Cybersicherheit ist in der Unternehmenswelt wohlbekannt, aber die Aufmerksamkeit verlagert sich immer mehr auf Cyber-Resilienz und Cybersicherheit und den Unterschied zwischen beiden. Für Rechtsabteilungen und Governance-Verantwortliche, die mit hochsensiblen und vertraulichen Informationen umgehen, ist Cybersicherheit nicht verhandelbar. Selbst ohne direkte Verantwortung für die Sicherheitsimplementierung kennen sie die Risiken, die mit einem schwachen Cyber-Resilienz-Profil verbunden sind.
Resilienz ist heute zu einem allgemeinen Versprechen auf dem Markt geworden. Die Anbieter behaupten, dass sie sicher sind, und positionieren sich selbst als Grundlage für eine starke Cyber-Resilienz-Strategie. Für Führungsteams und Rechtsexperten stellt sich die Frage, ob diese Behauptungen im Falle einer Störung Bestand haben.
Um die Marketingsprache zu durchbrechen, muss man zunächst verstehen, was Cyber-Resilienz und was Cybersicherheit ist. Dann sollten die Rechtsabteilung, die Compliance-Abteilung und andere Beteiligte klare Antworten auf eine kurze Liste von Fragen verlangen, bevor sie einen Anbieter auswählen, der sensible Unternehmensdaten verarbeitet.
Cyber-Resilienz vs. Cybersicherheit
Bei der Cybersicherheit steht traditionell die Prävention im Vordergrund, d. h. die Abwehr von Angriffen, um die Gefährdung zu verringern. Cyber-Resilienz bezieht sich auf die Fähigkeit eines Unternehmens, nicht nur Angriffe zu verhindern, sondern auch umgehend zu reagieren und den Betrieb auch unter widrigen Umständen aufrechtzuerhalten.
Cyber-Resilienz und Cybersicherheit sind keine wirklichen Gegensätze. Sie gehen Cyber-Bedrohungen aus unterschiedlichen Blickwinkeln an. Gartner geht sogar davon aus, dass bis 2028 die Hälfte der CISOs ihre Cybersicherheitsprogramme offiziell als Cyber-Resilienz-Programme umbenennen werden.
Der Grund? Cybersicherheit allein ist nicht mehr genug. Störende Vorfälle sind unvermeidlich, vor allem wenn KI-gestützte Tools Teil der täglichen Arbeit werden. Was am meisten zählt, ist die Bereitschaft und die Fähigkeit zur Wiederherstellung. Cyber-Resilienz ist ein umfassenderes Konzept, das darauf abzielt, die Auswirkungen auf die Geschäftsziele zu minimieren und die Kontinuität zu gewährleisten, nicht nur die Systeme vor Zwischenfällen zu schützen.
Diese Verschiebung trägt auch dazu bei, den Marketinglärm zu erklären, der um das Konzept entstehen wird, und den Hype, der darauf folgen könnte. Für Governance-Funktionen und Rechtsabteilungen ist die Auswirkung direkt. Wenn es zu einer Unterbrechung kommt, muss das Unternehmen nachweisen, dass es vertretbare Entscheidungen getroffen, die gesetzlichen Vorschriften eingehalten, eine klare Verantwortungskette aufrechterhalten und Dritte verantwortungsvoll verwaltet hat.
5 Fragen an Ihren Dienstanbieter
Um sicherzustellen, dass ein Dienstanbieter nicht nur die Mindestanforderungen an die Cybersicherheit erfüllt, kann es hilfreich sein, den Begriff der Cyber-Resilienz im Gegensatz zur Cybersicherheit zu betrachten. Es gibt mehrere Fragen, die die Führung leiten können. Dies ist entscheidend, um die richtige Entscheidung zu treffen, wenn es um Legal Tech-Lösungen geht. Ganz gleich, ob es sich um ein Vertragsmanagement-Tool, ein Entity Management oder eine vollständig integrierte Legal Suite handelt, diese Fragen werden Ihnen helfen:
1. Sind Sie unabhängig zertifiziert, und können Sie dies nachweisen?
Es gibt obligatorische und nicht obligatorische Compliance-Anforderungen für Technologieanbieter, und in der Rechtstechnologie sind sogar die nicht obligatorischen von Bedeutung. Jeder Anbieter kann behaupten, dass er sich an bewährte Verfahren hält und auf Zertifizierungen verweisen. Das ist ein guter Anfang. Zertifizierungen zeigen, dass die Praktiken geprüft und beibehalten werden, aber die eigentliche Frage ist, wie ernst ein Anbieter sie nimmt.
Für viele Anbieter von Rechtsdienstleistungen ist eine SOC-2-Attestierung mittlerweile praktisch unverzichtbar. Sie ergänzt ISO 27001 und wird im Rahmen eines externen Audits durch unabhängige Prüfer bestätigt. Um eine SOC-2-Attestierung zu erhalten, müssen die Systeme eines Anbieters definierte Anforderungen in den Bereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz erfüllen.
Was Sie anfordern sollten:
Legal Tech-Anbieter führen ihre Zertifizierungen in der Regel auf einer eigenen Seite auf. DiliTrust beispielsweise verfügt über Zertifizierungen nach den oben genannten Standards und gibt an, dass seine Sicherheitsrichtlinie durch ISO-Zertifizierungen sowie einen SOC-2-Bericht validiert ist.
2. Wo werden Daten gehostet, und welche Rechtsordnungen gelten dafür?
Rechtsabteilungen und Verantwortliche für Governance wissen, wie wichtig das Datenhosting ist. Nicht alle Kunden haben die gleichen Bedürfnisse oder Anforderungen, und der Datenstandort hat direkte Auswirkungen auf die Einhaltung regulatorischer Vorgaben und auf Datensouveränität.
Ein glaubwürdiger Legal Tech-Anbieter sollte sein Hosting-Modell klar erläutern, einschließlich der physischen Sicherheitsmaßnahmen und der Art und Weise, wie grenzüberschreitende Abhängigkeiten gehandhabt werden. Bei Lösungen wie Vertragsmanagement- oder Board-Management-Plattformen ist es im Allgemeinen besser, mit Dienstleistern zusammenzuarbeiten, die Server in verschiedenen Regionen betreiben, anstatt alles an einem einzigen Standort zu zentralisieren.
Was Sie anfordern sollten:
Ein gutes Beispiel ist DiliTrusts Verpflichtung zu lokalem Hosting und kontinuierlichem Monitoring, um unbefugten Zugriff auf Daten zu verhindern. Derzeit befinden sich die Server von DiliTrust in verschiedenen Regionen, um den Kundenbedürfnissen bestmöglich gerecht zu werden. So hat das Unternehmen beispielsweise die lokalen Hosting-Optionen auf die Regionen Saudi-Arabien und VAE ausgeweitet.
3. Verfolgen Sie ein Zero-Access-Modell und wie wird es durchgesetzt?
Der Zugriff von Mitarbeitenden eines Anbieters auf Kundendaten ist einer der am häufigsten unterschätzten Risikofaktoren. Datenhosting und Zertifizierungen werden oft als sichtbare Grundlage der Cyber-Resilienz betrachtet, doch interne Zugriffskontrollen können die größten Sicherheitslücken verbergen.
Eine starke Sicherheitslage erfordert ein striktes Modell der Zugangsverwaltung, das idealerweise auf das Zero-Access-Prinzip ausgerichtet ist. Was ist darunter zu verstehen? Das Zero-Access-Modell, nicht zu verwechseln mit Zero Trust oder Zero Trust Network Access, bedeutet, dass der Dienstanbieter keinen internen Standardzugang zu den Kundendaten hat. Die Kundendaten verbleiben unter der ausschließlichen Kontrolle des Kunden, wobei der Zugriff nur über kontrollierte und dokumentierte Ausnahmeverfahren möglich ist, sofern anwendbar.
Was Sie beantragen sollten:
Jeder Legal Tech-Anbieter sollte klar darlegen können, wer unter welchen Bedingungen auf die Kundenumgebung zugreifen darf und wie der Zugriff kontrolliert, überwacht und im Laufe der Zeit überprüft wird. DiliTrust arbeitet nach einem Zero-Access-Modell, bei dem die Teams keinen Zugriff auf sensible Kundeninformationen haben und die Kundendaten unter der ausschließlichen Kontrolle des Kunden bleiben.
4. Welche Identitäts- und Zugriffskontrollen sind für Benutzer verfügbar?
Die Identitäts- und Zugangsverwaltung ist eine zentrale Komponente der Cyber-Resilienz. Viele Sicherheitsvorfälle beginnen nicht mit ausgeklügelten Angriffen, sondern mit kompromittierten Anmeldedaten. Ein Legal Tech-Anbieter sollte strenge Authentifizierungsstandards und ein Identitätsmanagement auf Unternehmensebene unterstützen, um die Gefährdung zu verringern und die Auswirkungen eines unbefugten Zugriffs zu begrenzen.
In der Praxis sollte ein Anbieter Identitätsfunktionen wie Zwei-Faktor-Authentifizierung und Einzelanmeldung anbieten, die es den Kunden ermöglichen, teamübergreifend sichere Zugriffsrichtlinien durchzusetzen. Dies ist besonders wichtig in Umgebungen mit hohem Risiko, wie z. B. bei Board-Management-Plattformen, wo der Zugriff oft nicht nur auf interne Nutzer, sondern auch auf Assistenten der Geschäftsführung, externe Direktoren und gelegentliche Teilnehmer beschränkt ist. Wenn beispielsweise Boardmitglieder von verschiedenen Geräten oder Standorten aus an Meetings teilnehmen, kann mit Single Sign On sichergestellt werden, dass der Zugriff an die Identitätskontrollen des Unternehmens gebunden bleibt.
Was Sie beantragen sollten:
DiliTrust hebt die Zugangskontrollen für Benutzer, wie z.B. Zwei-Faktor-Authentifizierung und Single-Sign-On-Funktionen, als Teil seiner Sicherheitsmaßnahmen hervor, um sicherzustellen, dass nur autorisierte Nutzer auf Daten zugreifen oder diese manipulieren können.
5. Wie weisen Sie die kontinuierliche Sicherheit nach, nicht nur die jährliche Sicherheit?
Sicherheit ist keine einmalige Leistung, die Anbieter einfach von einer Checkliste abhaken können. Sie ist ein kontinuierlicher Prozess und muss in die allgemeine Unternehmensstrategie eingebettet sein. Für Unternehmen, die ihre Governance-Prozesse digitalisieren wollen, ist es entscheidend, die kontinuierliche Stärke des Sicherheitsprogramms ihres Legal Tech-Anbieters zu bewerten.
Die Arbeit im Bereich Recht und Governance ist komplex, sensibel und höchst vertraulich. Um unter den richtigen Bedingungen zu arbeiten, müssen sich die Teams auf den Nachweis einer kontinuierlichen Überwachung, regelmäßiger Sicherheitsaktualisierungen, Mitarbeiterschulungen und einer klaren Verantwortlichkeit für den Datenschutz verlassen können. Dieser Nachweis kann viele Formen annehmen, von wiederkehrenden Mitarbeiterschulungen bis hin zu veröffentlichten Verhaltenskodizes. Besonders wichtig ist dies heute bei KI-bezogenen Anwendungsfällen sowie im Hinblick auf die Aufrechterhaltung dokumentierter und durchsetzbarer Sicherheitsrichtlinien.
Was Sie beantragen sollten:
Heute erfordern zahlreiche Vorschriften präzise und gut dokumentierte Maßnahmen zur Reaktion auf Vorfälle. Dies spiegelt sich im Jahr 2025 mit dem Inkrafttreten von DORA in der Europäischen Union wider. DiliTrust bietet Corporate-Governance-Tools zur Unterstützung der DORA-Compliance für Rechtsabteilungen. Unternehmen sollten sicherstellen, dass ihre Dienstleister mit den sich weiterentwickelnden Vorschriften Schritt halten und Sicherheit als kontinuierliche Aufgabe betrachten.
Bereit für DORA?
Sehen Sie sich unser Webinar zu DORA an, in dem wir die Grundsätze dieses neuen Rechtsrahmens erläutern und praktische Tipps zur Vorbereitung auf die Einhaltung der DORA-Richtlinien geben.
Cyber-Resilienz vs. Cybersicherheit: eine Frage von Transparenz und Nachweis
Cyber-Resilienz vs. Cybersicherheit ist keine Wahl. Cybersicherheit konzentriert sich auf die Verringerung der Gefährdung. Die Cyber-Resilienz baut auf dieser Grundlage auf und stellt sicher, dass ein Unternehmen bei einer Störung reagieren, sich erholen und den Betrieb fortsetzen kann.
Deshalb ist die Due-Diligence-Prüfung von Anbietern nicht nur für die Compliance wichtig. Die fünf oben genannten Fragen helfen dabei, festzustellen, ob ein Legal Tech-Anbieter Kontinuität, Verantwortlichkeit und die Bereitschaft zur Einhaltung von Vorschriften im Laufe der Zeit unterstützen kann. Für Rechts- und Governance-Teams ist dies von entscheidender Bedeutung, da Unterbrechungen schnell zu einer Frage der Verantwortung, der Beweise und des Risikos für Dritte werden.
Letztlich hängt die Cyber-Resilienz von dem Ökosystem ab, auf das Sie sich verlassen. Wenn ein Anbieter nicht in der Lage ist, die Grundlagen der Widerstandsfähigkeit transparent und nachweislich zu demonstrieren, ist Ihre eigene Cyber-Resilienz gefährdet, unabhängig davon, wie stark Ihre internen Richtlinien sein mögen.
