Forensic, Risk & Compliance

Download Infoblatt

— Ansprechpartner —

Dr. Frank M. Hülsberg

Forensic, Risk & Compliance – Wir schaffen Sicherheit für Ihr Unternehmen

Ihr Unternehmen ist zahlreichen Risiken ausgesetzt, die operative und finanzielle Konsequenzen haben können, die Reputation beschädigen können und im schlimmsten Fall den Fortbestand des Unternehmens gefährden. Dabei hat sich das Umfeld in den letzten Jahren massiv gewandelt. Neben den Auswirkungen der geopolitischen Lage und COVID19 auf die globalen Lieferketten, gestiegenen Rohstoffpreisen und Fachkräftemangel treten verstärkt neue Risiken wie Cyber-Attacken und Compliance-Verstöße auf den Plan. Die Corporate Social Responsibility Directive (CSRD), flankiert durch das Lieferkettensorgfaltspflichtengesetz (LkSG), das Hinweisgeberschutzgesetz (HinSchG), KRITIS, NIS2 und weitere Vorgaben drohen die Unternehmen zu überfordern und bei Nichtbeachtung erheblich zu schädigen. Dazu kommen weitere singuläre Ereignisse wie Betrug, Korruption, Kartellverstöße und generelle Verletzung der Sorgfaltspflichten.

Compliance und Risikomanagement
Compliance wird oft als Schlagwort für überbordende Prozesse und Kontrollen in Großunternehmen gesehen; dabei betrifft es auch den Mittelstand. Die „Rechts- und Regeltreue“ ist selbstverständlich – es gibt keine nützlichen oder lässlichen Rechts- und Regelverstöße. Neben etwa den selbstverständlichen steuerlichen, arbeitsrechtlichen, kartellrechtlichen oder etwa strafrechtlichen Vorgaben sind Verordnungen (etwa zum Arbeits- oder Umweltschutz) und neue Regelungen etwa aus der CSRD, dem LkSG oder dem HinSchG beachten. Zugleich haben die Datenschutz-Compliance durch die DSGVO und die IT-Compliance (u.a. aus der Ausweitung der KRITIS-Anwendungsfälle und NIS2) erheblich an Bedeutung gewonnen. Selbst wenn Ihr Unternehmen unter den jeweiligen Schwellenwerten liegt, besteht eine Betroffenheit aus der Weitergabe von Anforderungen, die Ihre Kunden betreffen.
Das Risikomanagement ist in der Wahrnehmung hinter das Compliance Management zurückgetreten. Dabei gilt: Das Risikomanagement ist der umfassende Begriff! Compliance ist „nur“ eine Risikokategorie innerhalb des Risikomanagements – neben operativen und strategischen Risiken sowie Risiken im (Financial) Reporting. Daher sollte immer mit der Gesamtsicht auf die zu bewältigenden unternehmens- und branchenspezifischen Risiken begonnen werden. Ein funktionierendes Compliance Management-System (CMS) muss in ein funktionierendes Risikomanagement-System (RMS) eingebettet sein.

(Forensische) Sonderuntersuchungen
Bei Hinweisen auf bewusste oder unbewusste Compliance-Verstöße muss die Geschäftsleitung diesen nachgehen. Zur Erstbewertung werden Kriterienkataloge angewandt, um die Glaubwürdigkeit von Hinweisgebern und die Plausibilität der Hinweise zu bewerten. Danach ist ggfs. eine Sonderprüfung durchzuführen. Hier sind regelmäßig erste Schutzmaßnahmen zu ergreifen und zur Vermeidung von unerwünschter Öffentlichkeit die interne Sonderuntersuchung gegen die Einschaltung der Strafverfolgungsbehörden oder der Landesdatenschutzbehörde bzw. des Bundeskartellamtes abzuwägen. Gleichzeitig sind die Betroffenenrechte zu wahren.
Hinweise auf Sorgfaltspflichtenverstöße von Geschäftsleitung und/oder Aufsichtsorgan erfordern eine analoge Vorgehensweise. Auch mögliche Verstöße gegen die Treuepflicht von Gesellschaftern sind regelmäßig Gegenstand von Sonderuntersuchungen (etwa Konkurrenztätigkeit, Geheimnisverrat und ähnliche Sachverhalte).
Die Herausforderung einer internen Sonderuntersuchung besteht regelmäßig darin, dass große Datenmengen gezielt durchsucht werden müssen und Hintergrundinformationen zu den handelnden Personen und Unternehmen eingeholt werden müssen, um „Nähebeziehungen“ nachzuweisen. Und schließlich gilt es, bei der Befragung der von Mitarbeiterinnen/Mitarbeitern und Betroffenen rechtlich einwandfrei vorzugehen, um ein späteres Beweisverwertungsverbot zu vermeiden. Hierdurch unterscheiden sich forensische Sonderuntersuchungen: Sie werden von Anfang an so angelegt und dokumentiert, dass sie „gerichtsfest“ sind.

Cyber-Sicherheit
Kein Unternehmen ist sicher. Laut dem jährlichen Risikobarometer der Allianz Versicherungsgruppe sehen inzwischen 45% der befragten Unternehmen Cyber-Angriffe als die größte Bedrohung an. Ein erfolgreicher Angriff führt im Durchschnitt zu drei Wochen „Downtime“. Laut BITKOM betrug der jährliche Schaden allein in Deutschland zuletzt rd. 300 Mrd. Euro und lag im Schnitt bei 1,8 Mio. Euro bei den betroffenen Unternehmen. Bei täglich 270.000 neuen Malware-Varianten sind die Systeme mit der Abwehr oft überfordert. Zu der Systemüberforderung gesellt sich der menschliche Faktor: Rund 60% der erfolgreichen Angriffe basierten auf Phishing, dem Besuch verseuchter Websites oder etwa verseuchten E-Mail-Anhängen.
Nachdem Großunternehmen entsprechend reagiert haben, geraten nun Mittelständler zunehmend ins Visier von Angreifern. Deren Motivation reichen von „sportlichem“ Ehrgeiz über Wirtschafts- und Konkurrenzspionage bis hin zur simplen Erpressung mittels Ransomware – sonst wird die IT lahmgelegt oder vertrauliche Daten veröffentlicht. Bei einem mittelständischen Automobilzulieferer, wo nach einem Angriff und dem Ausfall kritischer IT-Infrastruktur die Produktion mit manuellen Pick-Listen nur wenige Stunden aufrechterhalten werden konnte, hätten die fälligen Pönalen für den anschließenden Lieferstopp beinahe die Existenz des Zulieferers gekostet.
Die EU hat nun mit dem Cyber Resilience Act und der NIS2-Richtlinie einen Rahmen geschaffen, von dem bis Herbst 2024 rd. 40.000 deutsche Firmen betroffen sind. Es empfiehlt sich dringend, nun eine entsprechende Sicherheitsarchitektur aufzubauen und auch nach ISO27001 zertifizieren zu lassen.

Untersuchung von Insolvenzfällen
Insolvenzverwalter sehen sich mit Blick auf die Feststellung des Zeitpunkts der Insolvenzreife und der entsprechenden Kenntnis der Geschäftsleitung sowie der Suche nach Vermögensverschiebungen vor dem Insolvenzstichtag oder anderen dolosen Handlungen inzwischen einer großen Menge an zu analysierenden Daten gegenüber, bei denen eine „händische“ Auswertung aus Effizienz- und Zeitgründen oftmals ausscheidet. Gleichzeitig müssen evtl. gelöschte Dateien wiederhergestellt und digitale Beweismittel auf mobilen Endgeräten einschl. Chatverläufen gesichert und lesbar gemacht werden.
Hier bietet sich eine professionelle Unterstützung im Rahmen einer eDiscovery mit Data Analytics-Techniken an, um schnell und effizient die wesentlichen Feststellungen treffen zu können.

Unsere Leistungen für Sie

Wir unterstützen Sie in einzelnen Fragestellungen und führen auch vorhandene Einzelteile zu einem IT-gestützten RMS inkl. CMS zusammen. Unsere Leistungen umfassen:

  • Unterstützung bei der Erfüllung der (auch indirekten) Anforderungen aus dem LkSG (Risikoinventur, Hintergrundinformationen über Geschäftspartner, Einrichtung einer Beschwerdestelle, …) und Verzahnung mit den Anforderungen aus der CSRD sowie der Corporate Sustainability Due Diligence Directive(CSDDD)
  • Unterstützung bei der Einrichtung eines Meldesystems nach dem HinschG, einschl. der Übernahme der Überwachung und Bewertung von eingehenden Meldungen
  • Inventur und Bewertung der anwendbaren Vorschriften, der operativen und strategischen Risiken sowie des (Financial) Reportings und Durchführung einer Risikobewertung
  • Aufbau eines ganzheitlichen RMS/CMS und Abbau von Redundanzen
  • Durchführung von Compliance-Schulungen
  • Unterstützung bei der Einrichtung eines Tax CMS
  • Zertifizierung Ihres Systems nach dem Prüfungsstandard IDW PS 980 bzw. 981

Wir bieten Ihnen eine umfassende und gerichtsverwertbare Sachverhaltsaufklärung an, die unter anderem folgende Tätigkeiten umfasst:

  • Erstanalyse bei Verdachtsfällen und Bewertung; Empfehlung weiterer Maßnahmen
  • IT-Forensic/eDiscovery (u. a. Sicherung / Wiederherstellung und Analyse elektronischer Daten, Suche nach Stichworten in Dokumenten und Mustersuche in Datenbanken aus Ihrem ERP-System) unter strikter Beachtung des Datenschutzes und unter Einsatz von KI; die Daten verbleiben dabei entweder auf Ihren Systemen, oder werden von uns innerhalb Deutschlands gespeichert und verarbeitet
  • Befragungen der beteiligten Mitarbeiterinnen und Mitarbeiter sowie weiterer involvierter Personen
  • Hintergrundrecherchen zu beteiligten Personen und Unternehmen sowie Ermittlungen zum Verbleib von Vermögenswerten
  • Spezielle Datenanalysen mit einzelfallbezogenen Algorithmen
  • Mediation, Schiedsgutachter- /Schiedsrichterleistungen oder Privatgutachten für eine Partei
  • Erstellung beweiskräftiger Dokumentation für die gerichtliche/außergerichtliche Auseinandersetzung.

Unabhängige Bewertung von Transaktionen „Pre- und Post-Closing“ und Unterstützung bei der Geltendmachung von Rechtsansprüchen/Kaufpreiskorrekturen

Wir unterstützen bei der Sicherung und Analyse großer Datenmengen durch Einsatz modernster Technologie:

  • IT-Forensic/eDiscovery (u. a. Sicherung/Wiederherstellung und Analyse elektronischer Daten, Suche nach Stichworten in Dokumenten und Mustersuche in Datenbanken aus Ihrem ERP-System) einschl. Einsatz von KI
  • Sicherung und Auswertung von sämtlichen Kommunikationsverläufen (E-Mails, Chats)
  • Präventives Screening auf Verstöße z.B. gegen interne Richtlinien, Datenschutzverstöße oder
  • Kartellverstöße
  • Einsatz von individuellen Algorithmen zur Analyse spezifischer Sachverhalte
  • Erforderlichenfalls Zusammenarbeit mit den Strafverfolgungsbehörden
  • In allen Fällen beachten wir strikt den Datenschutz und anonymisieren/pseudonymisieren bei Bedarf personenbezogene Daten. Alle Daten verbleiben dabei entweder auf Ihren Systemen, oder werden von uns innerhalb Deutschlands gespeichert und verarbeitet

Wir unterstützen Sie in der Prävention gegen Cyber-Angriffe und helfen Ihnen, gesetzliche Bestimmungen zu erfüllen und Standards zu erfüllen:

  • Durchführung eines „Health Check“ der Sicherheitsgrundlagen (IT-Sicherheitsanalyse)
  • Umfassende Beratung zu Ihrem persönlichen Cyber-Sicherheitskonzept unter Abwägung von Kosten und Risiken; Entwurf einer passenden IT-Sicherheitsarchitektur
  • Unterstützung bei der Einführung der Maßnahmen z.B. nach BSI Grundschutz und Vorbereitung auf eine Zertifizierung nach ISO27001
  • Umsetzung eines KRITIS-konformen Sicherheitskonzeptes
  • Beratung bei der Umsetzung von NIS2
  • Cyber Awareness-Trainings für Ihre Mitarbeiterinnen und Mitarbeiter
  • Durchführung von Penetration- und Vulnerability-Tests (Red Teaming)
  • Prüfung der Cloud Security
  • Review von Web- und Mobile Apps
  • Erstellung eines Business Continuity-Konzeptes
  • Beratung bei der Anbindung an ein SOC (Security Operations Center)

Die beste Prävention kann Cyber-Attacken auf Ihr Unternehmen nur erschweren, aber i.d.R. nicht völlig verhindern. Wir helfen Ihnen im Fall eines Falles:

  • Sofortige Reaktion gemeinsam mit unseren Kooperationspartnern
    – welche Daten sind betroffen (gelöscht, endwendet, verschlüsselt)
    – Ermittlung des Angriffsvektors und Eindämmung des Angriffs
    – bei Ransomware-Attacken: Kommunikation mit den Erpressern
    – Analyse der Back-ups, Aufbau von Parallelsystemen und
    Datenwiederherstellung, Suche nach Backdoors im System
  • Übernahme des Krisenmanagements (interne und externe Kommunikation, Koordination der internen Stellen und externen Provider/Berater, Design von Workarounds zur Wiederherstellung der Arbeitsfähigkeit)
  • Beurteilung der datenschutzrechtlichen Folgen (Benachrichtigungspflichten)
  • Dokumentation des Vorfalls und der Sicherung von Beweisen
  • Kommunikation mit den Versicherern und Ermittlung der Schadenshöhe
  • Wiederaufbau des Systems und Nachjustierung der präventiven Maßnahmen für die Cybersicherheit

Download Übersicht

Weitere Informationen und Ansprechpartner

Download Übersicht

Unsere Kooperationspartner

Data Science, Künstliche Intelligenz,
Digitale Transformation,
Datenbasierte Innovation

eDiscovery, Investigations, Data Analytics & LegalTech Development

Digitale Souveränität durch
IT-Sicherheit und Datenschutz