Die Welt der Kryptographie steht vor einer Revolution: Mit den Fortschritten in der Quantencomputertechnologie rücken Fragen nach der Sicherheit aktueller kryptographischer Systeme in den Vordergrund. Dieser Artikel beleuchtet die Post-Quantum-Kryptographie und die damit verbundenen rechtlichen Herausforderungen im Bereich des IT-Sicherheitsrechts.WeiterlesenPost-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts
Kategorie: IT-Sicherheit
Blog zu IT-Sicherheit & Cybersecurity: Rechtsanwalt Ferner im Cybersecurity Blog; der Fachanwalt für IT-Recht Jens Ferner berät Unternehmen rund um IT-Sicherheit und zum IT-Sicherheitsgesetz. Der Profi zum IT-Recht führt hier ein Blog mit Beiträgen zur IT-Sicherheit und Cybersecurity, informieren Sie sich über unsere Tätigkeit im IT-Sicherheitsrecht.
Rechtsanwalt Ferner: Kontakt im Strafrecht & IT-/Technologierecht
- Spezialisierte Tätigkeit: Wir übernehmen allein Strafverteidigungen und sind daneben beratend für Unternehmen im Wirtschaftsstrafrecht & IT-Recht tätig.
- Erreichbarkeit: Mo-Do von 6.30h bis 10h und 16h bis 19h unter 02404-92100 oder kontakt@ferner-alsdorf.de
- Räumliche Tätigkeit: In sinnvollen Fällen sind wir bundesweit tätig und beraten vorab, ob ein Auftrag sinnvoll ist
- Im Notfall: 0175 1075646 oder notfall@ferner-alsdorf.de
- Transparente Preise mit Ratenzahlungen aber keine kostenlose Erstberatung und keine Prozesskostenhilfe
Dass die Sicherung des Zugangs durch ein Passwort als Zugangssicherung ausreicht, hat das Landgericht Aachen, 60 Qs 16/23, unter Bezugnahme auf die Rechtsprechung des Bundesgerichtshofs festgestellt. Die Entscheidung macht deutlich, wo derzeit eklatante Probleme im IT-Sicherheitsrecht in Deutschland liegen und wird hier kurz vorgestellt. Kurze Anmerkung: Ich nehme hier die Entscheidung unkommentiert, nur in Teilen…WeiterlesenSicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB
Software Bill of Materials (SBOM)
Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste. Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden undvon einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der Technischen…WeiterlesenSoftware Bill of Materials (SBOM)
Cybersicherheit in der Lieferkette
Die ENISA hat einen Bericht veröffentlicht, der einen Ãberblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette gibt, die von groÃen Organisationen in der EU angewandt werden. Er basiert auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf die Investitionen der Cybersicherheitsbudgets von Organisationen in der EU konzentrierte.WeiterlesenCybersicherheit in der Lieferkette
Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden (âPrivacy by Designâ). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäÃig auf die âdatenschutzfreundlichstenâ Voreinstellungen gesetzt werden (âPrivacy by defaultâ).WeiterlesenArt. 25 DSGVO: Privacy by Design und Privacy by default
Was geeignete Anti-Scraping-MaÃnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoà gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.WeiterlesenDatenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping
Beim Phishing nutzen Täter die âSchwachstelle Menschâ aus, um personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Phishing-Angriffe sind daher nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich (OLG München, 19 U 2204/22).WeiterlesenMitschuld des Nutzers bei Phishing-Angriffen
Vor dem Landgericht Köln, 15 O 267/22, wurde ein spannender Fall verhandelt, der ein weiteres Angriffsszenario aufzeigt: Bei einem Kunden erfolgten innerhalb von gut zwei Wochen 115 Einzelzahlungen in Höhe von 44.248,37 Euro per Apple Pay zu Lasten des Kontos des Klägers – wobei der Kunde (Kläger) bestritt, Apple Pay jemals genutzt zu haben.WeiterlesenPhishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen
Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl. In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.WeiterlesenHaftung bei EC-Kartenmissbrauch
Das Landgericht Tübingen (4 O 193/21) konnte zur Eintrittspflicht einer Cyber-Versicherung feststellen, dass allein der Umstand, dass nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt. Jedenfalls dann nicht, wenn der Cyber-Angriff unter Ausnutzung einer bekannten Windows-Schwachstelle (hier: „Pass-the-Hash„) erfolgte und dadurch die Erlangung von Microsoft-Administratorenrechten für alle Server…WeiterlesenCyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren
Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –NIS2UmsuCG) vor. Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und MaÃnahmen des BSI zu regeln, wandelt es sich immer mehr…WeiterlesenNIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
Die ENISA hat einen Bericht veröffentlicht, der sich mit der Frage auseinandersetzt, ob das Grundkonzept der Cyberversicherung den Bedürfnissen von Betreibern kritischer bzw. bedeutender Dienste (OES, siehe sogleich) entspricht. In diesem Bericht werden die aktuellen Perspektiven und Herausforderungen für Betreiber öffentlicher Versorgungseinrichtungen im Zusammenhang mit dem Abschluss von Cyberversicherungen analysiert. Der gut lesbare Bericht enthält…WeiterlesenCyberversicherung: Umgang der Unternehmen
Dass der wiederholte Verstoà nach erfolgten Abmahnungen gegen Vorgaben des Arbeitgebers zur IT-Sicherheit am Arbeitsplatz zu einer Kündigung führen kann, hat das LAG Sachsen (9 Sa 250/21) klargestellt. Die betroffene Mitarbeiterin hatte â entgegen einer eindeutigen Dienstanweisung â Unterlagen mit sensiblen Daten unverschlossen in ihrem Schreibtisch aufbewahrt, während sie selbst nicht im Büro anwesend war.…WeiterlesenWirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit