topic - Kurzbeschreibung

Rechtslage

Penetrationstests werden nach verschiedenen Rechtsquellen verlangt

• Beispielsweise fordert Vorlage:§ Abs. 6 der IT-Sicherheitsverordnung Portalverbund, dass insbesondere IT-Komponenten, die über eine technische Schnittstelle unmittelbar mit dem Internet verbunden sind, erst einem Penetrationstest und einem Webcheck nach den Vorgaben des BSI zu unterziehen seien.
• Nach Vorlage:§ Abs. 3 der Digitale Gesundheitsanwendungen-Verordnung kann das Bundesinstitut für Arzneimittel und Medizinprodukte zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests verlangen.
• Dabei berufen sich die Basisanforderungen^[1] auf das vom BSI empfohlene Durchführungskonzept für Penetrationstests.^[2]

Artikel 2 des Übereinkommens über Computerkriminalität

• Verlangt von ihren Unterzeichnern, „den unbefugten Zugang zu einem Computersystem“ als Straftat zu umschreiben.
• Entsprechende strafrechtliche Regelungen finden sich in Deutschland, Österreich und der Schweiz (sowie anderen Ländern).
• Eine Befugnis zu Penetrationstests kann sich z. B.  durch gesetzliche Regelung oder durch vertragliche Vereinbarung zwischen der zu testenden und der den Test durchführenden Organisation ergeben.
• Zur Umsetzung des Übereinkommens hat der deutsche Gesetzgeber den unbefugten Zugang zu Daten als Ausspähen von Daten unter Strafe gestellt.
• Dieses Ausspähen ist ein Antragsdelikt, der Versuch bleibt straffrei.

Die beauftragende Organisation kann Penetrationstests nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden.

• Konkret heißt dies, dass eine Organisation ohne eigene Befugnis nicht Dritte beauftragen darf, fremde Netze zu penetrieren.

Rechtliche Aspekte bei Penetrationstests

Rechtliche Aspekte

Rechtliche Vorschriften

• Motivation zur Umsetzung von Sicherheitsmaßnahmen
• bei der Umsetzung von Sicherheitsmaßnahmen zu beachten
• Interessenskonflikte

Vertragsgestaltung

• zwischen Auftraggebern und Dienstleistern

Gesetzliche Vorschriften als Motivation für Penetrationstests

keine Gesetze, die unmittelbar zu Penetrationstests verpflichten

jedoch verbindliche Vorschriften

• Handhabung der Sicherheit
• Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten
• Umgang mit personenbezogenen Daten
• Einrichtung und Ausgestaltung eines internen Kontrollsystems

Maßnahmen, um Daten zu schützen

• Verfügbarkeit
• Vertraulichkeit
• Integrität

Zu diesen Maßnahmen zählen

• Sicherheitskonzepte
• Berechtigungskonzepte
• Firewallsysteme, ...

Allein durch Sicherheitssysteme ist eine Erfüllung der Vorgaben jedoch nicht gewährleistet

• Es muss geprüft werden, ob die Systeme den gesetzlichen Vorgaben und Anforderungen genügen

Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren

Handelsgesetzbuch (HGB)

Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor

§ 238 Abs. 1

• Grundsätzen ordnungsmäßiger Buchführung (GoB)
• Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)

BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995

Vorschriften zu Internen Kontrollsystemen (IKS) in 4. Abschnitt der GoBS

Rd-Nr. 4.1

• „Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“

Bestimmungen zur Datensicherheit Abschnitt 5 GoBS

Rd-Nr. 5.1

• „Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...]“

Rd-Nr. 5.3

• „Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“

Rd-Nr. 5.5.1

• „Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]“

hohe Anforderungen an die Datensicherheit

Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept

• im Rahmen des Internen Kontrollsystems

Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden

KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Verpflichtet Vorstände von Aktiengesellschaften

• Risikomanagementsystem
• erweiterte Berichtspflichten gegenüber dem Aufsichtsrat

§ 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst

• „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“

Geschäftsführung einer GmbH

Diese Regelungen gelten auch für die Geschäftsführung einer GmbH

• „Ausstrahlungswirkung“

Gestaltung des Risikomanagementsystem

Nicht konkret geregelt

Mindestens

• Frühwarnsystem
• Internes Überwachungssystem
• Revision
• Controlling

Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils

• Frühwarnsystems
• Bestandteilen der Revision

Kreditwesengesetz (KWG)

Banken und Organisationen der Finanzdienstleistungsbranche

Besonderheit

• Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen
• Finanzdienstleistungsunternehmen
• über alle geschäftlichen Bereiche
• § 44 Abs. 1
• „[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“

Finanzdienstleistungen über das Internet

• Internet-Sicherheit kann zum Gegenstand einer Prüfung werden

Penetrationstests im Vorfeld

• Sicherheit der Internet-Anwendungen testen
• Schwachstellen identifizieren
• Handlungsempfehlungen bei Defiziten

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)

Verordnungen und Verlautbarungen

Bundesanstalt für Finanzdienstleistungsaufsicht

• früher: Bundesaufsichtsamt für das Kreditwesen
• erlässt auf gesetzliche Ermächtigung
• Verordnungen und veröffentlicht Verlautbarungen
• betrifft Banken und Finanzdienstleister

Für Penetrationstests von Interesse

• „Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“
• Anforderungen an das Risikomanagementsystem
• Ausgestaltung der Internen Revision definiert

Aussagen zum Risikomanagementsystem

Rd-Nr. 3.1 Anforderungen an das System

• „[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“

Rd.-Nr. 3.4 Betriebsrisiken

• „[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.

Vorsorge treffen

• mögliche Fehler in Software und unvorhergesehene Personalausfälle

regelmäßige Überprüfungen

• Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne

Verordnungen und Verlautbarungen

Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten

• konkrete Aussage zur Funktionsfähigkeit des Risikomanagementsystems

Anforderungen an Ausgestaltung der Internen Revision

Rd.-Nr. 5 Revisionen

• „Die Einhaltung der Mindestanforderungen ist von der Innenrevision in unregelmäßigen, angemessenen Abständen zu prüfen
• Hierbei sind im Sinne einer risikoorientierten Prüfung die wesentlichen Prüfungsfelder mindestens jährlich zu prüfen
• Jeder Teilbereich der Mindestanforderungen ist zumindest in einem Turnus von drei Jahren zu prüfen, der Prüfungsturnus ist in einem Prüfplan zu dokumentieren

wesentliche Prüfungsfelder

Veränderungen bei den EDV-Systemen

Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten

Bundesdatenschutzgesetz (BDSG)

Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht

Umgang von öffentlichen und nicht-öffentlichen Stellen mit personenbezogenen Daten

Bundesdatenschutzgesetz (BDSG) gilt gem. § 1 II BDSG

• Erhebung
• Verarbeitung
• Nutzung personenbezogener Daten

durch

• öffentliche Stellen des Bundes
• öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist [...]
• nicht öffentliche Stellen
• soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben [...]

§ 9 S. 1 BDSG Technische und organisatorische Maßnahmen

• „Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“

Bundesdatenschutzgesetz (BDSG)

Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle

§ 9a BDSG Datenschutzaudit

• „Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“

Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits

• Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes

Bundesdatenschutzgesetz (BDSG)

Hinweis

EU-Datenschutzrichtlinie (95/46/EG)

Novellierung des BDSG vom 18. Mai 2001

• EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt

Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin

• „Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“

Bundesdatenschutzgesetz (BDSG)

Eine weitergehende Novellierung des BDSG

• Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)
• Anpassungen in den Bereichen
• Verarbeitung personenbezogener Daten
• Schutz der Privatsphäre im Bereich der Telekommunikation an die neuere Entwicklung der Märkte und Technologien für elektronische Kommunikationsdienste

Artikel 4 Abs. 1 [Betriebssicherheit]

• „Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. [...]“

In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen

Bundesdatenschutzgesetz (BDSG)Novellierung 2009

• Tätigkeit von Auskunfteien und ihrer Vertragspartner
• insbesondere Kreditinstitute
• Scoring
• Änderungen des Listenprivilegs beim Adresshandel
• Neuregelung für Markt- und Meinungsforschung
• opt-in
• Koppelungsverbot
• Beschäftigtendatenschutz
• Auftragsdatenverarbeitung
• neue Befugnisse für die Aufsichtsbehörden
• neue oder stark erweiterte Bußgeldtatbestände
• Informationspflichten bei Datenschutzverstößen
• Kündigungsschutz für Datenschutzbeauftragte

Staatsvertrag für Mediendienste (MDStV)

Ziel

einheitliche Rahmenbedingungen

• für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten
• die an die Allgemeinheit gerichtet sind

richtet sich an Unternehmen, die gewerbsmäßig Mediendienste anbieten

• Verteildiensten
• Diensteanbietern

Verteildienst bezeichnet Anbieter eines Mediendienstes

• Teleshopping, ...

Diensteanbieter ermöglicht Zugang zur Nutzung eines Mediendienstes

• Mitarbeitern Internetzugang
• Unternehmen wird zum Diensteanbieter
• hat Vorschriften des MDStV zu beachten

Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests

§ 13 Abs. 2 MDStV [Pflichten des Anbieters]

• „Der Anbieter von Mediendiensten hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] 3. der Nutzer Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“[...].

§ 17 MDStV [Datenschutz-Audit]

• „Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“

Penetrationstests prüfen

• technische
• organisatorische Vorkehrungen
• Datenschutzkonzept

Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG

Teledienstegesetz richtet sich an Diensteanbieter

• „eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“

Teledienst

• Angebot im Bereich der Individualkommunikation
• interaktive Bestellmöglichkeit, ..

In diesem Sinne ist beispielsweise jede Organisation,

• die Informationen auf einer Internet-Webseite veröffentlicht oder
• die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter

Teledienstedatenschutzgesetz gibt den datenschutzrechtlichen Rahmen vor

• in dem Diensteanbieter die personenbezogenen Daten der Nutzer erheben, verarbeiten und nutzen dürfen

§ 4 Abs. 4 TDDSG [Pflichten des Diensteanbieters]

• „Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass, [...] der Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“

Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden

Folie 70

geschäftsmäßige Erbringer von Telekommunikationsdiensten

• Telefongesellschaften und Internetdienstleister

Auch Unternehmen, deren Mitarbeiter

• ihren Telefonanschluss
• ihren Internetzugang
• am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich

Ziel

• Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation

Telekommunikationsgesetz (TKG)

§ 85 Abs. 2 TKG [Fernmeldegeheimnis]

• „Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]

§ 87 Abs. 1 TKG [Technische Schutzmaßnahmen]

• „Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]
• 2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]
• 4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.

Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes.

Strafrechtliche Vorschriften

Computerkriminalität hat erheblich zugenommen

Strafrechtliche Sanktionsmöglichkeiten beschränkt

• Rückgang der Computerdelikte konnte nicht verwirklicht werden

lückenhaft geregelte Tatbestände bieten keinen wirksamen Schutz

Hinzu kommen regelmäßig Beweisschwierigkeiten

relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten

• Verletzung des persönlichen Lebens- und Geheimbereichs
• Betrug und Untreue
• Urkundenfälschung
• Sachbeschädigung

Strafrechtliche Vorschriften

unbefugte Eingriffe in Datenverarbeitungsanlage

§ 202a Abs. 1 (1) StGB [Ausspähen von Daten]

• „Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
• Straftatbestand schützt primär
• alle gespeicherten
• im Übermittlungsstadium befindlichen Daten
• vor unbefugtem Zugriff
• Tathandlung ist das Verschaffen von Daten

Strafrechtliche Vorschriften

§ 202b StGB [Abfangen von Daten]

• „Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“

Strafrechtliche Vorschriften

§ 202 c StGB

(1)Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

• 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder
• 2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Strafrechtliche Vorschriften

§ 263a StGB [Computerbetrug]

• „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
• Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.

Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus

• Vorsatz
• Absicht Vermögensvorteil zu verschaffen

Strafrechtliche Vorschriften

§ 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen]

• „Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
• Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.

Tathandlung

• Herstellen einer unechten technischen Aufzeichnung
• Verfälschen einer technischen Aufzeichnung
• Gebrauchen einer unechten oder verfälschten technischen Aufzeichnung

um Tatbestand zu erfüllen

• zur Täuschung im Rechtsverkehr handeln
• gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen

Strafrechtliche Vorschriften

§ 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten]

• „Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
• Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·

§ 303a Abs. 1 StGB [Datenveränderung]

• „Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten ist durch diesen Paragrafen unter Strafe gestellt.“

§ 303b StGB [Computersabotage]

• „Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Europäische Cybercrime-Konvention

Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen

• Ministerkomitee des Europarates
• 8. November 2001
• unterzeichnet, bislang nicht ratifiziert

Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level]

• werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.

Für Penetrationstests relevante Inhalte der Konvention

• Titel 1 und 2 der Sektion 1 [Substantive criminal law]

Europäische Cybercrime-KonventionTitel 1

Offences against the confidentiality, integrity and availability of computer data and systems

Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme

Europäische Cybercrime-KonventionTitel 2

Computer-related offences

Computerbezogene Straftaten

Insbesondere in Art. 6 der Konvention

autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels

nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern

• indem er einer möglichen Strafbarkeit durch seine Tätigkeit gegenüberstände

entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten

Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen

Im Zuge eines Penetrationstests werden

• durch den Tester Handlungen ausgeführt die
• wenn sie nicht mit der Einwilligung des Auftraggebers geschehen
• gegen geltende Gesetze verstoßen können

Penetrationstester handeln nicht tatbestandsmäßig

• besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen

durch Einwilligung gerechtfertigt

• Eingriffe
• Inhalt
• Umfang
• mit dem Auftraggeber abgestimmen

Handlungsrahmens exakt festlegen

• zwischen dem Auftraggeber und dem Auftragnehmer

Einwilligung vor Beginn einholen

• nach Festlegung des konkreten Handlungsrahmens
• in gesonderter Erklärung des Auftraggebers

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Vorschriften zur Einwilligung des Auftraggebers

Zugangskontrolldiensteschutzgesetz (ZKDSG)

• Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten

zugangskontrollierter Dienst

• Teledienst im Sinne von § 2 des TDG
• Mediendienst im Sinne von § 2 des MDStV, ...

Zugangskontrolldienst

• technisches Verfahren oder Vorrichtung
• erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen

Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG)

Schutz von kostenpflichtigen Diensten

• z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen

§ 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten]

Verboten sind

• Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken
• Herstellung, Einfuhr und Verbreitung
• Besitz, technische Einrichtung, Wartung, Austausch
• Absatzförderung

zugangskontrollierten Dienst

• passwortgeschützte WWW- oder FTP-Server, ...

Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Verstoß gegen ZKDSG nicht vermeidbar

• sobald Penetrationstest mit Tools (Umgehungsvorrichtungen) durchgeführt wird

Penetrationstester erfüllt Voraussetzung Hacker- und Sicherheitstools zu gewerblichen Zwecken einzusetzen

• Penetrationstester, der einen Exploit zum Remote-Zugriff auf einem passwortgeschützten Webserver besitzt
• ordnungswidriges Verhalten
• Geldbuße bis zu 50.000 €

Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen

Telekommunikationsgesetz (TKG)

Relevante Bestimmungen im Rahmen eines Penetrationstests

§ 65 TKG Abs. 1 [Missbrauch von Sendeanlagen]

• „Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“

§ 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen]

• „Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“

Verbot mit Erlaubnis-Vorbehalt

• Handlungen, die bei Penetrationstests durchgeführt werden
• Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt

Rahmenbeschluss über Angriffe auf Informationssysteme

Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme

• Europäische Kommission: 19.04.2002

Angriffe auf Informationssysteme unter den Mitgliedstaaten

• strafrechtlichen Vorschriften angeglichen
• Zusammenarbeit zwischen Behörden verbessern

gesamte Werk umfasst 14 Artikel

Artikel 3 und 4 beschrieben Straftaten näher

Rahmenbeschluss über Angriffe auf Informationssysteme

Artikel 3 - Rechtswidriger Zugang zu Informationssystemen

• vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern
• gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet
• Absicht Schaden zuzufügen oder wirtschaftlichen Vorteil zu bewirken

Artikel 4 - Rechtswidriger Eingriff in Informationssysteme

• vorsätzlichen und unrechtmäßigen Handlungen unter Strafe
• schwere Behinderung oder Störung des Betriebs eines Informationssystems
• Eingabe, Übermittlung, Beschädigung, Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten
• Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten eines Informationssystems
• sofern Absicht, Schaden zuzufügen

Rahmenbeschluss über Angriffe auf Informationssysteme

weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten

Penetrationstester nicht von Strafbarkeit erfasst

• Einverständnis des Auftraggebers
• Handlungsrahmen einhalten
• kein Vorsatz zu strafbarer Handlung
• gerechtfertigt wegen Einwilligung

Betriebsverfassungsgesetz (BetrVG)

Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG)

• in Planung von Penetrationstests einbeziehen

§ 87 Abs. 1 Nr. 6 BetrVG [Mitbestimmungsrechte]

• „Der Betriebsrat hat [...], in folgenden Angelegenheiten mitzubestimmen: o bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“

Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen

Betriebsverfassungsgesetz (BetrVG)

Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet

• Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit
• auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck
• sind Penetrationstests grundsätzlich dazu geeignet

Nach BAG

• allein entscheidend
• objektiv dazu geeignet
• ohne Rücksicht, ob Arbeitgeber
• dieses Ziel verfolgt
• Daten auswertet

frühzeitige Einbeziehung des Betriebsrates unbedingt angeraten

• selbst wenn es seiner Zustimmung letztlich nicht bedarf

Gesetzliche Rahmenbedingungen

• Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.
• Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.
• Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.
• Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.

Gesetze zur Corporate Governance

• Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.
• Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.
• Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.
• Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.
• Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.
• Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.
• Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.
• Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.
• Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296
• Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.
• Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296
• In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]
• Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.
• Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.

Datenschutzgesetze

• Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.
• Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]
• Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).
• In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]
• Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.
• Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).
• Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.
• Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.
• In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.
• Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
• Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]
• Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.

Strafrechtliche Aspekte

• Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).
• In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.
• Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.
• Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
• Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.
• Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).
• Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.
• Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.
• Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.
• Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
• Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.
• Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.

Zitat

• „Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“

• – Marcus J. Ranum, IT-Sicherheitsexperte[26], zitiert nach Niels Boeing

Anhang

Siehe auch

• Penetrationstest/Recht

Dokumentation

Links

Projekt

Weblinks

TMP

Rechtliche Aspekte der Informationssicherheit (II) - Penetrationstests

Rechtliche Aspekte

Rechtliche Vorschriften

Motivation zur Umsetzung von Sicherheitsmaßnahmen

• bei der Umsetzung von Sicherheitsmaßnahmen zu beachten
• Interessenskonflikte

Vertragsgestaltung

zwischen Auftraggebern und Dienstleistern

Gesetzliche Vorschriften als Motivation für Penetrationstests

keine Gesetze die unmittelbar zu Penetrationstests verpflichten

jedoch verbindliche Vorschriften

Handhabung der Sicherheit

• Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten
• Umgang mit personenbezogenen Daten
• Einrichtung und Ausgestaltung eines internen Kontrollsystems

Maßnahmen um Daten zu schützen

Verfügbarkeit

• Vertraulichkeit
• Integrität

Zu diesen Maßnahmen zählen

Sicherheitskonzepte

• Berechtigungskonzepte
• Firewallsysteme, ...

Allein durch Sicherheitssysteme ist eine Erfüllung der Vorgaben jedoch nicht gewährleistet

Es muss geprüft werden, ob die Systeme den gesetzlichen Vorgaben und Anforderungen genügen

Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren

Handelsgesetzbuch (HGB)

Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor

§ 238 Abs. 1

Grundsätzen ordnungsmäßiger Buchführung (GoB)

• Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)

BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995

Vorschriften zu Internen Kontrollsystemen (IKS) in 4. Abschnitt der GoBS

Rd-Nr. 4.1

„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“

Handelsgesetzbuch (HGB)

Bestimmungen zur Datensicherheit Abschnitt 5 GoBS

Rd-Nr. 5.1

„Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...]“

Rd-Nr. 5.3

„Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“

Rd-Nr. 5.5.1

„Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]“

hohe Anforderungen an die Datensicherheit

Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept

im Rahmen des Internen Kontrollsystems

Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden

KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich

Verpflichtet Vorstände von Aktiengesellschaften

Risikomanagementsystem

• erweiterte Berichtspflichten gegenüber dem Aufsichtsrat

§ 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“

Diese Regelungen gelten auch für die Geschäftsführung einer GmbH

„Ausstrahlungswirkung“

Gestaltung des Risikomanagementsystem nicht konkret geregelt, mindestens

Frühwarnsystem

• internes Überwachungssystem
• einer Revision
• Controlling

Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils

des Frühwarnsystems oder Bestandteilen der Revision

Kreditwesengesetz (KWG)

Banken und Organisationen der Finanzdienstleistungsbranche

Besonderheit

Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen

• Finanzdienstleistungsunternehmen

über alle geschäftlichen Bereiche

§ 44 Abs. 1

„[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“

Finanzdienstleistungen über das Internet

Internet-Sicherheit kann zum Gegenstand einer Prüfung werden

Penetrationstests im Vorfeld

Sicherheit der Internet-Anwendungen testen

• Schwachstellen identifizieren
• Handlungsempfehlungen bei Defiziten

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Bundesanstalt für Finanzdienstleistungsaufsicht

früher: Bundesaufsichtsamt für das Kreditwesen

• erlässt auf gesetzliche Ermächtigung
• Verordnungen und veröffentlicht Verlautbarungen
• betrifft Banken und Finanzdienstleister

Für Penetrationstests von Interesse

„Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“

• Anforderungen an das Risikomanagementsystem
• Ausgestaltung der Internen Revision definiert

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Aussagen zum Risikomanagementsystem

Rd-Nr. 3.1 Anforderungen an das System

„[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“

Rd.-Nr. 3.4 Betriebsrisiken

„[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.

Vorsorge treffen

mögliche Fehler in Software und unvorhergesehene Personalausfälle

regelmäßige Überprüfungen

Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten

konkrete Aussage zur Funktionsfähigkeit des Risikomanagementsystems

Anforderungen an Ausgestaltung der Internen Revision

Rd.-Nr. 5 Revisionen

„Die Einhaltung der Mindestanforderungen ist von der Innenrevision in unregelmäßigen, angemessenen Abständen zu prüfen

• Hierbei sind im Sinne einer risikoorientierten Prüfung die wesentlichen Prüfungsfelder mindestens jährlich zu prüfen
• Jeder Teilbereich der Mindestanforderungen ist zumindest in einem Turnus von drei Jahren zu prüfen, der Prüfungsturnus ist in einem Prüfplan zu dokumentieren

wesentliche Prüfungsfelder: Veränderungen bei den EDV-Systemen

Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten

Bundesdatenschutzgesetz (BDSG)

Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht

Umgang von öffentlichen und nicht-öffentlichen Stellen mit personenbezogenen Daten

Bundesdatenschutzgesetz (BDSG) gilt gem. § 1 II BDSG

Erhebung

• Verarbeitung
• Nutzung personenbezogener Daten

durch

öffentliche Stellen des Bundes

öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist [...]

• nicht öffentliche Stellen
• soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben [...]

§ 9 S. 1 BDSG Technische und organisatorische Maßnahmen

„Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“

Bundesdatenschutzgesetz (BDSG)

Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich

Zutrittskontrolle

• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle

§ 9a BDSG Datenschutzaudit

„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“

Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits

Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes

Bundesdatenschutzgesetz (BDSG)

Hinweis: EU-Datenschutzrichtlinie (95/46/EG)

Novellierung des BDSG vom 18. Mai 2001

EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt

Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin

„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“

Bundesdatenschutzgesetz (BDSG)

Eine weitergehende Novellierung des BDSG

Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)

• Anpassungen in den Bereichen
• Verarbeitung personenbezogener Daten
• Schutz der Privatsphäre im Bereich der Telekommunikation an die neuere Entwicklung der Märkte und Technologien für elektronische Kommunikationsdienste

Artikel 4 Abs. 1 [Betriebssicherheit]

„Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. [...]“

In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen

Bundesdatenschutzgesetz (BDSG)Novellierung 2009

Tätigkeit von Auskunfteien und ihrer Vertragspartner

• insbesondere Kreditinstitute
• Scoring

Änderungen des Listenprivilegs beim Adresshandel

• Neuregelung für Markt- und Meinungsforschung
• opt-in
• Koppelungsverbot
• Beschäftigtendatenschutz
• Auftragsdatenverarbeitung
• neue Befugnisse für die Aufsichtsbehörden
• neue oder stark erweiterte Bußgeldtatbestände
• Informationspflichten bei Datenschutzverstößen
• Kündigungsschutz für Datenschutzbeauftragte

Staatsvertrag für Mediendienste (MDStV)

Ziel: einheitliche Rahmenbedingungen

für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten

• die an die Allgemeinheit gerichtet sind

richtet sich an Unternehmen, die gewerbsmäßig Mediendienste anbieten

Verteildiensten

• Diensteanbietern

Verteildienst bezeichnet Anbieter eines Mediendienstes

Teleshopping, ...

Diensteanbieter ermöglicht Zugang zur Nutzung eines Mediendienstes

Mitarbeitern Internetzugang

• Unternehmen wird zum Diensteanbieter
• hat Vorschriften des MDStV zu beachten

Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests

§ 13 Abs. 2 MDStV [Pflichten des Anbieters]

„Der Anbieter von Mediendiensten hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] 3. der Nutzer Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“[...].

§ 17 MDStV [Datenschutz-Audit]

„Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“

Penetrationstests prüfen

technische

• organisatorische Vorkehrungen
• Datenschutzkonzept

Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG

Teledienstegesetz richtet sich an Diensteanbieter

„eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“

Teledienst

Angebot im Bereich der Individualkommunikation

• interaktive Bestellmöglichkeit, ..

In diesem Sinne ist beispielsweise jede Organisation,

die Informationen auf einer Internet-Webseite veröffentlicht oder

• die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter

Teledienstedatenschutzgesetz gibt den datenschutzrechtlichen Rahmen vor

in dem Diensteanbieter die personenbezogenen Daten der Nutzer erheben, verarbeiten und nutzen dürfen

§ 4 Abs. 4 TDDSG [Pflichten des Diensteanbieters]

„Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass, [...] der Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“

Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden

geschäftsmäßige Erbringer von Telekommunikationsdiensten

Telefongesellschaften und Internetdienstleister

Auch Unternehmen, deren Mitarbeiter

ihren Telefonanschluss

• ihren Internetzugang
• am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich

Ziel

Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation

Telekommunikationsgesetz (TKG)

§ 85 Abs. 2 TKG [Fernmeldegeheimnis]

„Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]

§ 87 Abs. 1 TKG [Technische Schutzmaßnahmen]

„Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]

• 2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]
• 4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.

Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes.

Strafrechtliche Vorschriften

Computerkriminalität hat erheblich zugenommen

Strafrechtliche Sanktionsmöglichkeiten beschränkt

Rückgang der Computerdelikte konnte nicht verwirklicht werden

lückenhaft geregelte Tatbestände bieten keinen wirksamen Schutz

Hinzu kommen regelmäßig Beweisschwierigkeiten

relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten

Verletzung des persönlichen Lebens- und Geheimbereichs

• Betrug und Untreue
• Urkundenfälschung
• Sachbeschädigung

Strafrechtliche Vorschriften

unbefugte Eingriffe in Datenverarbeitungsanlage

§ 202a Abs. 1 (1) StGB [Ausspähen von Daten]

„Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

• Straftatbestand schützt primär
• alle gespeicherten
• im Übermittlungsstadium befindlichen Daten
• vor unbefugtem Zugriff
• Tathandlung ist das Verschaffen von Daten

Strafrechtliche Vorschriften

§ 202b StGB [Abfangen von Daten]

„Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“

Strafrechtliche Vorschriften

§ 202 c StGB

(1)Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder

• 2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Strafrechtliche Vorschriften

§ 263a StGB [Computerbetrug]

„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

• Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.

Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus

Vorsatz

• Absicht Vermögensvorteil zu verschaffen

Strafrechtliche Vorschriften

§ 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen]

„Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

• Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.

Tathandlung

Herstellen einer unechten technischen Aufzeichnung

• Verfälschen einer technischen Aufzeichnung
• Gebrauchen einer unechten oder verfälschten technischen Aufzeichnung

um Tatbestand zu erfüllen

zur Täuschung im Rechtsverkehr handeln

• gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen

Strafrechtliche Vorschriften

§ 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten]

„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

• Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·

§ 303a Abs. 1 StGB [Datenveränderung]

„Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten ist durch diesen Paragrafen unter Strafe gestellt.“

§ 303b StGB [Computersabotage]

„Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Europäische Cybercrime-Konvention

Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen

Ministerkomitee des Europarates

• 8. November 2001
• unterzeichnet, bislang nicht ratifiziert

Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level]

werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.

Für Penetrationstests relevante Inhalte der Konvention

Titel 1 und 2 der Sektion 1 [Substantive criminal law]

Europäische Cybercrime-KonventionTitel 1

Offences against the confidentiality, integrity and availability of computer data and systems

Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme

Europäische Cybercrime-KonventionTitel 2

Computer-related offences

Computerbezogene Straftaten

Insbesondere in Art. 6 der Konvention

autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels

nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern

indem er einer möglichen Strafbarkeit durch seine Tätigkeit gegenüberstände

entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten

Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen

Im Zuge eines Penetrationstests werden

durch den Tester Handlungen ausgeführt die

• wenn sie nicht mit der Einwilligung des Auftraggebers geschehen
• gegen geltende Gesetze verstoßen können

Penetrationstester handeln nicht tatbestandsmäßig

besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen

durch Einwilligung gerechtfertigt

Eingriffe

• Inhalt
• Umfang
• mit dem Auftraggeber abgestimmen

Handlungsrahmens exakt festlegen

zwischen dem Auftraggeber und dem Auftragnehmer

Einwilligung vor Beginn einholen

nach Festlegung des konkreten Handlungsrahmens

• in gesonderter Erklärung des Auftraggebers

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Vorschriften zur Einwilligung des Auftraggebers

Zugangskontrolldiensteschutzgesetz (ZKDSG)

Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten

zugangskontrollierter Dienst

Teledienst im Sinne von § 2 des TDG

• Mediendienst im Sinne von § 2 des MDStV, ...

Zugangskontrolldienst

technisches Verfahren oder Vorrichtung

• erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen

Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG)

Schutz von kostenpflichtigen Diensten

z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen

§ 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten]

Verboten sind

Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken

• Herstellung, Einfuhr und Verbreitung
• Besitz, technische Einrichtung, Wartung, Austausch
• Absatzförderung

zugangskontrollierten Dienst

passwortgeschützte WWW- oder FTP-Server, ...

Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Verstoß gegen ZKDSG nicht vermeidbar

sobald Penetrationstest mit Tools (Umgehungsvorrichtungen) durchgeführt wird

Penetrationstester erfüllt Voraussetzung Hacker- und Sicherheitstools zu gewerblichen Zwecken einzusetzen

Penetrationstester, der einen Exploit zum Remote-Zugriff auf einem passwortgeschützten Webserver besitzt

• ordnungswidriges Verhalten
• Geldbuße bis zu 50.000 €

Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen

Telekommunikationsgesetz (TKG)

Relevante Bestimmungen im Rahmen eines Penetrationstests

§ 65 TKG Abs. 1 [Missbrauch von Sendeanlagen]

„Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“

§ 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen]

„Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“

Verbot mit Erlaubnis-Vorbehalt

Handlungen, die bei Penetrationstests durchgeführt werden

• Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt

Rahmenbeschluss über Angriffe auf Informationssysteme

Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme

Europäische Kommission: 19.04.2002

Angriffe auf Informationssysteme unter den Mitgliedstaaten

strafrechtlichen Vorschriften angeglichen

• Zusammenarbeit zwischen Behörden verbessern

gesamte Werk umfasst 14 Artikel

Artikel 3 und 4 beschrieben Straftaten näher

Rahmenbeschluss über Angriffe auf Informationssysteme

Artikel 3 - Rechtswidriger Zugang zu Informationssystemen

vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern

• gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet
• Absicht Schaden zuzufügen oder wirtschaftlichen Vorteil zu bewirken

Artikel 4 - Rechtswidriger Eingriff in Informationssysteme

vorsätzlichen und unrechtmäßigen Handlungen unter Strafe

• schwere Behinderung oder Störung des Betriebs eines Informationssystems
• Eingabe, Übermittlung, Beschädigung, Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten
• Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten eines Informationssystems
• sofern Absicht, Schaden zuzufügen

Rahmenbeschluss über Angriffe auf Informationssysteme

weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten

Penetrationstester nicht von Strafbarkeit erfasst

Einverständnis des Auftraggebers

• Handlungsrahmen einhalten
• kein Vorsatz zu strafbarer Handlung
• gerechtfertigt wegen Einwilligung

Betriebsverfassungsgesetz (BetrVG)

Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG)

in Planung von Penetrationstests einbeziehen

§ 87 Abs. 1 Nr. 6 BetrVG [Mitbestimmungsrechte]

„Der Betriebsrat hat [...], in folgenden Angelegenheiten mitzubestimmen: o bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“

Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen

Betriebsverfassungsgesetz (BetrVG)

Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet

Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit

• auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck
• sind Penetrationstests grundsätzlich dazu geeignet

Nach BAG

allein entscheidend

• objektiv dazu geeignet
• ohne Rücksicht, ob Arbeitgeber
• dieses Ziel verfolgt
• Daten auswertet

frühzeitige Einbeziehung des Betriebsrates unbedingt angeraten

selbst wenn es seiner Zustimmung letztlich nicht bedarf

Gesetzliche Rahmenbedingungen

Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.

• Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.
• Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.
• Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.

Gesetze zur Corporate Governance

Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.

• Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.
• Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.
• Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.
• Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.
• Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.
• Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.
• Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.
• Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296
• Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.
• Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296
• In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]
• Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.
• Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.

Datenschutzgesetze

Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.

• Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]
• Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).
• In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]
• Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.
• Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).
• Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.
• Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.
• In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.
• Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
• Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]
• Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.

Strafrechtliche Aspekte

Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).

• In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.
• Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.
• Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
• Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.
• Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).
• Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.
• Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.
• Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.
• Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
• Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.
• Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.

Zitat

„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“

– Marcus J. Ranum, IT-Sicherheitsexperte[26], zitiert nach Niels Boeing