IT-Sicherheitsrecht & Cybersecurity
Rechtsanwalt für IT-Sicherheit: IT-Sicherheitsgesetz, NIS2, CRA, BSIG, NIS2UmsuCG
Rechtsanwalt für IT-Sicherheit & Cybersecurity
IT-Sicherheitsgesetz, NIS2, CRA, BSIG, NIS2UmsuCG
Rechtsanwalt für IT-Sicherheit: Die IT-Sicherheit ist längst in den Fokus des Gesetzgebers geraten und darüber hinaus ein wirtschaftlicher Faktor. Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für Informationstechnologierecht mit Spezialwissen im Bereich des IT-Strafrechts („Internet-Strafrecht“, „Cybercrime“) und IT-Sicherheitsrecht („Cybersecurity“) tätig. Er berät im gesamten IT-Sicherheitsrecht, inklusive NIS2, CRA, BSIG, NIS2UmsuCG. Dabei fließt sein früherer Beruf als Softwareentwickler und Unix-Systementwickler in seine juristische Beratung ein. Unsere Strafverteidiger sind alle zugleich Fachanwalt für Strafrecht, Rechtsanwalt Jens Ferner ist zudem Fachanwalt für IT-Recht.
Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Jens Ferner | itrecht@ferner-alsdorf.de
- IT-Sicherheitsrecht vom Fachanwalt für IT-Recht & Fachanwalt für Strafrecht mit unmittelbarer Erfahrung im Cybercrime
- Haftung von Vorstand und Geschäftsführung bei Sicherheitslücken in Betrieb, Software und Lieferketten
- Unterstützung bei einem Sicherheitsvorfall
- Vertragliche Gestaltung rund um Cybersicherheit und kritische Komponenten
- Beratung zu IT-Sicherheitsrecht bei PenTests, Softwareentwicklung und Hardwarekomponenten wie Halbleiter (IT-Sicherheitsgesetz, NIS2, CRA, BSIG, NIS2UmsuCG)
- Umgang mit Cybercrime im Unternehmen
- Geschäftsgeheimnisse: Strafrechtlicher Schutz von Betriebsgeheimnissen
- Produktsicherheit
Anwaltskanzlei Ferner: Kontakt im Strafrecht & IT-/Technologierecht
- Spezialisierte Tätigkeit: Wir konzentrieren uns auf die Strafverteidigung, das Medien-/IT-Recht und ergänzend Arbeitsrecht. Keine Tätigkeit im allgemeinen Zivilrecht oder Familienrecht, keine Tätigkeit für Verbraucher im IT-Recht.
- Erreichbarkeit: bitte per Mail an kontakt@ferner-alsdorf.de, telefonisch nur bei Strafverteidigungen unter 02404 92100; Termine nur nach Vereinbarung
- Strafverteidiger-Notruf: 0175 1075646
- Kontaktzeiten: Mo. bis Sa. 06:30 – 10:00 und Mo. bis Do. 14:30 – 18:30 (keine Mails zwischen 20h/6h oder an Sonn-/Feiertagen!)
- Vertrauliche Kommunikation: Besprechungen vor Ort im Büro; Mails mit S/MIME & GPG/PGP; Zoom-Videokonferenzen sowie Threema
- Warum wir: Einerseits spezialisiert, andererseits die persönliche Betreuung, die man erwartet: Kein Verstecken hinter dem Sekretariat und keine Fantasiegebühren – dazu echte Erreichbarkeit eines Anwalts, der in einer Sprache spricht, die Sie verstehen
Erste Hilfe zum Thema Cyberangriff
Zum Thema Hacking bei uns:
- Hackangriff bzw. Cyberangriff – Was tun?
- Wie schütze ich mich vor einem Hackangriff?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Online-Betrug & Fake-Shops: Was tun?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Intime Fotos veröffentlicht – was kann ich tun?
- Übersicht: IT-Sicherheit
- Strafbarkeit der Suche nach Sicherheitslücken
IT-Sicherheitsrecht (Cybersecurity)
Im Bereich der Cybersecurity sind auf nationaler Ebene vorrangig das BSI-Gesetz, die technischen Standards des BSI sowie das seit 2015 umgesetzte IT-Sicherheitsgesetz von Bedeutung, welche die europäische Vorgaben in Form der NIS-Richtlinie umsetzen.
Rechtsanwalt für IT-Sicherheit: Anwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, ist im Bereich der IT-Sicherheit als Verteidiger und Dozent tätig und ergänzt damit inhaltlich seine Tätigkeit im Bereich Cybercrime, Softwarerecht und IT-Arbeitsrecht. Rund um Haftung, Strafbarkeiten und die rechtliche Absicherung unterstützt Strafverteidiger und Fachanwalt für IT-Recht Jens Ferner Unternehmen.
Zur NIS-Richtlinie ist festzuhalten, dass IT-Sicherheit auch auf europäischer Ebene ein Thema mit hervorgehobener Bedeutung ist. Hier soll vornehmlich durch die “Richtlinie zur Netz- und Informationssicherheit” (“NIS-Richtlinie”) ein europaweit einheitlicher Standard geschaffen werden. Nachdem dieses Vorhaben über Jahre hinweg vor sich hindümpelte kam dann im Jahr 2016 der Durchbruch. Allerdings hatte der deutsche Gesetzgeber hier schon vorbereitend das IT-Sicherheitsgesetz erlassen, das bereits Teile der NIS-Richtlinie umgesetzt hatte.
In Deutschland besteht im Ergebnis im Bereich der Cybersicherheit („Cybersecurity“) ein abgestuftes Sicherheitskonzept, das unterschiedliche Rahmenbedingungen je nach Dienst vorsieht. Es gibt so unterschiedliche Dienste, die teilweise ausdrücklich vorgesehen sind, aber auch sich als faktisches Ergebnis darstellen und für die dann jeweils eigene Sicherheitsstufen existieren. Inzwischen steht die NIS2-Richtlinie kurz vor der Verabschiedung.
Das IT-Sicherheitsrecht ist der viele Jahre verkannte Brennpunkt der Digitalisierung – Fachanwalt für IT-Recht Jens Ferner ist hier seit Jahrzehnten tätig. Früher als Softwareentwickler, der andere Programmierer in sicherer Programmierung schulte – heute als Anwalt für IT-Sicherheitsrecht. Im Jahr 2023 wurde durch RA JF eine Fortbildung zur IT-Sicherheit bei der Fernuni-Hagen durchlaufen.
IT-SIcherheit und Haftung
Inzwischen steht fest, dass die originäre Haftung für mangelnde IT-Sicherheit kommt. Dabei werden Vorstände und Geschäftsführer unmittelbar haften, ohne Möglichkeit eines Haftungsausschlusses oder eines Verzichts durch das Unternehmen. Das finanzielle Risiko liegt auf der Hand.
IT-Sicherheit wird noch als technische Komponente verstanden – das ist ein Fehler: IT-Sicherheit hat auch eine juristische Komponente, die nicht auszublenden ist. Auch wer glaubt, alles richtigzumachen kann juristische Fehler machen. Ein Anwalt, der sich mit technischer und juristischer IT-Sicherheit auskennt, hilft sich zu orientieren.
Rechtsanwalt Jens Ferner: Cybersecurity
Als Fachanwalt für Informationstechnologierecht fokussiert auf den Bereich IT-Sicherheit, IT-Strafrecht & Cybercrime. Geboten wird eine umfassende juristische Expertise im Bereich IT-Recht, IT-Sicherheit, Cybercrime & Datenschutzrecht als auch eine umfangreiche technische Erfahrung als Programmierer, Linux-Systemadministrator & Sicherheitsberater inkl. Wissen in den Bereichen Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.
Cybersecurity: Abgestuftes gesetzliches Sicherheitskonzept
Im Konzept des IT-Sicherheitsrechts gibt es in Deutschland verschiedene Stufen:
- Kritische Dienste (KRITIS), die in der Richtlinie als „wesentliche Dienste“ beschrieben sind;
- digitale Dienste, hierzu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, wobei es aber Ausnahmen für Kleinstunternehmer gibt;
- Telemedien allgemein, für die im Telemediengesetz seit dem IT-Sicherheitsgesetz allgemeine Sicherheitsvorgaben gemacht werden.
Während KRITIS eine vorbeugende Pflicht zu Sicherheitsmaßnahmen trifft müssen digitale Dienste eher im Nachhinein agieren und sind grundsätzlich zu verschärfter Wahrung der Sicherheit angehalten und zum Einrichten von Konzepten für Notfälle, während auf schwächster Stufe allgemein Telemedien angehalten sind, gängige Sicherheitsstandards einzuhalten.
Bug Bounty?
Sie möchten sicherstellen, dass Ihr Unternehmen und Ihre Kunden vor möglichen Cyberangriffen geschützt sind? Dann ist ein Bug Bounty Programm die richtige Wahl. Als Rechtsanwalt bin ich im IT-Sicherheitsrecht auf die Beratung von Unternehmen fokussiert, die ein Bug Bounty Programm einrichten möchten.
Ich stehe Ihnen zur Seite und unterstütze Sie dabei, klare und eindeutige Bedingungen und Richtlinien für Ihr Bug Bounty Programm zu entwickeln und sicherzustellen, dass Sie rechtlich abgesichert sind. Ich helfe Ihnen dabei, die Belohnungen für Sicherheitsforscher angemessen zu gestalten und den Umgang mit gemeldeten Schwachstellen rechtskonform zu gestalten. Mit meiner Erfahrung und Expertise können Sie sicher sein, dass Ihr Unternehmen und Ihre Kunden bestmöglich geschützt sind. Kontaktieren Sie mich noch heute, um mehr darüber zu erfahren, wie ich Sie bei der Implementierung eines Bug Bounty Programms unterstützen kann.
Gesetzliche Grundlagen der IT-Sicherheit in Deutschland
- BSI-Gesetz (BSIG): Das BSI Gesetz kann im Kern als Definition der Rolle des Bundesamts für Sicherheit in der Informationstechnik und Eckpfeiler der gesetzlich normierten IT-Sicherheit in Deutschland verstanden werden. Mehr zum BSI-Gesetz finden Sie hier von mir.
- IT-Sicherheitsgesetz: Das IT-Sicherheitsgesetz ist kein eigenständiges Gesetz, sondern ein Artikel-Gesetz, mit dem das BSI-Gesetz im Jahr 2015 spürbar “aufgebohrt” wurde sowie das Telemediengesetz um den Aspekt IT-Sicherheit erweitert wurde. Zusätzlich ergehen Rechtsverordnungen. Mehr zum IT-Sicherheitsgesetz finden Sie hier von mir. Das IT-Sicherheitsgesetz wurde durch das IT-Sicherheitsgesetz 2.0 nochmals vertieft.
- NIS-Richtlinie und NIS2-Richtlinie: Die NIS-Richtlinie finden Sie hier von mir umfassend besprochen. Es wird bald die Umsetzung der NIS2-Richtlinie folgen.
- Gesetz zur Umsetzung der NIS(2)-Richtlinie – ebenfalls in einem eigenen Artikel zur NIS-Richtlinie und noch das NIS2UmsuCG zur NIS2-Richtlinie.
- Cyber-Resilience-Act (CRA): Europaweite Regulierung der sicherheitstechnischen Gestaltung von Produkten, speziell Hardware.
- Datenschutzgrundverordnung: Die Datenschutzgrundverordnung sieht in den Artikel 25, 32 DSGVO vor, dass Anbieter einen Schutz von Daten bei Erhebung und Verarbeitung sicherzustellen haben.
- Telekommunikation-Telemedien-Datenschutz-Gesetz: Es gibt in §19 TTDSG die Pflicht, dass Sie Ihre Angebote nach dem Stand der Technik sichern – hier ist daran zu denken, dass dies dann auch für kommunizierende Software gilt, die in Hardware verbaut ist (“Internet of Things”). Vormals war dies übrigens §13 Abs.7 TMG.
- Produktsicherheitsgesetz: Das Produktsicherheitsgesetz sieht eine grundsätzliche Sicherheit von Produkten vor, hier werden die DSGVO und das TMG mit hineinspielen.
Zumindest ein paar Sätze zu Standards in der IT-Sicherheit sind notwendig, dabei sind zwei Anlaufpunkte in den Fokus zu Rücken:
- Das BSI bietet mit den IT-Grundschutz-Katalogen eine Handreichung die als FUndament für die Praxis dienen.
- Das Angebot des BSI setzt letztlich die ISO-27000 Standards um, hier bietet sich über das Stichwort “Management für Informationssicherheit” ein geeigneter Einstieg.
Im Blog zur IT-Sicherheit
- Post-Quantum Kryptographie und rechtliche Fragestellungen des IT-SicherheitsrechtsIT-Sicherheitsrecht bei der Post-Quantum Kryptographie – die Welt der Kryptographie steht vor einer Revolution: Mit den Fortschritten in der Quantencomputertechnologie rücken Fragen nach der Sicherheit aktueller kryptographischer Systeme in den Vordergrund. Dieser Artikel beleuchtet die Post-Quantum-Kryptographie und die damit verbundenen rechtlichen Herausforderungen im Bereich des IT-Sicherheitsrechts. Im Dezember 2023 wurde in diesen Beitrag eine aktuelle…
- Sicherheitshinweis für mobile Anwendungen: WeChat von TencentDie tschechische Nationale Agentur für Cyber- und Informationssicherheit (im Folgenden die Agentur“) hat eine Sicherheitswarnung bezüglich der Nutzung der mobilen Anwendung WeChat von Tencent herausgegeben: Die App sammelt eine große Menge an Nutzerdaten, die zusammen mit der Art und Weise, wie die Daten gesammelt werden, für gezielte Cyberangriffe genutzt werden könnten. Hinter der WeChat-App steht…
- Cyber Solidarity ActBereits im April 2023 hat die Kommission einen Vorschlag für einen Cyber Solidarity Act („EU-Cyber-Solidaritätsakt“) zur Stärkung der Cybersicherheitskapazitäten in der EU angenommen. Er soll die Erkennung von und das Bewusstsein für Cybersicherheitsbedrohungen und -zwischenfälle fördern, die Abwehrbereitschaft kritischer Infrastrukturen stärken und die Solidarität, das konzertierte Krisenmanagement und die Reaktionsfähigkeit der Mitgliedstaaten verbessern. Hierbei geht…
- CE-Kennzeichnung: Was ist das CE-Kennzeichen?CE-Kennzeichnung: Immer wieder sorgt das „CE-Kennzeichen“, die CE-Kennzeichnung, für einige Verwirrung, weil gerade Verbraucher glauben, es handelt sich hier um ein Qualitätsmerkmal. ACHTUNG: Dieser Artikel (Stand 2013-2019) wird derzeit überarbeitet und aktualisiert, Teile des Inhalts – Insbesondere zum Zwang von CE-Kennzeichen – werden bislang nicht auf dem aktuellen Stand sein. Dabei handelt es sich bei…
- Datenübermittlung zwischen China und der EUDatentransfer zwischen China und der EU: Bei der Übermittlung personenbezogener Daten in Drittländer spielen Standardvertragsklauseln (SCC) eine wichtige Rolle. Die EU-Standardvertragsklauseln sind Rechtsinstrumente, die entwickelt wurden, um die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR im Einklang mit der Datenschutz-Grundverordnung (DSGVO) zu ermöglichen. Auch andere Länder, wie z.B. China…
- Anträge des Generalanwalts beim EUGH zum DSGVO-Schadensersatz nach SicherheitsvorfallDie Schlussanträge des Generalanwalts in den verbundenen Rechtssachen C-182/22 und C-189/22 der Kläger JU und SO gegen Scalable Capital GmbH liegen vor. Das Verfahren ist besonders wichtig für IT-Sicherheitsvorfälle: Das AG München hatte dem EUGH Fragen aus zwei Verfahren vorgelegt, die versuchen Klarheit zu schaffen dahin, ob schon das Abhandenkommen von Daten an sich im…