Skip to main content

Anwalt IT-Sicherheit

0 40/32 08 13 35

Fragen der IT-Sicherheit rücken daher zunehmend in den Fokus sowohl gewerblicher als auch privater Nutzer. Sie kostet zwar Geld, und ein konkreter Nutzen ist zunächst nicht festzustellen. Ein stetiger Anstieg der Internetkriminalität und der Berichte hierüber weckt nun jedoch die Sensibilität der Nutzer. Im Darknet wird CaaS (Crime as a Service) für diejenigen angeboten, die Straftaten ohne eigene technische Kenntnisse ausführen wollen. Effektive Abwehr solcher Angriffe ist daher für jeden Nutzer zwingend erforderlich. Denn Angriffe erfolgen zielgerichtet und geplant in der Regel mit dem Ziel, Geld zu generieren.

Viele Apps übertragen sensible Daten an Werbe- und Trackingnetzwerke, etwa Zugangsdaten, IMEI und WIFI-MAC-Adresse (Gerätekennungen), WIFI-SSID (Netzwerkname des verbundenen Routers), Gerätetyp, Betriebssystem und Provider, GPS- und Geodaten. Dies gilt für Appsfür iOS, Android, Blackberry oder Windows Phone gleichermaßen.

Das Bundesamt für Sicherheit in der Informationstechnik zertifiziert Security-Lösungen; Penetrationstests werden als laufender Service angeboten (PaPPS).

Insbesondere Erpressung und Sabotage im Internet nehmen nach dem Bundeslagebild Cybercrime des Bundeskriminalamtes zu. Die Landeskriminalämter haben "Zentrale Ansprechstellen für Cyberkriminalität" (ZAC) eingerichtet. Diese sollten gewährleisten, daß in allen Bundesländern trotz unterschiedlicher interner Polizeiorganisation unter der gleichen Bezeichnung ein Ansprechpartner zur Verfügung steht. Es wird von einer erheblichen Dunkelziffer ausgegangen, da nicht selten die drohende Rufschädigung und die Befürchtung, Ermittlungsmaßnahmen könnten den Betriebsablauf stören, Unternehmen von einer Strafanzeige abhalten.

2018 wird das Internet 28 Jahre alt. Die Bedeutung und der Umsatz der Internetwirtschaft steigt stetig. Dem steht der Verlust durch Cyberattacken gegenüber, der für 2013 auf 1,6% des Bruttoinlandsproduktes geschätzt wird, dies entspricht 43 Milliarden Euro. Mit dem Entwurf eines IT-Sicherheitsgesetzes ist der Grundstein für eine rechtliche Regelung gelegt. Schon die Eindämmung dieses Verlustrisikos rechtfertigt es, externe Experten hinzuzuziehen.

Existenzbedrohend kann es für Unternehmen sein, wenn Sicherheitsvorfälle öffentlich bekannt gemacht werden müssen: Nach § 42a Bundesdatenschutzgesetz (BDSG) ist dies der Fall, wenn festgestellt wird, daß besondere Arten personenbezogener Daten, personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Sowohl die zuständige Aufsichtsbehörde als auch den Betroffenen ist unverzüglich Mitteilung zu machen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen wurden und die Strafverfolgung nicht mehr gefährdet ist. Zusätzlich muß die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern,  insbesondere aufgrund der Vielzahl der betroffenen Fälle.

Veröffentlichung

IT-Recht bei Sicherheitsvorfällen

Erschienen im Mittler Report anlaäßlich der IT-SA 2017

Penetrationstests können helfen, Schwachstellen systematisch aufzudecken. Webserver, Firewalls und Intrusion- Prevention-Systeme, Content-Scanner, Patch-Management, Antivirus-Lösungen und interne Netze können einer Black-Box oder White-Box-Testung unterzugen werden, wobei bei letzterem die Informationsbeschaffung aus öffentlich zugänglichen Quellen weitgehend durch die Informationsbereitstellung durch den Auftraggeber ersetzt wird. Über das sogenannte Fingerprinting werden Informationen über Betriebssysteme, Applikationen und Dienste eruiert. Schwachstellen werden dann gezielt gesucht, um über diese einen geziehlten Angriff auf die Systeme durchzuführen. Die gefundenen Schwachstellen werden einer Risikobewertung unterzogen; konkrete Handlungsempfehlungen dienen künftiger Abwehr von Attacken. Vor Durchführung eines Penetrationstests ist sicherzustellen, daß alle Komponenten im Eigentum des Auftraggebers stehen oder Drittbetroffene ihr Einverständnis erklärt haben.

Kryptographieverfahren gewinnen insbesondere beim Outsourcing an Bedeutung: Insbesondere die Verschlüsselung von Daten vor der Übertragung in die Cloud, beim Transfer in die Cloud und in der Cloud selbst ist zwingend erforderlich. Gleichwohl sollten nur solche Daten ausgelagert werden, die sich im Falle ihres Verlustes nicht existenzvernichtend auswirken.