Kategorien
IT-Sicherheit

NIS2-Richtlinie

Es ist so weit: Die NIS2-Richtlinie wird endlich kommen. Schon Ende des Jahres 2020 hatte man erkannt, dass die bisherige NIS-Richtlinie den Anforderungen nicht mehr hinreichend gewachsen ist und es wurde – entsprechend der Mitteilung über die Gestaltung der digitalen Zukunft Europas – die Überprüfung der Richtlinie bis Ende des Jahres 2020 beschleunigt, eine Folgenabschätzung…

Kategorien
Cybercrime Blog IT-Sicherheit

Bericht zur Zusammenarbeit von CSIRTs und Strafverfolgungsbehörden

Die ENISA hat einen Bericht vorgelegt, in dem die Zusammenarbeit zwischen Computer Security Incident Response Teams (CSIRTs) und Strafverfolgungsbehörden (LEAs) untersucht werden – hierbei speziell die Interaktion mit der Justiz (Staatsanwälte und Richter). In der Analyse geht es um den rechtlichen und organisatorischen Rahmen, den Rollen und Pflichten von CSIRTs, LEAs sowie der Justiz, ihren…

Kategorien
IT-Sicherheit

ENISA: Tipps zur Warnung von TK-Kunden vor Sicherheitsproblemen

Mit dem EU-Telekommunikationsrecht – gemeint ist der Europäische Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972, der „EECC“) – wird von den Anbietern öffentlicher elektronischer Kommunikationsnetze oder -dienste verlangt, ihre Nutzer zu benachrichtigen, wenn eine besondere und erhebliche Bedrohung für diese Netze oder Dienste vorliegt. Diese Pflicht ist inzwischen auch im deutschen TKG umgesetzt. Die…

Kategorien
IT-Sicherheit Geschäftsgeheimnis

TLS-Verschlüsselung im E-Mail-Verkehr als Schutzmaßnahme für Geschäftsgeheimnisse

Zum Schutz von Mails konnte sich das Schleswig-Holsteinisches Oberlandesgericht (6 U 39/21) im Rahmen des Schutzes von Geschäftsgeheimnissen äußern. Ein Schutz von Betriebsgeheimnissen setzt mit dem Geschäftsgeheimnisschutzgesetz voraus, dass besondere Sicherungsmaßnahmen getroffen wurde. Die Vorinstanz hatte das von der Klägerin ergriffene Schutzniveau als ausreichend erachtet: Hier waren die mobilen Endgeräte mit einem Bitlocker gegen den…

Kategorien
IT-Sicherheit

OVG NRW: BSI durfte vor Virenschutzsoftware warnen

Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig. Das hat das Oberverwaltungsgericht am 28.4.22 entschieden und in den Leitsätzen der Entscheidung ausgeführt: Unabhängig davon, inwieweit staatliches Informationshandeln einfachgesetzlicher Normierung zugänglich ist, besteht eine Grundrechtsbindung aus Art. 12 Abs. 1 GG, wenn solches Handeln…

Kategorien
Cybercrime Blog IT-Sicherheit Strafrecht

BGH: Besonders schwerer Diebstahl durch Verlängerung von Keyless-System

Der Bundesgerichtshof (4 StR 52/22) konnte sich endlich klarstellen zur Frage äußern, ob ein Diebstahl vorliegt, wenn ein Funksignal eines Keyless-Systems „verlängert“ wird und somit genutzt wird, um einen PKW zu entwenden. Die Frage bejaht der BGH nun am Rande und es zeigt sich, dass es juristisch einen Unterschied macht, ob das Signal aktiv verwendet…

Kategorien
IT-Sicherheit

Koordinierte Offenlegung von Schwachstellen in der EU

Der Zustand der IT-Sicherheit in der EU ist wahrscheinlich kein Glanzfall, die Erkenntnis dürfte nicht überraschen. Nun hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) eine Übersicht über die nationalen Maßnahmen zur koordinierten Offenlegung von Schwachstellen („Coordinated Vulnerability Disclosure“ – CVD) in den EU-Mitgliedstaaten veröffentlicht und zeigt auf, dass noch sehr viel Arbeit vor…

Kategorien
IT-Sicherheit

Cybersicherheit auf EU-Ebene

Die EU-Kommission hat eine neue Verordnung vorgelegt, um gemeinsame Cybersicherheitsmaßnahmen für die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union festzulegen. Die wichtigsten Elemente des Vorschlags für eine Cybersicherheitsverordnung: Stärkung des Mandats von CERT-EU und Bereitstellung der zur Erfüllung dieses Mandats erforderlichen Ressourcen; Verpflichtung aller Organe, Einrichtungen, Ämter und Agenturen der EU zu: über einen…

Kategorien
Cybercrime Blog IT-Sicherheit Strafprozessrecht

Zugriff auf Online-Accounts durch Ermittler

Wenn Ermittler unbemerkt auf den Google-Account zugreifen: Inzwischen wird es immer mehr mit dem Zugriff von Ermittlern auf Online-Accounts, was ein ernsthaftes, unterschätztes Problem darstellt. Ich hatte bereits über einen Fall mit der Steuerfahndung geschrieben, aus weiteren Cybercrime-Verfahren kann ich nun einen eigenen gesammelten persönlichen Eindruck wiedergeben.

Kategorien
Cybercrime Blog IT-Sicherheit Strafprozessrecht

OLG Frankfurt: Daten aus ANOM-Überwachung verwertbar

Bisher unbemerkt gibt es die erste obergerichtliche Entscheidung zur Verwertung der Daten eines ANOM-Nutzers. Wir erinnern uns: ANOM war ein von den US-Behörden betriebener Fake-Messengerdienst, bei dem die Behörden live mitlesen konnten. Das OLG Frankfurt (1 HEs 427/21) konnte sich nun zur Verwertung dieser Daten äussern und festhalten, dass die nicht in dem deutschen Strafverfahren,…

Kategorien
Cybercrime Blog IT-Recht & Technologierecht IT-Sicherheit

Ausnutzen von IT-Sicherheitslücken durch Behörden

Das Bundesverfassungsgericht (1 BvR 2771/18) hat sich zur Frage geäußert, wie damit umzugehen ist, wenn Ermittlungsbehörden Kenntnis von Zero-Day-Schwachstellen erhalten – und dies ggfs. für eigene Ermittlungsmaßnahmen nutzen wollen. In einem solchen Fall sind Sicherheitsbehörden zur Abwägung der gegenläufigen Belange und unter Umständen zur Meldung an den Hersteller verpflichtet. Diese Rechtsprechung wurde in einer weiteren…

Kategorien
IT-Sicherheit

Arbeitspapier des BSI: „Maßnahmenkatalog Ransomware“

Bereits Ende Februar 2022 hat das BSI einen „Maßnahmenkatalog Ransomware“ veröffentlicht, der Unternehmen die Prävention von Ransomware-Vorfällen erleichtern soll. Ein Blick in das kurzweilig lesbare Dokument empfiehlt sich – sowohl für IT wie auch für die Geschäftsführung.

Kategorien
Geschäftsgeheimnis IT-Arbeitsrecht IT-Sicherheit

Geschäftsgeheimnis und Reverse Engineering

Das Arbeitsgericht Aachen (8 Ca 1229/20) konnte sich zum Zusammenspiel des Reverse Engineerings mit dem Geschäftsgeheimnisschutz äußern. Dabei hob das Gericht hervor, dass wenn gleichwertige Konkurrenzprodukte am Markt bestehen und durch den Prozessgegner plausibel vorgebracht wird, dass Konkurrenten sich das zur Produktion dieser Produkte erforderliche Wissen mittels erlaubten Reverse Engineerings verschafft haben können, derjenige, der…