Achtung: Bis zum 01.09.26 übernehmen wir nur noch ausgewählte Strafverteidigungen!

Schlagwort: Cybersecurity

Fachanwalt für Cybersecurity – rechtliche Beratung zu IT-Sicherheit und Risikomanagement.

Anwaltskanzlei Ferner Alsdorf: Kontakt zu Rechtsanwalt Ferner im Raum Aachen

Achtung: Bis zum 01.09.26 übernehmen wir nur noch ausgewählte Strafverteidigungen!

Rechtsanwalt Ferner in Alsdorf, Aachen; Fachanwalt für Strafrecht und Fachanwalt für IT-Recht in der Städteregion Aachen, leicht verfügbar für Betroffene in Alsdorf, Aachen, Würselen, Baesweiler, Herzogenrath, Eschweiler, Übach-Palenberg, Geilenkirchen und Aldenhoven
  • Untersagung kritischer Komponenten: § 41 BSIG im neuen Cybersicherheitsrecht

    Untersagung kritischer Komponenten: § 41 BSIG im neuen Cybersicherheitsrecht

    Am 23. Juni 2025 legte ein simpler Wartungsfehler am Bahnfunk den gesamten deutschen Zugverkehr lahm, und innerhalb weniger Stunden stand eine ganz andere Forderung im Raum: ein Verbot chinesischer Komponenten in kritischer Infrastruktur. Dabei zeigt der Vorfall vor allem eines, nämlich dass es keinen nachgewiesenen Angriff und keinen Bezug zum Herkunftsland einer Komponente braucht, damit ein Betreiber plötzlich vor einer Untersagungsverfügung nach § 41 BSIG und Millionenkosten für den erzwungenen Ausbau steht.

    Wer in kritischen Infrastrukturen tätig ist, kennt das Thema schon aus dem IT-Sicherheitsgesetz 2.0 von 2021: Bestimmte IKT-Produkte können vom Bundesministerium des Innern (BMI) verboten werden, wenn ihr Einsatz die öffentliche Sicherheit oder Ordnung der Bundesrepublik gefährdet. Früher war das in § 9b BSIG a.F. geregelt, nun – nach dem NIS-2-Umsetzungsgesetz vom 2. Dezember 2025 – findet es sich in § 41 BSIG n.F. Kommentarliteratur zur neuen Fassung ist noch kaum vorhanden.

    Das bedeutet aber nicht, dass die inhaltliche Behandlung von vorn beginnen müss: Die zur Vorgängernorm § 9b BSIG a.F. erschienene Kommentarliteratur dürfte in wesentlichen Teilen ihre Relevanz behalten, weil der neue § 41 BSIG strukturell und inhaltlich stark an die Vorgängernorm anknüpft.

    Hinweis: Ich kommentiere im BeckOK-StPO zum Thema kritische Komponenten im Bereich der Telekommunikation.

    (mehr …)
  • Cyberfähigkeiten von Israel und Iran

    Cyberfähigkeiten von Israel und Iran

    Die Cyberfähigkeiten Israels und Irans haben sich über zwei Jahrzehnte in einer Art stillen Rüstungswettlauf entwickelt. Beide Staaten betrachten den digitalen Raum längst nicht mehr nur als Nebenbühne militärischer oder politischer Auseinandersetzungen, sondern als eigenständiges Operationsfeld mit unmittelbarem Einfluss auf nationale Sicherheit, wirtschaftliche Stabilität und geopolitische Handlungsfreiheit. Dabei spiegelt der Cyberkonflikt zentrale Merkmale ihrer Rivalität wider: hohe wechselseitige Bedrohungswahrnehmung, asymmetrische Taktiken und eine bewusste Nutzung von Ambiguität und Deniability.

    Hinweis: In meiner fachlichen Publikation „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen bei Juris im AnwZert ITR 3/2025, gehe ich aus juristischer Sicht den Fragen rund um Cyberwar auf den Grund. Der Beitrag wurde zuletzt im März 2026 aktualisiert.

    (mehr …)
  • Desinformation: Gefahr von Fake News für Unternehmen

    Desinformation: Gefahr von Fake News für Unternehmen

    Wer ein Unternehmen führt, muss Desinformation oder Fake News inzwischen als eigenständige Risiko­kategorie begreifen, wie auch das Handelsblatt titelt: Binnen weniger Stunden kann heute ein anonymer Post Milliardenwerte vernichten – verstärkt durch synthetische Inhalte, die selbst Profis kaum noch von echten Aussagen unterscheiden können. Was früher nach Randphänomen aus Wahlkampagnen klang, trifft inzwischen DAX‑Konzerne, Mittelständler und Hidden Champions gleichermaßen: Desinformation ist vom Kommunikationsrisiko zum marktrelevanten Störfaktor geworden.

    Was lange wie ein Randphänomen aus der politischen Sphäre wirkte, entwickelt sich damit – neben dem gesellschaftlichen Sprengstoff insgesamt – zu einem milliardenschweren Geschäftsrisiko; befeuert durch leicht verfügbare KI-Werkzeuge, skalierbare Kampagneninfrastruktur und eine Medienökonomie, die Aufmerksamkeit belohnt, nicht Wahrheit. Parallel verschärft sich der regulatorische Rahmen: Mit dem EU‑KI‑Gesetz und dem Digital Services Act geraten Unternehmen zunehmend in die Pflicht, nicht nur ihre eigenen Systeme, sondern auch die Informationsumgebung rund um Produkte und Geschäftsmodelle im Blick zu behalten – Fehler können schnell einer Frage Frage von Compliance und persönlicher Haftung werden.​​

    Ich beschäftige mich hier im Blog seit Jahren mit dem Thema Desinformation, wobei ich dies in den Kontext von Cyberkriminalität packe. Wichtig ist mir das Herausarbeiten, dass Desinformation nicht irgendein Randbereich ist, der irgendwie die Politik betrifft, sondern dass es um ein konkret eingesetztes Instrument geht, um Gesellschaft und Wirtschaft negativ zu stören. Beachten Sie dazu auch meine bisherigen Publikationen in AnwZert ITR 3/2025 Anm. 2 und AnwZert ITR 22/2025 Anm. 2. Mein Faible für Kommunikationspsychologie ist, neben meiner Arbeit zum strategischen Denken, mit der Grund, warum ich das Thema immer wieder aufgreife. Im Rahmen meiner Lehraufträge vermittle ich Studenten den Umgang mit diesen modernen Themen, die nur scheinbar fernab klassischer Compliance liegen. Der Beitrag wurde im Februar 2026 aktualisiert mit Blick auf eine Veröffentlichung im Harvard Business Manager.

    (mehr …)
  • Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick

    Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick

    Cybervorfälle bleiben auch 2026 das wichtigste Geschäftsrisiko – doch inzwischen rückt ein weiterer Treiber nach vorne: Künstliche Intelligenz. Während Cyberangriffe ganze Lieferketten lahmlegen können, verschärfen KI-Systeme Haftungsrisiken, Compliance-Druck und Desinformationsgefahren.

    Unternehmen müssen ihre Risikostrategie deshalb neu justieren – weg von Einzelrisiken, hin zu einem integrierten Blick auf Cyber, KI, Betriebsunterbrechungen und Klimaauswirkungen. Die Allianz Risk Barometer für die Jahre 2025 und 2026 präsentieren die größten Herausforderungen, denen sich Unternehmen in einem zunehmend komplexen und vernetzten Risikoumfeld gegenübersehen. Hinweis: Der Beitrag aus dem Januar 2025 wurde im Januar 2026 aktualisiert.

    (mehr …)
  • Haftung des CISO

    Haftung des CISO

    Kann ein Chief Information Security Officer (CISO) haften? Diese Frage bewegt nicht nur die IT-Branche, sondern auch die Unternehmensführung und Versicherer. Die klare Antwort lautet: Ja, ein CISO kann haften, denn „keine Haftung“ gibt es nicht. Doch die Details entscheiden: Welche Aufgaben hat der CISO, wie ist seine Position im Unternehmen eingebunden, und welche Risiken trägt er tatsächlich?

    Zentraler Anknüpfungspunkt ist die organisatorische Eingliederung des CISO. Wird der CISO als interner Angestellter beschäftigt, liegt die Haftung in der Regel im Rahmen seiner arbeitsvertraglichen Pflichten. Er ist angehalten, im Sinne eines „sorgfältigen Geschäftsmannes“ zu handeln, ähnlich wie es für CIOs und andere IT-Leitungspositionen gilt. Für externe CISOs, die als Berater tätig sind, gelten hingegen klare vertragliche Vereinbarungen, die ihre Verantwortlichkeiten und Haftungsgrenzen definieren. Ihre Haftung kann strenger sein, da sie oft als „Experten“ für spezifische Sicherheitsbereiche auftreten. Fehler oder Unterlassungen könnten hier direkt zu Schadensersatzansprüchen führen. Hinweis: Den Beitrag habe ich im Januar 2026 aktualisiert.

    (mehr …)
  • EU-Maschinenverordnung (Verordnung über sichere Maschinenprodukte 2027)

    EU-Maschinenverordnung (Verordnung über sichere Maschinenprodukte 2027)

    Im Juni 2022 einigten sich die EU-Mitgliedstaaten auf ein Mandat für Verhandlungen mit dem Europäischen Parlament über den Vorschlag für eine Verordnung über Maschinenprodukte. Mit diesem Vorschlag wurde die Maschinenrichtlinie aus dem Jahr 2006 schließlich in eine Verordnung umgewandelt und diese neue EU-Maschinenverordnung verschiebt die Verantwortung für die Maschinensicherheit bei Produkten mit integrierter KI noch stärker ins Management.

    Wer Maschinen entwickelt, beschafft oder betreibt, muss seine Produktstrategie, Compliance und Governance bis 2027 an das deutlich komplexere Zusammenspiel von Maschinenverordnung, KI-Verordnung, Cyber-Resilience-Act und allgemeinem Produktsicherheitsrecht anpassen. Zugleich eröffnet der Rechtsrahmen die Chance, Safety, Cybersecurity und datengetriebene Geschäftsmodelle konsistent zu verzahnen. Wer früh strukturiert vorgeht, kann Rechtssicherheit und Wettbewerbsvorteile verbinden.

    Hinweis, Update Januar 2026: Dieser Beitrag wurde ursprünglich im Jahr 2022 verfasst und wird seitdem laufend aktualisiert, um alle Entwicklungen möglichst zu beachten. Beachten Sie auch, dass dieser Beitrag bei Wikipedia referenziert wird.

    (mehr …)
  • Reform des Produkthaftungsrechts: Software und KI

    Reform des Produkthaftungsrechts: Software und KI

    Die EU und die Bundesregierung stellen das Produkthaftungsrecht bis 2026 grundlegend neu auf. Software und KI-Systeme werden künftig ausdrücklich als Produkte behandelt, verbunden mit erweiterten Haftungsrisiken, neuen Beweiserleichterungen für Geschädigte und einer Ausweitung des Kreises haftender Akteure.​ Ich hatte bereits auf LinkedIn dazu etwas geschrieben, medial wird das Thema längst reflektiert, etwa bei Handelsblatt oder Heise.

    Das Highlight dabei: Die erweiterte Produkthaftungsrichtlinie der EU definiert Software, einschließlich Betriebssysteme, Firmware, Computerprogrammen, Apps und KI-Systeme, als Produkte. Diese Definition schließt die Software unabhängig davon ein, ob sie als eigenständiges Produkt, integriert in andere Produkte, oder über Cloud-Technologien bereitgestellt wird. Bisher ist dies noch anders. Der Quellcode von Software wird jedoch ausdrücklich nicht als Produkt angesehen, da er als reine Information gilt.

    (mehr …)
  • Haftungsrisiken und Compliance-Pflichten bei Ransomware-Angriffen

    Haftungsrisiken und Compliance-Pflichten bei Ransomware-Angriffen

    Ransomware-Angriffe gehören auch in aktuellen Studien zu den größten Bedrohungen für Unternehmen jeder Größe und Branche. Die Angriffe führen nicht nur zu operativen Stillständen und finanziellen Verlusten, sondern bergen auch erhebliche juristische Risiken – von strafrechtlichen Konsequenzen bis hin zu zivilrechtlichen Haftungsansprüchen. Für Führungskräfte ist es daher entscheidend, die rechtlichen Rahmenbedingungen zu verstehen, um im Ernstfall angemessen reagieren zu können. Dieser Beitrag fasst die zentralen Erkenntnisse aus der juristischen Diskussion zusammen und gibt einen Überblick über die wichtigsten Pflichten und Risiken.

    (mehr …)
  • Cybersecurity in der Software-Lieferkette

    Cybersecurity in der Software-Lieferkette

    Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?

    (mehr …)
  • Cyberkriminalität im Wandel: Wie das Darknet zur Kaderschmiede für KI-gestützte Angriffe wird

    Cyberkriminalität im Wandel: Wie das Darknet zur Kaderschmiede für KI-gestützte Angriffe wird

    Während Unternehmen weltweit händeringend nach IT-Sicherheitsexperten suchen, formiert sich im Verborgenen des Darknets ein paralleler Arbeitsmarkt, der mit ähnlicher Professionalität agiert – nur mit dem Unterschied, dass die gesuchten Fähigkeiten nicht dem Schutz, sondern dem gezielten Angriff auf digitale Infrastrukturen dienen.

    Aktuelle Analysen von Sicherheitsforschern des Teams bei ReliaQuest zeigen: Cyberkriminelle rekrutieren nicht mehr nur Einzelkämpfer für einfache Malware-Programmierung, sondern bauen strukturierte Teams auf, die Social Engineering, künstliche Intelligenz und Cloud-Exploits zu einer neuen Bedrohungsstufe vereinen. Was vor wenigen Jahren noch wie ein Szenario aus einem Techno-Thriller klang, ist heute Realität: Die Industrialisierung der Cyberkriminalität schreitet voran, und ihre Methoden werden immer ausgefeilter.

    (mehr …)
  • Designprinzipien für LLM-basierte Systeme des BSI

    Designprinzipien für LLM-basierte Systeme des BSI

    Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.

    Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).

    (mehr …)
  • BVerfG: Staatliche Cybersecurity und strategische Arbeit des BND

    BVerfG: Staatliche Cybersecurity und strategische Arbeit des BND

    Mit Beschluss vom 8. Oktober 2024 (1 BvR 2539/16) hat das Bundesverfassungsgericht zentrale Maßstäbe zur verfassungsrechtlichen Zulässigkeit der strategischen Inland-Ausland-Fernmeldeaufklärung durch den Bundesnachrichtendienst (BND) konkretisiert. Im Mittelpunkt der Entscheidung steht dabei nicht nur die Frage nach der Grundrechtsbindung deutscher Sicherheitsbehörden bei Auslandsmaßnahmen – vielmehr rückt das Gericht die neuartige Qualität von Cybergefahren ins Zentrum der verfassungsrechtlichen Bewertung.

    Gegenstand des Verfahrens war insbesondere die Frage, inwieweit der BND bei der Erhebung und Verarbeitung von Telekommunikationsdaten aus dem Ausland an deutsche Grundrechte gebunden ist – und welche legislativen und organisatorischen Anforderungen sich daraus für die gesetzgeberische Ausgestaltung ergeben. Die Entscheidung ist von weitreichender Bedeutung für das Verhältnis zwischen nationaler Sicherheit und Grundrechtsschutz im Zeitalter globaler digitaler Kommunikation.

    Zum Thema Cyberwar bitte meinen Aufsatz beachten: Ferner, AnwZert ITR 3/2025 Anm. 2

    (mehr …)
  • EU Space Act

    EU Space Act

    Der EU Space Act, Europas lang erwartete regulatorische Antwort auf den Wilden Westen im Orbit: Die Raumfahrt war lange Zeit ein Feld visionärer Kooperation: Der Weltraumvertrag von 1967 sprach von der friedlichen Nutzung und der Verantwortung aller Staaten für ihre Aktivitäten im All. Doch diese idealistische Rhetorik hat den regulatorischen Realitäten nicht standgehalten. Internationale Verträge wirken oft zu vage, nationale Rechtsakte sind fragmentiert, verbindliche technische Standards fehlen. Währenddessen führt eine rasante Kommerzialisierung und Militarisierung des Alls zu einer dramatischen Verdichtung von Risiken: Weltraumschrott, Cyberangriffe auf Satelliten, riskante Deorbiting-Verfahren und unkontrollierte Re-Entries.

    Deutschland hat bis heute kein Weltraumgesetz, und auch die EU war bislang nur punktuell regulierend tätig. Der neue „EU Space Act“ – offiziell: der Verordnungsvorschlag über die Sicherheit, Resilienz und Nachhaltigkeit von Raumfahrttätigkeiten in der Union – soll das nun ändern.

    (mehr …)
  • Israel: Cyberspionage, Cyberkrieg und Cyberabwehr

    Israel: Cyberspionage, Cyberkrieg und Cyberabwehr

    Im internationalen Vergleich hat sich Israel in den letzten Jahrzehnten als einer der führenden Akteure im digitalen Raum etabliert. Dabei prägen historische Sicherheitsdoktrinen, institutionelle Innovation und eine enge Verzahnung von Staat, Militär, Wirtschaft und Forschung Israels Fähigkeit, Bedrohungen im Cyberraum nicht nur abzuwehren, sondern selbst aktive Machtprojektion zu betreiben.

    (mehr …)