Kategorien
IT-Sicherheit

Post-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts

Die Welt der Kryptographie steht vor einer Revolution: Mit den Fortschritten in der Quantencomputertechnologie rücken Fragen nach der Sicherheit aktueller kryptographischer Systeme in den Vordergrund. Dieser Artikel beleuchtet die Post-Quantum-Kryptographie und die damit verbundenen rechtlichen Herausforderungen im Bereich des IT-Sicherheitsrechts.WeiterlesenPost-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts

Kategorien
Cybercrime Blog IT-Sicherheit

Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB

Dass die Sicherung des Zugangs durch ein Passwort als Zugangssicherung ausreicht, hat das Landgericht Aachen, 60 Qs 16/23, unter Bezugnahme auf die Rechtsprechung des Bundesgerichtshofs festgestellt. Die Entscheidung macht deutlich, wo derzeit eklatante Probleme im IT-Sicherheitsrecht in Deutschland liegen und wird hier kurz vorgestellt. Kurze Anmerkung: Ich nehme hier die Entscheidung unkommentiert, nur in Teilen…WeiterlesenSicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB

Kategorien
IT-Sicherheit

Software Bill of Materials (SBOM)

Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste. Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden undvon einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der Technischen…WeiterlesenSoftware Bill of Materials (SBOM)

Kategorien
IT-Sicherheit

Cybersicherheit in der Lieferkette

Die ENISA hat einen Bericht veröffentlicht, der einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette gibt, die von großen Organisationen in der EU angewandt werden. Er basiert auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf die Investitionen der Cybersicherheitsbudgets von Organisationen in der EU konzentrierte.WeiterlesenCybersicherheit in der Lieferkette

Kategorien
Datenschutzrecht IT-Sicherheit

Art. 25 DSGVO: Privacy by Design und Privacy by default

Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen gesetzt werden („Privacy by default“).WeiterlesenArt. 25 DSGVO: Privacy by Design und Privacy by default

Kategorien
IT-Sicherheit

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping

Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.WeiterlesenDatenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping

Kategorien
Cybercrime Blog IT-Sicherheit Wirtschaftsrecht

Mitschuld des Nutzers bei Phishing-Angriffen

Beim Phishing nutzen Täter die „Schwachstelle Mensch“ aus, um personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Phishing-Angriffe sind daher nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich (OLG München, 19 U 2204/22).WeiterlesenMitschuld des Nutzers bei Phishing-Angriffen

Kategorien
Wirtschaftsrecht IT-Sicherheit

Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Vor dem Landgericht Köln, 15 O 267/22, wurde ein spannender Fall verhandelt, der ein weiteres Angriffsszenario aufzeigt: Bei einem Kunden erfolgten innerhalb von gut zwei Wochen 115 Einzelzahlungen in Höhe von 44.248,37 Euro per Apple Pay zu Lasten des Kontos des Klägers – wobei der Kunde (Kläger) bestritt, Apple Pay jemals genutzt zu haben.WeiterlesenPhishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Kategorien
Wirtschaftsrecht IT-Sicherheit

Haftung bei EC-Kartenmissbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl. In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.WeiterlesenHaftung bei EC-Kartenmissbrauch

Kategorien
IT-Sicherheit

Cyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren

Das Landgericht Tübingen (4 O 193/21) konnte zur Eintrittspflicht einer Cyber-Versicherung feststellen, dass allein der Umstand, dass nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt. Jedenfalls dann nicht, wenn der Cyber-Angriff unter Ausnutzung einer bekannten Windows-Schwachstelle (hier: „Pass-the-Hash„) erfolgte und dadurch die Erlangung von Microsoft-Administratorenrechten für alle Server…WeiterlesenCyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren

Kategorien
IT-Sicherheit

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –NIS2UmsuCG) vor. Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und Maßnahmen des BSI zu regeln, wandelt es sich immer mehr…WeiterlesenNIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Kategorien
Cybercrime Blog IT-Sicherheit

Cyberversicherung: Umgang der Unternehmen

Die ENISA hat einen Bericht veröffentlicht, der sich mit der Frage auseinandersetzt, ob das Grundkonzept der Cyberversicherung den Bedürfnissen von Betreibern kritischer bzw. bedeutender Dienste (OES, siehe sogleich) entspricht. In diesem Bericht werden die aktuellen Perspektiven und Herausforderungen für Betreiber öffentlicher Versorgungseinrichtungen im Zusammenhang mit dem Abschluss von Cyberversicherungen analysiert. Der gut lesbare Bericht enthält…WeiterlesenCyberversicherung: Umgang der Unternehmen

Kategorien
IT-Arbeitsrecht Arbeitsrecht Compliance Datenschutzrecht IT-Sicherheit

Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit

Dass der wiederholte Verstoß nach erfolgten Abmahnungen gegen Vorgaben des Arbeitgebers zur IT-Sicherheit am Arbeitsplatz zu einer Kündigung führen kann, hat das LAG Sachsen (9 Sa 250/21) klargestellt. Die betroffene Mitarbeiterin hatte – entgegen einer eindeutigen Dienstanweisung – Unterlagen mit sensiblen Daten unverschlossen in ihrem Schreibtisch aufbewahrt, während sie selbst nicht im Büro anwesend war.…WeiterlesenWirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit