Kategorien
IT-Sicherheit Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht Softwarerecht

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Die Sicherheitslücke in Log4J hat die IT-Welt durcheinander gerüttelt und führt derzeit zu massenhaften Angriffen – doch was ist juristisch zu tun, muss man schon eine Meldung veranlassen, nur weil man von der Lücke allgemein Betroffen war?

Kategorien
Datenschutzrecht IT-Sicherheit

Versand von USB-Stick per Post

Dass das Versenden von elektronischen Dokumenten auf einem USB-Stick per Post – ohne gesonderte Schutzmaßnahmen keinen grundsätzlichen datenschutzrechtlichen Bedenken begegnet, hat das Landgericht Essen, 6 O 190/21, hervorgehoben. Insbesondere sah das Gericht keinen Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO.

Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht IT-Sicherheit

ENISA: Threat Landscape Report 2021

Die europäische Cybersicherheits-Agentur ENISA stellt jährlich den Threat Landscape Report (kurz: „ETL“) vor. Im Jahr 2021 warnt die ENISA davor, dass „Auftragshacker“ ´ die Entwicklung der Bedrohungslandschaft voran treiben. Hier sieht die ENISA einen Hauptgrund für den Anstieg derjenigen Cyberkriminalität, die durch Ransomware oder Cryptojacking Geld verdienen will.

Kategorien
Arbeitsrecht IT-Sicherheit

Koalitionsvertrag: Das plant die Koalition 2021 zur IT-Sicherheit

Koalitionsverträge sind zwar auch nur Papier, aber sie geben einen Ausblick – die IT-Sicherheit ist ein hervorgehobenes Thema im Koalitionsvertrag der „Ampel“, insbesondere hat man sich auf Folgendes geeinigt: „Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, und die Vorgaben „security-by-design/default“ ein. Auch der Staat muss verpflichtend die…

Kategorien
IT-Sicherheit Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht

IOCTA Report 2021: Cybercrime-Bedrohungen

EUROPOL hat den IOCTA Report 2021 vorgestellt. IOCTA steht für „INTERNET ORGANISED CRIME THREAT ASSESSMENT“ und versucht einen Überblick über die Bedrohungen durch organisierte Cyberkriminalität zu geben. Er ist ein ganz erheblicher Baustein, wenn man die Entwicklungen und den Aufbau von Cybercrime im aktuellen (internationalen) Kontext verstehen möchte.

Kategorien
IT-Sicherheit

Kaspersky mit „Entscheider“-Umfrage zur IT-Sicherheit

Bei Kaspersky wurde der „Report Cybersicherheits-Eckpfeiler für proaktive Entscheidungsträger“ publiziert (hier als PDF zu finden). Wenig überraschend sind die Erkenntnisse daraus, wobei daran zu denken ist, dass es um europaweite Erkenntnisse geht, also nicht auf Deutschland beschränkte Befragungen: So sollen laut dem Report 66,4 % der Befragten meinen, dass von Cyberattacken betroffene Organisationen nicht den…

Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht IT-Sicherheit

92. Justizministerkonferenz will „Angemessene Strafen bei Cybercrime-Delikten“

Auf der 92. Justizministerkonferenz im November 2021 wurde unter TOP II.2 ging es um das Thema Cybersicherheit und Cybercrime. Auf einen Vorstoß Bayerns hin wurde von dort aus beschlossen, das Bundesjustizministerium mit der Überprüfung zu beauftragen ob die Tatbestände und Strafrahmen der §§ 202a ff., §§ 303a f. StGB den aktuellen Entwicklungen ausreichend gerecht werden,…

Kategorien
IT-Recht & Technologierecht Datenschutzrecht IT-Sicherheit IT-Vertragsrecht Softwarerecht

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde, Ein solcher Fall sollte Provider und Anbieter…

Kategorien
IT-Sicherheit

NIS2-Richtlinie: ITRE-Ausschuss genehmigt neues Cybersicherheitsgesetz

Bisher besteht die NIS-Richtlinie, die aktualisiert werden muss: Der Ausschuss für Industrie, Forschung und Energie (ITRE, „Committee on Industry, Research and Energy“) des EU-Parlaments hat nun am 28. Oktober 2021 den Vorschlag der NIS2-Richtlinie angenommen. Die NIS2-Richtlinie würde den Anwendungsbereich massiv erweitern, drastische Bußgelder einführen, Meldepflichten erhöhen und weitere Mindeststandards setzen.

Kategorien
IT-Sicherheit Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht

Internationale Übereinkunft zu ausgebauter Cybersicherheit

Im Kampf gegen Ransomware kam es Mitte Oktober 2021 zu einem beachtlichen Treffen, das weitreichende Wirkung haben dürfte: Vertreter der USA, der Europäischen Union und 30 weiterer Länder haben sich getroffen, um darüber zu sprechen, wie man das Risiko von Ransomware mindern und das Finanzsystem vor Ausbeutung schützen kann. Die dort getroffenen Beschlüsse werden die…

Kategorien
IT-Sicherheit

US-Regierung verbietet Verkauf von Hacking-Tools an autoritäre Regime

Das US-Handelsministerium hat mit einer Verfügung angeordnet, dass der Verkauf von Hacker-Software und -Ausrüstung an autoritäre Regime verboten werden soll. Die Anordnung, die nach 90 Tagen in Kraft treten soll, verbietet die Ausfuhr, die Wiederausfuhr und den Transfer von „Cybersicherheitsgütern“ in Länder, die „Bedenken hinsichtlich der nationalen Sicherheit oder Massenvernichtungswaffen“ wie China und Russland haben,…

Kategorien
IT-Sicherheit IT-Vertragsrecht

Pentesting: Vertrag über Penetrationstest

Pentesting und IT-Sicherheit – in der IT-Sicherheit kommt man ohne einen professionellen Penetrationstest nicht aus: Bei einem Penetrationstest handelt es sich um einen umfassenden Sicherheitstest; hierbei geht es um die Prüfung der Sicherheit eines Netzwerks oder Softwaresystems mit den Mitteln und Methoden, die ein Angreifer voraussichtlich anwenden würde, um unautorisiert in das System einzudringen. Man „denkt“…

Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht IT-Sicherheit

Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken

Suche nach Sicherheitslücken, Strafbarkeit und Bug-Bounty-Programme: Hierbei handelt es sich um Aufrufe von Anbietern dahin, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu „hacken“. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld „belohnt“. Aber: Es…