Rechtliche Rahmenbedingungen der ISMS: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 5: Zeile 5:
<div style="text-align:center;color:#000000;">'''der Informationssicherheit'''</div>
<div style="text-align:center;color:#000000;">'''der Informationssicherheit'''</div>


= Vorschriften und Gesetzesanforderungen =
== Vorschriften und Gesetzesanforderungen ==


=== Stellen Sie sich vor … ===
=== Stellen Sie sich vor … ===
Zeile 11: Zeile 11:
bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit


Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.  
Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.


Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt.
Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt.


=== Welche Konsequenzen drohen? ===
=== Welche Konsequenzen drohen? ===


dem Unternehmen bzw. der Behörde  
dem Unternehmen bzw. der Behörde


den verantwortlichen Personen
den verantwortlichen Personen


= Vorschriften und Gesetzesanforderungen =
== Vorschriften und Gesetzesanforderungen ==


=== Vorstand haftet persönlich ===
=== Vorstand haftet persönlich ===


wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt  
wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt


§ 91 Abs. 2 und § 93 Abs. 2 AktG
§ 91 Abs. 2 und § 93 Abs. 2 AktG


=== Geschäftsführern einer GmbH ===
=== Geschäftsführern einer GmbH ===


wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt  
wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt


§ 43 Abs. 1 GmbHG
§ 43 Abs. 1 GmbHG
Zeile 37: Zeile 37:
=== Im Aktiengesetz genannten Pflichten eines Vorstands ===
=== Im Aktiengesetz genannten Pflichten eines Vorstands ===


gelten auch im Rahmen des Handelsgesetzbuches  
gelten auch im Rahmen des Handelsgesetzbuches


§ 317 Abs. 4 HGB
§ 317 Abs. 4 HGB


=== Handelsgesetzbuch verpflichtet Abschlussprüfer ===
=== Handelsgesetzbuch verpflichtet Abschlussprüfer ===


zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind"  
zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind"


§ 317 Abs. 2HGB
§ 317 Abs. 2HGB


= Vorschriften und Gesetzesanforderungen =
== Vorschriften und Gesetzesanforderungen ==


=== Für bestimmte Berufsgruppen ===
=== Für bestimmte Berufsgruppen ===
Zeile 67: Zeile 67:
Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.
Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.


=== Banken ===
=== Banken ===


Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird
Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird


= Rechtliche Einordnung der Informationssicherheit =
== Rechtliche Einordnung der Informationssicherheit ==


== Recht der Informationssicherheit ==
== Recht der Informationssicherheit ==
Zeile 89: Zeile 89:
Aktien-Recht
Aktien-Recht


=== Definition des Begriffs „Sicherheit in der Informationstechnik“ ===
=== Definition des Begriffs „Sicherheit in der Informationstechnik“ ===


BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)  
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)


2 Abs. 2
2 Abs. 2


Sicherheit in der Informationstechnik im Sinne dieses Gesetzes  
Sicherheit in der Informationstechnik im Sinne dieses Gesetzes


Einhaltung bestimmter Sicherheitsstandards zu Informationen  
Einhaltung bestimmter Sicherheitsstandards zu Informationen


Verfügbarkeit
Verfügbarkeit


Unversehrtheit  
Unversehrtheit


Vertraulichkeit  
Vertraulichkeit


durch Sicherheitsvorkehrungen
durch Sicherheitsvorkehrungen


in und bei der Anwendung  
in und bei der Anwendung


von informationstechnischen Systemen oder Komponenten
von informationstechnischen Systemen oder Komponenten


= Rechtliche Einordnung der Informationssicherheit =
== Rechtliche Einordnung der Informationssicherheit ==


=== Technische Regelwerke wie z.B. ITSEC ===
=== Technische Regelwerke wie z.B. ITSEC ===
Zeile 123: Zeile 123:
<div style="text-align:center;">BSI – Gesetz</div>
<div style="text-align:center;">BSI – Gesetz</div>


= BSI – Gesetz =
== BSI – Gesetz ==


=== Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. ===
=== Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde. ===


Es ist zuständig für die Informationssicherheit auf nationaler Ebene.  
Es ist zuständig für die Informationssicherheit auf nationaler Ebene.


Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI)
Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI)
Zeile 133: Zeile 133:
Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert
Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert


dem wurden BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfe­ersuchen angewiesen zu sein.  
dem wurden BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfe­ersuchen angewiesen zu sein.


Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik
Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik
Zeile 147: Zeile 147:
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen
Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen


Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik  
Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik


Entwicklung von Sicherheitsvorkehrungen
Entwicklung von Sicherheitsvorkehrungen
Zeile 157: Zeile 157:
Herstellung von Schlüsseldaten und Betrieb von Krypto­- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes
Herstellung von Schlüsseldaten und Betrieb von Krypto­- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes


= Unterstützung der Länder =
== Unterstützung der Länder ==


Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG).  
Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG).


Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG).  
Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG).


=== Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG) ===
=== Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG) ===


Es erarbeitet ferner Mindest­standards für die Sicherheit der Informationstechnik des Bundes(§ 8 Abs. 1 BSIG).  
Es erarbeitet ferner Mindest­standards für die Sicherheit der Informationstechnik des Bundes(§ 8 Abs. 1 BSIG).


Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.  
Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.


Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG).
Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG).


= Schutz kritischer Infrastrukturen =
== Schutz kritischer Infrastrukturen ==


Das BMI bestimmt durch Rechtsverordnung
Das BMI bestimmt durch Rechtsverordnung


welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG).  
welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG).


Deren Betreiber sind verpflichtet
Deren Betreiber sind verpflichtet


unter Berücksichtigung des Standes der Technik  
unter Berücksichtigung des Standes der Technik


angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen
angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen
Zeile 187: Zeile 187:
Integrität
Integrität


Authentizität und  
Authentizität und


Vertraulichkeit  
Vertraulichkeit


ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG).  
ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG).


=== Geldbußen können bis zu 50.000 Euro betragen (§ 14 BSIG) ===
=== Geldbußen können bis zu 50.000 Euro betragen (§ 14 BSIG) ===


Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig.  
Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig.


= Einschränkung von Grundrechten =
== Einschränkung von Grundrechten ==


Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird.
Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird.


= Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik =
== Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik ==


Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG).  
Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG).


Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG).  
Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG).


Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG).
Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG).


= Zusammenarbeit mit Sicherheitsbehörden =
== Zusammenarbeit mit Sicherheitsbehörden ==


=== Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben. ===
=== Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben. ===


Es unterstützt ferner  
Es unterstützt ferner


das Bundesamt für Verfassungsschutz (BfV),  
das Bundesamt für Verfassungsschutz (BfV),


den Militärischen Abschirmdienst (MAD) und  
den Militärischen Abschirmdienst (MAD) und


die Landesbehörden für Verfassungsschutz  
die Landesbehörden für Verfassungsschutz


bei der Auswertung und Bewertung von Informationen
bei der Auswertung und Bewertung von Informationen


die bei der Beobachtung terroristischer Bestrebungen  
die bei der Beobachtung terroristischer Bestrebungen


nachrichtendienstlicher Tätigkeiten anfallen
nachrichtendienstlicher Tätigkeiten anfallen


sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.  
sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.


Die Unterstützung darf nur gewährt werden
Die Unterstützung darf nur gewährt werden


soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG).  
soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG).


Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.  
Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.


<div style="text-align:center;">Informationssicherheitsgesetz</div>
<div style="text-align:center;">Informationssicherheitsgesetz</div>
Zeile 239: Zeile 239:
<div style="text-align:center;">2.0</div>
<div style="text-align:center;">2.0</div>


= Kritischer Infrastrukturen =
== Kritischer Infrastrukturen ==


= Tabelle zum IT-Sicherheitsgesetz =
== Tabelle zum IT-Sicherheitsgesetz ==


= Änderungsvorschläge im BSIG =
== Änderungsvorschläge im BSIG ==


Änderung und Erweiterung von Begriffsdefinitionen
Änderung und Erweiterung von Begriffsdefinitionen
Zeile 280: Zeile 280:
https://community.beck.de/2020/11/21/it-sicherheitsgesetz-20-dritter-referentenentwurf-veroeffentlicht
https://community.beck.de/2020/11/21/it-sicherheitsgesetz-20-dritter-referentenentwurf-veroeffentlicht


= IT-Sicherheitsgesetz 2.0 =
== IT-Sicherheitsgesetz 2.0 ==


=== Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden ===
=== Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden ===
Zeile 302: Zeile 302:
Öffentlichkeit informieren
Öffentlichkeit informieren


=== Kernaufgabe des BSI ===
=== Kernaufgabe des BSI ===


Angriffe abzuwehren und Sicherheitslücken schließen
Angriffe abzuwehren und Sicherheitslücken schließen
Zeile 316: Zeile 316:
Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.
Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.


= Fernzugriff auf Geräte im „Internet der Dinge“ =
== Fernzugriff auf Geräte im „Internet der Dinge“ ==


== BSI soll im Internet nach unsicheren Geräten suchen ==
== BSI soll im Internet nach unsicheren Geräten suchen ==
Zeile 326: Zeile 326:
Smartphones
Smartphones


Schlecht abgesicherte Geräte im „Internet der Dinge“  
Schlecht abgesicherte Geräte im „Internet der Dinge“


Überwachungskameras, Kühlschränke oder Babyfone
Überwachungskameras, Kühlschränke oder Babyfone


=== Unsicher sind Systeme ===
=== Unsicher sind Systeme ===


mit veralteter Software
mit veralteter Software
Zeile 350: Zeile 350:
Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.
Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.


= Installation lückenschließender Software =
== Installation lückenschließender Software ==


=== Weitere Befugnisse für das BSI ===
=== Weitere Befugnisse für das BSI ===


Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten
Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten
Zeile 382: Zeile 382:
so die Begründung
so die Begründung


= Darknet-Gesetz und digitaler Hausfriedensbruch =
== Darknet-Gesetz und digitaler Hausfriedensbruch ==


== Gesetzentwurf verschärft Strafrecht ==
== Gesetzentwurf verschärft Strafrecht ==
Zeile 406: Zeile 406:
Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden
Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden


Bedroht auch wünschenswerte Dienste und Anonymität im Internet  
Bedroht auch wünschenswerte Dienste und Anonymität im Internet


=== Polizei soll Nutzer-Accounts von Beschuldigten übernehmen ===
=== Polizei soll Nutzer-Accounts von Beschuldigten übernehmen ===
Zeile 412: Zeile 412:
um damit zu ermitteln
um damit zu ermitteln


„weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.  
„weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.


Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden
Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden


= Von Verteidigung zum Angriff =
== Von Verteidigung zum Angriff ==


=== Der Gesetzentwurf ist ein Rundumschlag ===
=== Der Gesetzentwurf ist ein Rundumschlag ===
Zeile 444: Zeile 444:
<div style="text-align:center;">Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit</div>
<div style="text-align:center;">Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit</div>


= Folgen der NichtbeachtungAnforderungen an Informationssicherheit =
== Folgen der NichtbeachtungAnforderungen an Informationssicherheit ==


== zivilrechtlichen Folgen ==
== zivilrechtlichen Folgen ==


=== Folge keiner oder unzureichender vertraglicher Regelungen ===
=== Folge keiner oder unzureichender vertraglicher Regelungen ===


=== als „Verursacher“ ===
=== als „Verursacher“ ===


der Nichtbeachtung von Informationssicherheits-Anforderungen
der Nichtbeachtung von Informationssicherheits-Anforderungen


=== als „Betroffener“ ===
=== als „Betroffener“ ===


nicht beachteter Informationssicherheits-Anforderungen  
nicht beachteter Informationssicherheits-Anforderungen


== Fall 1: Der schlampige Möbelfabrikant ==
== Fall 1: Der schlampige Möbelfabrikant ==


=== Bei der Einrichtung neuer Arbeitsplätze ===
=== Bei der Einrichtung neuer Arbeitsplätze ===


=== stellt der technische Dienstleister Kai Kabel ===
=== stellt der technische Dienstleister Kai Kabel ===


=== bei der Möbelfirma „Eiche Nordisch“ mit großem Entsetzen fest ===
=== bei der Möbelfirma „Eiche Nordisch“ mit großem Entsetzen fest ===
Zeile 472: Zeile 472:
Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen


= Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit =
== Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit ==


== Fall 1: Der schlampige Möbelfabrikant ==
== Fall 1: Der schlampige Möbelfabrikant ==
Zeile 492: Zeile 492:
=== Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen ===
=== Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen ===


= Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit =
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==


== Fall 1: Der schlampige Möbelfabrikant ==
== Fall 1: Der schlampige Möbelfabrikant ==
Zeile 504: Zeile 504:
=== kein Fahrlässigkeitsvorwurf ===
=== kein Fahrlässigkeitsvorwurf ===


bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms  
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms


inkl. Installation von Updates
inkl. Installation von Updates
Zeile 510: Zeile 510:
selbst verbreitenden Virus
selbst verbreitenden Virus


= Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit =
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==


== Fall 2: Der schlampige technische Dienstleister ==
== Fall 2: Der schlampige technische Dienstleister ==
Zeile 518: Zeile 518:
ihm unterläuft eine Unachtsamkeit, versehentlich
ihm unterläuft eine Unachtsamkeit, versehentlich


löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden  
löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden


= Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit =
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==


== Fall 2: Der schlampige technische Dienstleister ==
== Fall 2: Der schlampige technische Dienstleister ==


=== Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu ===
=== Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu ===


i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
Zeile 530: Zeile 530:
=== Minderung und Ausschluss des Schadensersatzes ===
=== Minderung und Ausschluss des Schadensersatzes ===


bei Nichtbeachtung der Regeln der Informationssicherheit  
bei Nichtbeachtung der Regeln der Informationssicherheit


=== ordnungsgemäße Datensicherung erfordert ===
=== ordnungsgemäße Datensicherung erfordert ===


regelmäßige Sicherung
regelmäßige Sicherung
Zeile 540: Zeile 540:
sichere Aufbewahrung des Backups, ...
sichere Aufbewahrung des Backups, ...


= Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit =
== Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit ==


== Strafrechtliche Konsequenzen i.d.R. weniger relevant ==
== Strafrechtliche Konsequenzen i.d.R. weniger relevant ==


=== § 203 StGB sieht für bestimmte Berufsgruppen ===
=== § 203 StGB sieht für bestimmte Berufsgruppen ===


Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
Zeile 550: Zeile 550:
wenn vertrauliche Daten öffentlich werden
wenn vertrauliche Daten öffentlich werden


aufgrund zu schwacher Sicherheitsvorkehrungen  
aufgrund zu schwacher Sicherheitsvorkehrungen


=== Die übrigen hier relevanten Straftatbestände ===
=== Die übrigen hier relevanten Straftatbestände ===


§ 202a - Ausspähen von Daten, § 303b Computersabotage
§ 202a - Ausspähen von Daten, § 303b Computersabotage
Zeile 558: Zeile 558:
betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens


= Rechtliche Bedeutung von Informationssicherheitin drei Bereichen =
== Rechtliche Bedeutung von Informationssicherheitin drei Bereichen ==


=== Prozesssicherheit / Fehlerfreie Produktion ===
=== Prozesssicherheit / Fehlerfreie Produktion ===
Zeile 572: Zeile 572:
Unternehmensführung auf valider Datenbasis
Unternehmensführung auf valider Datenbasis


= Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden =
== Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden ==


=== §§ 281 ff., 440, 636 BGB ===
=== §§ 281 ff., 440, 636 BGB ===
Zeile 586: Zeile 586:
Schadensersatz ohne Vertrag
Schadensersatz ohne Vertrag


=== § 1 ProdHG ===
=== § 1 ProdHG ===


Gefährdungshaftung mit Haftungsausschluss-Tatbeständen
Gefährdungshaftung mit Haftungsausschluss-Tatbeständen


= Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis =
== Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis ==


=== Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe ===
=== Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe ===
Zeile 604: Zeile 604:
weil Informationssicherheit dem Stand der Technik entspricht
weil Informationssicherheit dem Stand der Technik entspricht


= Datenschutz hat Verfassungsrang =
== Datenschutz hat Verfassungsrang ==


=== Rechtsgrundlagen des Datenschutzes ===
=== Rechtsgrundlagen des Datenschutzes ===
Zeile 620: Zeile 620:
Sonstige Gesetze
Sonstige Gesetze


= Haftung von Geschäftsführern und Vorständen =
== Haftung von Geschäftsführern und Vorständen ==


=== Geschäftsführer oder Vorstände haften persönlich ===
=== Geschäftsführer oder Vorstände haften persönlich ===


gegenüber ihren Gesellschaften  
gegenüber ihren Gesellschaften


wenn sie vertraglichen oder gesetzlichen Pflichten verletzen
wenn sie vertraglichen oder gesetzlichen Pflichten verletzen
Zeile 630: Zeile 630:
=== §§ 43 Abs. 1 GmbHG, 93 Abs. 1 AktG) ===
=== §§ 43 Abs. 1 GmbHG, 93 Abs. 1 AktG) ===


„Sorgfalt eines ordentlichen Geschäftsmannes/eines ordentlichen und gewissenhaften Geschäftsleiters“  
„Sorgfalt eines ordentlichen Geschäftsmannes/eines ordentlichen und gewissenhaften Geschäftsleiters“


=== § 92 Abs. 2 AktG ===
=== § 92 Abs. 2 AktG ===


„... Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. ...“  
„... Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. ...“


= Haftung von Geschäftsführern und Vorständen =
== Haftung von Geschäftsführern und Vorständen ==


== Geschäftsführer oder Vorstände müssen ==
== Geschäftsführer oder Vorstände müssen ==


=== für angemessenes Niveau an Informationssicherheit sorgen ===
=== für angemessenes Niveau an Informationssicherheit sorgen ===
Zeile 652: Zeile 652:
so dass nur eine mangelnde Auswahl oder Überwachung vorgeworfen werden kann
so dass nur eine mangelnde Auswahl oder Überwachung vorgeworfen werden kann


= Datensicherheit zur pflichtgemäßen Unternehmensführung =
== Datensicherheit zur pflichtgemäßen Unternehmensführung ==


=== Unternehmensführung auf valider Datengrundlage ===
=== Unternehmensführung auf valider Datengrundlage ===
Zeile 666: Zeile 666:
Risikofrüherkennunngssystem (§ 91 AktG)‏
Risikofrüherkennunngssystem (§ 91 AktG)‏


= Datensicherheit unabdingbar für pflichtgemäße Unternehmensführung =
== Datensicherheit unabdingbar für pflichtgemäße Unternehmensführung ==


=== Erfüllung von Sorgfaltspflichten ===
=== Erfüllung von Sorgfaltspflichten ===


durch valide Datenbasis  
durch valide Datenbasis


gesichert durch IT-Security
gesichert durch IT-Security


=== Geschäftsführer von ===
=== Geschäftsführer von ===


§ 93 I AktG
§ 93 I AktG


§ 43 I GmbHG  
§ 43 I GmbHG


=== „Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes“ ===
=== „Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes“ ===


§ 347 I HGB  
§ 347 I HGB


= KonTraG =
== KonTraG ==


=== „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ ===
=== „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ ===


=== Modifikation der Pflichten ===
=== Modifikation der Pflichten ===


Vorstand, Geschäftsführer und Aufsichtsrat
Vorstand, Geschäftsführer und Aufsichtsrat
Zeile 696: Zeile 696:
Eingehen auf Risiken der zukünftigen Entwicklung in Lagebericht
Eingehen auf Risiken der zukünftigen Entwicklung in Lagebericht


= Risikofrüherkennungssystem =
== Risikofrüherkennungssystem ==


=== § 91 II AktG ===
=== § 91 II AktG ===
Zeile 704: Zeile 704:
insbesondere ein Überwachungssystem einzurichten
insbesondere ein Überwachungssystem einzurichten


damit den Fortbestand der Gesellschaft gefährdende Entwicklungen  
damit den Fortbestand der Gesellschaft gefährdende Entwicklungen


früh erkannt werden.“
früh erkannt werden.“


= § 91 II AktG =
== § 91 II AktG ==


=== „Überwachung“ ===
=== „Überwachung“ ===
Zeile 726: Zeile 726:
rechtzeitig, um bestandsgefährdende Ausmaße entgegenwirken zu können
rechtzeitig, um bestandsgefährdende Ausmaße entgegenwirken zu können


= Lagebericht als Anhang zur Bilanz =
== Lagebericht als Anhang zur Bilanz ==


=== Verpflichtung (§ 289 HGB) ===
=== Verpflichtung (§ 289 HGB) ===
Zeile 738: Zeile 738:
Darstellung der Risiken der künftigen Entwicklung
Darstellung der Risiken der künftigen Entwicklung


= Rechtliche Absicherung =
== Rechtliche Absicherung ==


=== Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes ===
=== Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes ===


=== Gewährleistung von ===
=== Gewährleistung von ===


Prozesssicherheit
Prozesssicherheit
Zeile 748: Zeile 748:
Datenschutz
Datenschutz


Datensicherheit durch  
Datensicherheit durch


=== IT-Security ===
=== IT-Security ===
Zeile 756: Zeile 756:
Präzise Vertragsgestaltung
Präzise Vertragsgestaltung


= Vertragsgestaltung =
== Vertragsgestaltung ==


== Umfassende vertragliche Absicherung gegenüber Dienstleistern ==
== Umfassende vertragliche Absicherung gegenüber Dienstleistern ==
Zeile 762: Zeile 762:
=== Vertrag über den Aufbau eines Informationssicherheitssystems ===
=== Vertrag über den Aufbau eines Informationssicherheitssystems ===


=== Service- Level - Management ===
=== Service- Level - Management ===


=== Verträge mit ISP (TK-Leitung)‏ ===
=== Verträge mit ISP (TK-Leitung)‏ ===
Zeile 768: Zeile 768:
=== umfassendes Vertragsmanagement notwendig ===
=== umfassendes Vertragsmanagement notwendig ===


= Vertrag über den Aufbau eines Informationssicherheitssystems =
== Vertrag über den Aufbau eines Informationssicherheitssystems ==


== Wichtige Bestandteile ==
== Wichtige Bestandteile ==
Zeile 786: Zeile 786:
=== Laufzeit/Kündigung ===
=== Laufzeit/Kündigung ===


= Vertrag über den Aufbau eines Informationssicherheitssystems =
== Vertrag über den Aufbau eines Informationssicherheitssystems ==


== Darüber hinaus zu beachten ==
== Darüber hinaus zu beachten ==
Zeile 800: Zeile 800:
=== Flexibilität durch SLA‘s ===
=== Flexibilität durch SLA‘s ===


= Exkurs: Verwaltung von Softwarelizenzen =
== Exkurs: Verwaltung von Softwarelizenzen ==


=== Ordnungsgemäße Lizenzierung wird sehr häufig vernachlässigt ===
=== Ordnungsgemäße Lizenzierung wird sehr häufig vernachlässigt ===
Zeile 814: Zeile 814:
Bestellung eines Softwarebeauftragten oder Erweiterung des Aufgabenfeldes des Informationssicherheits-Beauftragten
Bestellung eines Softwarebeauftragten oder Erweiterung des Aufgabenfeldes des Informationssicherheits-Beauftragten


= Zusammenfassung =
== Zusammenfassung ==


=== Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden ===
=== Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden ===
Zeile 839: Zeile 839:




= Rechtliche Aspekte =
== Rechtliche Aspekte ==


== Rechtliche Vorschriften ==
== Rechtliche Vorschriften ==


Motivation zur Umsetzung von Sicherheitsmaßnahmen  
Motivation zur Umsetzung von Sicherheitsmaßnahmen


bei der Umsetzung von Sicherheitsmaßnahmen zu beachten
bei der Umsetzung von Sicherheitsmaßnahmen zu beachten
Zeile 849: Zeile 849:
Interessenskonflikte
Interessenskonflikte


=== Vertragsgestaltung ===
=== Vertragsgestaltung ===


zwischen Auftraggebern und Dienstleistern
zwischen Auftraggebern und Dienstleistern


= Gesetzliche Vorschriftenals Motivation für Penetrationstests =
== Gesetzliche Vorschriftenals Motivation für Penetrationstests ==


=== keine Gesetze die unmittelbar zu Penetrationstests verpflichten ===
=== keine Gesetze die unmittelbar zu Penetrationstests verpflichten ===


=== jedoch verbindliche Vorschriften ===
=== jedoch verbindliche Vorschriften ===


Handhabung der Sicherheit  
Handhabung der Sicherheit


Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten
Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten
Zeile 867: Zeile 867:
Einrichtung und Ausgestaltung eines internen Kontrollsystems
Einrichtung und Ausgestaltung eines internen Kontrollsystems


= Gesetzliche Vorschriftenals Motivation für Penetrationstests =
== Gesetzliche Vorschriftenals Motivation für Penetrationstests ==


=== Maßnahmen um Daten zu schützen ===
=== Maßnahmen um Daten zu schützen ===
Zeile 873: Zeile 873:
Verfügbarkeit
Verfügbarkeit


Vertraulichkeit  
Vertraulichkeit


Integrität  
Integrität


=== Zu diesen Maßnahmen zählen ===
=== Zu diesen Maßnahmen zählen ===


Sicherheitskonzepte
Sicherheitskonzepte
Zeile 891: Zeile 891:
=== Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren ===
=== Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren ===


= Handelsgesetzbuch (HGB) =
== Handelsgesetzbuch (HGB) ==


== Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor ==
== Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor ==


=== § 238 Abs. 1 ===
=== § 238 Abs. 1 ===


Grundsätzen ordnungsmäßiger Buchführung (GoB)  
Grundsätzen ordnungsmäßiger Buchführung (GoB)


Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)  
Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)


=== BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995 ===
=== BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995 ===
Zeile 907: Zeile 907:
=== Rd-Nr. 4.1 ===
=== Rd-Nr. 4.1 ===


„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“  
„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“


= Handelsgesetzbuch (HGB) =
== Handelsgesetzbuch (HGB) ==


=== Bestimmungen zur Datensicherheit Abschnitt 5 GoBS ===
=== Bestimmungen zur Datensicherheit Abschnitt 5 GoBS ===
Zeile 919: Zeile 919:
=== Rd-Nr. 5.3 ===
=== Rd-Nr. 5.3 ===


„Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“  
„Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“


=== Rd-Nr. 5.5.1 ===
=== Rd-Nr. 5.5.1 ===
Zeile 929: Zeile 929:
=== Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept ===
=== Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept ===


im Rahmen des Internen Kontrollsystems  
im Rahmen des Internen Kontrollsystems


=== Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden ===
=== Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden ===


= KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich =
== KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich ==


=== Verpflichtet Vorstände von Aktiengesellschaften ===
=== Verpflichtet Vorstände von Aktiengesellschaften ===


Risikomanagementsystem
Risikomanagementsystem
Zeile 943: Zeile 943:
=== § 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst ===
=== § 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst ===


„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“  
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“


=== Diese Regelungen gelten auch für die Geschäftsführung einer GmbH ===
=== Diese Regelungen gelten auch für die Geschäftsführung einer GmbH ===


„Ausstrahlungswirkung“  
„Ausstrahlungswirkung“


=== Gestaltung des Risikomanagementsystem nicht konkret geregelt, mindestens ===
=== Gestaltung des Risikomanagementsystem nicht konkret geregelt, mindestens ===
Zeile 955: Zeile 955:
internes Überwachungssystem
internes Überwachungssystem


einer Revision  
einer Revision


Controlling  
Controlling


=== Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils ===
=== Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils ===


des Frühwarnsystems oder Bestandteilen der Revision
des Frühwarnsystems oder Bestandteilen der Revision


= Kreditwesengesetz (KWG) =
== Kreditwesengesetz (KWG) ==


=== Banken und Organisationen der Finanzdienstleistungsbranche ===
=== Banken und Organisationen der Finanzdienstleistungsbranche ===
Zeile 971: Zeile 971:
Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen
Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen


Finanzdienstleistungsunternehmen  
Finanzdienstleistungsunternehmen


über alle geschäftlichen Bereiche  
über alle geschäftlichen Bereiche


§ 44 Abs. 1  
§ 44 Abs. 1


„[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“  
„[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“


=== Finanzdienstleistungen über das Internet ===
=== Finanzdienstleistungen über das Internet ===


Internet-Sicherheit kann zum Gegenstand einer Prüfung werden
Internet-Sicherheit kann zum Gegenstand einer Prüfung werden


=== Penetrationstests im Vorfeld ===
=== Penetrationstests im Vorfeld ===


Sicherheit der Internet-Anwendungen testen
Sicherheit der Internet-Anwendungen testen


Schwachstellen identifizieren  
Schwachstellen identifizieren


Handlungsempfehlungen bei Defiziten  
Handlungsempfehlungen bei Defiziten


= Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen =
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==


=== Bundesanstalt für Finanzdienstleistungsaufsicht ===
=== Bundesanstalt für Finanzdienstleistungsaufsicht ===


früher: Bundesaufsichtsamt für das Kreditwesen
früher: Bundesaufsichtsamt für das Kreditwesen
Zeile 1.007: Zeile 1.007:
„Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“
„Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“


Anforderungen an das Risikomanagementsystem  
Anforderungen an das Risikomanagementsystem


Ausgestaltung der Internen Revision definiert
Ausgestaltung der Internen Revision definiert


= Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen =
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==


=== Aussagen zum Risikomanagementsystem ===
=== Aussagen zum Risikomanagementsystem ===
Zeile 1.017: Zeile 1.017:
=== Rd-Nr. 3.1 Anforderungen an das System ===
=== Rd-Nr. 3.1 Anforderungen an das System ===


„[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“  
„[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“


=== Rd.-Nr. 3.4 Betriebsrisiken ===
=== Rd.-Nr. 3.4 Betriebsrisiken ===


„[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.  
„[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.


=== Vorsorge treffen ===
=== Vorsorge treffen ===


mögliche Fehler in Software und unvorhergesehene Personalausfälle  
mögliche Fehler in Software und unvorhergesehene Personalausfälle


=== regelmäßige Überprüfungen ===
=== regelmäßige Überprüfungen ===
Zeile 1.031: Zeile 1.031:
Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne
Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne


= Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen =
== Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen ==


=== Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten ===
=== Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten ===
Zeile 1.051: Zeile 1.051:
=== Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten ===
=== Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten ===


= Bundesdatenschutzgesetz (BDSG) =
== Bundesdatenschutzgesetz (BDSG) ==


=== Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht ===
=== Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht ===
Zeile 1.063: Zeile 1.063:
Verarbeitung
Verarbeitung


Nutzung personenbezogener Daten  
Nutzung personenbezogener Daten


=== durch ===
=== durch ===


öffentliche Stellen des Bundes
öffentliche Stellen des Bundes
Zeile 1.079: Zeile 1.079:
„Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“
„Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“


= Bundesdatenschutzgesetz (BDSG) =
== Bundesdatenschutzgesetz (BDSG) ==


=== Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich ===
=== Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich ===


Zutrittskontrolle
Zutrittskontrolle
Zeile 1.099: Zeile 1.099:
=== § 9a BDSG Datenschutzaudit ===
=== § 9a BDSG Datenschutzaudit ===


„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“  
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“


=== Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits ===
=== Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits ===
Zeile 1.105: Zeile 1.105:
Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes
Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes


= Bundesdatenschutzgesetz (BDSG) =
== Bundesdatenschutzgesetz (BDSG) ==


=== Hinweis: EU-Datenschutzrichtlinie (95/46/EG) ===
=== Hinweis: EU-Datenschutzrichtlinie (95/46/EG) ===


=== Novellierung des BDSG vom 18. Mai 2001 ===
=== Novellierung des BDSG vom 18. Mai 2001 ===


EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt
EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt
Zeile 1.115: Zeile 1.115:
=== Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin ===
=== Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin ===


„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“  
„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“


= Bundesdatenschutzgesetz (BDSG) =
== Bundesdatenschutzgesetz (BDSG) ==


=== Eine weitergehende Novellierung des BDSG ===
=== Eine weitergehende Novellierung des BDSG ===


Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)  
Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)


Anpassungen in den Bereichen  
Anpassungen in den Bereichen


Verarbeitung personenbezogener Daten
Verarbeitung personenbezogener Daten
Zeile 1.135: Zeile 1.135:
=== In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen ===
=== In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen ===


= Bundesdatenschutzgesetz (BDSG)Novellierung 2009 =
== Bundesdatenschutzgesetz (BDSG)Novellierung 2009 ==


Tätigkeit von Auskunfteien und ihrer Vertragspartner  
Tätigkeit von Auskunfteien und ihrer Vertragspartner


insbesondere Kreditinstitute
insbesondere Kreditinstitute


Scoring  
Scoring


Änderungen des Listenprivilegs beim Adresshandel
Änderungen des Listenprivilegs beim Adresshandel
Zeile 1.163: Zeile 1.163:
Kündigungsschutz für Datenschutzbeauftragte
Kündigungsschutz für Datenschutzbeauftragte


= Staatsvertrag für Mediendienste (MDStV) =
== Staatsvertrag für Mediendienste (MDStV) ==


=== Ziel: einheitliche Rahmenbedingungen ===
=== Ziel: einheitliche Rahmenbedingungen ===


für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten
für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten
Zeile 1.177: Zeile 1.177:
Diensteanbietern
Diensteanbietern


=== Verteildienst bezeichnet Anbieter eines Mediendienstes ===
=== Verteildienst bezeichnet Anbieter eines Mediendienstes ===


Teleshopping, ...
Teleshopping, ...
Zeile 1.189: Zeile 1.189:
hat Vorschriften des MDStV zu beachten
hat Vorschriften des MDStV zu beachten


= Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests =
== Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests ==


=== § 13 Abs. 2 MDStV [Pflichten des Anbieters] ===
=== § 13 Abs. 2 MDStV [Pflichten des Anbieters] ===
Zeile 1.197: Zeile 1.197:
=== § 17 MDStV [Datenschutz-Audit] ===
=== § 17 MDStV [Datenschutz-Audit] ===


„Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“  
„Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“


=== Penetrationstests prüfen ===
=== Penetrationstests prüfen ===
Zeile 1.203: Zeile 1.203:
technische
technische


organisatorische Vorkehrungen  
organisatorische Vorkehrungen


Datenschutzkonzept
Datenschutzkonzept


= Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG =
== Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG ==


=== Teledienstegesetz richtet sich an Diensteanbieter ===
=== Teledienstegesetz richtet sich an Diensteanbieter ===
Zeile 1.213: Zeile 1.213:
„eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“
„eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“


=== Teledienst ===
=== Teledienst ===


Angebot im Bereich der Individualkommunikation
Angebot im Bereich der Individualkommunikation
Zeile 1.219: Zeile 1.219:
interaktive Bestellmöglichkeit, ..
interaktive Bestellmöglichkeit, ..


=== In diesem Sinne ist beispielsweise jede Organisation, ===
=== In diesem Sinne ist beispielsweise jede Organisation, ===


die Informationen auf einer Internet-Webseite veröffentlicht oder  
die Informationen auf einer Internet-Webseite veröffentlicht oder


die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter
die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter
Zeile 1.235: Zeile 1.235:
=== Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden ===
=== Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden ===


= Folie 70 =
== Folie 70 ==


=== geschäftsmäßige Erbringer von Telekommunikationsdiensten ===
=== geschäftsmäßige Erbringer von Telekommunikationsdiensten ===
Zeile 1.241: Zeile 1.241:
Telefongesellschaften und Internetdienstleister
Telefongesellschaften und Internetdienstleister


=== Auch Unternehmen, deren Mitarbeiter ===
=== Auch Unternehmen, deren Mitarbeiter ===


ihren Telefonanschluss  
ihren Telefonanschluss


ihren Internetzugang  
ihren Internetzugang


am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich
am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich
Zeile 1.253: Zeile 1.253:
Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation
Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation


= Telekommunikationsgesetz (TKG) =
== Telekommunikationsgesetz (TKG) ==


=== § 85 Abs. 2 TKG [Fernmeldegeheimnis] ===
=== § 85 Abs. 2 TKG [Fernmeldegeheimnis] ===


„Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]  
„Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]


=== § 87 Abs. 1 TKG [Technische Schutzmaßnahmen] ===
=== § 87 Abs. 1 TKG [Technische Schutzmaßnahmen] ===


„Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]  
„Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]


2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]  
2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]


4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.  
4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.


=== Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes. ===
=== Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes. ===


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== Computerkriminalität hat erheblich zugenommen ===
=== Computerkriminalität hat erheblich zugenommen ===
Zeile 1.281: Zeile 1.281:
=== Hinzu kommen regelmäßig Beweisschwierigkeiten ===
=== Hinzu kommen regelmäßig Beweisschwierigkeiten ===


=== relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten ===
=== relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten ===


Verletzung des persönlichen Lebens- und Geheimbereichs
Verletzung des persönlichen Lebens- und Geheimbereichs
Zeile 1.291: Zeile 1.291:
Sachbeschädigung
Sachbeschädigung


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== unbefugte Eingriffe in Datenverarbeitungsanlage ===
=== unbefugte Eingriffe in Datenverarbeitungsanlage ===
Zeile 1.297: Zeile 1.297:
=== § 202a Abs. 1 (1) StGB [Ausspähen von Daten] ===
=== § 202a Abs. 1 (1) StGB [Ausspähen von Daten] ===


„Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“  
„Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“


Straftatbestand schützt primär  
Straftatbestand schützt primär


alle gespeicherten
alle gespeicherten


im Übermittlungsstadium befindlichen Daten  
im Übermittlungsstadium befindlichen Daten


vor unbefugtem Zugriff
vor unbefugtem Zugriff
Zeile 1.309: Zeile 1.309:
Tathandlung ist das Verschaffen von Daten
Tathandlung ist das Verschaffen von Daten


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== § 202b StGB [Abfangen von Daten] ===
=== § 202b StGB [Abfangen von Daten] ===
Zeile 1.315: Zeile 1.315:
„Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“
„Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


== § 202 c StGB ==
== § 202 c StGB ==
Zeile 1.325: Zeile 1.325:
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.


=== (2) § 149 Abs. 2 und 3 gilt entsprechend. ===
=== (2) § 149 Abs. 2 und 3 gilt entsprechend. ===


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== § 263a StGB [Computerbetrug] ===
=== § 263a StGB [Computerbetrug] ===


„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.  
„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.


Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.  
Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.


=== Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus ===
=== Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus ===
Zeile 1.341: Zeile 1.341:
Absicht Vermögensvorteil zu verschaffen
Absicht Vermögensvorteil zu verschaffen


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== § 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen] ===
=== § 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen] ===


„Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.  
„Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.


Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.  
Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.


=== Tathandlung ===
=== Tathandlung ===
Zeile 1.363: Zeile 1.363:
gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen
gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen


= Strafrechtliche Vorschriften =
== Strafrechtliche Vorschriften ==


=== § 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten] ===
=== § 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten] ===


„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“  
„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“


Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·  
Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·


=== § 303a Abs. 1 StGB [Datenveränderung] ===
=== § 303a Abs. 1 StGB [Datenveränderung] ===
Zeile 1.379: Zeile 1.379:
„Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
„Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“


= Europäische Cybercrime-Konvention =
== Europäische Cybercrime-Konvention ==


=== Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen ===
=== Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen ===


Ministerkomitee des Europarates  
Ministerkomitee des Europarates


8. November 2001
8. November 2001


unterzeichnet, bislang nicht ratifiziert  
unterzeichnet, bislang nicht ratifiziert


=== Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level] ===
=== Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level] ===


werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.  
werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.


=== Für Penetrationstests relevante Inhalte der Konvention ===
=== Für Penetrationstests relevante Inhalte der Konvention ===


Titel 1 und 2 der Sektion 1 [Substantive criminal law]
Titel 1 und 2 der Sektion 1 [Substantive criminal law]


= Europäische Cybercrime-KonventionTitel 1 =
== Europäische Cybercrime-KonventionTitel 1 ==


== Offences against the confidentiality, integrity and availability of computer data and systems ==
== Offences against the confidentiality, integrity and availability of computer data and systems ==
Zeile 1.403: Zeile 1.403:
== Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme ==
== Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme ==


= Europäische Cybercrime-KonventionTitel 2 =
== Europäische Cybercrime-KonventionTitel 2 ==


== Computer-related offences ==
== Computer-related offences ==
Zeile 1.409: Zeile 1.409:
== Computerbezogene Straftaten ==
== Computerbezogene Straftaten ==


== Insbesondere in Art. 6 der Konvention ==
== Insbesondere in Art. 6 der Konvention ==


=== autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels ===
=== autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels ===


=== nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern ===
=== nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern ===
Zeile 1.419: Zeile 1.419:
=== entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten ===
=== entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten ===


= Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen =
== Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen ==


=== Im Zuge eines Penetrationstests werden ===
=== Im Zuge eines Penetrationstests werden ===


durch den Tester Handlungen ausgeführt die
durch den Tester Handlungen ausgeführt die
Zeile 1.429: Zeile 1.429:
gegen geltende Gesetze verstoßen können
gegen geltende Gesetze verstoßen können


=== Penetrationstester handeln nicht tatbestandsmäßig ===
=== Penetrationstester handeln nicht tatbestandsmäßig ===


besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen
besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen
Zeile 1.439: Zeile 1.439:
Inhalt
Inhalt


Umfang  
Umfang


mit dem Auftraggeber abgestimmen
mit dem Auftraggeber abgestimmen
Zeile 1.449: Zeile 1.449:
=== Einwilligung vor Beginn einholen ===
=== Einwilligung vor Beginn einholen ===


nach Festlegung des konkreten Handlungsrahmens  
nach Festlegung des konkreten Handlungsrahmens


in gesonderter Erklärung des Auftraggebers  
in gesonderter Erklärung des Auftraggebers


= Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) =
== Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) ==


=== Vorschriften zur Einwilligung des Auftraggebers ===
=== Vorschriften zur Einwilligung des Auftraggebers ===


=== Zugangskontrolldiensteschutzgesetz (ZKDSG) ===
=== Zugangskontrolldiensteschutzgesetz (ZKDSG) ===


Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten
Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten


=== zugangskontrollierter Dienst ===
=== zugangskontrollierter Dienst ===


Teledienst im Sinne von § 2 des TDG
Teledienst im Sinne von § 2 des TDG
Zeile 1.473: Zeile 1.473:
erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen
erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen


= Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG) =
== Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG) ==


=== Schutz von kostenpflichtigen Diensten ===
=== Schutz von kostenpflichtigen Diensten ===


z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen  
z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen


=== § 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten] ===
=== § 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten] ===


=== Verboten sind ===
=== Verboten sind ===


Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken
Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken


Herstellung, Einfuhr und Verbreitung  
Herstellung, Einfuhr und Verbreitung


Besitz, technische Einrichtung, Wartung, Austausch  
Besitz, technische Einrichtung, Wartung, Austausch


Absatzförderung
Absatzförderung
Zeile 1.497: Zeile 1.497:
=== Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen ===
=== Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen ===


= Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) =
== Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG) ==


=== Verstoß gegen ZKDSG nicht vermeidbar ===
=== Verstoß gegen ZKDSG nicht vermeidbar ===
Zeile 1.513: Zeile 1.513:
=== Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen ===
=== Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen ===


= Telekommunikationsgesetz (TKG) =
== Telekommunikationsgesetz (TKG) ==


=== Relevante Bestimmungen im Rahmen eines Penetrationstests ===
=== Relevante Bestimmungen im Rahmen eines Penetrationstests ===
Zeile 1.519: Zeile 1.519:
=== § 65 TKG Abs. 1 [Missbrauch von Sendeanlagen] ===
=== § 65 TKG Abs. 1 [Missbrauch von Sendeanlagen] ===


„Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“  
„Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“


=== § 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen] ===
=== § 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen] ===


„Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“  
„Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“


=== Verbot mit Erlaubnis-Vorbehalt ===
=== Verbot mit Erlaubnis-Vorbehalt ===
Zeile 1.531: Zeile 1.531:
Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt
Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt


= Rahmenbeschluss über Angriffe auf Informationssysteme =
== Rahmenbeschluss über Angriffe auf Informationssysteme ==


=== Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme ===
=== Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme ===


Europäische Kommission: 19.04.2002
Europäische Kommission: 19.04.2002


=== Angriffe auf Informationssysteme unter den Mitgliedstaaten ===
=== Angriffe auf Informationssysteme unter den Mitgliedstaaten ===


strafrechtlichen Vorschriften angeglichen  
strafrechtlichen Vorschriften angeglichen


Zusammenarbeit zwischen Behörden verbessern
Zusammenarbeit zwischen Behörden verbessern
Zeile 1.547: Zeile 1.547:
=== Artikel 3 und 4 beschrieben Straftaten näher ===
=== Artikel 3 und 4 beschrieben Straftaten näher ===


= Rahmenbeschluss über Angriffe auf Informationssysteme =
== Rahmenbeschluss über Angriffe auf Informationssysteme ==


=== Artikel 3 - Rechtswidriger Zugang zu Informationssystemen ===
=== Artikel 3 - Rechtswidriger Zugang zu Informationssystemen ===


vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern  
vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern


gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet
gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet
Zeile 1.569: Zeile 1.569:
sofern Absicht, Schaden zuzufügen
sofern Absicht, Schaden zuzufügen


= Rahmenbeschluss über Angriffe auf Informationssysteme =
== Rahmenbeschluss über Angriffe auf Informationssysteme ==


=== weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten ===
=== weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten ===
Zeile 1.583: Zeile 1.583:
gerechtfertigt wegen Einwilligung
gerechtfertigt wegen Einwilligung


= Betriebsverfassungsgesetz (BetrVG) =
== Betriebsverfassungsgesetz (BetrVG) ==


=== Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG) ===
=== Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG) ===
Zeile 1.595: Zeile 1.595:
=== Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen ===
=== Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen ===


= Betriebsverfassungsgesetz (BetrVG) =
== Betriebsverfassungsgesetz (BetrVG) ==


=== Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet ===
=== Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet ===


Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit  
Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit


auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck
auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck
Zeile 1.611: Zeile 1.611:
objektiv dazu geeignet
objektiv dazu geeignet


ohne Rücksicht, ob Arbeitgeber  
ohne Rücksicht, ob Arbeitgeber


dieses Ziel verfolgt
dieses Ziel verfolgt
Zeile 1.621: Zeile 1.621:
selbst wenn es seiner Zustimmung letztlich nicht bedarf
selbst wenn es seiner Zustimmung letztlich nicht bedarf


= Gesetzliche Rahmenbedingungen =
== Gesetzliche Rahmenbedingungen ==


Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.  
Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.


Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.  
Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.


Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.  
Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.


Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.
Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.


= Gesetze zur Corporate Governance =
== Gesetze zur Corporate Governance ==


Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.  
Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.


Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.  
Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.


Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.
Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.


Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.  
Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.


Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.  
Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.


Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.  
Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.


Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.
Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.


Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.  
Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.


Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296
Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296


Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.  
Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.


Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296
Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296


In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]  
In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]


Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.  
Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.


Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.
Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.


= Datenschutzgesetze =
== Datenschutzgesetze ==


Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.  
Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.


Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]  
Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]


Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).  
Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).


In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]
In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]


Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.  
Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.


Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).
Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).


Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.  
Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.


Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.  
Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.


In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.
In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.


Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".  
Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".


Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]  
Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]


Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.
Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.


= Strafrechtliche Aspekte =
== Strafrechtliche Aspekte ==


Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).  
Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).


In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.  
In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.


Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.
Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.


Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.  
Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.


Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.  
Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.


Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).
Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).


Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.  
Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.


Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.  
Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.


Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.  
Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.


Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.


Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.  
Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.


Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.
Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.


= Zitat =
== Zitat ==


„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“
„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“

Version vom 9. Dezember 2023, 08:07 Uhr

BSI - Grundschutz
Rechtliche Rahmenbedingungen
der Informationssicherheit

Vorschriften und Gesetzesanforderungen

Stellen Sie sich vor …

bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit

Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.

Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt.

Welche Konsequenzen drohen?

dem Unternehmen bzw. der Behörde

den verantwortlichen Personen

Vorschriften und Gesetzesanforderungen

Vorstand haftet persönlich

wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt

§ 91 Abs. 2 und § 93 Abs. 2 AktG

Geschäftsführern einer GmbH

wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt

§ 43 Abs. 1 GmbHG

Im Aktiengesetz genannten Pflichten eines Vorstands

gelten auch im Rahmen des Handelsgesetzbuches

§ 317 Abs. 4 HGB

Handelsgesetzbuch verpflichtet Abschlussprüfer

zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind"

§ 317 Abs. 2HGB

Vorschriften und Gesetzesanforderungen

Für bestimmte Berufsgruppen

gibt es Sonderregelungen im Strafgesetzbuch

Ärzte

Rechtsanwälte

Angehörige sozialer Berufe, ...

Verbraucherschutz

Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt.

Datenschutz

Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.

Banken

Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird

Rechtliche Einordnung der Informationssicherheit

Recht der Informationssicherheit

Vielzahl von Rechtsgebieten berührt

Allgemeines Zivilrecht

Datenschutzrecht

Telekommunikationsrecht

Urheberrecht

GmbH-Recht

Aktien-Recht

Definition des Begriffs „Sicherheit in der Informationstechnik“

BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)

2 Abs. 2

Sicherheit in der Informationstechnik im Sinne dieses Gesetzes

Einhaltung bestimmter Sicherheitsstandards zu Informationen

Verfügbarkeit

Unversehrtheit

Vertraulichkeit

durch Sicherheitsvorkehrungen

in und bei der Anwendung

von informationstechnischen Systemen oder Komponenten

Rechtliche Einordnung der Informationssicherheit

Technische Regelwerke wie z.B. ITSEC

haben zwar keine unmittelbare rechtliche Wirkung

an zahlreichen Stellen fordert das Gesetz jedochEinhaltung der „allgemein anerkannten Regeln der Technik“

technische Regelwerken komm im Einzelfall „mittelbarer Gesetzescharakter“ zu

BSI – Gesetz

BSI – Gesetz

Gemäß § 1 unterhält der Bund ein Bundesamt für Sicherheit in der Informationstechnik als Bundesoberbehörde.

Es ist zuständig für die Informationssicherheit auf nationaler Ebene.

Es untersteht dem Bundesministerium des Innern, für Bau und Heimat (BMI)

Mit der Neufassung des Gesetzes 2009 wurde der Aufgabenkatalog des BSI erheblich erweitert

dem wurden BSI eigene Befugnisse eingeräumt, ohne auf Amtshilfe­ersuchen angewiesen zu sein.

Vorrangige Aufgabe des BSI ist die Förderung der Sicherheit in der Informationstechnik

(§ 3 Abs. 1 BSIG)

wobei letzteres alle technischen Mittel zur Verarbeitung und Übertragung von Informationen sind (§ 2 Abs. 1 BSIG).

Zu den Aufgaben zählen

Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes

Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen

Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik

Entwicklung von Sicherheitsvorkehrungen

Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen

Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen

Herstellung von Schlüsseldaten und Betrieb von Krypto­- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes

Unterstützung der Länder

Das BSI kann die Länder auf Ersuchen bei der Sicherung ihrer Informationstechnik unterstützen (§ 3 Abs. 2 BSIG).

Soweit es personenbezogene Daten erhoben hat, sind diese unverzüglich zu löschen, wenn diese nicht mehr benötigt werden (§ 6 Abs. 1 BSIG).

Das BSI kann vor Sicherheitslücken und Schadprogrammen warnen und den Einsatz bestimmter Sicherheitsprodukte empfehlen (§ 7 Abs. 1 BSIG)

Es erarbeitet ferner Mindest­standards für die Sicherheit der Informationstechnik des Bundes(§ 8 Abs. 1 BSIG).

Das BSI ist die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

Das Bundesamt unterrichtet das BMI über seine Tätigkeit (§ 13 Abs. 1 BSIG).

Schutz kritischer Infrastrukturen

Das BMI bestimmt durch Rechtsverordnung

welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen gelten (§ 10 Abs. 1 Satz 1 BSIG).

Deren Betreiber sind verpflichtet

unter Berücksichtigung des Standes der Technik

angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen

Verfügbarkeit

Integrität

Authentizität und

Vertraulichkeit

ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen (§ 8 Abs. 1 Satz 1, 2 BSIG).

Geldbußen können bis zu 50.000 Euro betragen (§ 14 BSIG)

Wer vorsätzlich oder fahrlässig solche Vorkehrungen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, handelt ordnungswidrig.

Einschränkung von Grundrechten

Nach dem Zitiergebot legt § 11 BSIG fest, dass durch die §§ 5 und 5a BSIG das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt wird.

Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik

Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten (§ 5 Abs. 1 Satz 1 BSIG).

Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur um einen herausgehobenen Fall, so kann das Bundesamt die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind (§ 5a Abs. 1 Satz 1 BSIG).

Dazu darf es personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5a Abs. 3 Satz 1 BSIG).

Zusammenarbeit mit Sicherheitsbehörden

Das BSI unterstützt Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben.

Es unterstützt ferner

das Bundesamt für Verfassungsschutz (BfV),

den Militärischen Abschirmdienst (MAD) und

die Landesbehörden für Verfassungsschutz

bei der Auswertung und Bewertung von Informationen

die bei der Beobachtung terroristischer Bestrebungen

nachrichtendienstlicher Tätigkeiten anfallen

sowie den Bundesnachrichtendienst bei der Wahrnehmung seiner gesetzlichen Aufgaben.

Die Unterstützung darf nur gewährt werden

soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen (§ 3 Abs. 1 Satz 2 Nr. 13 BSIG).

Es darf personenbezogene Daten unter den Voraussetzungen des § 5 BSIG an diese Behörden übermitteln.

Informationssicherheitsgesetz
2.0

Kritischer Infrastrukturen

Tabelle zum IT-Sicherheitsgesetz

Änderungsvorschläge im BSIG

Änderung und Erweiterung von Begriffsdefinitionen

Neue Aufgaben und Befugnisse des BSI

Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte

Warnungen und Untersuchung der Sicherheit in der Informationstechnik

Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden

Anordnungen des BSI gegenüber TK-Diensteanbietern

Anordnungen des BSI gegenüber TM-Diensteanbietern

Vorgaben des BSI für Mindeststandards in der Informationstechnik des Bundes

Meldestellenregelung für Kritische Infrastruktur

Sicherheitsanforderungen für Unternehmen im besonderen öffentlichen Interesse

Zertifizierung durch das BSI

Nationale Behörde für die EU-Cybersicherheitszertifizierung

Untersagung des Einsatzes kritischer Komponenten

Freiwilliges IT-Sicherheitskennzeichen

Bußgeldvorschriften



https://community.beck.de/2020/11/21/it-sicherheitsgesetz-20-dritter-referentenentwurf-veroeffentlicht

IT-Sicherheitsgesetz 2.0

Das BSI soll neue Befugnisse bekommen und zur Hackerbehörde werden

Unsichere Systeme hacken und Daten per Fernzugriff löschen

Nicht mehr nur defensiv schützen und beraten

offensiv in IT-Systeme eindringen

Mehr Personal, Geld und Befugnisse

IT-Systeme von Staat, Bürgern und Wirtschaft besser schützen

Mehr Kompetenzen

Sicherheitslücken suchen

Informationen von Herstellern anfragen

Öffentlichkeit informieren

Kernaufgabe des BSI

Angriffe abzuwehren und Sicherheitslücken schließen

Interessenkonflikt

Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen (Staatstrojaner)

Das BSI hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten

„Hack Back“

Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben.

Fernzugriff auf Geräte im „Internet der Dinge“

BSI soll im Internet nach unsicheren Geräten suchen

Beispielsweise mit Portscans

Server

Smartphones

Schlecht abgesicherte Geräte im „Internet der Dinge“

Überwachungskameras, Kühlschränke oder Babyfone

Unsicher sind Systeme

mit veralteter Software

ohne Passwort-Schutz

mit Standard-Passwörtern wie „0000“ und „admin“

Um das herauszufinden muss sich das BSI darauf einloggen

Für Privatpersonen ist das eine Hacking-Straftat

Auch ohne Daten auszuspähen oder zu verändern

Betroffene sollen benachrichtigt werden

Wenn Sicherheitsprobleme oder Angriffe erkannt werden

Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.

Installation lückenschließender Software

Weitere Befugnisse für das BSI

Angriffe auf Kritische Infrastrukturen soll das BSI blockieren oder umleiten

Potentiell schädliche Geräte zur Absicherung aktiv verändern

Provider zur „Bereinigung“ von IT-Geräten verpflichten

„Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“

Klingt nach Stärkung der IT-Sicherheit

massive Ausweitung staatlicher Befugnisse

Eingriff in Grundrechte

Bots werden von zentralen Servern gesteuert

Internet-Verkehr der Kommando-Server umleiten

Kontrolle über das Botnetz übernehmen

„Bereinigungssoftware“ auf Bots ausliefern, um Schadsoftware zu entfernen

Da Nutzer oft nicht wissen, dass ihr Gerät befallen ist, will der Staat diese selbst säubern

„Andere europäische Staaten machen das auch“

so die Begründung

Darknet-Gesetz und digitaler Hausfriedensbruch

Gesetzentwurf verschärft Strafrecht

Wegen veröffentlichter privater Daten

Neue Straftatbestände eingeführt

Andere verschärft

„digitale Hausfriedensbruch“

„unbefugte Nutzung von IT-Systemen“

Vorschlag, den 2016 von Hessen in den Bundesrat eingebrachte, aber scheiterte

Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen

„Darknet“-Gesetz

Innenministerium übernimmt Initiative

Vordergründig soll das Betreiben illegaler Märkte kriminalisieren werden

Bedroht auch wünschenswerte Dienste und Anonymität im Internet

Polizei soll Nutzer-Accounts von Beschuldigten übernehmen

um damit zu ermitteln

„weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“.

Zum Beispiel auf Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden

Von Verteidigung zum Angriff

Der Gesetzentwurf ist ein Rundumschlag

Viele Initiativen sind sinnvoll

Gütesiegel

Informationspflichten

Verbraucherschutz

Von defensiv zu offensiv

Grundlegend Neuausrichtung

Hack-Back

Verschweigen von Schwachstellen

Neue Hacker-Behörde

Ausweitung von staatlichem Hacking

Im Internet ist aber Verteidigung die beste Verteidigung

Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit

Folgen der NichtbeachtungAnforderungen an Informationssicherheit

zivilrechtlichen Folgen

Folge keiner oder unzureichender vertraglicher Regelungen

als „Verursacher“

der Nichtbeachtung von Informationssicherheits-Anforderungen

als „Betroffener“

nicht beachteter Informationssicherheits-Anforderungen

Fall 1: Der schlampige Möbelfabrikant

Bei der Einrichtung neuer Arbeitsplätze

stellt der technische Dienstleister Kai Kabel

bei der Möbelfirma „Eiche Nordisch“ mit großem Entsetzen fest

die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht

durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen

Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen

Folgen der Nichtbeachtungder Anforderungen an Informationssicherheit

Fall 1: Der schlampige Möbelfabrikant

In welchem Umfang muss die Firma Eiche Nordisch haften?

Kundenschäden wegen unterbliebener Auftragserledigung

Ausfallansprüche der Vertriebspartner

EDV-Kosten der Geschäftspartner

Dies ist eine Frage des Verschuldens

die sich danach bemisst

ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat

Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen

Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit

Fall 1: Der schlampige Möbelfabrikant

fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden

Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall

wohl aber bei sensiblen Daten (Landgericht Köln)

kein Fahrlässigkeitsvorwurf

bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms

inkl. Installation von Updates

selbst verbreitenden Virus

Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit

Fall 2: Der schlampige technische Dienstleister

Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert

ihm unterläuft eine Unachtsamkeit, versehentlich

löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden

Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit

Fall 2: Der schlampige technische Dienstleister

Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu

i. d. R. erforderlicher Geldbetrag zur Wiederherstellung

Minderung und Ausschluss des Schadensersatzes

bei Nichtbeachtung der Regeln der Informationssicherheit

ordnungsgemäße Datensicherung erfordert

regelmäßige Sicherung

Überprüfung des Erfolgs der Sicherung

sichere Aufbewahrung des Backups, ...

Folgen der Nichtbeachtung der Anforderungen an Informationssicherheit

Strafrechtliche Konsequenzen i.d.R. weniger relevant

§ 203 StGB sieht für bestimmte Berufsgruppen

Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor

wenn vertrauliche Daten öffentlich werden

aufgrund zu schwacher Sicherheitsvorkehrungen

Die übrigen hier relevanten Straftatbestände

§ 202a - Ausspähen von Daten, § 303b Computersabotage

betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens

Rechtliche Bedeutung von Informationssicherheitin drei Bereichen

Prozesssicherheit / Fehlerfreie Produktion

Einhaltung von Qualitätsmanagement DIN- und Qualitätsstandards

Datenschutz

Recht auf informationelle Selbstbestimmung

Datensicherheit

Unternehmensführung auf valider Datenbasis

Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden

§§ 281 ff., 440, 636 BGB

Schadensersatz statt der Leistung bei fehlerhafter Lieferung

§ 280 I BGB

Mangelfolgeschaden bei Vertrag

§ 823 BGB

Schadensersatz ohne Vertrag

§ 1 ProdHG

Gefährdungshaftung mit Haftungsausschluss-Tatbeständen

Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis

Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe

Möglicher Wegfall

Verschulden, d . h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als

Haftungsvoraussetzung bei Schadensersatz nach BGB

Entlastungsbeweis nach § 1 II Nr. 5 ProdHG

weil Informationssicherheit dem Stand der Technik entspricht

Datenschutz hat Verfassungsrang

Rechtsgrundlagen des Datenschutzes

Recht auf informationelle Selbstbestimmung – Urteil des BVerfG

Bundesdatenschutzgesetz

Teledienstedatenschutzgesetz

Mediendienstestaatsvertrag

Landesdatenschutzrecht

Sonstige Gesetze

Haftung von Geschäftsführern und Vorständen

Geschäftsführer oder Vorstände haften persönlich

gegenüber ihren Gesellschaften

wenn sie vertraglichen oder gesetzlichen Pflichten verletzen

§§ 43 Abs. 1 GmbHG, 93 Abs. 1 AktG)

„Sorgfalt eines ordentlichen Geschäftsmannes/eines ordentlichen und gewissenhaften Geschäftsleiters“

§ 92 Abs. 2 AktG

„... Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. ...“

Haftung von Geschäftsführern und Vorständen

Geschäftsführer oder Vorstände müssen

für angemessenes Niveau an Informationssicherheit sorgen

Wichtigkeit der Daten

Sensibilität der Daten

allgemeine Sicherheitspolitik des Unternehmens

Benennung eines Informationssicherheits-Beauftragten

so dass nur eine mangelnde Auswahl oder Überwachung vorgeworfen werden kann

Datensicherheit zur pflichtgemäßen Unternehmensführung

Unternehmensführung auf valider Datengrundlage

Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes

Neue Prognosepflichten im Unternehmensrecht

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Lagebericht (§ 289 HGB)‏

Risikofrüherkennunngssystem (§ 91 AktG)‏

Datensicherheit unabdingbar für pflichtgemäße Unternehmensführung

Erfüllung von Sorgfaltspflichten

durch valide Datenbasis

gesichert durch IT-Security

Geschäftsführer von

§ 93 I AktG

§ 43 I GmbHG

„Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes“

§ 347 I HGB

KonTraG

„Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“

Modifikation der Pflichten

Vorstand, Geschäftsführer und Aufsichtsrat

Einrichtung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen

Eingehen auf Risiken der zukünftigen Entwicklung in Lagebericht

Risikofrüherkennungssystem

§ 91 II AktG

„Der Vorstand hat geeignete Maßnahmen zu treffen

insbesondere ein Überwachungssystem einzurichten

damit den Fortbestand der Gesellschaft gefährdende Entwicklungen

früh erkannt werden.“

§ 91 II AktG

„Überwachung“

Fortlaufender Prozeß mit engmaschigem Berichtswesen und Dokumentation „Innenrevision und Controlling“

„System“

Planung und Ordnung

„Bestandsgefahr“

Wesentliche Nachteilige Veränderung der Vermögens-, Ertrags- oder Finanzlage d. AG

„Früh“

rechtzeitig, um bestandsgefährdende Ausmaße entgegenwirken zu können

Lagebericht als Anhang zur Bilanz

Verpflichtung (§ 289 HGB)

Auch für Personengesellschaften, wenn kein persönlich haftender Gesellschafter natürliche Person (GmbH & Co KG)‏

Nicht bei kleinen KGs

Erweiterte Anforderungen an Lagebericht

Darstellung der Risiken der künftigen Entwicklung

Rechtliche Absicherung

Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes

Gewährleistung von

Prozesssicherheit

Datenschutz

Datensicherheit durch

IT-Security

Rechtliche Absicherung gegen Risiken durch

Präzise Vertragsgestaltung

Vertragsgestaltung

Umfassende vertragliche Absicherung gegenüber Dienstleistern

Vertrag über den Aufbau eines Informationssicherheitssystems

Service- Level - Management

Verträge mit ISP (TK-Leitung)‏

umfassendes Vertragsmanagement notwendig

Vertrag über den Aufbau eines Informationssicherheitssystems

Wichtige Bestandteile

exakte Begriffsdefinitionen

Definition der Haupt- und Nebenpflichten

insbesondere der Verantwortlichkeiten

Haftungsregelungen/ Sanktionen

Gewährleistung

Wartung/ Service Levels (häufig als SLA)‏

Laufzeit/Kündigung

Vertrag über den Aufbau eines Informationssicherheitssystems

Darüber hinaus zu beachten

Wenn Standardvertrag aufgesetzt wird

Konformität zu AGBG

Regelungen zu etwaigem Arbeits- und Zeitplan

Harmonisierung mit Zuliefererverträgen

Flexibilität durch SLA‘s

Exkurs: Verwaltung von Softwarelizenzen

Ordnungsgemäße Lizenzierung wird sehr häufig vernachlässigt

gewerbliche Raubkopierrate in Deutschland 28 % (BSA)‏

Überlizenzierung in bestimmten Bereichen kann Unterlizenzierung in anderen Bereichen nicht kompensieren

Bei Lizenzverstoß gleiche Folgen wie bei Nichtbeachtung der Informationssicherheits-Anforderungen

Empfehlung

Bestellung eines Softwarebeauftragten oder Erweiterung des Aufgabenfeldes des Informationssicherheits-Beauftragten

Zusammenfassung

Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden

Empfehlenswert

regelmäßige Datenspeicherung

Anti-Virus-Programm (inkl. regelmäßiger Updates)

Firewall

ordnungsgemäße Lizenzverwaltung

Bestellung eines Informationssicherheits- und Softwarebeauftragten

Aufbau eines Managementsystems für Informationssicherheit

BSI - Grundschutz
Rechtliche Aspekte der Informationssicherheit (II)
Penetrationstests


Rechtliche Aspekte

Rechtliche Vorschriften

Motivation zur Umsetzung von Sicherheitsmaßnahmen

bei der Umsetzung von Sicherheitsmaßnahmen zu beachten

Interessenskonflikte

Vertragsgestaltung

zwischen Auftraggebern und Dienstleistern

Gesetzliche Vorschriftenals Motivation für Penetrationstests

keine Gesetze die unmittelbar zu Penetrationstests verpflichten

jedoch verbindliche Vorschriften

Handhabung der Sicherheit

Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten

Umgang mit personenbezogenen Daten

Einrichtung und Ausgestaltung eines internen Kontrollsystems

Gesetzliche Vorschriftenals Motivation für Penetrationstests

Maßnahmen um Daten zu schützen

Verfügbarkeit

Vertraulichkeit

Integrität

Zu diesen Maßnahmen zählen

Sicherheitskonzepte

Berechtigungskonzepte

Firewallsysteme, ...

Allein durch Sicherheitssysteme ist eine Erfüllung der Vorgaben jedoch nicht gewährleistet

Es muss geprüft werden, ob die Systeme den gesetzlichen Vorgaben und Anforderungen genügen

Penetrationstests sind geeignetes Mittel, Wirksamkeit zu verifizieren

Handelsgesetzbuch (HGB)

Handelsgesetzbuch (HGB) schreibt „Kaufmann“ vor

§ 238 Abs. 1

Grundsätzen ordnungsmäßiger Buchführung (GoB)

Grundsätzen ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)

BMF Schreiben an die obersten Finanzbehörden der Länder vom 7. November 1995

Vorschriften zu Internen Kontrollsystemen (IKS) in 4. Abschnitt der GoBS

Rd-Nr. 4.1

„Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...]“

Handelsgesetzbuch (HGB)

Bestimmungen zur Datensicherheit Abschnitt 5 GoBS

Rd-Nr. 5.1

„Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. [...]“

Rd-Nr. 5.3

„Diese Informationen sind gegen Verlust und gegen unberechtigte Veränderung zu schützen. [...]“

Rd-Nr. 5.5.1

„Der Schutz der Informationen gegen unberechtigte Veränderungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]“

hohe Anforderungen an die Datensicherheit

Gesetzlichen Vorgaben nur durch IT-Sicherheitskonzept

im Rahmen des Internen Kontrollsystems

Ob Sicherheitskonzept Anforderungen genügt, kann mit Penetrationstests stichprobenartig überprüft werden

KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich

Verpflichtet Vorstände von Aktiengesellschaften

Risikomanagementsystem

erweiterte Berichtspflichten gegenüber dem Aufsichtsrat

§ 91 Abs. 2 Aktiengesetz (AktG) wurde wie folgt neu gefasst

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. [...]“

Diese Regelungen gelten auch für die Geschäftsführung einer GmbH

„Ausstrahlungswirkung“

Gestaltung des Risikomanagementsystem nicht konkret geregelt, mindestens

Frühwarnsystem

internes Überwachungssystem

einer Revision

Controlling

Penetrationstests sind geeignet zur Prüfung des IT-bezogenen Teils

des Frühwarnsystems oder Bestandteilen der Revision

Kreditwesengesetz (KWG)

Banken und Organisationen der Finanzdienstleistungsbranche

Besonderheit

Bundesanstalt für Finanzdienstleistungsaufsicht kann Prüfungen durchführen

Finanzdienstleistungsunternehmen

über alle geschäftlichen Bereiche

§ 44 Abs. 1

„[...] Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen. [...].“

Finanzdienstleistungen über das Internet

Internet-Sicherheit kann zum Gegenstand einer Prüfung werden

Penetrationstests im Vorfeld

Sicherheit der Internet-Anwendungen testen

Schwachstellen identifizieren

Handlungsempfehlungen bei Defiziten

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Bundesanstalt für Finanzdienstleistungsaufsicht

früher: Bundesaufsichtsamt für das Kreditwesen

erlässt auf gesetzliche Ermächtigung

Verordnungen und veröffentlicht Verlautbarungen

betrifft Banken und Finanzdienstleister

Für Penetrationstests von Interesse

„Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstituten“

Anforderungen an das Risikomanagementsystem

Ausgestaltung der Internen Revision definiert

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Aussagen zum Risikomanagementsystem

Rd-Nr. 3.1 Anforderungen an das System

„[...] [Das Risikomanagementsystem] soll in ein möglichst alle Geschäftsbereiche der Bank umfassendes Konzept zur Risikoüberwachung und -steuerung eingegliedert sein und dabei die Erfassung und Analyse von vergleichbaren Risiken aus Nichthandelsaktivitäten ermöglichen. [...]“

Rd.-Nr. 3.4 Betriebsrisiken

„[...] Eine schriftliche Notfallplanung hat u.a. sicherzustellen, dass beim Ausfall der für das Handelsgeschäft erforderlichen technischen Einrichtungen kurzfristig einsetzbare Ersatzlösungen zur Verfügung stehen.

Vorsorge treffen

mögliche Fehler in Software und unvorhergesehene Personalausfälle

regelmäßige Überprüfungen

Verfahren, Dokumentationsanforderungen, DV-Systeme und Notfallpläne

Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin)Verordnungen und Verlautbarungen

Penetrationstests können potenzielle Auswirkungen eines Angriffes abgeschätzten

konkrete Aussage zur Funktionsfähigkeit des Risikomanagementsystems

Anforderungen an Ausgestaltung der Internen Revision

Rd.-Nr. 5 Revisionen

„Die Einhaltung der Mindestanforderungen ist von der Innenrevision in unregelmäßigen, angemessenen Abständen zu prüfen

Hierbei sind im Sinne einer risikoorientierten Prüfung die wesentlichen Prüfungsfelder mindestens jährlich zu prüfen

Jeder Teilbereich der Mindestanforderungen ist zumindest in einem Turnus von drei Jahren zu prüfen, der Prüfungsturnus ist in einem Prüfplan zu dokumentieren

wesentliche Prüfungsfelder: Veränderungen bei den EDV-Systemen

Penetrationstests können eine risikoorientierte Überprüfung der wesentlichen Prüfungsfelder innerhalb einer IT-Revision wirksam unterstützten

Bundesdatenschutzgesetz (BDSG)

Datenschutzrechtliche Vorschriften im Landes- und Bundesrecht

Umgang von öffentlichen und nicht-öffentlichen Stellen mit personenbezogenen Daten

Bundesdatenschutzgesetz (BDSG) gilt gem. § 1 II BDSG

Erhebung

Verarbeitung

Nutzung personenbezogener Daten

durch

öffentliche Stellen des Bundes

öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist [...]

nicht öffentliche Stellen

soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben [...]

§ 9 S. 1 BDSG Technische und organisatorische Maßnahmen

„Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.“

Bundesdatenschutzgesetz (BDSG)

Die auf die im Gesetzestext verwiesene Anlage enthält Anforderungen bezüglich

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

§ 9a BDSG Datenschutzaudit

„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. [...]“

Penetrationstests als effiziente Prüfung innerhalb eines Datenschutzaudits

Aussagen zur Umsetzung der Vorschriften und der Wirksamkeit des Datenschutzkonzeptes

Bundesdatenschutzgesetz (BDSG)

Hinweis: EU-Datenschutzrichtlinie (95/46/EG)

Novellierung des BDSG vom 18. Mai 2001

EU-Datenschutzrichtlinie 95/46/EG in Deutschland umgesetzt

Art. 17 Abs. 1 der Richtlinie weist auf die Notwendigkeit eines Sicherheitskonzepts von Unternehmen in der EU hin

„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. [...]“

Bundesdatenschutzgesetz (BDSG)

Eine weitergehende Novellierung des BDSG

Umsetzung der Europäischen Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG)

Anpassungen in den Bereichen

Verarbeitung personenbezogener Daten

Schutz der Privatsphäre im Bereich der Telekommunikation an die neuere Entwicklung der Märkte und Technologien für elektronische Kommunikationsdienste

Artikel 4 Abs. 1 [Betriebssicherheit]

„Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten; die Netzsicherheit ist hierbei erforderlichenfalls zusammen mit dem Betreiber des öffentlichen Kommunikationsnetzes zu gewährleisten. [...]“

In der Richtlinie ist eine Frist zur Umsetzung bis spätestens 31.10.2003 vorgesehen

Bundesdatenschutzgesetz (BDSG)Novellierung 2009

Tätigkeit von Auskunfteien und ihrer Vertragspartner

insbesondere Kreditinstitute

Scoring

Änderungen des Listenprivilegs beim Adresshandel

Neuregelung für Markt- und Meinungsforschung

opt-in

Koppelungsverbot

Beschäftigtendatenschutz

Auftragsdatenverarbeitung

neue Befugnisse für die Aufsichtsbehörden

neue oder stark erweiterte Bußgeldtatbestände

Informationspflichten bei Datenschutzverstößen

Kündigungsschutz für Datenschutzbeauftragte

Staatsvertrag für Mediendienste (MDStV)

Ziel: einheitliche Rahmenbedingungen

für verschiedene Nutzungsmöglichkeiten von Informations- und Kommunikationsdiensten

die an die Allgemeinheit gerichtet sind

richtet sich an Unternehmen, die gewerbsmäßig Mediendienste anbieten

Verteildiensten

Diensteanbietern

Verteildienst bezeichnet Anbieter eines Mediendienstes

Teleshopping, ...

Diensteanbieter ermöglicht Zugang zur Nutzung eines Mediendienstes

Mitarbeitern Internetzugang

Unternehmen wird zum Diensteanbieter

hat Vorschriften des MDStV zu beachten

Staatsvertrag für Mediendienste (MDStV)Paragrafen mit Bezug zu Penetrationstests

§ 13 Abs. 2 MDStV [Pflichten des Anbieters]

„Der Anbieter von Mediendiensten hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] 3. der Nutzer Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“[...].

§ 17 MDStV [Datenschutz-Audit]

„Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. [...]“

Penetrationstests prüfen

technische

organisatorische Vorkehrungen

Datenschutzkonzept

Teledienstegesetz und TeledienstedatenschutzgesetzTDG und TDDSG

Teledienstegesetz richtet sich an Diensteanbieter

„eigene oder fremde Teledienste zur Nutzung bereithalten oder den Zugang zur Nutzung vermitteln“

Teledienst

Angebot im Bereich der Individualkommunikation

interaktive Bestellmöglichkeit, ..

In diesem Sinne ist beispielsweise jede Organisation,

die Informationen auf einer Internet-Webseite veröffentlicht oder

die Möglichkeit zur Kontaktaufnahme über E-Mail bietet, ein Diensteanbieter

Teledienstedatenschutzgesetz gibt den datenschutzrechtlichen Rahmen vor

in dem Diensteanbieter die personenbezogenen Daten der Nutzer erheben, verarbeiten und nutzen dürfen

§ 4 Abs. 4 TDDSG [Pflichten des Diensteanbieters]

„Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass, [...] der Nutzer Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.“

Hierbei können Penetrationstests wiederum als Kontrollinstrumente zur Überprüfung der Wirksamkeit des Datenschutzkonzeptes eingesetzt werden

Folie 70

geschäftsmäßige Erbringer von Telekommunikationsdiensten

Telefongesellschaften und Internetdienstleister

Auch Unternehmen, deren Mitarbeiter

ihren Telefonanschluss

ihren Internetzugang

am Arbeitsplatz auch zu privaten Zwecken nutzen, zählen als Erbringer von Telekommunikationsdiensten und fallen somit in den Anwendungsbereich

Ziel

Wahrung des Fernmeldegeheimnisses im Bereich der Telekommunikation

Telekommunikationsgesetz (TKG)

§ 85 Abs. 2 TKG [Fernmeldegeheimnis]

„Zur Wahrung des Fernmeldegeheimnisses ist verpflichtet, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. [...]

§ 87 Abs. 1 TKG [Technische Schutzmaßnahmen]

„Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]

2. der programmgesteuerten Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe, [...]

4. von Telekommunikations- und Datenverarbeitungssystemen gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen.

Penetrationstests bieten auch hier eine Möglichkeit zur Überprüfung des IT-Sicherheitskonzeptes.

Strafrechtliche Vorschriften

Computerkriminalität hat erheblich zugenommen

Strafrechtliche Sanktionsmöglichkeiten beschränkt

Rückgang der Computerdelikte konnte nicht verwirklicht werden

lückenhaft geregelte Tatbestände bieten keinen wirksamen Schutz

Hinzu kommen regelmäßig Beweisschwierigkeiten

relevante Vorschriften des Strafgesetzbuchs (StGB) finden sich in den Abschnitten

Verletzung des persönlichen Lebens- und Geheimbereichs

Betrug und Untreue

Urkundenfälschung

Sachbeschädigung

Strafrechtliche Vorschriften

unbefugte Eingriffe in Datenverarbeitungsanlage

§ 202a Abs. 1 (1) StGB [Ausspähen von Daten]

„Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

Straftatbestand schützt primär

alle gespeicherten

im Übermittlungsstadium befindlichen Daten

vor unbefugtem Zugriff

Tathandlung ist das Verschaffen von Daten

Strafrechtliche Vorschriften

§ 202b StGB [Abfangen von Daten]

„Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“

Strafrechtliche Vorschriften

§ 202 c StGB

(1)Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder

2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Strafrechtliche Vorschriften

§ 263a StGB [Computerbetrug]

„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Die Manipulation eines Datenverarbeitungsvorgangs mit der Absicht, sich oder einem anderen einen rechtswidrigen Vermögensvorteil zu verschaffen, ist strafbar.

Der Straftatbestand des § 263a StGB setzt weiter subjektiv voraus

Vorsatz

Absicht Vermögensvorteil zu verschaffen

Strafrechtliche Vorschriften

§ 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen]

„Wer zur Täuschung im Rechtsverkehr 1.) eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2.) eine unechte oder verfälschte technische Aufzeichnung gebraucht wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Technische Aufzeichnung bezeichnet gem. § 268 Abs. 2 StGB „eine Darstellung von Daten, Messoder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist“.

Tathandlung

Herstellen einer unechten technischen Aufzeichnung

Verfälschen einer technischen Aufzeichnung

Gebrauchen einer unechten oder verfälschten technischen Aufzeichnung

um Tatbestand zu erfüllen

zur Täuschung im Rechtsverkehr handeln

gem. § 270 StGB Datenverarbeitung fälschlich beeinflussen

Strafrechtliche Vorschriften

§ 269 Abs. 1 StGB [Fälschung beweiserheblicher Daten]

„Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Das zu § 268 I StGB gesagte, findet auch in diesem Fall entsprechende Anwendung. ·

§ 303a Abs. 1 StGB [Datenveränderung]

„Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten ist durch diesen Paragrafen unter Strafe gestellt.“

§ 303b StGB [Computersabotage]

„Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch dass er 1.) eine Tat nach § 303a begeht oder 2.) eine Datenverarbeitungsanlage oder einen Datenträger zerstört, unbrauchbar macht beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Europäische Cybercrime-Konvention

Gesetze und Vorgehensweisen zur Bekämpfung von Computerkriminalität bereitstellen

Ministerkomitee des Europarates

8. November 2001

unterzeichnet, bislang nicht ratifiziert

Kapitel 2 der Cybercrime-Konvention [Measures to be taken at the national level]

werden Sachverhalte beschrieben, die ein Land in Bezug auf die Bekämpfung der Computerkriminalität zwingend unter Strafe zu stellen hat.

Für Penetrationstests relevante Inhalte der Konvention

Titel 1 und 2 der Sektion 1 [Substantive criminal law]

Europäische Cybercrime-KonventionTitel 1

Offences against the confidentiality, integrity and availability of computer data and systems

Straftaten gegen die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systeme

Europäische Cybercrime-KonventionTitel 2

Computer-related offences

Computerbezogene Straftaten

Insbesondere in Art. 6 der Konvention

autorisierter Einsatz von „Hacker- und Sicherheitstools“ widerspricht nicht dem Zweck des Artikels

nicht beabsichtigt, die Arbeit eines Penetrationstesters zu behindern

indem er einer möglichen Strafbarkeit durch seine Tätigkeit gegenüberstände

entsprechenden Umsetzung ins deutsche Recht bleibt abzuwarten

Durchführung von Penetrationstestsgesetzliche Rahmenbedingungen

Im Zuge eines Penetrationstests werden

durch den Tester Handlungen ausgeführt die

wenn sie nicht mit der Einwilligung des Auftraggebers geschehen

gegen geltende Gesetze verstoßen können

Penetrationstester handeln nicht tatbestandsmäßig

besondere Absichten – wie z. B. die rechtswidrige Bereicherungsabsicht – fehlen

durch Einwilligung gerechtfertigt

Eingriffe

Inhalt

Umfang

mit dem Auftraggeber abgestimmen

Handlungsrahmens exakt festlegen

zwischen dem Auftraggeber und dem Auftragnehmer

Einwilligung vor Beginn einholen

nach Festlegung des konkreten Handlungsrahmens

in gesonderter Erklärung des Auftraggebers

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Vorschriften zur Einwilligung des Auftraggebers

Zugangskontrolldiensteschutzgesetz (ZKDSG)

Schutz von zugangskontrollierten Diensten und Zugangskontrolldiensten

zugangskontrollierter Dienst

Teledienst im Sinne von § 2 des TDG

Mediendienst im Sinne von § 2 des MDStV, ...

Zugangskontrolldienst

technisches Verfahren oder Vorrichtung

erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen

Strafrechtliche Vorschriften Zugangskontrolldiensteschutzgesetz (ZKDSG)

Schutz von kostenpflichtigen Diensten

z.B. Pay-TV vor unbefugtem Umgehen der Sicherheitsmechanismen

§ 3 ZKDSG [Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten]

Verboten sind

Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken

Herstellung, Einfuhr und Verbreitung

Besitz, technische Einrichtung, Wartung, Austausch

Absatzförderung

zugangskontrollierten Dienst

passwortgeschützte WWW- oder FTP-Server, ...

Sinn eines Penetrationstests ist, vorhandene Schutzmechanismen zu umgehen

Strafrechtliche VorschriftenZugangskontrolldiensteschutzgesetz (ZKDSG)

Verstoß gegen ZKDSG nicht vermeidbar

sobald Penetrationstest mit Tools (Umgehungsvorrichtungen) durchgeführt wird

Penetrationstester erfüllt Voraussetzung Hacker- und Sicherheitstools zu gewerblichen Zwecken einzusetzen

Penetrationstester, der einen Exploit zum Remote-Zugriff auf einem passwortgeschützten Webserver besitzt

ordnungswidriges Verhalten

Geldbuße bis zu 50.000 €

Erlaubnis des Berechtigten für eventuelle tatbestandsmäßige Handlungen einholen

Telekommunikationsgesetz (TKG)

Relevante Bestimmungen im Rahmen eines Penetrationstests

§ 65 TKG Abs. 1 [Missbrauch von Sendeanlagen]

„Es ist verboten, Sendeanlagen zu besitzen [...], die ihrer Form nach einen anderen Gegenstand vortäuschen [...] und aufgrund dieses Umstandes dazu geeignet sind, das nichtöffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören.“

§ 86 TKG [Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen]

„Mit einer Funkanlage dürfen Nachrichten, die für die Funkanlage nicht bestimmt sind, nicht abgehört werden. [...]“

Verbot mit Erlaubnis-Vorbehalt

Handlungen, die bei Penetrationstests durchgeführt werden

Netzwerk-Sniffern zum Abhören des Netzwerk-Verkehrs untersagt

Rahmenbeschluss über Angriffe auf Informationssysteme

Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme

Europäische Kommission: 19.04.2002

Angriffe auf Informationssysteme unter den Mitgliedstaaten

strafrechtlichen Vorschriften angeglichen

Zusammenarbeit zwischen Behörden verbessern

gesamte Werk umfasst 14 Artikel

Artikel 3 und 4 beschrieben Straftaten näher

Rahmenbeschluss über Angriffe auf Informationssysteme

Artikel 3 - Rechtswidriger Zugang zu Informationssystemen

vorsätzliche und unrechtmäßige Zugang unter Strafe, sofern

gegen einen Teil eines spezifischen Schutzmaßnahmen unterliegenden Informationssystems gerichtet

Absicht Schaden zuzufügen oder wirtschaftlichen Vorteil zu bewirken

Artikel 4 - Rechtswidriger Eingriff in Informationssysteme

vorsätzlichen und unrechtmäßigen Handlungen unter Strafe

schwere Behinderung oder Störung des Betriebs eines Informationssystems

Eingabe, Übermittlung, Beschädigung, Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten

Löschung, Verstümmelung, Veränderung, Unterdrückung oder Blockierung von Computerdaten eines Informationssystems

sofern Absicht, Schaden zuzufügen

Rahmenbeschluss über Angriffe auf Informationssysteme

weitere Entwicklung des Rahmenbeschlusses bleibt abzuwarten

Penetrationstester nicht von Strafbarkeit erfasst

Einverständnis des Auftraggebers

Handlungsrahmen einhalten

kein Vorsatz zu strafbarer Handlung

gerechtfertigt wegen Einwilligung

Betriebsverfassungsgesetz (BetrVG)

Betriebsrat hat jedenfalls Informationsrecht (§ 80 II BetrVG)

in Planung von Penetrationstests einbeziehen

§ 87 Abs. 1 Nr. 6 BetrVG [Mitbestimmungsrechte]

„Der Betriebsrat hat [...], in folgenden Angelegenheiten mitzubestimmen: o bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“

Zweck eines Penetrationstests ist, vorhandene Sicherheitsvorkehrungen auf Wirksamkeit zu überprüfen

Betriebsverfassungsgesetz (BetrVG)

Penetrationstest zur Beurteilung der Leistungen von Mitarbeiter geeignet

Social-Engineering untersuchen das Verhalten von Mitarbeitern explizit

auch wenn Überwachung oder Leistungsbeurteilung nicht Hauptzweck

sind Penetrationstests grundsätzlich dazu geeignet

Nach BAG

allein entscheidend

objektiv dazu geeignet

ohne Rücksicht, ob Arbeitgeber

dieses Ziel verfolgt

Daten auswertet

frühzeitige Einbeziehung des Betriebsrates unbedingt angeraten

selbst wenn es seiner Zustimmung letztlich nicht bedarf

Gesetzliche Rahmenbedingungen

Corporate Governance kann als Rahmen der IT-Sicherheit gesehen werden.

Der Begriff stammt aus dem strategischen Management und bezeichnet einen Prozess zur Steuerung eines privatwirtschaftlichen Unternehmens.

Durch Regeln und Kontrollmechanismen wird ein Ausgleich zwischen den verschiedenen Interessengruppen (Stakeholdern und Shareholdern) angestrebt.

Der Prozess dient dem Erhalt des Unternehmens und unterliegt einer regelmäßigen externen Überprüfung.[17]:32 f.

Gesetze zur Corporate Governance

Mit dem Ziel einer besseren Überwachung der Unternehmensführung (Corporate Governance) und ausländischen Investoren den Zugang zu Informationen über die Unternehmen zu erleichtern (Transparenz), trat im Mai 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft.

Das Kernthema der weitreichenden Änderungen im Handelsgesetzbuch (HGB) und im Aktiengesetz (AktG) war die Einführung eines Risikofrüherkennungssystems zur Erkennung von bestandsgefährdenden Risiken.

Jedes am Kapitalmarkt orientierte Unternehmen musste ein solches System einrichten und Risiken des Unternehmens im Lagebericht des Jahresabschlusses veröffentlichen.[18]:37 f.

Der im Juli 2002 in Kraft getretene Sarbanes-Oxley-Act (SOX) hatte das Ziel, verlorengegangenes Vertrauen der Anleger in die veröffentlichten Bilanzdaten von amerikanischen Unternehmen wiederherzustellen.

Tochterunternehmen amerikanischer Gesellschaften im Ausland und nichtamerikanische Firmen, die an amerikanischen Börsen gehandelt werden, unterliegen ebenfalls dieser Regelung.[19]:295 f.

Das Gesetz schreibt Vorkehrungen im Bereich der IT-Sicherheit wie die Einführung eines ISMS nicht explizit vor. Eine einwandfreie Berichterstattung über die internen Unternehmensdaten ist nur durch zuverlässige IT-Prozesse und einen angemessenen Schutz der verwendeten Daten möglich.

Eine Konformität mit dem SOX ist daher nur mit Hilfe von Maßahmen zur IT-Sicherheit möglich.[19]:295 f. [20]:3 f.

Die europäische Achte Richtlinie 2006/43/EG (auch Abschlussprüfungs-Richtlinie (EuroSOX) genannt) entstand in Anlehnung an das amerikanische SOX-Gesetz und trat im Juni 2006 in Kraft.

Sie beschreibt die Mindestanforderungen an Unternehmen für ein Risikomanagement und legt die Pflichten der Abschlussprüfer fest.[19]:296

Die deutsche Umsetzung der europäischen EuroSOX erfolgte im Bilanzrechtsmodernisierungsgesetz (BilMoG). Es trat im Mai 2009 in Kraft. Das Gesetz änderte zum Zwecke der Harmonisierung mit Europarecht einige Gesetze wie das HGB und das Aktiengesetz.

Unter anderem sind Kapitalgesellschaften wie eine AG oder eine GmbH laut § 289 HGB Abs. 5 aufgefordert, wesentliche Eigenschaften ihres Internen Kontrollsystems (IKS) im Lagebericht des Jahresabschlusses darzulegen.[19]:296

In den europäischen Regelungen Richtlinie über Eigenkapitalanforderungen (Basel I) aus dem Jahr 1988 und Richtlinie für Basissolvenzkapitalanforderungen (Solvency I) aus dem Jahr 1973 (2002 aktualisiert) wurden viele einzelne Gesetze unter einem Oberbegriff zusammengefasst.[21]

Diese für Kreditinstitute und Versicherungsunternehmen bedeutsamen Regelungen enthielten viele Schwächen. Die neuen Regelungen Basel II (gilt seit Januar 2007 EU-weit) und die Solvency II (Umsetzung steht in 2013 noch aus) enthalten unter anderem modernere Regelungen für ein Risikomanagement.[19]:296 f.

Die Nachfolgeregelung Basel III wird ab 2013 eingeführt und bis 2019 komplett implementiert sein.

Datenschutzgesetze

Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) mit dem Namen "Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung" wurde im Februar 1977 im Bundesanzeiger verkündet.

Unter dem Eindruck des sogenannten Volkszählungsurteils von 1983 trat durch das "Gesetz zur Fortentwicklung der Datenverarbeitung und des Datenschutzes" vom 20. Dezember 1990 am 1. Juni 1991 eine Neufassung des BDSG in Kraft.[22]

Eine der zahlreichen Änderungen des Gesetzes trat im August 2002 in Kraft. Sie diente der Anpassung des Gesetzes an die EG-Richtlinie 95/46/EG (Datenschutzrichtlinie).

In dieser Neubekanntmachung wurde das deutsche Recht mit den europäischen Vorgaben harmonisiert.[23]

Neben dem BDSG existieren in Deutschland weitere gesetzliche Vorschriften, die die Einführung und das Betreiben eines ISMS erfordern.

Dazu zählen das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).

Der Schutz der Privatsphäre wird in Großbritannien seit 1984 durch den Data Protection Act (DPA) geregelt. Dieser bot in seiner ursprünglichen Version einen minimalen Datenschutz.

Die Verarbeitung personenbezogener Daten wurde 1998 durch eine neue Fassung des DPA ersetzt. Diese trat 2000 in Kraft und glich britisches Recht an die EG-Richtlinie 95/46/EG an.

In Großbritannien verpflichtete die britische Regierung 2001 alle Ministerien mit dem BS 7799 konform zu werden. Die Implementierung eines ISMS erleichtert es britischen Unternehmen eine Konformität zum DPA nachzuweisen.[24]:135 f.

Die Datenschutz-Grundverordnung ist eine geplante EU-Verordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".

Sie soll die Richtlinie 95/46/EG ersetzen. Ein erster Entwurf wurde im Januar 2012 veröffentlicht.[25]

Die Verordnung würde bei Veröffentlichung sofort in allen europäischen Staaten gelten. Die bisherigen nationalen Regelungen wie der englische DPA und das deutsche BDSG würden abgelöst.

Strafrechtliche Aspekte

Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den Tatbestand nach § 303a StGB (Datenveränderung).

In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1 StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft.

Die Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche Handlungen, die zur Beschädigung eines Informationssystems führen, das für einen anderen von wesentlicher Bedeutung ist.

Das Ausspähen von Daten (§ 202a StGB), also die Erlangung des Zugangs zu fremden Daten, die hiergegen besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Das Abfangen fremder Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a StGB kommt es hier nicht auf eine besondere Zugangssicherung an.

Das sich Verschaffen, Erstellen, Verbreiten, Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine Straftat vorbereitet wird (§ 202c StGB).

Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie „besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden.

Das heißt, erst wenn der Nutzer seine Daten technisch schützt, genießt er auch den strafrechtlichen Schutz.

Die frühere Debatte, ob das „Hacken“ ohne Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit bereits mit Erlangung des Zugangs zu Daten einsetzt.

Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert, sondern lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.

Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden.

Schon das Erstellen, Verschaffen, Anbieten, Verwahren oder Überlassen dafür geeigneter Computerprogramme ist strafbar.

Zitat

„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde, damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“


– Marcus J. Ranum, IT-Sicherheitsexperte[26], zitiert nach Niels Boeing