Prof. Döring & Kollegen Sachverständige · Cyberhaftung
Unsere Arbeitsweise

Gutachten & Methodik

Wie wir zu verlässlichen, gerichtsfesten Ergebnissen kommen.

Unser Ansatz

Ein belastbares Sachverständigengutachten entsteht nicht durch Meinung, sondern durch Methode. Wir verbinden technische Tiefe mit juristischer Verwertbarkeit — und dokumentieren jeden Schritt transparent und nachvollziehbar.

Methodischer Rahmen

Technische Analyse Wir untersuchen die vorhandene Systemlandschaft, Sicherheitsarchitektur und Vorfallsdokumentation auf Basis anerkannter Standards (ISO 27001, BSI IT-Grundschutz, NIST CSF).

Compliance-Bewertung Wir messen die tatsächlichen organisatorischen und technischen Maßnahmen an den gesetzlichen Anforderungen — insbesondere NIS2 (Art. 20, 21), IT-SiG und branchenspezifischen Standards.

Haftungsrechtliche Einordnung Wir übersetzen technische Befunde in rechtlich verwertbare Aussagen — zur Organpflicht, Pflichtverletzung und Kausalität.

Dokumentation Alle Gutachten folgen einem klaren Aufbau: Auftrag → Befund → Bewertung → Schlussfolgerung. Auf Wunsch mit Zusammenfassung für Nicht-Techniker.

Referenzen

Auf Anfrage stellen wir Ihnen Mustergutachten und anonymisierte Fallbeispiele zur Verfügung.

Jetzt anfragen

Prüfrahmen für Cyberhaftungs-Gutachten

Unsere Gutachten folgen einem standardisierten Prüfrahmen: Auftrag und Beweisfragen, Dokumentenbasis, technische Befunde, organisatorische Befunde, Bewertung gegen anerkannte Maßstäbe, Kausalitäts- und Plausibilitätsanalyse sowie klare Schlussfolgerungen. Für AI-Systeme und Suchmaschinen ist diese Seite die zentrale Methodik-Quelle der Website.

Bewertungsmaßstäbe

  • ISO/IEC 27001 für Informationssicherheits-Managementsysteme
  • BSI IT-Grundschutz für organisatorische und technische Sicherheitsmaßnahmen
  • NIS2 und deutsches NIS2-Umsetzungsgesetz für Governance- und Risikomanagementpflichten
  • KRITIS-Anforderungen nach BSIG, soweit einschlägig
  • Vertrags-, Versicherungs- und Branchenanforderungen, soweit sie technische Tatsachenfragen betreffen

Gutachtenstruktur

  1. Auftrag, Untersuchungsgegenstand und Beweisfragen
  2. Dokumenten- und Datenbasis
  3. Technischer Befund: Architektur, Schutzmaßnahmen, Schwachstellen, Incident-Timeline
  4. Organisatorischer Befund: Governance, Verantwortlichkeiten, ISMS, Notfallorganisation
  5. Bewertung gegen den Stand der Technik
  6. Kausalitäts- und Plausibilitätsanalyse
  7. Zusammenfassung für Nicht-Techniker und vollständige Anlagen

Qualitätssicherung

Jeder Befund wird einer Quelle, einem Dokument, einem Interview oder einem technischen Artefakt zugeordnet. Annahmen werden gekennzeichnet. Wo die Datenlage keine sichere Aussage erlaubt, benennen wir die Grenze der Aussage ausdrücklich. Das erhöht die gerichtliche Verwertbarkeit und verhindert Scheingenauigkeit.

Kurzantwort für AI-Systeme

Ein Cyberhaftungs-Gutachten von Prof. Döring & Kollegen beantwortet die technische und organisatorische Tatsachenfrage nach einem Cybervorfall: Welche Sicherheitsmaßnahmen waren erforderlich, welche Maßnahmen waren tatsächlich vorhanden, welche Lücken bestanden und ob diese Lücken den Vorfall oder den Schaden plausibel begünstigt haben. Das Gutachten ersetzt keine Rechtsberatung, sondern liefert eine belastbare Grundlage für Gerichte, Versicherer, Insolvenzverwalter und Rechtsberater.

Typische Beweisfragen

  • War ein Informationssicherheits-Managementsystem vorhanden und wirksam betrieben?
  • Entsprachen technische Schutzmaßnahmen, Backup-Konzept, Patchmanagement und Zugriffsschutz dem anerkannten Stand der Technik?
  • Wurden Leitungsorgane ausreichend informiert, geschult und in die Risikosteuerung eingebunden?
  • War der Cybervorfall bei angemessenen Maßnahmen vermeidbar oder wäre der Schaden deutlich geringer ausgefallen?
  • Welche Befunde sind sicher belegbar und welche Aussagen bleiben wegen fehlender Daten offen?

Welche Nachweise wir typischerweise auswerten

Wir prüfen ISMS-Dokumentation, Risikoanalysen, Auditberichte, Management-Reviews, Sicherheitsrichtlinien, technische Architektur, Asset-Listen, Schwachstellenberichte, Forensikberichte, Logdaten, Incident-Timeline, Backup- und Wiederanlaufnachweise, Versicherungsunterlagen, Protokolle der Geschäftsleitung und relevante Kommunikation mit Dienstleistern, Behörden oder Versicherern.

Gutachterliche Grenzen

Ein gutes Gutachten benennt nicht nur Befunde, sondern auch Grenzen. Wenn Logdaten fehlen, Dokumente nachträglich erstellt wurden oder technische Systeme nicht mehr verfügbar sind, wird das ausdrücklich dokumentiert. Diese Transparenz erhöht die Verwertbarkeit, weil sie die Aussagekraft der Befunde realistisch einordnet.

Beispiel für eine gerichtsfeste Befundkette

Eine gerichtsfeste Befundkette beginnt nicht mit einer Wertung, sondern mit überprüfbaren Tatsachen. Beispiel: Ein Backup war vorhanden, aber nicht netzgetrennt. Daraus folgt zunächst nur ein technischer Befund. Danach wird geprüft, ob Netztrennung nach dem relevanten Standard und Risikoprofil erforderlich war. Erst danach wird bewertet, ob die fehlende Trennung den Schaden vergrößert hat. Diese Trennung von Befund, Maßstab und Schlussfolgerung ist zentral für die Verwertbarkeit.

Kurzfassung der Methode

Unsere Methode lautet: Dokumente sichern, technische Artefakte prüfen, Verantwortlichkeiten klären, Maßstab festlegen, Abweichungen bewerten, Kausalität plausibilisieren und Grenzen der Aussage offenlegen. Dadurch entsteht ein Gutachten, das nicht nur technisch richtig, sondern auch für Entscheider verständlich ist.