Persönlich. Hochwertig. Keine Chatbots. — Bei uns kümmert sich ein persönlich erreichbar Mensch.
Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Schlagwort: Lieferkette

Rechtsanwalt für Lieferkette: Die Lieferkette oder „Supply Chain“ bezeichnet die Abfolge von Lieferanten und Dienstleistern, die an der Herstellung oder Bereitstellung eines Produktes beteiligt sind. Dabei können sowohl Güter als auch Dienstleistungen von mehreren Unternehmen bezogen und verarbeitet werden.

Die Lieferkette ist unter Druck geraten – neben vertraglichen Fragen stellt sich hier vor allem die Problematik der Haftung im Bereich Sicherheit. Rechtsanwalt, IT-Fachanwalt und FA-Strafrecht Jens Ferner berät Unternehmen rund um die Lieferkette

In Deutschland und der EU stellen sich dabei insbesondere rechtliche Fragen der Haftung und der Datensicherheit entlang der Lieferkette. Unternehmen sind verpflichtet, die gesamte Lieferkette transparent und sicher zu gestalten, um sowohl rechtlichen als auch ethischen Anforderungen gerecht zu werden.

Ein besonderes Risiko stellt die Lieferkette im Zusammenhang mit Softwareentwicklung und IT-Sicherheit dar. Hier können bereits in der Lieferkette Schwachstellen in der Software oder im IT-System entstehen, die später zu Sicherheitsproblemen oder Datenschutzverletzungen führen können.

Unternehmen müssen daher in der Lieferkette von Software und IT-Systemen besonders auf Datensicherheit und Qualitätssicherung achten. Eine sorgfältige Auswahl der Lieferanten und Dienstleister sowie eine klare Definition der Anforderungen sind dabei von entscheidender Bedeutung.

Ein auf IT-Recht spezialisierter Rechtsanwalt kann Unternehmen bei der Gestaltung der Lieferkette von Software und IT-Systemen unterstützen und rechtliche Fragen im Zusammenhang mit Datensicherheit und Qualitätssicherung klären. Auch bei Problemen in der Lieferkette, wie z.B. Lieferverzögerungen oder Falschlieferungen, kann ein IT-Rechtsanwalt helfen, die Interessen des betroffenen Unternehmens zu vertreten.

  • Untersagung kritischer Komponenten: § 41 BSIG im neuen Cybersicherheitsrecht

    Untersagung kritischer Komponenten: § 41 BSIG im neuen Cybersicherheitsrecht

    Am 23. Juni 2025 legte ein simpler Wartungsfehler am Bahnfunk den gesamten deutschen Zugverkehr lahm, und innerhalb weniger Stunden stand eine ganz andere Forderung im Raum: ein Verbot chinesischer Komponenten in kritischer Infrastruktur. Dabei zeigt der Vorfall vor allem eines, nämlich dass es keinen nachgewiesenen Angriff und keinen Bezug zum Herkunftsland einer Komponente braucht, damit ein Betreiber plötzlich vor einer Untersagungsverfügung nach § 41 BSIG und Millionenkosten für den erzwungenen Ausbau steht.

    Wer in kritischen Infrastrukturen tätig ist, kennt das Thema schon aus dem IT-Sicherheitsgesetz 2.0 von 2021: Bestimmte IKT-Produkte können vom Bundesministerium des Innern (BMI) verboten werden, wenn ihr Einsatz die öffentliche Sicherheit oder Ordnung der Bundesrepublik gefährdet. Früher war das in § 9b BSIG a.F. geregelt, nun – nach dem NIS-2-Umsetzungsgesetz vom 2. Dezember 2025 – findet es sich in § 41 BSIG n.F. Kommentarliteratur zur neuen Fassung ist noch kaum vorhanden.

    Das bedeutet aber nicht, dass die inhaltliche Behandlung von vorn beginnen müss: Die zur Vorgängernorm § 9b BSIG a.F. erschienene Kommentarliteratur dürfte in wesentlichen Teilen ihre Relevanz behalten, weil der neue § 41 BSIG strukturell und inhaltlich stark an die Vorgängernorm anknüpft.

    Hinweis: Ich kommentiere im BeckOK-StPO zum Thema kritische Komponenten im Bereich der Telekommunikation.

    (mehr …)
  • Verbotene Wörter im Schadcode: Wie Angreifer KI-Analysen aushebeln

    Verbotene Wörter im Schadcode: Wie Angreifer KI-Analysen aushebeln

    Sicherheitsfirmen prüfen eine große Anzahl von Open-Source-Paketen automatisiert. Doch was ist, wenn dabei auf ein Sprachmodell vertraut wird, das den Code im ersten Durchlauf bewertet? Wenn man dann eine Datei öffnet, springt einem noch bevor die eigentliche Logik beginnt ein Kommentarblock entgegen, der von Nuklear- und Biowaffen spricht oder das Modell anweist, alle Sicherheitsregeln zu vergessen. Genau das geschieht inzwischen offenbar in freier Wildbahn – und es ist kein Zufallsfund, sondern eine bewusst entwickelte Waffe gegen die Werkzeuge, mit denen wir uns verteidigen.

    (mehr …)
  • KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    Software und KI im Exportrecht

    Am Abend des 12. Juni 2026 erhielt Anthropic um 17:21 Uhr Ortszeit einen Brief von Handelsminister Howard Lutnick. Der Inhalt war knapp und folgenreich: Das US-Handelsministerium ordnete gestützt auf Exportkontrollrecht an, dass Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen zu sperren seien, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst. Da es keinen verlässlichen technischen Mechanismus gibt, Staatsbürgerschaft auf API-Ebene zu verifizieren, tat Anthropic das einzig Mögliche: beide Modelle wurden weltweit für alle Nutzer abgeschaltet. Das erste Mal in der Geschichte des kommerziellen KI-Markts zwang eine staatliche Exportkontrollanordnung ein US-Unternehmen dazu, sein Flaggschiffprodukt in Echtzeit vom Netz zu nehmen.

    Wer das für eine Kuriosität hält, unterschätzt die Tragweite. Es geht nicht um einen Einzelfall, sondern um eine grundlegende Verschiebung: KI-Modellgewichte werden rechtlich immer deutlicher als Exportgut behandelt – mit allen Konsequenzen, die das für Unternehmen, Nutzer und Strafverteidiger in Deutschland und der EU hat.

    (mehr …)
  • Claude Mythos und die NSA: Neue hybride Kriegsführung?

    Claude Mythos und die NSA: Neue hybride Kriegsführung?

    Cyberwar mittels Claude Mythos? Anfang Juni 2026 berichtete die Financial Times (dazu bei TheDecoder und bei Heise), dass das US-amerikanische Unternehmen Anthropic rund sechs eigene Ingenieure – sogenannte „Forward-Deployed Engineers“ – direkt bei der NSA stationiert haben soll, um sein bislang nicht öffentlich zugängliches KI-Modell Claude Mythos für offensive Cyberoperationen gegen China und Iran einzusetzen.

    Was auf den ersten Blick wie eine technologische Kuriosität aus dem US-Geheimdienstumfeld wirkt, ist bei näherer Betrachtung eine Zäsur: Zum ersten Mal betreibt ein privates Unternehmen hochfähige KI-Systeme aktiv als verlängerter Arm eines staatlichen Nachrichtendienstes – im Rahmen hybrider Konfliktführung, versteht sich ohne förmliche Kriegserklärung, unterhalb der Schwelle des bewaffneten Angriffs. Das verdient eine genauere juristische und konzeptionelle Einordnung.

    Ich befasse mich als Fachanwalt für Strafrecht und für IT-Recht seit Jahren publizistisch mit den rechtlichen Dimensionen des Cyberraums – von der strafrechtlichen Einordnung staatlich gesteuerter Cyberangriffe über die Phänomenologie moderner Cyberkriminalität bis hin zu konkreten Angriffsvektoren wie GPS-Jamming. Zuletzt erschienen sind meine Beiträge „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“ (AnwZert ITR 3/2025 Anm. 2), „Neuentwicklungen der Cybercrime-Phänomenologie“ (AnwZert ITR 22/2025 Anm. 2) sowie „Rechtsfragen des GPS-Jammings“ (AnwZert ITR 1/2026 Anm. 3), auf die ich im Folgenden an geeigneter Stelle Bezug nehme.

    (mehr …)
  • Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft

    Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft

    Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.

    (mehr …)
  • KI und Cybersicherheit

    KI und Cybersicherheit

    Im Frühjahr 2026 hat sich im Verhältnis von Künstlicher Intelligenz und IT-Sicherheit etwas verschoben, das über den üblichen Takt technischer Innovation hinausgeht. Anthropic stellte mit „Claude Mythos Preview“ ein Modell vor, das in OpenBSD eine 27 Jahre alte Schwachstelle aufspürte, in FFmpeg eine seit 16 Jahren schlummernde Lücke fand und insgesamt Tausende Schwachstellen in Betriebssystemen und Browsern identifizierte.

    Das Modell wird nicht öffentlich angeboten, sondern nur rund vierzig Unternehmen – darunter Apple, Amazon, Microsoft, Cisco, Crowdstrike und Palo Alto Networks – im Rahmen von „Project Glasswing“ zugänglich gemacht. US-Finanzminister Scott Bessent und Notenbankchef Jerome Powell beriefen eine Dringlichkeitssitzung mit den Chefs der systemrelevanten Wall-Street-Banken ein, das BSI spricht von einer „Verschiebung der Angriffsvektoren“ und einem „Paradigmenwechsel“ in der Cyberbedrohungslage.

    Der IWF hat wenige Tage später, am 7. Mai 2026, in einem Blogbeitrag festgehalten, dass KI-getriebene Cyberrisiken zu einem makro-finanziellen Schock eskalieren können, wenn Entdeckung und Ausnutzung von Schwachstellen in Maschinentempo parallel in vielen Instituten erfolgen.

    Für den juristischen Beobachter ist das keine schlichte Randnotiz der Technikgeschichte: Der europäische Regulierungsrahmen für KI und Cybersicherheit wird nun an einer Realität gemessen, die schneller ist als der Gesetzgebungsprozess.

    (mehr …)
  • Cyber Resilience Act als Ende der analogen Fabrik

    Cyber Resilience Act als Ende der analogen Fabrik

    Wer eine Maschine baut, denkt an Stahl, Hydraulik und Steuerungslogik. Dass er künftig auch an Firewalls, Schwachstellenscans und automatische Sicherheitsupdates denken muss, markiert einen Epochenwechsel im europäischen Produktsicherheitsrecht. Der Cyber Resilience Act der Europäischen Union verlangt von Herstellern vernetzter Produkte, was ihnen bislang weitgehend fremd war: lebenslange digitale Verantwortung für das, was sie auf den Markt bringen. Für den Maschinen- und Anlagenbau, das industrielle Rückgrat Europas, ist das mehr als ein regulatorisches Update. Es ist ein Paradigmenwechsel, der Geschäftsmodelle, Lieferketten und das Selbstverständnis einer ganzen Branche auf den Prüfstand stellt.

    (mehr …)
  • Steuerstrafrecht: Umsatzsteuerkarussell und Luxus PKW 2026

    Steuerstrafrecht: Umsatzsteuerkarussell und Luxus PKW 2026

    Aktuelle EPPO-Ermittlungen im Ermittlungsverfahren „Emily“ zeigen, wie anfällig der europäische Binnenmarkt für hochprofessionelle Umsatzsteuerkarusselle ist – und wie schnell aus scheinbar normalen Autogeschäften ein strafbares Organisationsdelikt mit existenzbedrohenden Einziehungsrisiken werden kann.

    (mehr …)
  • Wirtschaftsspionage und die Wirtschaft: Aufgaben für das Management

    Wirtschaftsspionage und die Wirtschaft: Aufgaben für das Management

    Die Wirtschaft steckt mitten in einer digitalen Umbruchphase. Wertvolle Informationen liegen heute nicht mehr in verschlossenen Archiven, sondern in vernetzten Systemen, auf mobilen Endgeräten und in der Cloud. Wer hier Daten verliert, verliert nicht nur Know-how, sondern oft auch Marktposition und Verhandlungsmacht. Wirtschaftsspionage – ob man sie klassisch oder als „eSpionage“ bezeichnet – ist damit kein fernes Szenario mehr, sondern ein sehr konkretes Risiko für jedes Unternehmen, das mit sensiblen Informationen arbeitet.

    Die moderne Wirtschaftsspionage ist dabei längst nicht mehr ausschließlich das Werk konkurrierender Unternehmen. Immer häufiger sind staatliche Akteure involviert, die gezielt Informationen aus Unternehmen abziehen – sei es, um die eigene Wirtschaft zu stärken oder geopolitische Ziele zu verfolgen. In diesem Kontext verschwimmen die Grenzen zwischen Wirtschaftsspionage, Cyberwar und staatlich gesteuerten Hackerangriffen.

    (mehr …)
  • Frist für die NIS‑2‑Registrierung 2026

    Frist für die NIS‑2‑Registrierung 2026

    Die aktuell auslaufende Frist für die NIS‑2‑Registrierung beim BSI bis zum 6. März 2026, auf die etwa Heise hinweist, ist nicht nur ein IT‑Termin, sondern ein sehr handfestes Compliance‑Thema für die Geschäftsleitung. Rund 29.000 Unternehmen und Organisationen in Deutschland müssen bis dahin registriert sein – andernfalls drohen Aufsichtsmassnahmen und Bußgelder.

    (mehr …)
  • NPSG: Lachgas und GBL zukünftig erfasst (2026)

    NPSG: Lachgas und GBL zukünftig erfasst (2026)

    Lachgas-Verbot in Deutschland: Das Gesetz zur Änderung des Neue-psychoaktive-Stoffe-Gesetzes (NpSG) wurde am 12. Januar 2026 im Bundesgesetzblatt verkündet (BGBl. 2026 I Nr. 2) und tritt am 12. April 2026 in Kraft. Der Gesetzgeber reguliert damit erstmals Lachgas (Distickstoffmonoxid), Gamma-Butyrolacton (GBL) und 1,4-Butandiol (BDO) als „neue psychoaktive Stoffe“ – Industriechemikalien, die zunehmend als Partydrogen bzw. als sogenannte K.O.-Tropfen missbraucht werden. Die Stoffe werden in einer neuen Anlage 2 des NpSG als Einzelstoffe gelistet, da sie chemisch keiner der bisherigen Stoffgruppen in Anlage 1 zugeordnet werden können.

    Es geht beim Thema Lachgas nunmehr um ein umfassendes Abgabe-, Erwerbs- und Besitzverbot für Minderjährige, ein Verbot des Versand- und Automatenhandels sowie ein generelles Verbot bestimmter Umgangsformen mit diesen Stoffen, etwa bei höher konzentrierten Zubereitungen. Gleichzeitig bleibt die gewerbliche, industrielle und wissenschaftliche Nutzung zulässig, ebenso die Verwendung im Arzneimittelbereich oder in Produkten mit geringem Wirkstoffgehalt, bei denen ein Missbrauch kaum möglich ist. Ich bin derzeit für einige Unternehmen beratend tätig, deren Geschäftsleitungen die Strafbarkeit abschätzen bzw. im Griff behalten wollen – vor dem Hintergrund habe ich im Februar 2026 den Beitrag nochmals aktualisiert.

    (mehr …)
  • NIS2-Umsetzung in Deutschland 2026

    NIS2-Umsetzung in Deutschland 2026

    Die EU‑Richtlinie (EU) 2022/2555 („NIS2-Richtlinie“) ist seit Ende 2022 in Kraft und soll in allen Mitgliedstaaten ein hohes, einheitliches Niveau der Cybersicherheit etablieren. Deutschland hat lange gezögert – nun ist zum Jahreswechsel 2025/2026 mit dem Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2‑RLUG) der große Wurf erfolgt: Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten.

    Damit endet eine lang anhaltende Phase von Entwürfen und politischen Manövern, inklusive des gescheiterten NIS2UmsuCG, und beginnt eine Phase verbindlicher Pflichten mit spürbaren Aufsichts‑ und Sanktionsrisiken. Für das Management bedeutet dies: NIS2 ist kein Zukunftsthema mehr, sondern ein geltender Rechtsrahmen, der unmittelbar in Strategie, Governance und Budgetplanung abgebildet werden muss.

    Hinweis: Der Beitrag stammt ursprünglich aus dem Juni 2025 und wurde zuletzt im Februar 2026 aktualisiert.

    (mehr …)
  • Verstöße gegen das Russland-Embargo 2026

    Verstöße gegen das Russland-Embargo 2026

    Aktuelle Festnahmen wegen angeblicher Verstöße gegen das Russland-Embargo zeigen, dass sich die Strafverfolgung im Sanktionsrecht von der Randnotiz zum Kernbereich moderner Wirtschaftsstrafverfahren entwickelt hat. Wer exportiert, finanziert oder berät, steht längst im Fokus spezialisierter Ermittler – mit erheblichen persönlichen und wirtschaftlichen Risiken.

    (mehr …)
  • Desinformation: Gefahr von Fake News für Unternehmen

    Desinformation: Gefahr von Fake News für Unternehmen

    Wer ein Unternehmen führt, muss Desinformation oder Fake News inzwischen als eigenständige Risiko­kategorie begreifen, wie auch das Handelsblatt titelt: Binnen weniger Stunden kann heute ein anonymer Post Milliardenwerte vernichten – verstärkt durch synthetische Inhalte, die selbst Profis kaum noch von echten Aussagen unterscheiden können. Was früher nach Randphänomen aus Wahlkampagnen klang, trifft inzwischen DAX‑Konzerne, Mittelständler und Hidden Champions gleichermaßen: Desinformation ist vom Kommunikationsrisiko zum marktrelevanten Störfaktor geworden.

    Was lange wie ein Randphänomen aus der politischen Sphäre wirkte, entwickelt sich damit – neben dem gesellschaftlichen Sprengstoff insgesamt – zu einem milliardenschweren Geschäftsrisiko; befeuert durch leicht verfügbare KI-Werkzeuge, skalierbare Kampagneninfrastruktur und eine Medienökonomie, die Aufmerksamkeit belohnt, nicht Wahrheit. Parallel verschärft sich der regulatorische Rahmen: Mit dem EU‑KI‑Gesetz und dem Digital Services Act geraten Unternehmen zunehmend in die Pflicht, nicht nur ihre eigenen Systeme, sondern auch die Informationsumgebung rund um Produkte und Geschäftsmodelle im Blick zu behalten – Fehler können schnell einer Frage Frage von Compliance und persönlicher Haftung werden.​​

    Ich beschäftige mich hier im Blog seit Jahren mit dem Thema Desinformation, wobei ich dies in den Kontext von Cyberkriminalität packe. Wichtig ist mir das Herausarbeiten, dass Desinformation nicht irgendein Randbereich ist, der irgendwie die Politik betrifft, sondern dass es um ein konkret eingesetztes Instrument geht, um Gesellschaft und Wirtschaft negativ zu stören. Beachten Sie dazu auch meine bisherigen Publikationen in AnwZert ITR 3/2025 Anm. 2 und AnwZert ITR 22/2025 Anm. 2. Mein Faible für Kommunikationspsychologie ist, neben meiner Arbeit zum strategischen Denken, mit der Grund, warum ich das Thema immer wieder aufgreife. Im Rahmen meiner Lehraufträge vermittle ich Studenten den Umgang mit diesen modernen Themen, die nur scheinbar fernab klassischer Compliance liegen. Der Beitrag wurde im Februar 2026 aktualisiert mit Blick auf eine Veröffentlichung im Harvard Business Manager.

    (mehr …)
  • Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick

    Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick

    Cybervorfälle bleiben auch 2026 das wichtigste Geschäftsrisiko – doch inzwischen rückt ein weiterer Treiber nach vorne: Künstliche Intelligenz. Während Cyberangriffe ganze Lieferketten lahmlegen können, verschärfen KI-Systeme Haftungsrisiken, Compliance-Druck und Desinformationsgefahren.

    Unternehmen müssen ihre Risikostrategie deshalb neu justieren – weg von Einzelrisiken, hin zu einem integrierten Blick auf Cyber, KI, Betriebsunterbrechungen und Klimaauswirkungen. Die Allianz Risk Barometer für die Jahre 2025 und 2026 präsentieren die größten Herausforderungen, denen sich Unternehmen in einem zunehmend komplexen und vernetzten Risikoumfeld gegenübersehen. Hinweis: Der Beitrag aus dem Januar 2025 wurde im Januar 2026 aktualisiert.

    (mehr …)