Rechtliche Rahmenbedingungen der ISMS: Unterschied zwischen den Versionen

Aus Foxwiki
Weiterleitungsziel von Informationssicherheit/Recht/Grundlagen nach ISMS/Recht/Grundlagen geändert
Markierung: Weiterleitungsziel geändert
 
(167 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Rechtliche Rahmenbedingungen der Informationssicherheit =
#WEITERLEITUNG [[ISMS/Recht/Grundlagen]]
 
== Vorschriften und Gesetzesanforderungen ==
 
=== Stellen Sie sich vor … ===
 
bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
 
Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.
 
Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt.
 
=== Welche Konsequenzen drohen? ===
 
dem Unternehmen bzw. der Behörde
 
den verantwortlichen Personen
 
=== Vorstand haftet persönlich ===
wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt
 
§ 91 Abs. 2 und § 93 Abs. 2 AktG
 
=== Geschäftsführern einer GmbH ===
 
wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt
 
§ 43 Abs. 1 GmbHG
 
=== Im Aktiengesetz genannten Pflichten eines Vorstands ===
 
gelten auch im Rahmen des Handelsgesetzbuches
 
§ 317 Abs. 4 HGB
 
=== Handelsgesetzbuch verpflichtet Abschlussprüfer ===
 
zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind"
 
§ 317 Abs. 2HGB
 
=== Für bestimmte Berufsgruppen ===
 
gibt es Sonderregelungen im Strafgesetzbuch
 
Ärzte
 
Rechtsanwälte
 
Angehörige sozialer Berufe, ...
 
=== Verbraucherschutz ===
 
Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt.
 
=== Datenschutz ===
 
Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.
 
=== Banken ===
 
Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird
 
== Rechtliche Einordnung der Informationssicherheit ==
 
== Recht der Informationssicherheit ==
 
=== Vielzahl von Rechtsgebieten berührt ===
 
Allgemeines Zivilrecht
 
Datenschutzrecht
 
Telekommunikationsrecht
 
Urheberrecht
 
GmbH-Recht
 
Aktien-Recht
 
=== Definition des Begriffs „Sicherheit in der Informationstechnik“ ===
 
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)
 
2 Abs. 2
 
Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
 
Einhaltung bestimmter Sicherheitsstandards zu Informationen
 
Verfügbarkeit
 
Unversehrtheit
 
Vertraulichkeit
 
durch Sicherheitsvorkehrungen
 
in und bei der Anwendung
 
von informationstechnischen Systemen oder Komponenten
 
== Rechtliche Einordnung der Informationssicherheit ==
 
=== Technische Regelwerke wie z.B. ITSEC ===
 
haben zwar keine unmittelbare rechtliche Wirkung
 
an zahlreichen Stellen fordert das Gesetz jedochEinhaltung der „allgemein anerkannten Regeln der Technik“
 
technische Regelwerken komm im Einzelfall „mittelbarer Gesetzescharakter“ zu
 
<div style="text-align:center;">BSI – Gesetz</div>
 
== BSI – Gesetz ==
 
=== Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. ===
 
Es ist zuständig für die Informationssicherheit auf nationaler Ebene.
 
Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI)
 
Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert
 
dem wurden BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfe­ersuchen angewiesen zu sein.
 
Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik
 
(§ 3 Abs. 1 BSIG)
 
wobei letzteres alle technischen Mittel zur Verarbeitung und Übertragung von Informationen sind (§ 2 Abs. 1 BSIG).
 
=== Zu den Aufgaben zählen ===
 
Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes
 
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen
 
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik
 
Entwicklung von Sicherheitsvorkehrungen
 
Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
 
Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen
 
Herstellung von Schlüsseldaten und Betrieb von Krypto­- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes
 
== Unterstützung der Länder ==
 
Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG).
 
Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG).
 
=== Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG) ===
 
Es erarbeitet ferner Mindest­standards für die Sicherheit der Informationstechnik des Bundes(§ 8 Abs. 1 BSIG).
 
Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.
 
Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG).
 
== Schutz kritischer Infrastrukturen ==
 
Das BMI bestimmt durch Rechtsverordnung
 
welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG).
 
Deren Betreiber sind verpflichtet
 
unter Berücksichtigung des Standes der Technik
 
angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen
 
Verfügbarkeit
 
Integrität
 
Authentizität und
 
Vertraulichkeit
 
ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG).
 
=== Geldbußen können bis zu 50.000 Euro betragen (§ 14 BSIG) ===
 
Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig.
 
== Einschränkung von Grundrechten ==
 
Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird.
 
== Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik ==
 
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG).
 
Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG).
 
Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG).
 
== Zusammenarbeit mit Sicherheitsbehörden ==
 
=== Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben. ===
 
Es unterstützt ferner
 
das Bundesamt für Verfassungsschutz (BfV),
 
den Militärischen Abschirmdienst (MAD) und
 
die Landesbehörden für Verfassungsschutz
 
bei der Auswertung und Bewertung von Informationen
 
die bei der Beobachtung terroristischer Bestrebungen
 
nachrichtendienstlicher Tätigkeiten anfallen
 
sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.
 
Die Unterstützung darf nur gewährt werden
 
soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG).
 
Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.
 
<div style="text-align:center;">Informationssicherheitsgesetz</div>
 
<div style="text-align:center;">2.0</div>
 
== Kritischer Infrastrukturen ==
 
== Tabelle zum IT-Sicherheitsgesetz ==
 
== Änderungsvorschläge im BSIG ==
 
Änderung und Erweiterung von Begriffsdefinitionen
 
Neue Aufgaben und Befugnisse des BSI
 
Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte
 
Warnungen und Untersuchung der Sicherheit in der Informationstechnik
 
Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden
 
Anordnungen des BSI gegenüber TK-Diensteanbietern
 
Anordnungen des BSI gegenüber TM-Diensteanbietern
 
Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes
 
Meldestellenregelung für Kritische Infrastruktur
 
Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse
 
Zertifizierung durch das BSI
 
Nationale Behörde für die EU-Cybersicherheitszertifizierung
 
Untersagung des Einsatzes kritischer Komponenten
 
Freiwilliges IT-Sicherheitskennzeichen
 
Bußgeldvorschriften
 
 
 
 
https://community.beck.de/2020/11/21/it-sicherheitsgesetz-20-dritter-referentenentwurf-veroeffentlicht
 
== IT-Sicherheitsgesetz 2.0 ==
 
=== Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden ===
 
Unsichere Systeme hacken und Daten per Fernzugriff löschen
 
=== Nicht mehr nur defensiv schützen und beraten ===
 
offensiv in IT-Systeme eindringen
 
=== Mehr Personal, Geld und Befugnisse ===
 
IT-Systeme von Staat, Bürgern und Wirtschaft besser schützen
 
=== Mehr Kompetenzen ===
 
Sicherheitslücken suchen
 
Informationen von Herstellern anfragen
 
Öffentlichkeit informieren
 
=== Kernaufgabe des BSI ===
 
Angriffe abzuwehren und Sicherheitslücken schließen
 
=== Interessenkonflikt ===
 
Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen (Staatstrojaner)
 
Das BSI hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten
 
=== „Hack Back“ ===
 
Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.
 
== Fernzugriff auf Geräte im „Internet der Dinge“ ==
 
== BSI soll im Internet nach unsicheren Geräten suchen ==
 
=== Beispielsweise mit Portscans ===
 
Server
 
Smartphones
 
Schlecht abgesicherte Geräte im „Internet der Dinge“
 
Überwachungskameras, Kühlschränke oder Babyfone
 
=== Unsicher sind Systeme ===
 
mit veralteter Software
 
ohne Passwort-Schutz
 
mit Standard-Passwörtern wie „0000“ und „admin“
 
=== Um das herauszufinden muss sich das BSI darauf einloggen ===
 
Für Privatpersonen ist das eine Hacking-Straftat
 
Auch ohne Daten auszuspähen oder zu verändern
 
=== Betroffene sollen benachrichtigt werden ===
 
Wenn Sicherheitsprobleme oder Angriffe erkannt werden
 
Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.
 
== Installation lückenschließender Software ==
 
=== Weitere Befugnisse für das BSI ===
 
Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten
 
=== Potentiell schädliche Geräte zur Absicherung aktiv verändern ===
 
Provider zur „Bereinigung“ von IT-Geräten verpflichten
 
„Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“
 
=== Klingt nach Stärkung der IT-Sicherheit ===
 
massive Ausweitung staatlicher Befugnisse
 
Eingriff in Grundrechte
 
=== Bots werden von zentralen Servern gesteuert ===
 
Internet-Verkehr der Kommando-Server umleiten
 
Kontrolle über das Botnetz übernehmen
 
„Bereinigungssoftware“ auf Bots ausliefern, um Schadsoftware zu entfernen
 
Da Nutzer oft nicht wissen, dass ihr Gerät befallen ist, will der Staat diese selbst säubern
 
=== „Andere europäische Staaten machen das auch“ ===
 
so die Begründung
 
== Darknet-Gesetz und digitaler Hausfriedensbruch ==
 
== Gesetzentwurf verschärft Strafrecht ==
 
Wegen veröffentlichter privater Daten
 
Neue Straftatbestände eingeführt
 
Andere verschärft
 
=== „digitale Hausfriedensbruch“ ===
 
„unbefugte Nutzung von IT-Systemen“
 
Vorschlag, den 2016 von Hessen in den Bundesrat eingebrachte, aber scheiterte
 
Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen
 
== „Darknet“-Gesetz ==
 
=== Innenministerium übernimmt Initiative ===
 
Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden
 
Bedroht auch wünschenswerte Dienste und Anonymität im Internet
 
=== Polizei soll Nutzer-Accounts von Beschuldigten übernehmen ===
 
um damit zu ermitteln
 
„weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.
 
Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden
 
== Von Verteidigung zum Angriff ==
 
=== Der Gesetzentwurf ist ein Rundumschlag ===
 
Viele Initiativen sind sinnvoll
 
Gütesiegel
 
Informationspflichten
 
Verbraucherschutz
 
=== Von defensiv zu offensiv ===
 
Grundlegend Neuausrichtung
 
Hack-Back
 
Verschweigen von Schwachstellen
 
Neue Hacker-Behörde
 
Ausweitung von staatlichem Hacking
 
=== Im Internet ist aber Verteidigung die beste Verteidigung ===
 
<div style="text-align:center;">Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit</div>
 
== Folgen der NichtbeachtungAnforderungen an Informationssicherheit ==
 
== zivilrechtlichen Folgen ==
 
=== Folge keiner oder unzureichender vertraglicher Regelungen ===
 
=== als „Verursacher“ ===
 
der Nichtbeachtung von Informationssicherheits-Anforderungen
 
=== als „Betroffener“ ===
 
nicht beachteter Informationssicherheits-Anforderungen
 
== Fall 1: Der schlampige Möbelfabrikant ==
 
=== Bei der Einrichtung neuer Arbeitsplätze ===
 
=== stellt der technische Dienstleister Kai Kabel ===
 
=== bei der Möbelfirma „Eiche Nordisch“ mit großem Entsetzen fest ===
 
die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
 
durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
 
Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
 
== Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit ==
 
== Fall 1: Der schlampige Möbelfabrikant ==
 
=== In welchem Umfang muss die Firma Eiche Nordisch haften? ===
 
Kundenschäden wegen unterbliebener Auftragserledigung
 
Ausfallansprüche der Vertriebspartner
 
EDV-Kosten der Geschäftspartner
 
=== Dies ist eine Frage des Verschuldens ===
 
die sich danach bemisst
 
ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
 
=== Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen ===
 
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==
 
== Fall 1: Der schlampige Möbelfabrikant ==
 
=== fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden ===
 
=== Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall ===
 
wohl aber bei sensiblen Daten (Landgericht Köln)
 
=== kein Fahrlässigkeitsvorwurf ===
 
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
 
inkl. Installation von Updates
 
selbst verbreitenden Virus
 
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==
 
=== Fall 2: Der schlampige technische Dienstleister ===
 
Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
 
ihm unterläuft eine Unachtsamkeit, versehentlich
 
löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
 
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==
 
== Fall 2: Der schlampige technische Dienstleister ==
 
=== Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu ===
 
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
 
=== Minderung und Ausschluss des Schadensersatzes ===
 
bei Nichtbeachtung der Regeln der Informationssicherheit
 
=== ordnungsgemäße Datensicherung erfordert ===
 
regelmäßige Sicherung
 
Überprüfung des Erfolgs der Sicherung
 
sichere Aufbewahrung des Backups, ...
 
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==
 
== Strafrechtliche Konsequenzen i.d.R. weniger relevant ==
 
=== § 203 StGB sieht für bestimmte Berufsgruppen ===
 
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
 
wenn vertrauliche Daten öffentlich werden
 
aufgrund zu schwacher Sicherheitsvorkehrungen
 
=== Die übrigen hier relevanten Straftatbestände ===
 
§ 202a - Ausspähen von Daten, § 303b Computersabotage
 
betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
 
== Rechtliche Bedeutung von Informationssicherheitin drei Bereichen ==
 
=== Prozesssicherheit / Fehlerfreie Produktion ===
 
Einhaltung von Qualitätsmanagement DIN- und Qualitätsstandards
 
=== Datenschutz ===
 
Recht auf informationelle Selbstbestimmung
 
=== Datensicherheit ===
 
Unternehmensführung auf valider Datenbasis
 
== Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden ==
 
=== §§ 281 ff., 440, 636 BGB ===
 
Schadensersatz statt der Leistung bei fehlerhafter Lieferung
 
=== § 280 I BGB ===
 
Mangelfolgeschaden bei Vertrag
 
=== § 823 BGB ===
 
Schadensersatz ohne Vertrag
 
=== § 1 ProdHG ===
 
Gefährdungshaftung mit Haftungsausschluss-Tatbeständen
 
== Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis ==
 
=== Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe ===
 
=== Möglicher Wegfall ===
 
Verschulden, d . h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
 
Haftungsvoraussetzung bei Schadensersatz nach BGB
 
=== Entlastungsbeweis nach § 1 II Nr. 5 ProdHG ===
 
weil Informationssicherheit dem Stand der Technik entspricht
 
== Datenschutz hat Verfassungsrang ==
 
=== Rechtsgrundlagen des Datenschutzes ===
 
Recht auf informationelle Selbstbestimmung – Urteil des BVerfG
 
Bundesdatenschutzgesetz
 
Teledienstedatenschutzgesetz
 
Mediendienstestaatsvertrag
 
Landesdatenschutzrecht
 
Sonstige Gesetze
 
== Haftung von Geschäftsführern und Vorständen ==
 
=== Geschäftsführer oder Vorstände haften persönlich ===
 
gegenüber ihren Gesellschaften
 
wenn sie vertraglichen oder gesetzlichen Pflichten verletzen
 
=== §§ 43 Abs. 1 GmbHG, 93 Abs. 1 AktG) ===
 
„Sorgfalt eines ordentlichen Geschäftsmannes/eines ordentlichen und gewissenhaften Geschäftsleiters“
 
=== § 92 Abs. 2 AktG ===
 
„... Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. ...“
 
== Haftung von Geschäftsführern und Vorständen ==
 
== Geschäftsführer oder Vorstände müssen ==
 
=== für angemessenes Niveau an Informationssicherheit sorgen ===
 
Wichtigkeit der Daten
 
Sensibilität der Daten
 
allgemeine Sicherheitspolitik des Unternehmens
 
Benennung eines Informationssicherheits-Beauftragten
 
so dass nur eine mangelnde Auswahl oder Überwachung vorgeworfen werden kann
 
== Datensicherheit zur pflichtgemäßen Unternehmensführung ==
 
=== Unternehmensführung auf valider Datengrundlage ===
 
Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes
 
=== Neue Prognosepflichten im Unternehmensrecht ===
 
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
 
Lagebericht (§ 289 HGB)‏
 
Risikofrüherkennunngssystem (§ 91 AktG)‏
 
== Datensicherheit unabdingbar für pflichtgemäße Unternehmensführung ==
 
=== Erfüllung von Sorgfaltspflichten ===
 
durch valide Datenbasis
 
gesichert durch IT-Security
 
=== Geschäftsführer von ===
 
§ 93 I AktG
 
§ 43 I GmbHG
 
=== „Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes“ ===
 
§ 347 I HGB
 
== KonTraG ==
 
=== „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ ===
 
=== Modifikation der Pflichten ===
 
Vorstand, Geschäftsführer und Aufsichtsrat
 
Einrichtung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen
 
Eingehen auf Risiken der zukünftigen Entwicklung in Lagebericht
 
== Risikofrüherkennungssystem ==
 
=== § 91 II AktG ===
 
„Der Vorstand hat geeignete Maßnahmen zu treffen
 
insbesondere ein Überwachungssystem einzurichten
 
damit den Fortbestand der Gesellschaft gefährdende Entwicklungen
 
früh erkannt werden.“
 
== § 91 II AktG ==
 
=== „Überwachung“ ===
 
Fortlaufender Prozeß mit engmaschigem Berichtswesen und Dokumentation „Innenrevision und Controlling“
 
=== „System“ ===
 
Planung und Ordnung
 
=== „Bestandsgefahr“ ===
 
Wesentliche Nachteilige Veränderung der Vermögens-, Ertrags- oder Finanzlage d. AG
 
=== „Früh“ ===
 
rechtzeitig, um bestandsgefährdende Ausmaße entgegenwirken zu können
 
== Lagebericht als Anhang zur Bilanz ==
 
=== Verpflichtung (§ 289 HGB) ===
 
Auch für Personengesellschaften, wenn kein persönlich haftender Gesellschafter natürliche Person (GmbH & Co KG)‏
 
Nicht bei kleinen KGs
 
=== Erweiterte Anforderungen an Lagebericht ===
 
Darstellung der Risiken der künftigen Entwicklung
 
== Rechtliche Absicherung ==
 
=== Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes ===
 
=== Gewährleistung von ===
 
Prozesssicherheit
 
Datenschutz
 
Datensicherheit durch
 
=== IT-Security ===
 
Rechtliche Absicherung gegen Risiken durch
 
Präzise Vertragsgestaltung
 
== Vertragsgestaltung ==
 
== Umfassende vertragliche Absicherung gegenüber Dienstleistern ==
 
=== Vertrag über den Aufbau eines Informationssicherheitssystems ===
 
=== Service- Level - Management ===
 
=== Verträge mit ISP (TK-Leitung)‏ ===
 
=== umfassendes Vertragsmanagement notwendig ===
 
== Vertrag über den Aufbau eines Informationssicherheitssystems ==
 
== Wichtige Bestandteile ==
 
=== exakte Begriffsdefinitionen ===
 
=== Definition der Haupt- und Nebenpflichten ===
 
insbesondere der Verantwortlichkeiten
 
=== Haftungsregelungen/ Sanktionen ===
 
=== Gewährleistung ===
 
=== Wartung/ Service Levels (häufig als SLA)‏ ===
 
=== Laufzeit/Kündigung ===
 
== Vertrag über den Aufbau eines Informationssicherheitssystems ==
 
== Darüber hinaus zu beachten ==
 
=== Wenn Standardvertrag aufgesetzt wird ===
 
Konformität zu AGBG
 
=== Regelungen zu etwaigem Arbeits- und Zeitplan ===
 
=== Harmonisierung mit Zuliefererverträgen ===
 
=== Flexibilität durch SLA‘s ===
 
== Exkurs: Verwaltung von Softwarelizenzen ==
 
=== Ordnungsgemäße Lizenzierung wird sehr häufig vernachlässigt ===
 
gewerbliche Raubkopierrate in Deutschland 28 % (BSA)‏
 
Überlizenzierung in bestimmten Bereichen kann Unterlizenzierung in anderen Bereichen nicht kompensieren
 
Bei Lizenzverstoß gleiche Folgen wie bei Nichtbeachtung der Informationssicherheits-Anforderungen
 
=== Empfehlung ===
 
Bestellung eines Softwarebeauftragten oder Erweiterung des Aufgabenfeldes des Informationssicherheits-Beauftragten
 
== Zusammenfassung ==
 
=== Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden ===
 
=== Empfehlenswert ===
 
regelmäßige Datenspeicherung
 
Anti-Virus-Programm (inkl. regelmäßiger Updates)
 
Firewall
 
ordnungsgemäße Lizenzverwaltung
 
Bestellung eines Informationssicherheits- und Softwarebeauftragten
 
Aufbau eines Managementsystems für Informationssicherheit
 
= Rechtliche Aspekte der Informationssicherheit (II) - Penetrationstests =
 
== Rechtliche Aspekte ==
 
== Rechtliche Vorschriften ==
 
Motivation zur Umsetzung von Sicherheitsmaßnahmen
 
bei der Umsetzung von Sicherheitsmaßnahmen zu beachten
 
Interessenskonflikte
 
=== Vertragsgestaltung ===
 
zwischen Auftraggebern und Dienstleistern
 
== Gesetzliche Vorschriftenals Motivation für Penetrationstests ==
 
=== keine Gesetze die unmittelbar zu Penetrationstests verpflichten ===
 
=== jedoch verbindliche Vorschriften ===
 
Handhabung der Sicherheit
 
Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten
 
Umgang mit personenbezogenen Daten
 
Einrichtung und Ausgestaltung eines internen Kontrollsystems
 
== Gesetzliche Vorschriftenals Motivation für Penetrationstests ==
 
=== Maßnahmen um Daten zu schützen ===
 
Verfügbarkeit
 
Vertraulichkeit
 
Integrität
 
=== Zu diesen Maßnahmen zählen ===
 
Sicherheitskonzepte
 
Berechtigungskonzepte
 
Firewallsysteme, ...
 
=== Allein durch Sicherheitssysteme ist eine Erfüllung der Vorgaben jedoch nicht gewährleistet ===
 
Es muss geprüft werden, ob die Systeme den gesetzlichen Vorgaben und Anforderungen genügen
 
=== Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren ===
 
== Handelsgesetzbuch (HGB) ==
 
== Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor ==
 
=== § 238 Abs. 1 ===
 
Grundsätzen ordnungsmäßiger Buchführung (GoB)
 
Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)
 
=== BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995 ===
 
== Vorschriften zu Internen Kontrollsystemen (IKS) in 4. Abschnitt der GoBS ==
 
=== Rd-Nr. 4.1 ===
 
„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“
 
== Handelsgesetzbuch (HGB) ==
 
=== Bestimmungen zur Datensicherheit Abschnitt 5 GoBS ===
 
=== Rd-Nr. 5.1 ===
 
„Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...]“
 
=== Rd-Nr. 5.3 ===
 
„Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“
 
=== Rd-Nr. 5.5.1 ===
 
„Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]“
 
=== hohe Anforderungen an die Datensicherheit ===
 
=== Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept ===
 
im Rahmen des Internen Kontrollsystems
 
=== Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden ===
 
== KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich ==
 
=== Verpflichtet Vorstände von Aktiengesellschaften ===
 
Risikomanagementsystem
 
erweiterte Berichtspflichten gegenüber dem Aufsichtsrat
 
=== § 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst ===
 
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“
 
=== Diese Regelungen gelten auch für die Geschäftsführung einer GmbH ===
 
„Ausstrahlungswirkung“
 
=== Gestaltung des Risikomanagementsystem nicht konkret geregelt, mindestens ===
 
Frühwarnsystem
 
internes Überwachungssystem
 
einer Revision
 
Controlling
 
=== Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils ===
 
des Frühwarnsystems oder Bestandteilen der Revision
 
== Kreditwesengesetz (KWG) ==
 
=== Banken und Organisationen der Finanzdienstleistungsbranche ===
 
=== Besonderheit ===
 
Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen
 
Finanzdienstleistungsunternehmen
 
über alle geschäftlichen Bereiche
 
§ 44 Abs. 1
 
„[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“
 
=== Finanzdienstleistungen über das Internet ===
 
Internet-Sicherheit kann zum Gegenstand einer Prüfung werden
 
=== Penetrationstests im Vorfeld ===
 
Sicherheit der Internet-Anwendungen testen
 
Schwachstellen identifizieren
 
Handlungsempfehlungen bei Defiziten
 
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==
 
=== Bundesanstalt für Finanzdienstleistungsaufsicht ===
 
früher: Bundesaufsichtsamt für das Kreditwesen
 
erlässt auf gesetzliche Ermächtigung
 
Verordnungen und veröffentlicht Verlautbarungen
 
betrifft Banken und Finanzdienstleister
 
=== Für Penetrationstests von Interesse ===
 
„Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“
 
Anforderungen an das Risikomanagementsystem
 
Ausgestaltung der Internen Revision definiert
 
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==
 
=== Aussagen zum Risikomanagementsystem ===
 
=== Rd-Nr. 3.1 Anforderungen an das System ===
 
„[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“
 
=== Rd.-Nr. 3.4 Betriebsrisiken ===
 
„[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.
 
=== Vorsorge treffen ===
 
mögliche Fehler in Software und unvorhergesehene Personalausfälle
 
=== regelmäßige Überprüfungen ===
 
Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne
 
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==
 
=== Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten ===
 
konkrete Aussage zur Funktionsfähigkeit des Risikomanagementsystems
 
=== Anforderungen an Ausgestaltung der Internen Revision ===
 
=== Rd.-Nr. 5 Revisionen ===
 
„Die Einhaltung der Mindestanforderungen ist von der Innenrevision in unregelmäßigen, angemessenen Abständen zu prüfen
 
Hierbei sind im Sinne einer risikoorientierten Prüfung die wesentlichen Prüfungsfelder mindestens jährlich zu prüfen
 
Jeder Teilbereich der Mindestanforderungen ist zumindest in einem Turnus von drei Jahren zu prüfen, der Prüfungsturnus ist in einem Prüfplan zu dokumentieren
 
=== wesentliche Prüfungsfelder: Veränderungen bei den EDV-Systemen ===
 
=== Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten ===
 
== Bundesdatenschutzgesetz (BDSG) ==
 
=== Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht ===
 
=== Umgang von öffentlichen und nicht-öffentlichen Stellen mit personenbezogenen Daten ===
 
=== Bundesdatenschutzgesetz (BDSG) gilt gem. § 1 II BDSG ===
 
Erhebung
 
Verarbeitung
 
Nutzung personenbezogener Daten
 
=== durch ===
 
öffentliche Stellen des Bundes
 
öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist [...]
 
nicht öffentliche Stellen
 
soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben [...]
 
=== § 9 S. 1 BDSG Technische und organisatorische Maßnahmen ===
 
„Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“
 
== Bundesdatenschutzgesetz (BDSG) ==
 
=== Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich ===
 
Zutrittskontrolle
 
Zugangskontrolle
 
Zugriffskontrolle
 
Weitergabekontrolle
 
Eingabekontrolle
 
Auftragskontrolle
 
Verfügbarkeitskontrolle
 
=== § 9a BDSG Datenschutzaudit ===
 
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“
 
=== Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits ===
 
Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes
 
== Bundesdatenschutzgesetz (BDSG) ==
 
=== Hinweis: EU-Datenschutzrichtlinie (95/46/EG) ===
 
=== Novellierung des BDSG vom 18. Mai 2001 ===
 
EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt
 
=== Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin ===
 
„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“
 
== Bundesdatenschutzgesetz (BDSG) ==
 
=== Eine weitergehende Novellierung des BDSG ===
 
Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)
 
Anpassungen in den Bereichen
 
Verarbeitung personenbezogener Daten
 
Schutz der Privatsphäre im Bereich der Telekommunikation an die neuere Entwicklung der Märkte und Technologien für elektronische Kommunikationsdienste
 
=== Artikel 4 Abs. 1 [Betriebssicherheit] ===
 
„Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. [...]“
 
=== In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen ===
 
== Bundesdatenschutzgesetz (BDSG)Novellierung 2009 ==
 
Tätigkeit von Auskunfteien und ihrer Vertragspartner
 
insbesondere Kreditinstitute
 
Scoring
 
Änderungen des Listenprivilegs beim Adresshandel
 
Neuregelung für Markt- und Meinungsforschung
 
opt-in
 
Koppelungsverbot
 
Beschäftigtendatenschutz
 
Auftragsdatenverarbeitung
 
neue Befugnisse für die Aufsichtsbehörden
 
neue oder stark erweiterte Bußgeldtatbestände
 
Informationspflichten bei Datenschutzverstößen
 
Kündigungsschutz für Datenschutzbeauftragte
 
== Staatsvertrag für Mediendienste (MDStV) ==
 
=== Ziel: einheitliche Rahmenbedingungen ===
 
für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten
 
die an die Allgemeinheit gerichtet sind
 
=== richtet sich an Unternehmen, die gewerbsmäßig Mediendienste anbieten ===
 
Verteildiensten
 
Diensteanbietern
 
=== Verteildienst bezeichnet Anbieter eines Mediendienstes ===
 
Teleshopping, ...
 
=== Diensteanbieter ermöglicht Zugang zur Nutzung eines Mediendienstes ===
 
Mitarbeitern Internetzugang
 
Unternehmen wird zum Diensteanbieter
 
hat Vorschriften des MDStV zu beachten
 
== Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests ==
 
=== § 13 Abs. 2 MDStV [Pflichten des Anbieters] ===
 
„Der Anbieter von Mediendiensten hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] 3. der Nutzer Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“[...].
 
=== § 17 MDStV [Datenschutz-Audit] ===
 
„Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“
 
=== Penetrationstests prüfen ===
 
technische
 
organisatorische Vorkehrungen
 
Datenschutzkonzept
 
== Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG ==
 
=== Teledienstegesetz richtet sich an Diensteanbieter ===
 
„eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“
 
=== Teledienst ===
 
Angebot im Bereich der Individualkommunikation
 
interaktive Bestellmöglichkeit, ..
 
=== In diesem Sinne ist beispielsweise jede Organisation, ===
 
die Informationen auf einer Internet-Webseite veröffentlicht oder
 
die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter
 
=== Teledienstedatenschutzgesetz gibt den datenschutzrechtlichen Rahmen vor ===
 
in dem Diensteanbieter die personenbezogenen Daten der Nutzer erheben, verarbeiten und nutzen dürfen
 
=== § 4 Abs. 4 TDDSG [Pflichten des Diensteanbieters] ===
 
„Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass, [...] der Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“
 
=== Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden ===
 
== Folie 70 ==
 
=== geschäftsmäßige Erbringer von Telekommunikationsdiensten ===
 
Telefongesellschaften und Internetdienstleister
 
=== Auch Unternehmen, deren Mitarbeiter ===
 
ihren Telefonanschluss
 
ihren Internetzugang
 
am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich
 
=== Ziel ===
 
Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation
 
== Telekommunikationsgesetz (TKG) ==
 
=== § 85 Abs. 2 TKG [Fernmeldegeheimnis] ===
 
„Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]
 
=== § 87 Abs. 1 TKG [Technische Schutzmaßnahmen] ===
 
„Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]
 
2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]
 
4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.
 
=== Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes. ===
 
== Strafrechtliche Vorschriften ==
 
=== Computerkriminalität hat erheblich zugenommen ===
 
=== Strafrechtliche Sanktionsmöglichkeiten beschränkt ===
 
Rückgang der Computerdelikte konnte nicht verwirklicht werden
 
=== lückenhaft geregelte Tatbestände bieten keinen wirksamen Schutz ===
 
=== Hinzu kommen regelmäßig Beweisschwierigkeiten ===
 
=== relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten ===
 
Verletzung des persönlichen Lebens- und Geheimbereichs
 
Betrug und Untreue
 
Urkundenfälschung
 
Sachbeschädigung
 
== Strafrechtliche Vorschriften ==
 
=== unbefugte Eingriffe in Datenverarbeitungsanlage ===
 
=== § 202a Abs. 1 (1) StGB [Ausspähen von Daten] ===
 
„Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
 
Straftatbestand schützt primär
 
alle gespeicherten
 
im Übermittlungsstadium befindlichen Daten
 
vor unbefugtem Zugriff
 
Tathandlung ist das Verschaffen von Daten
 
== Strafrechtliche Vorschriften ==
 
=== § 202b StGB [Abfangen von Daten] ===
 
„Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“
 
== Strafrechtliche Vorschriften ==
 
== § 202 c StGB ==
 
=== (1)Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er ===
 
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§&nbsp;202 a Abs. 2) ermöglichen, oder
 
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
 
=== (2) § 149 Abs. 2 und 3 gilt entsprechend. ===
 
== Strafrechtliche Vorschriften ==
 
=== § 263a StGB [Computerbetrug] ===
 
„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
 
Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.
 
=== Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus ===
 
Vorsatz
 
Absicht Vermögensvorteil zu verschaffen
 
== Strafrechtliche Vorschriften ==
 
=== § 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen] ===
 
„Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
 
Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.
 
=== Tathandlung ===
 
Herstellen einer unechten technischen Aufzeichnung
 
Verfälschen einer technischen Aufzeichnung
 
Gebrauchen einer unechten oder verfälschten technischen Aufzeichnung
 
=== um Tatbestand zu erfüllen ===
 
zur Täuschung im Rechtsverkehr handeln
 
gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen
 
== Strafrechtliche Vorschriften ==
 
=== § 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten] ===
 
„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
 
Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·
 
=== § 303a Abs. 1 StGB [Datenveränderung] ===
 
„Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten ist durch diesen Paragrafen unter Strafe gestellt.“
 
=== § 303b StGB [Computersabotage] ===
 
„Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
 
== Europäische Cybercrime-Konvention ==
 
=== Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen ===
 
Ministerkomitee des Europarates
 
8. November 2001
 
unterzeichnet, bislang nicht ratifiziert
 
=== Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level] ===
 
werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.
 
=== Für Penetrationstests relevante Inhalte der Konvention ===
 
Titel 1 und 2 der Sektion 1 [Substantive criminal law]
 
== Europäische Cybercrime-KonventionTitel 1 ==
 
== Offences against the confidentiality, integrity and availability of computer data and systems ==
 
== Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme ==
 
== Europäische Cybercrime-KonventionTitel 2 ==
 
== Computer-related offences ==
 
== Computerbezogene Straftaten ==
 
== Insbesondere in Art. 6 der Konvention ==
 
=== autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels ===
 
=== nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern ===
 
indem er einer möglichen Strafbarkeit durch seine Tätigkeit gegenüberstände
 
=== entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten ===
 
== Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen ==
 
=== Im Zuge eines Penetrationstests werden ===
 
durch den Tester Handlungen ausgeführt die
 
wenn sie nicht mit der Einwilligung des Auftraggebers geschehen
 
gegen geltende Gesetze verstoßen können
 
=== Penetrationstester handeln nicht tatbestandsmäßig ===
 
besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen
 
=== durch Einwilligung gerechtfertigt ===
 
Eingriffe
 
Inhalt
 
Umfang
 
mit dem Auftraggeber abgestimmen
 
=== Handlungsrahmens exakt festlegen ===
 
zwischen dem Auftraggeber und dem Auftragnehmer
 
=== Einwilligung vor Beginn einholen ===
 
nach Festlegung des konkreten Handlungsrahmens
 
in gesonderter Erklärung des Auftraggebers
 
== Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) ==
 
=== Vorschriften zur Einwilligung des Auftraggebers ===
 
=== Zugangskontrolldiensteschutzgesetz (ZKDSG) ===
 
Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten
 
=== zugangskontrollierter Dienst ===
 
Teledienst im Sinne von § 2 des TDG
 
Mediendienst im Sinne von § 2 des MDStV, ...
 
=== Zugangskontrolldienst ===
 
technisches Verfahren oder Vorrichtung
 
erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen
 
== Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG) ==
 
=== Schutz von kostenpflichtigen Diensten ===
 
z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen
 
=== § 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten] ===
 
=== Verboten sind ===
 
Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken
 
Herstellung, Einfuhr und Verbreitung
 
Besitz, technische Einrichtung, Wartung, Austausch
 
Absatzförderung
 
=== zugangskontrollierten Dienst ===
 
passwortgeschützte WWW- oder FTP-Server, ...
 
=== Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen ===
 
== Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) ==
 
=== Verstoß gegen ZKDSG nicht vermeidbar ===
 
sobald Penetrationstest mit Tools (Umgehungsvorrichtungen) durchgeführt wird
 
=== Penetrationstester erfüllt Voraussetzung Hacker- und Sicherheitstools zu gewerblichen Zwecken einzusetzen ===
 
Penetrationstester, der einen Exploit zum Remote-Zugriff auf einem passwortgeschützten Webserver besitzt
 
ordnungswidriges Verhalten
 
Geldbuße bis zu 50.000 €
 
=== Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen ===
 
== Telekommunikationsgesetz (TKG) ==
 
=== Relevante Bestimmungen im Rahmen eines Penetrationstests ===
 
=== § 65 TKG Abs. 1 [Missbrauch von Sendeanlagen] ===
 
„Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“
 
=== § 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen] ===
 
„Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“
 
=== Verbot mit Erlaubnis-Vorbehalt ===
 
Handlungen, die bei Penetrationstests durchgeführt werden
 
Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt
 
== Rahmenbeschluss über Angriffe auf Informationssysteme ==
 
=== Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme ===
 
Europäische Kommission: 19.04.2002
 
=== Angriffe auf Informationssysteme unter den Mitgliedstaaten ===
 
strafrechtlichen Vorschriften angeglichen
 
Zusammenarbeit zwischen Behörden verbessern
 
=== gesamte Werk umfasst 14 Artikel ===
 
=== Artikel 3 und 4 beschrieben Straftaten näher ===
 
== Rahmenbeschluss über Angriffe auf Informationssysteme ==
 
=== Artikel 3 - Rechtswidriger Zugang zu Informationssystemen ===
 
vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern
 
gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet
 
Absicht Schaden zuzufügen oder wirtschaftlichen Vorteil zu bewirken
 
=== Artikel 4 - Rechtswidriger Eingriff in Informationssysteme ===
 
vorsätzlichen und unrechtmäßigen Handlungen unter Strafe
 
schwere Behinderung oder Störung des Betriebs eines Informationssystems
 
Eingabe, Übermittlung, Beschädigung, Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten
 
Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten eines Informationssystems
 
sofern Absicht, Schaden zuzufügen
 
== Rahmenbeschluss über Angriffe auf Informationssysteme ==
 
=== weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten ===
 
=== Penetrationstester nicht von Strafbarkeit erfasst ===
 
Einverständnis des Auftraggebers
 
Handlungsrahmen einhalten
 
kein Vorsatz zu strafbarer Handlung
 
gerechtfertigt wegen Einwilligung
 
== Betriebsverfassungsgesetz (BetrVG) ==
 
=== Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG) ===
 
in Planung von Penetrationstests einbeziehen
 
=== § 87 Abs. 1 Nr. 6 BetrVG [Mitbestimmungsrechte] ===
 
„Der Betriebsrat hat [...], in folgenden Angelegenheiten mitzubestimmen: o bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“
 
=== Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen ===
 
== Betriebsverfassungsgesetz (BetrVG) ==
 
=== Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet ===
 
Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit
 
auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck
 
sind Penetrationstests grundsätzlich dazu geeignet
 
=== Nach BAG ===
 
allein entscheidend
 
objektiv dazu geeignet
 
ohne Rücksicht, ob Arbeitgeber
 
dieses Ziel verfolgt
 
Daten auswertet
 
=== frühzeitige Einbeziehung des Betriebsrates unbedingt angeraten ===
 
selbst wenn es seiner Zustimmung letztlich nicht bedarf
 
== Gesetzliche Rahmenbedingungen ==
 
Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.
 
Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.
 
Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.
 
Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.
 
== Gesetze zur Corporate Governance ==
 
Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.
 
Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.
 
Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.
 
Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.
 
Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.
 
Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.
 
Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.
 
Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.
 
Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296
 
Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.
 
Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296
 
In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]
 
Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.
 
Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.
 
== Datenschutzgesetze ==
 
Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.
 
Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]
 
Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).
 
In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]
 
Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.
 
Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).
 
Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.
 
Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.
 
In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.
 
Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
 
Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]
 
Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.
 
== Strafrechtliche Aspekte ==
 
Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).
 
In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.
 
Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.
 
Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
 
Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.
 
Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).
 
Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.
 
Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.
 
Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.
 
Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
 
Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.
 
Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.
 
== Zitat ==
 
„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“
 
 
– Marcus J. Ranum, IT-Sicherheitsexperte[26], zitiert nach Niels Boeing

Aktuelle Version vom 19. September 2024, 11:09 Uhr

Weiterleitung nach: