, aus einem Cyberangriff möglicherweise resultierende Haftpflichtschäden, Eigenschäden (wie z.B. Betriebsunterbrechung) und die mit einem solchen Angriff einhergehenden Kosten, z.B. für IT-Forensik und Datenwiederherstellung. Auch wenn kein spezieller Versicherungsschutz durch Cyberversicherungen besteht, können andere Versicherungen greifen, bspw. eine Betriebshaftpflichtversicherung von IT-Dienstleistern oder eine Betriebsunterbrechungsversicherung.
  • Entscheidend kommt es im Notfall auf die Erfüllung versicherungsrechtlicher Obliegenheiten und eine frühzeitige Einbindung des Versicherers an, etwa bei der Entscheidung, ob Strafverfolgungsbehörden eingebunden werden sollen oder welche technische Unterstützung in Anspruch genommen werden soll. Wir beraten Sie in der Krisensituation umfassend zu den versicherungsrechtlichen Anforderungen und zu anspruchssichernden Maßnahmen gegenüber dem Versicherer.
Meldepflichten für Betreiber kritischer Infrastruktur
  • Organisationen und Einrichtungen mit besonderer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten können, werden vom Gesetzgeber als „kritische Infrastrukturen“ (KRITIS) definiert. Betreiber kritischer Infrastrukturen treffen hinsichtlich der IT-Sicherheit besondere Pflichten nach §§ 8a, 8b Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Diese Pflichten sind dynamisch ausgestaltet und entwickeln sich mit dem Fortgang der Technik.
  • Wir beraten Sie als Betreiber einer kritischen Infrastruktur zu Ihren besonderen IT-sicherheitsrechtlichen Notifizierungspflichten. Wir prüfen insbesondere, ob Ihr Unternehmen zur Meldung der konkreten IT-Störung verpflichtet ist. Wir beraten und begleiten Sie bei der Meldung an das BSI und andere Aufsichtsbehörden wie die Bundesnetzagentur.
Supply Chain Management
  • Je nach Branche kann es notwendig sein, dass Ihr Unternehmen nicht nur für die eigene IT-Sicherheit Sorge trägt, sondern dass es auch in seiner gesamten Lieferkette Schutzmaßnahmen treffen und einen gewissen Sicherheitsstandard einhalten muss. Oftmals bestehen hier vertragliche Regelungen.
  • Wir unterstützen Sie bei der Sicherung Ihrer Rechte gegenüber Lieferanten und Abnehmern etwa bei der Umsetzung von Meldepflichten und vertraglich geschuldeten Mitigationsmaßnahmen sowie der Abwehr von Schadensersatzansprüchen wegen gestörter Lieferketten.
Krisenreaktion, Strafverfolgung und Asset Recovery
  • Im Falle eines Cyberangriffs muss es schnell gehen. Hier geht es vor allem darum, möglichst rasch Beweise zu sichern, verlorene Daten zurückzuerhalten und mögliche Regressansprüche gegen Schädiger oder Dritte vorzubereiten. Die allermeisten Angriffe stellen nach deutschem Recht Straftaten dar. In diesen Fällen kann daher die Unterstützung durch Strafverfolgungsbehörden in Anspruch genommen werden. Die meisten Bundesländer, darunter Nordrhein-Westfalen, Bayern, Baden-Württemberg oder Hessen, unterhalten Schwerpunktstaatsanwaltschaften zur Verfolgung von Cyber-Kriminalität. Diese besitzen große Erfahrung bei Cyberangriffen und können im Fall von Ermittlungsverfahren schnell und mit dem notwendigen Verständnis für die Ausnahmesituation eingreifen.
  • Zudem bietet das deutsche Strafrecht inzwischen effektive Möglichkeiten zur umfassenden Vermögenssicherung. Auch können mit Hilfe der Ermittlungsbehörden möglicherweise Zahlungsströme aufgeklärt werden. Wir stehen im Austausch mit den Ermittlungsbehörden und können im Fall eines Angriffs schnell beurteilen, ob deren Inanspruchnahme sinnvoll ist.
  • Für den Fall, dass die Ermittlungsbehörden die Herausgabe von sensiblen Daten, etwa von Logfiles verlangen, achten wir auf ein rechtsförmiges Verfahren unter Einhaltung der wesentlichen strafprozessualen Ermächtigungsgrundlagen und insbesondere darauf, dass Unternehmen nicht durch vorschnellen Gehorsam gegenüber Strafverfolgungsbehörden ihrerseits Pflichten verletzten.
Krisenkommunikation und ad-hoc-Publizität
  • Ein erfolgreiches Krisenmanagement setzt außerdem eine durchdachte Krisenkommunikation voraus. Geschäftspartner, Kunden, Investoren und Behörden müssen rechtssicher und in angemessenem Maße informiert werden. Hier kann ein erheblicher Schaden eintreten, vor allem in Form eines Reputationsverlusts und gestörten Vertrauens von Anlegern erst durch unrichtige oder undurchdachte Kommunikation. Dies gilt insbesondere für börsennotierte Unternehmen, die der ad-hoc-Publizität unterliegen.
  • Unser Team berät Sie zur rechtlichen Verpflichtung, eine ad-hoc-Meldung abzusetzen und soweit erforderlich, zu deren Inhalt. Im Rahmen der allgemeinen Krisenkommunikation beraten wir Sie zu den rechtlichen Rahmenbedingungen und stellen ggf. den Kontakt zu bewährten Kommunikationsberatern her.
Datenschutzrechtliche und regulatorische Notifizierungspflichten
  • Nach einem Cyberangriff, bei dem ein Unternehmen befürchten muss, dass personenbezogene Daten betroffen, exfiltriert oder gar veröffentlich werden, muss das Unternehmen unverzüglich – spätestens binnen 72 Stunden – den Vorfall der zuständigen Aufsichtsbehörde mitteilen. Auftragsverarbeiter treffen analoge Notifizierungspflichten gegenüber der verantwortlichen Stelle. Für Betreiber kritischer Infrastrukturen und digitaler Dienste bestehen weitergehende Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnologie nach § 8b Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).
  • Zudem existieren spezialgesetzliche Meldepflichten, so beispielsweise für Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste, für Betreiber von Energieversorgungsnetzen und Energieanlagen und für Inhaber atomrechtlicher Genehmigungen. Wir unterstützen bei der Bewertung von Notifizierungspflichten und ggf. bei deren Umsetzung.
Organpflichten
  • IT-Sicherheit ist Chefsache: Es besteht eine Organverantwortlichkeit zur angemessenen Ausgestaltung von Sicherheitsmaßnahmen. Die Maßnahmen hängen von der Sensibilität des jeweiligen Unternehmens ab. Soweit Betreiber kritischer Infrastrukturen betroffen sind, bestehen besonders detaillierte Vorgaben. Aber auch andere Unternehmen werden sich in abgestufter Form an diesen Leitlinien orientieren müssen, damit ihre Geschäftsleitung sich nicht den Vorwurf sorgfaltspflichtwidriger Organisation machen lassen muss.
  • Wenn es zu einem Vorfall kommt, steht eine Verletzung von Organpflichten im Raum. Oft kann hier auch eine D&O-Versicherung greifen; Ausschlüsse in D&O-Bedingungen für Cyberangriffe sind noch nicht flächendeckend üblich.
  • Wir prüfen in Abstimmung mit dem Unternehmen und insbesondere von Aufsichtsgremien ein mögliches Organverschulden und unterstützen bei der Anspruchssicherung und -durchsetzung.
Lösegeld und Sanktionen
  • Dass vereinzelt bei Ransomware-Angriffen tatsächlich Lösegelder gezahlt werden, verschweigen die betroffenen Unternehmen aus gutem Grund. Es wäre gesamtgesellschaftlich wünschenswert, dass keine Lösegelder gezahlt werden, um den Markt für Ransomware-Attacken trockenzulegen. Allerdings kann im Einzelfall der wirtschaftliche Druck, einer Lösegeldforderung nachzugeben, immens sein. Dies ist eine ureigene Entscheidung der betroffenen Unternehmen.
  • Wir als Berater können eine solche Entscheidung nur rechtssicher begleiten. So kann bei einer Bußgeldzahlung ein Strafbarkeitsrisiko in Form der Unterstützung einer kriminellen Vereinigung bestehen, ebenso wie die Gefahr eines Verstoßes gegen EU- oder US-Sanktionen, insbesondere bei länderbezogenen Embargos. Wir prüfen mit Ihnen ergebnisoffen die spezifischen für Ihr Unternehmen und die konkrete Situation geltenden rechtlichen Rahmenbedingungen und die Möglichkeit einer Ermessensentscheidung nach der Business Judgement Rule, die notwendige Einbindung von Aufsichtsgremien und Gesellschaftern sowie beteiligter Versicherer, um Ihnen eine rechtssichere Entscheidung zu ermöglichen.