97,99 €
Mehr erfahren.
- Herausgeber: Fachmedien Recht und Wirtschaft
- Kategorie: Fachliteratur
- Serie: Kommunikation & Recht
- Sprache: Deutsch
Wirtschaftsunternehmen sind einer immer größer werdenden Gefahr von Angriffen ausgesetzt, die weitreichende Konsequenzen für Daten, Systeme und Netzwerke und damit für die Integrität und Arbeitsfähigkeit einer Organisation haben können. Dabei wächst auch in Deutschland die Erkenntnis, dass es sich bei den rechtlichen Aspekten von "Cyber-Security" nicht nur um ein Thema der IT-Sicherheit und des Datenschutzes handelt, sondern auch zahlreiche andere Rechtsgebiete betroffen sind. Hierzu gehören etwa das Gesellschaftsrecht (Best Practices der Unternehmensorganisation und Sorgfaltspflichten der Geschäftsleitung), das Versicherungsrecht und die zunehmende Etablierung von Cyber-Versicherungen, das Arbeitsrecht, aber auch die Transaktions- und Aufsichtspraxis. Das Rechtshandbuch Cyber-Security gibt erstmals für das deutsche Recht einen die Rechtsbereiche übergreifenden Überblick über alle maßgeblichen Fragestellungen. Um den praktischen Nutzen zu erhöhen, wird dabei in der Regel zwischen den rechtlichen Anforderungen an eine Vorbeugung ("Preparedness") und den rechtlichen Leitplanken im Ernstfall ("Response") unterschieden. Abgerundet wird das Handbuch durch Länderberichte zu den USA, UK und China sowie rechtsgebietsübergreifende Checklisten.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 740
Veröffentlichungsjahr: 2019
Ähnliche
Rechtshandbuch Cyber-Security
IT-Sicherheit, Datenschutz, Gesellschaftsrecht, Compliance, M&A, Versicherungen, Aufsichtsrecht, Arbeitsrecht, Litigation
Herausgegeben von
Dr. Detlev Gabel
Rechtsanwalt, Frankfurt am Main
Dr. Tobias A. Heinrich, LL.M. (London)
Rechtsanwalt, Frankfurt am Main
und
Dr. Alexander Kiefner
Rechtsanwalt, Frankfurt am Main
Bearbeitet von
Steven Chabinsky; Melody Chan; Denise Cheung; Dr. Detlev Gabel; Tobias Gans; Dr. Tobias A. Heinrich, LL.M. (London); Dr. Justus Herrlinger; Dr. Alexander Kiefner; Markus Langen, LL.M. (Sydney); Aurora Leung; David Markoff; Robert Mechler; Dr. Lars Ole Petersen; F. Paul Pittman; Prof. Dr. Igor Podebrad; Hendrik Röger; Dr. Dominik Stier; Douglas Tan; John Timmons; Dr. Philip Trillmich; Dr. Andreas Wieland; Mark Williams; Prof. Dr. Norbert Wimmer; Christian Wirth; Karl-Jörg Xylander
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Bibliografische Information Der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.de abrufbar.
ISBN 978-3-8005-0012-3
© 2019 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Mainwww.ruw.deDas Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Satzkonvertierung: Lichtsatz Michael Glaese GmbH, 69502 Hemsbach
Druck und Verarbeitung: WIRmachenDRUCK GmbH, 71522 Backnang
Printed in Germany
Vorwort
„Es gibt nur zwei Arten von Unternehmen: Solche, die gehackt wurden, und solche, die noch gehackt werden“, sagte der ehemalige FBI-Chef Robert Mueller bereits 2012 voraus. Und tatsächlich steigt die Zahl von Cyber-Angriffen auf Unternehmen seit Jahren kontinuierlich. In einer Ende 2018 vom Digitalverband Bitkom veröffentlichten Studie zum Wirtschaftsschutz in der deutschen Industrie gaben acht von zehn Unternehmen an, dass die Zahl der Cyber-Attacken in den vergangenen zwei Jahren zugenommen habe, für mehr als ein Drittel der befragten Unternehmen sogar stark. Ein Ende dieser Entwicklung ist nicht absehbar. Im Gegenteil: Sie wird durch die zunehmende Digitalisierung und Vernetzung der Wirtschaft weiter verstärkt. Schon jetzt wiegen die Folgen für Unternehmen schwer. So schätzt Bitkom den durch digitale Wirtschaftsspionage, Sabotage und Datendiebstahl in den letzten zwei Jahren in Deutschland entstandenen Gesamtschaden auf rund 43,4 Mrd. EUR. Dies verdeutlicht, dass Cyber-Security schon längst kein technisches Randthema mehr ist, sondern die Unternehmen unmittelbar in ihrem Bestand betrifft.
Das vorliegende Buch bietet einen Überblick über die zahlreichen rechtlichen Aspekte von Cyber-Security. Diese reichen von der Verantwortlichkeit der Geschäftsleitung für Organisation und Fortbestand des Unternehmens über „klassische“ Compliance-Materien wie Datenschutz und IT-Sicherheit bis hin zu Fragen der Transaktions- und Aufsichtspraxis. Die Ausführungen befinden sich grundsätzlich auf dem Stand Dezember 2018. Neuere Entwicklungen wurden vereinzelt bis zur Drucklegung nachgetragen.
Unser Dank gilt dem Autorenteam, das es ungeachtet der hohen Beanspruchung im beruflichen Alltag auf sich genommen hat, an diesem Buch mitzuwirken. Herzlich danken möchten wir auch Herrn Rechtsanwalt Philipp Lohs sowie den Referendarinnen und Referendaren und wissenschaftlichen Mitarbeiterinnen und Mitarbeitern Frau Alissa Arms, Herrn Julius Giesen, Frau Anne Heinzen, Herrn Golo Meven, Frau Paula Ruecker-Embden, Frau Theresa Schleimer, Herrn Jonas Schuck, Herrn Jonas Schütt, Frau Coco Mercedes Tremurici, Herrn Pascal Wrusch, Frau Mathilda Xu und Herrn Arne Zabel, die wertvolle Beiträge zur Entstehung des Buches geleistet haben.
Zu guter Letzt sind wir dem Deutschen Fachverlag, Fachmedien Recht und Wirtschaft, insbesondere Herrn Torsten Kutschke, Frau Tanja Brücker und Frau Nadine Grüttner, für die engagierte und umsichtige verlegerische Betreuung zu Dank verpflichtet.
Für Hinweise, Kritik und Anregungen sind wir stets offen.
Mai 2019
Die Herausgeber
Inhaltsverzeichnis
Abkürzungsverzeichnis und Verzeichnis der abgekürzt zitierten Literatur
a.A.
anderer Ansicht
ABl.
Amtsblatt
ABl. EU
Amtsblatt der Europäischen Union
Abs.
Absatz
AEUV
Vertrag über die Arbeitsweise der Europäischen Union (EU-Arbeitsweisevertrag)
a.F.
alte Fassung
AfP
Archiv für Presserecht (Zeitschrift)
AG
Aktiengesellschaft
AG
Die Aktiengesellschaft (Zeitschrift)
AHB
Allgemeine Versicherungsbedingungen für die Haftpflichtversicherung
AktG
Aktiengesetz
Anm.
Anmerkung
APT
Advanced Persistent Threat
ArbSchG
Gesetz über die Durchführung von Maßnahmen des Arbeitsschutzes zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Beschäftigten bei der Arbeit (Arbeitsschutzgesetz)
ArbStättV
Verordnung über Arbeitsstätten
Ascheid/Preis/Schmidt
Ascheid/Preis/Schmidt (Hrsg.), Kündigungsrecht, Großkommentar, 5. Aufl. 2017
AtG
Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren (Atomgesetz)
Auernhammer, DSGVO BDSG
Eßer/Kramer/Lewinksi (Hrsg.), Auernhammer DSGVO BDSG, 6. Aufl. 2018
AVB
Allgemeine Versicherungsbedingungen
AVB-AVG
Allgemeine Versicherungsbedingungen für die Vermö-
gensschaden-Haftpflichtversicherung von Aufsichtsräten, Vorständen und Geschäftsführern
AVB-BHV
Allgemeine Versicherungsbedingungen für die Betriebs- und Berufshaftpflichtversicherung
AVB Cyber
Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung
Az.
Aktenzeichen
BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
BAG
Bundesarbeitsgericht
Baumbach/Hopt, HGB
Baumbach/Hopt (Hrsg.), Handelsgesetzbuch, 38. Aufl. 2018
Baumbach/Hueck, GmbHG
Baumbach/Hueck (Hrsg.), GmbHG, 21. Aufl. 2017
BAV
Bundesaufsichtsamt für das Versicherungswesen
BB
Betriebs-Berater (Zeitschrift)
BBG
Bundesbeamtengesetz
BBK
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
BDSG a.F.
Bundesdatenschutzgesetz in der Fassung bis zum 25.5.2018
BDSG (neu)
Bundesdatenschutzgesetz in der Fassung ab dem 25.5.2018
BeckOK
Beck’scher Onlinekommentar
BeckOK Arbeitsrecht
Rolfs/Giesen/Kreikebohm/Udsching (Hrsg.), Beck’scher Onlinekommentar Arbeitsrecht, 48. Edition 2018
BeckOK BGB
Bamberger/Roth/Hau/Poseck (Hrsg.), Beck’scher Onlinekommentar zum Bürgerlichen Gesetzbuch, 43. Edition, 2017
BeckOK Datenschutzrecht
Brink/Wolff (Hrsg.), Beck’scher Onlinekommentar Datenschutzrecht, 25. Edition, 2018
BeckOK Medienrecht
Gersdorf/Paal (Hrsg.), Beck’scher Onlinekommentar zum Informations- und Medienrecht, 1. Edition Stand: 1.8.2013
BeckOK StGB
Heintschel-Heinegg (Hrsg.), Beck’scher Onlinekommentar zum StGB, 37. Edition, Stand: 1.2.2018
BeckOK Urheberrecht
Ahlberg/Götting (Hrsg.) Beck’scher Onlinekommentar zum Urheberrecht, 18. Edition Stand: 1.11.2017
Beck/Samm/Kokemoor
Beck/Samm/Kokemoor (Hrsg.), Kreditwesengesetz mit CRR, Loseblattwerk (Stand: 5/2018)
Beck’scher Vergaberechtskommentar
Burgi/Dreher (Hrsg.), Beck’scher Vergaberechtskommentar, 3. Aufl. 2017
Beck’sches Formularbuch M&A
Seibt (Hrsg.), Beck’sches Formularbuch Mergers & Acquisitions, 3. Aufl. 2018
Beck’sches Mandatshandbuch DD
Beisel/Andreas (Hrsg.), Beck’sches Mandatshandbuch Due Diligence, 3. Aufl. 2017
Beck’sches M&A-Handbuch
Meyer-Sparenberg/Jäckle (Hrsg.), Beck’sches M&A-Handbuch, 2017
Begr.
Begründung
BetrVG
Betriebsverfassungsgesetz
BfDI
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
BfV
Bundesamt für Verfassungsschutz
BGB
Bürgerliches Gesetzbuch
BGBl.
Bundesgesetzblatt
BGH
Bundesgerichtshof
BGHZ
Entscheidungen des Bundesgerichtshofs in Zivilsachen (Entscheidungssammlung)
Binder/Glos/Riepe, Bankaufsichtsrecht
Binder/Glos/Riepe, Handbuch Bankenaufsichtsrecht, Köln 2018
Bitkom
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
BKA
Bundeskriminalamt
BKR
Zeitschrift für Bank- und Kapitalmarktrecht
BMI
Bundesministerium des Innern
BNetzA
Bundesnetzagentur
BOARD
Zeitschrift für Aufsichtsräte in Deutschland
Boos/Fischer/Schulte-Mattler, KWG
Boos/Fischer/Schulte-Mattler (Hrsg.), KWG, CRR-VO, 5. Aufl. 2016
BRAO
Bundesrechtsanwaltsordnung
BR-Drs.
Drucksache des Deutschen Bundesrates
Bruck/Möller, VVG
Bruck/Möller (Hrsg.), VVG, Band 4, 9. Aufl. 2014
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSIG
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
BSI-KritisV
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
BT-Drs.
Drucksache des Deutschen Bundestages
Bürkle/Hauschka, Der Compliance Officer
Bürkle/Hauschka (Hrsg.), Der Compliance Officer, 2015
BVerfG
Bundesverfassungsgericht
BVerfSchG
Gesetz über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz (Bundesverfassungsschutzgesetz)
Calliess/Ruffert
Calliess/Ruffert (Hrsg.), EUV/AEUV Kommentar, 5. Aufl. 2016
CB
Compliance Berater (Zeitschrift)
CDO
Chief Data Officer
CEO
Chief Executive Officer
CERT
Computer Emergency Response Team
CFO
Chief Financial Officer
CIO
Chief Information Officer
CISO
Chief Information Security Officer
COO
Chief Operating Officer
CR
Computer und Recht (Zeitschrift)
CSIRT
Computer Security Incident Response Team
Däubler/Kittner/Klebe/Wedde, BetrVG
Däubler/Kittner/Klebe/Wedde (Hrsg.), Betriebsverfassungsgesetz, 16. Aufl. 2018
DB
Der Betrieb (Zeitschrift)
DDoS
Distributed Denial of Service
DoS
Denial of Service
D&O-Versicherung
Directors and Officers-Versicherung
Drs.
Drucksache
DSAnpUG-EU
Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (hier: Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680)
DSB
Datenschutzberater (Zeitschrift)
DSGVO
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
DuD
Datenschutz und Datensicherheit (Zeitschrift)
DV
Datenverarbeitung
DVBl.
Deutsches Verwaltungsblatt (Zeitschrift)
EBA
European Banking Authority
EDPB
Europäischer Datenschutzauschuss
EDV
Elektronische Datenverarbeitung
EG
Europäische Gemeinschaft
EGBGB
Einführungsgesetz zum Bürgerlichen Gesetzbuch
Ehmann/Selmayr, DS-GVO
Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung Kommentar, 2. Aufl. 2018
eIDAS
Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
EIOPA
European Insurance and Occupational Pensions Authority
EnWG
Energiewirtschaftsgesetz
ePrivacy-Richtlinie
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
ePrivacy-Verordnung (Entwurf)
Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) vom 10.1.2017
ErfK
Müller-Glöge/Preis/Schmidt (Hrsg.), Erfurter Kommentar zum Arbeitsrecht, 8. Aufl. 2008
ErwG
Erwägungsgrund
ESMA
European Securities and Markets Authority
EuGH
Europäischer Gerichtshof
EUR
Euro
EZB
Europäische Zentralbank
f.
folgende
FAQ
Frequently Asked Questions
FAZ
Frankfurter Allgemeine Zeitung
FBUB
Feuer-Betriebsunterbrechungsversicherungsbedingungen
ff.
fortfolgende
Fischer, StGB
Fischer, StGB, 65. Aufl. 2018
Fitting, BetrVG
Fitting/Engels/Schmidt/Trebinger/Linsenmaier (Hrsg.), Betriebsverfassungsgesetz mit Wahlordnung, Handkommentar, 29. Aufl. 2018
Fn.
Fußnote
Forgó/Helfrich/Schneider, Betrieblicher Datenschutz
Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 2. Aufl. 2017
FTC
Federal Trade Commission
GDV
Gesamtverband der deutschen Versicherungswirtschaft
GewO
Gewerbeordnung
GG
Grundgesetz
GmbH
Gesellschaft mit beschränkter Haftung
GmbHG
Gesetz betreffend die Gesellschaften mit beschränkter Haftung
GMBl.
Gemeinsames Ministerialblatt
Gola, DS-GVO
Gola (Hrsg.), Kommentar zur Datenschutz-Grundverordnung VO (EU) 2016/679, 2. Aufl. 2018
Gola/Schomerus, BDSG
Gola/Schomerus (Hrsg.) Kommentar zum Bundesdatenschutzgesetz, 12. Aufl. 2015
Grabitz/Hilf/Nettesheim, EUV/AEUV
Grabitz/Hilf/Nettesheim (Hrsg.), Das Recht der Europäischen Union: EUV/AEUV, 64. Aufl. 2018
grds.
grundsätzlich
Grigoleit, AktG
Grigoleit, Aktiengesetz, 1. Aufl. 2013
GVG
Gerichtsverfassungsgesetz
GWR
Gesellschafts- und Wirtschaftsrecht (Zeitschrift)
Hauschka/Moosmayer/Lösler, Corporate Compliance
Hauschka/Moosmayer/Lösler (Hrsg.), Corporate Compliance, 3. Aufl. 2016
Hdb.
Handbuch
Hdb. IT und DSR
Auer-Reinsdorff/Conrad (Hrsg.), Handbuch für IT- und Datenschutzrecht, 2. Aufl. 2016
Henssler/Strohn, Gesellschaftsrecht
Henssler/Strohn (Hrsg.), Gesellschaftsrecht, 3. Aufl. 2016
Henssler/Willemsen/Kalb
Henssler/Willemsen/Kalb (Hrsg.), Arbeitsrecht Kommentar, 8. Aufl. 2018
HGB
Handelsgesetzbuch
Hölters, AktG
Hölters (Hrsg.), Aktiengesetz, 3. Aufl. 2017
Hölters, Unternehmenskauf
Hölters (Hrsg.), Handbuch Unternehmenskauf, 8. Aufl. 2015
Hs.
Halbsatz
Hüffer/Koch, AktG
Hüffer/Koch, Aktiengesetz, 13. Aufl. 2018
ID
Identity
IEC
Internationale Elektrotechnische Kommission
IKT
Informations- und Kommunikationstechnologie
Immenga/Mestmäcker, Bd. 1
Immenga/Mestmäcker (Hrsg.), Wettbewerbsrecht, Band 1 EU, 5. Aufl. 2012
Immenga/Mestmäcker, Bd. 2
Immenga/Mestmäcker (Hrsg.), Wettbewerbsrecht, Band 2 GWB, 5. Aufl. 2014
Internationale Beziehungen im Cyberspace
Hansel, Internationale Beziehungen im Cyberspace: Macht, Institutionen und Wahrnehmung, 2013
IoT
Internet of Things
IP
Intellectual Property
i.S.d.
im Sinne des
ISIS 12
IT-Sicherheitsmanagement-System in 12 Schritten
ISMS
IT-Sicherheitsmanagement-System
ISO
Internationale Organisation für Normung
i.S.v.
im Sinne von
IT
Informationstechnologie
IT-SiG
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
ITRB
Der IT-Rechts-Berater (Zeitschrift)
IuK-Technik
Informations- und Kommunikationstechnik
i.V.m.
in Verbindung mit
JZ
Juristenzeitung (Zeitschrift)
Kapellmann/Messerschmidt, VOB
Kapellmann/Messerschmidt (Hrsg.), Kommentar VOB Teile A und B, 6. Aufl. 2018
KK-StPO
Hannich (Hrsg.), Karlsruher Kommentar zur Strafprozessordnung, 7. Aufl. 2013
Klöhn, MAR
Klöhn (Hrsg.), Marktmissbrauchsverordnung, 2018
KMU
Kleine und mittlere Unternehmen
Kollmer/Klindt/Schlucht, Arbeitsschutzgesetz
Kollmer/Klindt/Schlucht (Hrsg.), Kommentar zum Arbeitsschutzgesetz, 3. Aufl. 2016
K&R
Kommunikation und Recht (Zeitschrift)
Krieger/Schneider, Hdb. Managerhaftung
Krieger/Schneider (Hrsg.), Handbuch Managerhaftung, 3. Aufl. 2017
KRITIS
Kritische Infrastruktur
Kühling/Buchner, DS-GVO BDSG
Kühling/Buchner (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018
Küttner, Personalhandbuch
Küttner (Begr.), Personalhandbuch 2017, 24. Aufl. 2017
KWG
Gesetz über das Kreditwesen (Kreditwesengesetz)
Lackner/Kühl, StGB
Lackner/Kühl (Hrsg.), StGB, 28. Aufl. 2014
LAG
Landesarbeitsgericht
Langen/Bunte, Bd. 1
Bunte (Hrsg.), Kartellrecht, Band 1 Deutsches Kartellrecht, Kommentar, 13. Aufl. 2018
Langheid/Rixecker, VVG
Versicherungsvertragsgesetz, 5. Aufl. 2016
LG
Landgericht
lit.
litera
Loewenheim/Meessen/Riesenkampff/Kersting/Meyer-Lindemann, Kartellrecht
Loewenheim/Meessen/Riesenkampff/Kersting/Meyer-Lindemann (Hrsg.), Kartellrecht Kommentar, 3. Aufl. 2016
Ls.
Leitsatz
Luz/Neus/Schaber/Schneider/Wagner/Weber, KWG
Luz/Neus/Schaber/Schneider/Wagner/Weber, KWG und CRR, 3. Aufl. 2015
M&A
Mergers and Acquisitions
MAnwHdB IT
Leupold/Glossner (Hrsg.), Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013
MAR
Marktmissbrauchsverordnung (Market Abuse Regulation)
MaRisk
Mindestanforderungen an das Risikomanagement
MarkenG
Gesetz über den Schutz von Marken und sonstigen Kennzeichen (Markengesetz)
MHdB GesR Bd. V
Beuthien/Gummert/Schöpflin (Hrsg.), Münchener Handbuch des Gesellschaftsrechts, Band V, 4. Aufl. 2016
Mio.
Millionen
MIRT
Mobile Incident Response Team
MMR
Multimedia und Recht (Zeitschrift)
Mrd.
Milliarde
MüKo AktG
Goette/Habersack/Kalss (Hrsg.), Münchener Kommentar zum Aktiengesetz, 5. Aufl. 2019
MüKo BGB
Säcker/Rixecker/Oetker/Limperg (Hrsg.), Münchener Kommentar zum BGB, 7. Aufl. 2015/2016/2017
MüKo Lauterkeitsrecht
Heermann/Schlingloff (Hrsg.) Münchener Kommentar zum Lauterkeitsrecht, 2. Aufl. 2014
MüKo StGB
Joecks/Miebach (Hrsg.) Münchener Kommentar zum StGB, 3. Aufl. 2017
MüKo StGB Bd. 7
Münchener Kommentar zum StGB, Band 7. Nebenstrafrecht II, 2. Aufl. 2015
MüKo VergabeR I
Säcker (Hrsg.), Münchener Kommentar Europäisches und Deutsches Wettbewerbsrecht, Band 3, Vergaberecht I, 2. Aufl. 2018
MüKo VVG, Bd. 1
Langheid/Wandt (Hrsg.), Münchener Kommentar zum VVG, Band 1, 2. Aufl. 2016
MüKo VVG, Bd. 3
Langenheid/Wandt (Hrsg.), Münchener Kommentar zum VVG, Band 3, 2. Aufl. 2017
Müller-Wrede, VgV/UVgO
Müller-Wrede (Hrsg.), VgV/UVgO Kommentar, 2017
m.w.N.
mit weiteren Nachweisen
m.z.w.N.
mit zahlreichen weiteren Nachweisen
n.F.
neue Fassung
NIS-RL
Richtlinie EU 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union
NJOZ
Neue Juristische Online Zeitschrift
NJW
Neue Juristische Wochenschrift (Zeitschrift)
NJW-RR
NJW-Rechtsprechungsreport (Zeitschrift)
NK-StGB
Kindhäuser/Neumann/Paeffgen (Hrsg.), Nomos Kommentar zum Strafgesetzbuch, 5. Aufl. 2017
Nr.
Nummer
NRW
Nordrhein-Westfalen
NStZ
Neue Zeitschrift im Strafrecht
NVwZ
Neue Zeitschrift für Verwaltungsrecht
NZA
Neue Zeitschrift für Arbeitsrecht
NZA-RR
Neue Zeitschrift für Arbeits- und Sozialrecht – Rechtsprechungs-Report
NZG
Neue Zeitschrift für Gesellschaftsrecht
OECD
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
OHG
Offene Handelsgesellschaft
OLG
Oberlandesgericht
OZG
Online-Zugangsgesetz
Paal/Pauly, DS-GVO BDSG
Paal/Pauly (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018
Palandt
Palandt (Hrsg.), Bürgerliches Gesetzbuch, 77. Aufl. 2018
PC
Personal Computer
PIN
Persönliche Identifikationsnummer
PinG
Privacy in Germany (Zeitschrift)
Plath, BDSG/DSGVO
Plath (Hrsg.), Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen von TMG und TKG, 3. Aufl. 2018
PR
Public Relations
Prölss/Martin, VVG
Prölss/Martin (Hrsg.), Versicherungsvertragsgesetz: VVG, 30. Aufl. 2018
RDV
Recht der Datenverarbeitung (Zeitschrift)
RegE
Regierungsentwurf
RG
Reichsgericht
RGZ
Entscheidungen des Reichsgerichts in Zivilsachen (Entscheidungssammlung)
Richardi, BetrVG
Richardi (Hrsg.), Betriebsverfassungsgesetz, 16. Aufl. 2018
Rn.
Randnummer
r+s
recht und schaden (Zeitschrift)
Rs.
Rechtssache (EuGH)
S.
Seite, Satz (bei Rechtsnormen)
Schantz/Wolff, Datenschutzrecht
Schantz/Wolff, Das neue Datenschutzrecht, Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, 2017
Scheurle, TKG
Scheurle/Mayen (Hrsg.), Telekommunikationsgesetz Kommentar, 3. Aufl. 2018
Schlüter/Stolte, Stiftungsrecht
Schlüter/Stolte, Stiftungsrecht, 3. Aufl. 2016
Schneider
Handbuch EDV-Recht, 5. Aufl., Köln 2017
Schwennicke/Auerbach
Schwennicke/Auerbach (Hrsg.), Kreditwesengesetz (KWG) mit Zahlungsdiensteaufsichtsgesetz (ZAG) und Finanzkonglomerate-Aufsichtsgesetz (FKAG), 3. Aufl. 2016
SEC
Security and Exchange Commission
Seitz
Seitz/Finkel/Klimke, Kommentar zu den AVB-AVG, 2016
SGB V
Sozialgesetzbuch Fünftes Buch
Simitis, BDSG
Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. 2014
Spindler/Stilz, AktG
Spindler/Stilz (Hrsg.), Kommentar zum Aktiengesetz, 3. Aufl. 2015
SprAuG
Gesetz über Sprecherausschüse der leitenden Angestellten (Sprecherausschussgesetz)
Staudinger, BGB
J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch: Staudinger BGB – Buch 1: Allgemeiner Teil, 2017
StGB
Strafgesetzbuch
StPO
Strafprozessordnung
st. Rspr.
ständige Rechtsprechung
SWIFT
Society for Worldwide Interbank Financial Telecommunications
Sydow, DSGVO
Sydow (Hrsg.), Handkommentar zur Europäischen Datenschutzgrundverordnung, 2. Aufl. 2018
Taeger/Gabel, DSGVO BDSG
Taeger/Gabel (Hrsg.), Kommentar DSGVO und BDSG, 3. Aufl. 2019
TKG
Telekommunikationsgesetz
TMG
Telemediengesetz
UK
United Kingdom
UKlaG
Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz)
UP Bund
Umsetzungsplan Bund
UP KRITIS
Umsetzungsplan Kritische Infrastrukturen
UrhG
Gesetz über Urheberrecht und verwandte Schutzrechte (Urheberrechtsgesetz)
URL
Uniform Resource Locator
USA
United States of America
USD
US-Dollar
UWG
Gesetz gegen den unlauteren Wettbewerb
VAG
Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz)
Var.
Variante
VersR
Zeitschrift für Versicherungsrecht, Haftungs- und Schadensrecht
vgl.
vergleiche
VO (EU)
Verordnung der Europäischen Union
VoIP
Voice over IP
von der Groeben
von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht, 7. Aufl. 2015
Voppel/Osenbrück/Bubert, VgV
Voppel/Osenbrück/Bubert (Hrsg.), VgV Kommentar, 4. Aufl. 2018
VVG
Gesetz über den Versicherungsvertrag (Versicherungsvertragsgesetz)
VW
Versicherungswirtschaft (Zeitschrift)
W&I-Versicherung
Warranty and Indemnity-Versicherung
Wiedemann, Kartellrecht
Wiedemann (Hrsg.), Handbuch des Kartellrechts, 3. Aufl. 2016
Wistra
Zeitschrift für Wirtschafts- und Steuerstrafrecht
WLAN
Wireless Local Area Network
WM
Wertpapier-Mitteilungen – Zeitschrift für Wirtschafts- und Bankrecht
WPA
Wireless Protected Access
WPA2
Wireless Protected Access mit Advanced Encryption Standard
WpHG
Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz)
Wybitul, Handbuch DSGVO
Wybitul (Hrsg.), Handbuch zur EU-Datenschutz-Grundverordnung, 2017
z.B.
Zum Beispiel
ZD
Zeitschrift für Datenschutz
ZGR
Zeitschrift für Unternehmens- und Gesellschaftsrecht
ZHR
Zeitschrift für das gesamte Handels- und Wirtschaftsrecht
Ziekow/Völlink, Vergaberecht
Ziekow/Völlink (Hrsg.), Kommentar Vergaberecht, 3. Aufl. 2018
Ziff.
Ziffer
Zöller, ZPO
Zöller (Hrsg.), Zivilprozessordnung, 32. Aufl. 2018
Zöllner/Noack, AktG
Zöllner/Noack (Hrsg.), Kölner Kommentar zum AktG, Band 2/1, 3. Aufl. 2009 ff.
ZPO
Zivilprozessordnung
ZRP
Zeitschrift für Rechtspolitik
ZUM
Zeitschrift für Urheber- und Medienrecht
ZUM-RD
Zeitschrift für Urheber- und Medienrecht – Rechtsprechungsdienst
Kapitel 1Einleitung
Prof. Dr. Igor Podebrad/Dr. Detlev Gabel
Übersicht
I. Top-Thema „Cyber-Security“
1
II. Gängige Formen von Cyber-Attacken
8
1. Erpressung durch Computersabotage – Ransomware
9
2. Computer-Sabotage um der Sabotage willen – Malware
10
3. Überlastung von Infrastrukturen – DDoS-Attacken
11
4. Gezielter dauerhafter Zugriff auf IT-Systeme – Advanced Persistent Threat (APT-Angriff)
12
5. Die Chef-Masche – CEO-Fraud
13
III. Kosten
14
IV. Vorbeugende Maßnahmen („Preparedness“)
18
1. Der strategische Rahmen
19
2. Praktische Maßnahmen
20
a) Bestimmung der „Cyber-Sicherheits-Exposition“ durch das Management
23
b) Ein kritischer Blick seitens des Risikomanagements
24
c) Umsetzung geeigneter Maßnahmen durch den CIO und den CISO
25
V. Verhalten im Ernstfall („Response“)
27
1. Erfassung und Bewertung des Angriffs („Identification“)
28
2. Schadensbegrenzung („Minimization“)
29
3. Dokumentation aller relevanten Informationen („Documentation“)
30
4. Benachrichtigung Dritter („Notification“)
31
5. Rückkehr zum Normalbetrieb („Remediation“)
32
VI. Querschnittsthema Cyber-Security
33
I. Top-Thema „Cyber-Security“
1
Kein Geschäft ohne Risiko – das war schon immer so. Welche Risiken für Unternehmen besonders relevant sind, ändert sich jedoch in regelmäßigen Abständen. Für Top-Manager auf der ganzen Welt steht mittlerweile ein Risiko an der Spitze, das noch vor ein paar Jahren kaum jemand beachtet hatte: Cyber-Attacken. Dies meldet das World Economic Forum als ein Kernergebnis seines „Regional Risks for Doing Business Report 2018“ mit einem Hinweis darauf, dass Cyber-Attacken inzwischen als Risiko Nummer eins in Märkten gelten, die 50 % zum globalen Bruttoinlandsprodukt beitragen.1
2
Alarmiert ist jedoch nicht nur das Management, sondern laut „Allianz Risk Barometer 2019“ auch die Riege der Risikoexperten. Aus Sicht der weltweit befragten Spezialisten stehen die Geschäftsrisiken „Betriebsunterbrechungen“ und „Cyber-Vorfälle“ an der Spitze drohender Gefahren.2 Als Auslöser für Betriebsunterbrechungen und Hauptursache für entsprechende wirtschaftliche Schäden fürchten sie passenderweise in erster Linie Cyber-Vorfälle.3
3
Wie sieht die Lage in Deutschland aus? Diese Frage beantwortet zum Beispiel der Digitalverband Bitkom mit seiner regelmäßig aufgelegten Studie zum Thema „Wirtschaftsschutz“. Im Studienreport 2018 ist zu lesen: „68 Prozent der Industrieunternehmen gaben an, in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage gewesen zu sein.“ Der Studie zufolge waren vermutlich weitere 19 % der Teilnehmer von entsprechenden Vorfällen betroffen – denn ob Daten abgeflossen sind, lässt sich nicht immer zweifelsfrei feststellen, und nicht alle Angriffe werden auch entdeckt.4
4
Bitkom sieht die deutsche Industrie insgesamt „unter digitalem Dauerbeschuss“ durch Kleinkriminelle genauso wie durch organisierte Kriminalität und Hacker im Staatsauftrag.5 Und von „Dauerbeschuss“ kann man durchaus sprechen: 2018 waren in Deutschland über 800 Mio. Schadprogramme im Umlauf, wobei pro Tag ca. 390.000 Programmvarianten entdeckt werden konnten, wie der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnend belegt.6
5
Auch das Bundeskriminalamt (BKA) zeigt sich besorgt: Es hält die Cyber-Kriminalität gleich nach dem islamistischen Terrorismus für die derzeit größte Herausforderung für seine Arbeit.7 Das BKA weist darauf hin: „Die Qualität der Angriffe nimmt weiter zu.“8 Die Gefahr ist immens, Opfer von Cyber-Angriffen zu werden. Im Fadenkreuz stehen mittlerweile Unternehmen jeder Größe, auch und nicht zuletzt der deutsche Mittelstand mit seinen zahlreichen Weltmarktführern. Betroffen waren in letzter Zeit laut Bitkom vor allem die Chemie- und Pharmabranche, der Automobilbau, der Maschinen- und Anlagenbau und die Hersteller von Kommunikations- und Elektrotechnik.9 Doch in Sicherheit wiegen darf sich keine Branche – und das weltweit.
6
Eine Zahl lässt dabei aufhorchen: McKinsey hat ermittelt, dass nur 16 % der Manager ihr Unternehmen auf Cyber-Risiken gut vorbereitet sehen.10 Diese kritische Einschätzung ist faktisch begründet. Der Cyber-Raum ist nicht ohne Risiken, und die Unternehmen richten sich hier zunehmend ein. Sie digitalisieren und vernetzen ihre Wertschöpfungsprozesse, arbeiten mit immer größeren Datenmengen aus unterschiedlichen Quellen und binden immer mehr Kunden, Lieferanten und Dienstleister in ihre IT-Landschaft ein. Produktionssysteme werden dadurch genauso gefährdet wie geistiges Eigentum, Kundendaten und andere Assets.
7
Eine Entwicklung hat besondere Sprengkraft: die zunehmende Verbreitung des „Internet of Things“ (IoT), das die physische und die virtuelle Welt hochgradig miteinander verbindet. McKinsey hat berechnet, dass bis 2020 46 % aller Internetverbindungen zwischen Maschinen bestehen werden, Tendenz steigend.11 So öffnen sich viele Einfallstore für Cyber-Kriminelle, und diese sind eng und vielfältig miteinander verbunden.
1
World Economic Forum, Pressemitteilung, 12.11.2018, https://www.weforum.org/press/2018/11/from-unemployment-to-growing-cyber-risk-business-executives-in-differentregions-have-different-worries/ (zuletzt abgerufen: 20.2.2019).
2
Allianz, Allianz Risk Barometer 2019, S. 8, https://www.agcs.allianz.com/assets/PDFs/Reports/Allianz_Risk_Barometer_2019.pdf (zuletzt abgerufen: 20.2.2019).
3
Allianz, Allianz Risk Barometer 2019, S. 10.
4
Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie, 2018, S. 14, https://www.bitkom.org/sites/default/files/file/import/181008-Bitkom-Studie-Wirtschaftsschutz-2018-NEU.pdf (zuletzt abgerufen: 20.2.2019).
5
Bitkom, Pressemitteilung, 11.10.2018, https://www.bitkom.org/Presse/Presseinformation/Cyberattacken-auf-deutsche-Industrie-nehmen-stark-zu.html (zuletzt abgerufen: 20.2.2019).
6
Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2018, S. 50, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf (zuletzt abgerufen: 20.2.2019).
7
Falk Steiner
, Tagung des BKA: Cyberkriminalität – eine der größten Herausforderungen, https://www.deutschlandfunk.de/tagung-des-bka-cyberkriminalitaet-eine-der-groessten.1783.de.html?dram:article_id=385265 (zuletzt abgerufen: 20.2.2019).
8
Bundeskriminalamt, Pressemitteilung, 27.9.2018, https://www.bka.de/SharedDocs/Pressemitteilungen/DE/Presse_2018/pm180927_BundeslagebildCybercrime.html (zuletzt abgerufen: 20.2.2019).
9
Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie, 2018, S. 17.
10
McKinsey, A new posture for cybersecurity in a networked world, S. 2, https://www.mckinsey.com/business-functions/risk/our-insights/a-new-posture-for-cybersecurityin-a-networked-world (zuletzt abgerufen: 20.2.2019).
11
McKinsey, A new posture for cybersecurity in a networked world, S. 3.
II. Gängige Formen von Cyber-Attacken
8
Cyber-Kriminelle sind nicht nur technisch versiert und oft mit enormen Ressourcen ausgestattet, sie sind auch kreativ und finden immer wieder neue Wege, um Unternehmen in Bedrängnis zu bringen. Zu den gängigen Formen von Cyber-Attacke zählen die Folgenden:
1.Erpressung durch Computersabotage – Ransomware
9
Vielen Cyber-Kriminellen geht es schlichtweg darum, Geld zu erpressen. Sie suchen ihre Opfer entweder gezielt aus oder setzen bei ihrem Angriff auf Streuwirkung. Ein besonders prominentes Beispiel für einen breit gestreuten Angriff war die Attacke auf Unternehmen, Institutionen und Privatpersonen mit der Ransomware „WannaCry“ im Mai 2017. Betroffen waren davon schätzungsweise über 230.000 Systeme in über 150 Ländern.12 Generell gilt es zwei Arten von Ransomware zu unterscheiden: die eine versperrt den Zugriff auf ein System, die andere, wesentlich gefährlichere, verschlüsselt die Daten der infizierten Systeme. In beiden Fällen können Unternehmen nicht mehr mit ihren Rechnern arbeiten, der Zugriff auf Daten und Anwendungen ist verwehrt. Die betroffenen Unternehmen werden dann aufgefordert, ein „Lösegeld“, meist in Form digitaler Bitcoins, auf angegebene Konten zu überweisen, um wieder freizukommen.
2.Computersabotage um der Sabotage willen – Malware
10
Es geht nicht immer um Geld. Tatmotive sind oft auch die Zerstörung von Daten oder die Sabotage von Betriebsabläufen. Die Opfer werden mit Hilfe von Schadsoftware (Malware) attackiert, um ihre Wettbewerbskraft zu schwächen und ihre Reputation zu beschädigen. Im Juni 2017 sorgte etwa die Malware „NotPetya“ weltweit für Furore. In Deutschland wurden vor allem Unternehmen aus den Branchen Logistik, Finanzen und Gesundheit angegriffen.13 Laut BKA hat „NotPetya“ dabei enorme Schäden angerichtet, weil die Malware die infizierten Systeme in wesentlichen Teilen auch dauerhaft unbrauchbar gemacht hat.14
3.Überlastung von Infrastrukturen – DDoS-Attacken
11
Unternehmen können auch durch sog. „Distributed Denial of Service“-Attacken (DDoS-Attacken) wirkungsvoll angegriffen werden. Die Angreifer überlasten dabei die Systeme ihrer Opfer durch massive Anfragen an deren Server. Das BKA sieht darin die am häufigsten beobachteten Sicherheitsvorfälle im Cyber-Raum.15 Entsprechende Attacken können außerordentlich wettbewerbsschädigend sein – etwa weil IT-basierte Arbeitsabläufe gestört werden oder Unternehmenswebsites nicht mehr erreichbar sind. Dies ist vor allem für Betreiber von Online-Shops oder anderer Kundenportale fatal.
4.Gezielter dauerhafter Zugriff auf IT-Systeme – Advanced Persistent Threat (APT-Angriff)
12
Erpressungen, sabotierte Systeme oder überlastete Server werden in der Regel schnell erkannt. Hingegen bleibt es oft lange unentdeckt, wenn ein Unternehmen ausspioniert wird. Den Tätern kommt es darauf an, dauerhaft unerkannt zu bleiben, um sich möglichst viele Informationen bzw. Daten beschaffen zu können. Ihre Spionage-Software schleusen sie häufig über sog. Spear-Phishing-Mails in das Zielunternehmen.16 Diese E-Mails werden gezielt eingesetzt, d.h. personalisiert und mit einem vertrauenswürdig wirkenden Absender an ausgewählte Mitarbeiter verschickt. Die Adressaten werden mit vermeintlich relevanten Botschaften dazu eingeladen, bestimmte Websites aufzusuchen oder Anhänge herunterzuladen, die jeweils mit Schadcode versehen sind. Die Schadsoftware kann sich dann auf den betreffenden Rechnern installieren und sich im Hintergrund im Unternehmen ausbreiten. Das BSI weist u.a. auf eine bei Cyber-Spionen zunehmend beliebte Methode hin: Infiziert werden dabei die Websites und Software-Archive von Software-Herstellern; wenn Mitarbeiter eines Unternehmens nach einem Update für bestimmte Programme suchen und diese installieren, holen sie sich den digitalen Spion mit ins Haus.17 Wie auch immer die APT-Angriffe erfolgen – den Tätern kann es gelingen, in den Besitz umfangreicher sensibler Kundendaten zu gelangen oder einen anderen gravierenden Schaden anzurichten.
5.Die Chef-Masche – CEO-Fraud
13
Ein besonders dreistes Vorgehen von Cyber-Kriminellen ist schließlich der sog. „CEO-Fraud“.18 Die Täter fordern dabei relevante Mitarbeiter eines Unternehmens etwa per E-Mail dazu auf, einen größeren Geldbetrag ins Ausland zu überweisen. Nicht selten haben sie damit Erfolg. Denn sie geben sich als CEO oder als eine andere Führungskraft des betreffenden Unternehmens aus und können so Druck machen, auch ohne weiter hinterfragt zu werden. Vorab haben sie sich etwa mit Hilfe von Unternehmenspublikationen, Wirtschaftsnachrichten und Quellen wie dem Handelsregister über Projekte, Geschäftspartner und geplante Investitionen informiert und sich auf dieser Basis eine glaubwürdige „Story“ für ihre Aufforderung zurechtgelegt. Geeignete „Ansprechpartner“ mit deren Dialogdaten lassen sich häufig durch einfache Recherchen herausfinden – auch Social-Media-Plattformen oder Online-Netzwerke sind dafür wahre Fundgruben.
12
Bundeskriminalamt, Bundeslagebild Cybercrime 2017, S. 12, https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2017.html (zuletzt abgerufen: 20.2.2019).
13
Bundeskriminalamt, Bundeslagebild Cybercrime 2017, S. 14.
14
Bundeskriminalamt, Bundeslagebild Cybercrime 2017, S. 14.
15
Bundeskriminalamt, Bundeslagebild Cybercrime 2017, S. 17.
16
Bundeskriminalamt, Bundeslagebild Cybercrime 2017, S. 18.
17
Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2018, S. 23.
18
Bundeskriminalamt, Flyer Warnhinweis CEO-Fraud, https://www.bka.de/SharedDocs/Downloads/DE/IhreSicherheit/CEOFraud.html (zuletzt abgerufen: 20.2.2019).
III. Kosten
14
Bereits diese grob skizzierte Bedrohungslage lässt erkennen: Bei Cyber-Crime geht es nicht um Delikte, die Unternehmen auf die leichte Schulter nehmen sollten, sondern um Angriffe, die sie im Kern treffen können. Ausdruck findet diese Relevanz in den Kosten, die Unternehmen im Zuge von Cyber-Attacken entstehen.
15
Das Ponemon Institute hat im Auftrag von IBM Security Zahlen ermittelt:19 Die Ergebnisse sind beeindruckend. So betragen laut der Penomenon Studie „Cost of a Data Breach 2018“ weltweit die durchschnittlichen Kosten eines Datenlecks („data breach“) 3,86 Mio. USD. Verglichen mit der entsprechenden Studie aus dem Vorjahr ist das ein Kostenanstieg um 6,4 %. Sogenannte Mega-Breaches, bei denen zwischen 1 Mio. und 50 Mio. Datensätze („records“) abgeflossen sind, schlagen noch höher zu Buche: Die Kosten liegen hier zwischen 40 Mio. USD und 350 Mio. USD.
16
Für Deutschland verweist der Studienbericht von Bitkom aus dem Jahr 2018 ebenfalls auf signifikante Kosten, die Industrieunternehmen innerhalb von zwei Jahren durch Wirtschaftsspionage, Sabotage oder Datendiebstahl entstanden sind. Der Gesamtbetrag beläuft sich auf 43,4 Mrd. EUR.20 Dieser Betrag schlüsselt sich laut Bitkom wie folgt auf:
–Imageschaden bei Kunden oder Lieferanten/negative Medienberichterstattung: 8,8 Mrd. EUR.
–Patenrechtsverletzungen (auch schon vor der Anmeldung): 8,5 Mrd. EUR.
–Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen: 6,7 Mrd. EUR.
–Kosten für Ermittlungen und Ersatzmaßnahmen: 5,7 Mrd. EUR.
–Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen: 4,0 Mrd. EUR.
–Umsatzeinbußen durch nachgemachte Produkte (Plagiate): 3,7 Mrd. EUR.
–Kosten für Rechtsstreitigkeiten: 3,7 Mrd. EUR.
–Datenschutzrechtliche Maßnahme (z.B. Information von Kunden): 1,4 Mrd. EUR.
–Erpressung mit gestohlenen oder verschlüsselten Daten: 0,3 Mrd. EUR.
–Sonstige Schäden: 0,6 Mrd. EUR.
17
Das BSI weist darauf hin, dass viele Ratingagenturen die Sicherheit der Informationstechnik bereits als Teil der operationellen Risiken eines Unternehmens bewerten21 – steigen die Risiken, sinken entsprechend die Ratings.
19
IBM, Pressemitteilung, 11.7.2018, https://newsroom.ibm.com/2018-07-11-IBM-Study-Hidden-Costs-of-Data-Breaches-Increase-Expenses-for-Businesses (zuletzt abgerufen: 20.2.2019).
20
Bitkom, Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie, 2018, S. 25.
21
Bundesamt für Sicherheit in der Informationstechnik, Leitfaden Cyber-Sicherheits-Check, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden-Cyber-Sicherheits-Check.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen: 20.2.2019), S. 8.
IV. Vorbeugende Maßnahmen („Preparedness“)
18
Unternehmen, die sich nicht auf mögliche Cyber-Angriffe vorbereiten, gehen immense Risiken ein – nicht nur für das eigene Unternehmen, sondern auch für ihre Kunden, Kooperationspartner und Dienstleister. Der Handlungsbedarf für Unternehmen ist daher groß. Gleichzeitig liegt bei Fragen der Cyber-Sicherheit noch einiges im Argen. Wesentliche Hürden auf dem Weg zu einem besseren Umgang mit Cyber-Risiken haben die Unternehmen sich dabei selbst aufgestellt. McKinsey sieht hier vor allem die folgenden drei:22
–Die Delegation des Problems an den IT-Bereich: In vielen Unternehmen wird an erster Stelle der IT-Bereich mit der Cyber-Sicherheit beauftragt. Doch Cyber-Sicherheit ist kein rein technisches Thema. Entscheidend ist vielmehr eine umfassende Unternehmensperspektive, die erkennen lässt, welche Bereiche und Assets besonders wichtig und schützenswert sind.
–Der Versuch, das Problem mit Ressourcen zu erschlagen: Andere Unternehmen setzen darauf, mit möglichst vielen Experten in den eigenen Reihen Cyber-Attacken zu erkennen und abzuwehren. Doch viel bringt nicht zwangsläufig viel. Die Angriffe sind oft zu massiv, als dass man sie mit einem noch so großen Aufgebot abwehren könnte.
–Die Behandlung des Problems als primäres Compliance-Thema: Weitere Unternehmen vertrauen auf immer wieder neue Regularien und Checklisten. Manche davon sind durchaus hilfreich oder auch rechtlich geboten. Doch während die Compliance-Vorgaben verteilt und vielleicht sogar befolgt werden, gehen die Cyber-Attacken unvermindert weiter.
1.Der strategische Rahmen
19
Generell sollten Unternehmen, die sich im digitalen Raum behaupten wollen, möglichst früh grundsätzliche Voraussetzungen schaffen, um mit Cyber-Risiken erfolgreich umgehen zu können. Aus strategischer Sicht umfasst dies zumindest die folgenden Punkte:
–Konzern-/Unternehmensstrategie: In der Konzern-/Unternehmensstrategie ist Cyber-Sicherheit als ein wesentlicher Schwerpunkt verankert, der im Kontext der anderen strategischen Ziele eine dauerhaft erfolgreiche Positionierung am Markt erlaubt.
–Konzern-/Unternehmensverfassung: In der Konzern-/Unternehmensverfassung ist zum einen ein risikoorientiertes Vorgehen verbindlich festgeschrieben und zum anderen das Einhalten effektiver Wege, um Risiken abzuwehren. Die Unternehmen sind gefordert, ihre organisatorischen Strukturen und Prozesse „cybersicher“ zu machen.
–Informationssicherheitsstrategie: Es ist definiert, wie sicherheitsrelevante Aspekte im Rahmen der geschäftsstrategischen Ansätze adressiert und umgesetzt werden. Dabei sind mit Blick auf gesetzliche und regulatorische Rahmenbedingungen auch die jeweils branchenspezifischen bzw. individuellen Anforderungen in operative Vorgehensmodelle übersetzt. Hier geht es zum Beispiel darum, eine unabhängige Sicherheitsorganisation mit einem CISO an der Spitze zu etablieren.
–Cyber-Risikostrategie: Die Cyber-Risiken sind als wesentliche Risiken identifiziert und inventarisiert. So wird auch transparent, welche Cyber-Risiken inhaltlich und formal mit anderen wesentlichen Risiken wie den Betriebsunterbrechungen verzahnt sind. Die Cyber-Risikostrategie wird als integraler Teil der Gesamtrisikostrategie betrachtet und ein entsprechendes operatives Reporting für den Vorstand bzw. die Geschäftsführung, entscheidende Kontrollgremien und maßgebliche „information owner“ etabliert.
–Geschäftsfeld-/Segmentstrategien: Die Geschäftsbereiche nennen in ihren Strategien die jeweils spezifischen Anforderungen, die sich für sie aus der übergeordneten Informationssicherheitsstrategie und der Cyber-Risikostrategie ergeben. Anforderungen aus weiterentwickelten Geschäftsmodellen und veränderten Bedrohungszenarien des Cyber-Raums fließen regelmäßig bzw. bedarfsorientiert in die Geschäftsfeldstrategien ein.
2.Praktische Maßnahmen
20
Wie lässt sich dieser strategische Rahmen in der Praxis mit Leben füllen? Unternehmen können sich auf mögliche Angriffe grundsätzlich gut vorbereiten, also für eine hohe Preparedness sorgen. Empfehlungen und Handreichungen gibt es dafür viele.
21
Einen guten Überblick darüber, mit welchen Maßnahmen Unternehmen ihre Preparedness steigern können, bieten im internationalen Umfeld etwa die „10 steps to Cyber Security“23 des britischen National Security Centre und das „Framework für Improving Critical Infrastructure Cybersecurity“24 des US-amerikanischen National Institute of Standards and Technology (NIST).
22
Das BSI stellt eine Reihe pragmatisch gehaltener Veröffentlichungen zur Verfügung, um Unternehmen in Deutschland dabei zu unterstützen, ihre Netze und IT-Systeme wirkungsvoll abzusichern – zum Beispiel den „Leitfaden Cyber-Sicherheits-Check“,25 die „Basismaßnahmen der Cyber-Sicherheit“26 und das Papier „Cyber-Sicherheits-Exposition“.27
a)Bestimmung der „Cyber-Sicherheits-Exposition“ durch das Management
23
Unter dem Strich geht es darum, sinnvolle Handlungsfelder und nötige, angemessene und wirtschaftliche Sicherheitsmaßnahmen zu definieren und umzusetzen. Dazu sollte laut BSI das Management erst einmal die reale Betroffenheit des Unternehmens und seinen Schutzbedarf bestimmen und mit Blick darauf das anzustrebende Sichherheitsniveau definieren.28 Diese Bestimmung der sog. Cyber-Sicherheits-Exposition, wie sie das BSI empfiehlt, erfolgt ganzheitlich. Betrachtet werden im Rahmen der Bedrohungsanalyse die Infrastruktur, Daten und Prozesse des gesamten Unternehmens. Bewertet werden dabei die Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ mit Blick auf folgende Faktoren: „Wert der Daten und Prozesse“, „Attraktivität für Angreifer“, „Art der Angreifer“, „Zielgerichtetheit des Angriffs“ und „Angriffe in der Vergangenheit“.29 Zudem sollte geklärt werden, wie transparent das Unternehmen für potenzielle Angreifer ist, weil diese sich für erfolgreiche Attacken mit ausreichend relevanten Informationen versorgen müssen.30
b)Ein kritischer Blick seitens des Risikomanagements
24
Das Ergebnis dieser Analyse – ein klares Bild des anzustrebenden Sicherheitsniveaus – soll das Management für die generelle Notwendigkeit geeigneter Maßnahmen sensibilisieren und Basis einer weiterführenden Management-Entscheidung sein. Diese Entscheidung sollte durch das Risikomanagement des Unternehmens kritisch hinterfragt werden.31 Seine Aufgabe besteht darin, zu analysieren, wie sich Cyber-Risiken auf das Unternehmen und seine Prozesse auswirken. Das Risikomanagement prüft dabei zwar als unabhängige Instanz die Entscheidung des Managements; dieses behält im Rahmen seiner Gesamtverantwortung für das Unternehmen jedoch das letzte Wort.
c)Umsetzung geeigneter Maßnahmen durch den CIO und den CISO
25
Schließlich geht es darum, mit Blick auf das anzustrebende Sicherheitsniveau und anhand der Kriterien „Notwendigkeit“, „Angemessenheit“ und „Wirtschaftlichkeit“ geeignete Maßnahmen zu bestimmen und eben auch in Angriff zu nehmen – eine Aufgabe, die dann in den Händen der Verantwortlichen für IT (CIO) und IT-Sicherheit (CISO) liegt.32 Wie umfassend diese Aufgabe sein kann, verdeutlicht die Checkliste des BSI, die zentrale Basismaßnahmen zur Cyber-Sicherheit im Sinne erreichter Ziele nennt:33
–Der Bedrohungsgrad der eigenen Infrastruktur sowie die Transparenz der Institution gegenüber Angreifern wurde bestimmt. Daraus wurde die Cyber-Sicherheits-Exposition abgeleitet.
–Sämtliche Netzübergänge sind identifiziert und hinreichend abgesichert.
–Die Infektion mit Schadprogrammen wird mit wirksamen Maßnahmen unterbunden.
–Die IT-Systeme wurden inventarisiert und auf ihre sicherheitstechnische Beherrschbarkeit hin geprüft.
–Offene Sicherheitslücken auf IT-Systeme werden vermieden.
–Eine Interaktion mit dem Internet findet nur über abgesicherte Komponenten statt.
–Logdaten werden zentral erfasst und ausgewertet.
–Die eigene Organisation wird mit allen notwendigen Informationen versorgt.
–Die Organisation ist auf die Bewältigung von Sicherheitsvorfällen vorbereitet.
–Die eingesetzten Mechanismen zur Authentisierung verhindern eine missbräuchliche Nutzung durch Dritte.
–Es stehen ausreichende interne Ressourcen zur Verfügung, externe Dienstleister werden eingebunden.
–Das eigene Personal wird in Fragen der Cyber-Sicherheit qualifiziert und sensibilisiert.
–Es werden nutzerorientierte Maßnahmen zur Rollentrennung durchgesetzt.
–Die Organisation und ihre Mitglieder bewegen sich sicher in sozialen Netzen.
–Bei höherem Schutzbedarf werden Vertraulichkeit, Verfügbarkeit und Integrität durch wirksame Maßnahmen gewährleistet und Penetrationstests durchgeführt.
–Zur Abwehr gezielter Angriffe werden unterstützende Schutzmaßnahmen ergriffen.
26
Die meisten Maßnahmen betreffen technische Fragen. Besonders wichtig sind die Punkte Personal bzw. Mitglieder der Organisation. Denn der „Faktor Mensch“ gilt als eine der größten Gefahrenquellen bei Cyber-Angriffen.34 Die besten technischen Maßnahmen bieten keinen Schutz, wenn Mitarbeiter unsensibel und schlecht geschult mit E-Mails und externen Datenträgern umgehen oder bei ihren Social-Media- bzw. Online-Aktivitäten nicht auf der Hut sind.
22
McKinsey, A new posture for cybersecurity in a networked world, S. 3 und S. 4.
23
National Cyber Security Centre, 10 Steps to Cyber Security, https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/NCSC%2010%20Steps%20To%20Cyber%20Security%20NCSC.pdf (zuletzt abgerufen: 20.2.2019).
24
National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity, https://www.nist.gov/publications/framework-improvingcritical-infrastructure-cybersecurity-version-11 (zuletzt abgerufen: 20.2.2019).
25
Bundesamt für Sicherheit in der Informationstechnik, Leitfaden Cyber-Sicherheits-Check, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden-Cyber-Sicherheits-Check.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen: 20.2.2019).
26
Bundesamt für Sicherheit in der Informationstechnik, Basismaßnahmen der Cyber-Sicherheit, https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_006.pdf?__blob=publicationFile&v=4 (zuletzt abgerufen: 20.2.2019).
27
Bundesamt für Sicherheit in der Informationstechnik, Cyber-Sicherheits-Exposition, https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_013.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen: 20.2.2019).
28
Bundesamt für Sicherheit in der Informationstechnik, Cyber-Sicherheits-Exposition, S. 1.
29
Bundesamt für Sicherheit in der Informationstechnik, Cyber-Sicherheits-Exposition, S. 2 und S. 3.
30
Bundesamt für Sicherheit in der Informationstechnik, Cyber-Sicherheits-Exposition, S. 3.
31
Bundesamt für Sicherheit in der Informationstechnik, Leitfaden Cyber-Sicherheits-Check, S. 19.
32
Bundesamt für Sicherheit in der Informationstechnik, Basismaßnahmen der Cyber-Sicherheit, S. 1.
33
Bundesamt für Sicherheit in der Informationstechnik, Basismaßnahmen der Cyber-Sicherheit, S. 12.
34
PricewaterhouseCoopers, Im Visier der Cyber-Gangster – So gefährdet ist die Informationssicherheit im deutschen Mittelstand, Februar 2017, S. 16, https://www.pwc.de/de/mittelstand/assets/it-sicherheit-im-mittelstand-neu.pdf (zuletzt abgerufen: 20.2.2019).
V. Verhalten im Ernstfall („Response“)
27
Leider bietet auch eine noch so gute Preparedness keine hundertprozentige Sicherheit. Unternehmen müssen deshalb wissen, was im Falle eines Falles zu tun ist. Ein entsprechender Notfallplan sollte stets verfügbar und gut kommuniziert sein. Denn wer erst während einer Attacke einen Plan entwickelt, wie er am besten damit umgeht, gerät zusätzlich unter Druck. Aus praktischer Sicht lassen sich insoweit grundsätzlich fünf Handlungsfelder unterscheiden:
1.Erfassung und Bewertung des Angriffs („Identification“)
28
Wird ein Angriff bemerkt, geht es zuerst darum, sich ein klares Bild des Ausmaßes und der Wirkung der Cyber-Attacke zu verschaffen. Welche Form hat die Attacke? Welche Systeme und welche Daten sind betroffen? Welche Auswirkungen hat der Angriff auf das Unternehmen, etwa auf sein operatives Geschäft? Welcher Täterkreis ist vermutlich am Werk?
2.Schadensbegrenzung („Minimization“)
29
Sobald ein Angriff qualitativ und quantitativ charakterisiert werden konnte, heißt es unverzüglich zu handeln. Idealerweise erfolgt dies durch ein „Computer Security Incident Response Team“ (CSIRT). Dieses Team steht dem Management mit Rat und Tat zur Seite, die Attacke zu stoppen und die angerichteten Schäden zu begrenzen oder zu beheben. Hier geht es u.a. darum, Datenlecks zu schließen, Schadsoftware zu entfernen und kritische Daten mit Hilfe von Backup-Versionen wiederherzustellen.
3.Dokumentation aller relevanten Informationen („Documentation“)
30
Im Sinne eines transparenten Cyber-Risk-Managements, zum Zwecke der späteren Rechtsverfolgung und um belegen zu können, dass der gebotenen Sorgfalt Genüge getan wurde, ist es wichtig, alle relevanten Informationen zum Angriff in geeigneter Form festzuhalten. Dokumentiert werden sollten etwa der Charakter des Angriffs und die getroffenen Gegenmaßnahmen, aber auch alle relevanten Logdaten und weitere technische Details. Diese Dokumentation sollte zudem alle weiteren Aktivitäten des Angreifers umfassen.
4.Benachrichtigung Dritter („Notification“)
31
Vor allem gravierendere Cyber-Attacken und deren Folgen sind häufig keine „Privatsache“ eines Unternehmens. Unternehmen müssen deshalb klären, welchen Informationspflichten (z.B. nach dem BSI-Gesetz oder der DSGVO) sie rechtlich unterliegen. Daneben ist im Einzelfall die Benachrichtigung weiterer Dritter zu prüfen, wie etwa Strafverfolgungsbehörden, Versicherungen oder Geschäftspartner.
5.Rückkehr zum Normalbetrieb („Remediation“)
32
Sind die wichtigsten Schritte getan, geht es darum, den weiteren laufenden Betrieb zu sichern. Auch nachdem eine Attacke unterbunden werden konnte, empfiehlt es sich, alle Systeme weiter zu überwachen, um neue Aktivitäten sofort zu erkennen. Zudem sollten im Rahmen eines „Post-Incident Review“ alle Mängel in Bezug auf die Preparedness und auf den Umgang mit dem Cyber-Angriff identifiziert, analysiert und beseitigt werden. Zu dieser Phase gehört schließlich auch die juristische Aufarbeitung des Vorgangs.
VI. Querschnittsthema Cyber-Security
33
Um Unternehmen einen angemessenen Umgang mit Cyber-Risiken zu ermöglichen, ist neben geeigneten technischen, organisatorischen sowie personalwirtschaftlichen Vorkehrungen und Maßnahmen auch eine entsprechende juristische Expertise erforderlich. Das Forschungsunternehmen Hanover Research hat 2015 mit einer Studie für die Indiana University Maurer School of Law das Thema Cyber-Law als ein „wachsendes Feld“ in Bezug auf die juristische Praxis identifiziert.35 Schließlich geht es etwa um zunehmende regulatorische Anforderungen, gesetzliche Vorgaben, Meldepflichten sowie um Ansprüche gegenüber Angreifern und Ansprüche Dritter gegenüber dem angegriffenen Unternehmen. Unternehmen, die hier juristisch nicht in vollem Umfang vorbereitet und handlungsfähig sind, spielen mit ihrem guten Ruf und setzen sich massiven finanziellen Risiken aus.
34
Die Ergebnisse der genannten Studie36 zeigen deutlich den Weg:
–Cyber-Security gewinnt generell an Bedeutung für Juristen.
–Unternehmen, einschließlich ihrer Syndizi, müssen sich noch besser auf Bedrohungen aus dem Cyber-Raum vorbereiten.
–Cyber-Security ist mittlerweile in gleichem Maße ein juristisches wie ein technisches Thema.
–Juristen müssen in juristischen und technischen Fragen rund um das Thema Cyber-Security besser geschult werden.
35
Ziel dieses Handbuchs ist es, dem Leser einen Überblick über das weite Feld „Cyber-Security“ zu geben. Es handelt sich dabei nicht um eine eigenständige juristische Disziplin, sondern um ein Querschnittsthema, das unterschiedliche Rechtsbereiche umfasst. Jeder Bereich hat dabei seine eigene fachliche Tiefe und erfordert eine jeweils spezifische juristische Expertise.
36
Die einzelnen Kapitel dieses Handbuchs greifen alle relevanten Themen aus dem Bereich Cyber-Security auf und machen sie für die Praxis greifbar. Nach den maßgeblichen Rechtsbereichen geht es in drei Länderkapiteln auch um die juristische Lage und die Rechtspraxis in den USA, Großbritannien und China. Rechtsgebietsübergreifende Checklisten runden das Handbuch ab.
37
Da das Thema Cyber-Security starken internationalen Einflüssen (insbesondere aus den USA, wo es sich um eine schon seit Längerem etablierte Rechtsmaterie handelt) unterliegt, werden bestimmte gängige Begriffe entsprechend den Gepflogenheiten der Praxis in englischer Sprache verwendet.
35
Hanover Research, The Emergence of Cybersecurity Law, S. 2, https://sm.asisonline.org/ASIS%20SM%20Documents/The-Emergence-of-Cybersecurity-Law.pdf (zuletzt abgerufen: 20.2.2019).
36
Hanover Research, The Emergence of Cybersecurity Law, S. 2 und S. 3.
Kapitel 2Gesellschaftsrecht (Unternehmensleitung und Unternehmensorganisation)
Dr. Alexander Kiefner
Literatur:Achenbach, Die Cyber-Versicherung – Überblick und Analyse, VersR 2017, 1493; Baur/Holle, Bußgeldregress im Kapitalgesellschaftsrecht nach der (Nicht)-Entscheidung des BAG, ZIP 2018, 459; Bensinger/Kozok, Kampf gegen Cyber Crime und Hacker Angriffe, CB 2015, 376; Bernardi, Cyber Resilience – Ein Leitfaden für Aufsichtsräte zur Widerstandsfähigkeit der Unternehmens-IT, BOARD 2018, 23; Bunte, Regress gegen Mitarbeiter bei kartellrechtlichen Unternehmensgeldbußen, NJW 2018, 123; Bürkle, Corporate Compliance – Pflicht oder Kür für den Vorstand der AG?, BB 2005, 565; Bürkle, Compliance als Aufgabe des Vorstands der AG – Die Sicht des LG München I, CCZ 2015, 52; Byok, Informationssicherheit von Kritischen Infrastrukturen im Wettbewerbs- und Vergaberecht, BB 2017, 451; Daghles, Cybersecurity-Compliance: Pflichten und Haftungsrisiken für Geschäftsleiter in Zeiten fortschreitender Digitalisierung, DB 2017, 2289; von Falkenhausen, Die Haftung außerhalb der Business Judgment Rule, NZG 2012, 644; Germano, Third-Party Cyber Risk & Corporate Responsibility, NYU School of Law, Center of Cyber-Security, 2017; Giering, Das neue Kapitalmarktmissbrauchsrecht für Emittenten, CCZ 2016, 214; Hauschka, Corporate Compliance – Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461; Harbarth/Brechtel, Rechtliche Anforderungen an eine pflichtgemäße Compliance-Organisation im Wandel der Zeit, ZIP 2016, 241; Heermann, Haftung des Vereinsvorstands bei Ressortaufteilung sowie für unternehmerische Entscheidungen, NJW 2016, 1687; Hoffmann/Schieffer, Pflichten des Vorstands bei der Ausgestaltung einer ordnungsgemäßen Compliance-Organisation, NZG 2017, 401; von Holleben/Menz, IT-Risikomanagement – Pflichten der Geschäftsleitung, CR 2010, 63; Ihrig, Wissenszurechnung im Kapitalmarktrecht – untersucht anhand der Pflicht zur Ad-hoc-Publizität gemäß Art. 17 MAR, ZHR 2017, 381; Kiethe, Die Haftung des Stiftungsvorstands, NZG 2007, 810; Kipker, Das neue chinesische Cyber-Security Law, MMR 2017, 455; Kipker/Harner/Müller, Der Mensch an der Schnittstelle zur Technik, InTeR 2018, 24; Klöhn/Schmolke, Unternehmensreputation, NZG 2015, 689; Klöhn/Schmolke, Der Aufschub der Ad-hoc-Publizität nach Art. 17 Abs. 4 MAR zum Schutz der Unternehmensreputation, ZGR 2016, 866; J. Koch, Regressreduzierung im Kapitalgesellschaftsrecht – eine Sammelreplik, AG 2014, 513; R. Koch, Geschäftsleiterpflicht zur Sicherstellung risikoadäquaten Versicherungsschutzes, ZGR 2006, 184; König, Haftung für Cyberschäden, AG 2017, 262; Krupna, IT-Compliance – Informationspflichten nach dem Bundesdatenschutzgesetz bei Hackerangriffen, BB 2014, 2250; Larisch/von Hesberg, Ausgestaltung von Risikomanagementsystemen durch die Geschäftsleitung – Zur Konkretisierung einer haftungsrelevanten Organisationspflicht, CCZ 2017, 17; Lenz, „Hertie 4.0“ – Digitale Kompetenzlücken in der modernen Arbeitswelt als Haftungsrisiko von Arbeitnehmervertretern im Aufsichtsrat, BB 2018, 2548; Meckl/J. Schmidt, Digital Corporate Governance – Neue Herausforderungen für den Aufsichtsrat?, BB 2019, 131; Mehrbrey/Schreibauer, Haftungsverhältnisse bei Cyber-Angriffen – Ansprüche und Haftungsrisiken von Unternehmen und Organen, MMR 2016, 75; Menne/Biedenbach, Wir brauchen ein digitales Enablement für den Aufsichtsrat, AR 2018, 146; Mülbert/Sajnovits, Der Aufschub der Ad-hoc-Publizitätspflicht bei Internal Investigations – Teil I –, WM 2017, 2001; Nietsch/Hastenrath, Business-Judgment bei Compliance-Entscheidungen – ein Ausweg aus der Haftungsfalle? – Teil 2, CB 2015, 221; Neufeld/Schemmel, Notfallmanagement bei Cyberangriffen durch Cyber Incident Response Plan, Datenschutz-Berater 2017, 209; Ott/Klein, Hindsight Bias bei der Vorstandshaftung wegen Compliance-Verstößen, AG 2017, 209; Preußner/Becker, Ausgestaltung von Risikomanagementsystemen durch die Geschäftsleitung – Zur Konkretisierung einer haftungsrelevanten Organisationspflicht, NZG 2002, 846; Pyrcek, Veränderung der Unternehmenskultur und von Geschäftsmodellen durch die Digitale Transformation – Auswirkungen auf das Compliance- Management, BB 2017, 939; Riemenschnitter, Cybersecurity: Der asymetrische Kampf, Bank 2018, 60; Scherer/Furth, Der Einfluss von Standards, Technikklauseln und des „Anerkannten Standes von Wissenschaft und Praxis“ auf Organhaftung und Corporate Governance – am Beispiel der ISO 19600 (2015) Compliance-Managementsystem, CCZ 2015, 9; Schulz, Compliance-Management im Unternehmen – Grundfragen, Herausforderungen und Orientierungshilfen, BB 2017, 1475; Seibt
