Kategorien
IT-Sicherheit Quantum-Computing

Post-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts

IT-Sicherheitsrecht bei der Post-Quantum Kryptographie – die Welt der Kryptographie steht vor einer Revolution: Mit den Fortschritten in der Quantencomputertechnologie rücken Fragen nach der Sicherheit aktueller kryptographischer Systeme in den Vordergrund. Dieser Artikel beleuchtet die Post-Quantum-Kryptographie und die damit verbundenen rechtlichen Herausforderungen im Bereich des IT-Sicherheitsrechts. Im Dezember 2023 wurde in diesen Beitrag eine aktuelle…WeiterlesenPost-Quantum Kryptographie und rechtliche Fragestellungen des IT-Sicherheitsrechts

Kategorien
IT-Sicherheit

Sicherheitshinweis für mobile Anwendungen: WeChat von Tencent

Die tschechische Nationale Agentur für Cyber- und Informationssicherheit (im Folgenden die Agentur“) hat eine Sicherheitswarnung bezüglich der Nutzung der mobilen Anwendung WeChat von Tencent herausgegeben: Die App sammelt eine große Menge an Nutzerdaten, die zusammen mit der Art und Weise, wie die Daten gesammelt werden, für gezielte Cyberangriffe genutzt werden könnten. Hinter der WeChat-App steht…WeiterlesenSicherheitshinweis für mobile Anwendungen: WeChat von Tencent

Kategorien
IT-Sicherheit

Cyber Solidarity Act

Bereits im April 2023 hat die Kommission einen Vorschlag für einen Cyber Solidarity Act („EU-Cyber-Solidaritätsakt“) zur Stärkung der Cybersicherheitskapazitäten in der EU angenommen. Er soll die Erkennung von und das Bewusstsein für Cybersicherheitsbedrohungen und -zwischenfälle fördern, die Abwehrbereitschaft kritischer Infrastrukturen stärken und die Solidarität, das konzertierte Krisenmanagement und die Reaktionsfähigkeit der Mitgliedstaaten verbessern. Hierbei geht…WeiterlesenCyber Solidarity Act

Kategorien
Produkthaftung Compliance IT-Sicherheit Wettbewerbsrecht

CE-Kennzeichnung: Was ist das CE-Kennzeichen?

CE-Kennzeichnung: Immer wieder sorgt das „CE-Kennzeichen“, die CE-Kennzeichnung, für einige Verwirrung, weil gerade Verbraucher glauben, es handelt sich hier um ein Qualitätsmerkmal. ACHTUNG: Dieser Artikel (Stand 2013-2019) wird derzeit überarbeitet und aktualisiert, Teile des Inhalts – Insbesondere zum Zwang von CE-Kennzeichen – werden bislang nicht auf dem aktuellen Stand sein. Dabei handelt es sich bei…WeiterlesenCE-Kennzeichnung: Was ist das CE-Kennzeichen?

Kategorien
Datenschutzrecht IT-Arbeitsrecht IT-Sicherheit

Datenübermittlung zwischen China und der EU

Datentransfer zwischen China und der EU: Bei der Übermittlung personenbezogener Daten in Drittländer spielen Standardvertragsklauseln (SCC) eine wichtige Rolle. Die EU-Standardvertragsklauseln sind Rechtsinstrumente, die entwickelt wurden, um die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR im Einklang mit der Datenschutz-Grundverordnung (DSGVO) zu ermöglichen. Auch andere Länder, wie z.B. China…WeiterlesenDatenübermittlung zwischen China und der EU

Kategorien
Datenschutzrecht IT-Sicherheit

Anträge des Generalanwalts beim EUGH zum DSGVO-Schadensersatz nach Sicherheitsvorfall

Die Schlussanträge des Generalanwalts in den verbundenen Rechtssachen C-182/22 und C-189/22 der Kläger JU und SO gegen Scalable Capital GmbH liegen vor. Das Verfahren ist besonders wichtig für IT-Sicherheitsvorfälle: Das AG München hatte dem EUGH Fragen aus zwei Verfahren vorgelegt, die versuchen Klarheit zu schaffen dahin, ob schon das Abhandenkommen von Daten an sich im…WeiterlesenAnträge des Generalanwalts beim EUGH zum DSGVO-Schadensersatz nach Sicherheitsvorfall

Kategorien
Cybercrime Blog IT-Sicherheit

Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB

Dass die Sicherung des Zugangs durch ein Passwort als Zugangssicherung ausreicht, hat das Landgericht Aachen, 60 Qs 16/23, unter Bezugnahme auf die Rechtsprechung des Bundesgerichtshofs festgestellt. Die Entscheidung macht deutlich, wo derzeit eklatante Probleme im IT-Sicherheitsrecht in Deutschland liegen und wird hier kurz vorgestellt. Kurze Anmerkung: Ich nehme hier die Entscheidung unkommentiert, nur in Teilen…WeiterlesenSicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB

Kategorien
Maschinenrecht & Robotik IT-Sicherheit

Software Bill of Materials (SBOM)

Eine SBOM ist ein maschinenlesbares Dokument und entspricht einer elektronischen Stückliste. Es inventarisiert eine Codebasis und enthält somit Informationen über alle verwendeten Komponenten einer Software. Diese Informationen können in unterschiedlicher Breite und Tiefe dargestellt werden und von einer groben Struktur bis zu einer detaillierten Aufschlüsselung von Produkten und Softwarekomponenten reichen. Entsprechende Vorgaben sind in der…WeiterlesenSoftware Bill of Materials (SBOM)

Kategorien
IT-Sicherheit

Cybersicherheit in der Lieferkette

Die ENISA hat einen Bericht veröffentlicht, der einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette gibt, die von großen Organisationen in der EU angewandt werden. Er basiert auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf die Investitionen der Cybersicherheitsbudgets von Organisationen in der EU konzentrierte.WeiterlesenCybersicherheit in der Lieferkette

Kategorien
Datenschutzrecht IT-Sicherheit

Art. 25 DSGVO: Privacy by Design und Privacy by default

Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen gesetzt werden („Privacy by default“).WeiterlesenArt. 25 DSGVO: Privacy by Design und Privacy by default

Kategorien
IT-Sicherheit

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping

Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.WeiterlesenDatenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping

Kategorien
Cybercrime Blog IT-Sicherheit Wirtschaftsrecht

Mitschuld des Nutzers bei Phishing-Angriffen

Beim Phishing nutzen Täter die „Schwachstelle Mensch“ aus, um personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Phishing-Angriffe sind daher nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich (OLG München, 19 U 2204/22).WeiterlesenMitschuld des Nutzers bei Phishing-Angriffen

Kategorien
Wirtschaftsrecht IT-Sicherheit

Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Vor dem Landgericht Köln, 15 O 267/22, wurde ein spannender Fall verhandelt, der ein weiteres Angriffsszenario aufzeigt: Bei einem Kunden erfolgten innerhalb von gut zwei Wochen 115 Einzelzahlungen in Höhe von 44.248,37 Euro per Apple Pay zu Lasten des Kontos des Klägers – wobei der Kunde (Kläger) bestritt, Apple Pay jemals genutzt zu haben.WeiterlesenPhishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Kategorien
Wirtschaftsrecht IT-Sicherheit

Haftung bei EC-Kartenmissbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl. In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.WeiterlesenHaftung bei EC-Kartenmissbrauch

Kategorien
IT-Sicherheit

Cyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren

Das Landgericht Tübingen (4 O 193/21) konnte zur Eintrittspflicht einer Cyber-Versicherung feststellen, dass allein der Umstand, dass nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt. Jedenfalls dann nicht, wenn der Cyber-Angriff unter Ausnutzung einer bekannten Windows-Schwachstelle (hier: „Pass-the-Hash„) erfolgte und dadurch die Erlangung von Microsoft-Administratorenrechten für alle Server…WeiterlesenCyberversicherung muss auch zahlen, wenn nicht alle Sicherheitsupdates installiert waren