Kategorien
Produkthaftung Compliance IT-Sicherheit

NIS2-Richtlinie

Es ist so weit: Die NIS2-Richtlinie wird endlich kommen. Schon Ende des Jahres 2020 hatte man erkannt, dass die bisherige NIS-Richtlinie den Anforderungen nicht mehr hinreichend gewachsen ist und es wurde – entsprechend der Mitteilung über die Gestaltung der digitalen Zukunft Europas – die Überprüfung der Richtlinie bis Ende des Jahres 2020 beschleunigt, eine Folgenabschätzung…

Kategorien
IT-Sicherheit

ENISA: Threat Landscape Report 2022

Anfang November 2022 wurde der alljährliche ENISA-Report zur Cyber-Bedrohungslandschaft vorgestellt. Neben dem BSI-Lagebericht ist dies eine besonders bedeutende Quelle für aktuelle Entwicklungen im Bereich Cybersicherheits-Bedrohungen. Schon auf den ersten Blick zeigt sich duchaus eine Überraschung: Die allgegenwärtigen und noch 2021 ausdrücklich hervorgehobenen „Mail-Bedrohungen“Mail related threats“ sind verschwunden, stattdessen steht das Social Enginnering im Fokus. Die…

Kategorien
Cybercrime Blog Digital Life IT-Sicherheit

Phishing leicht gemacht mit ZPhisher

Dass die Einrichtung einer Phishing-Seite kein allzu großes Handwerk ist, dürfte keine Überraschung sein. Spannend aber ist es durchaus, wenn man sich kurz und praktisch vor Augen führt, wie leicht es mit den richtigen Tools ist. Dabei ist die Phishing-Seite als solche ohnehin nur der kleinste Anteil des Jobs.

Kategorien
IT-Sicherheit

Kartierung der Cybersecurity-Bedrohungslandschaft

Zu der Frage, wie man die Bedrohungslandschaft im Bereich der Cybersicherheitabbildet, hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) ein 6-stufiges Modell entwickelt. Diese von der ENISA entwickelte Methodik zur Bedrohungslandschaft im Bereich der Cybersicherheit zielt auf die Förderung eines einheitlichen und transparenten Austauschs von Bedrohungsdaten in der gesamten Europäischen Union ab. Das Dokument…

Kategorien
Cybercrime Blog IT-Recht & Technologierecht IT-Sicherheit

EU-weite Chatkontrolle wird kommen

Seit geraumer Zeit schwebt über der gesamten EU das Damoklesschwert einer umfassenden digitalen Kommunikationskontrolle durch Hintertüren. Wir gehen inzwischen in unserer Kanzlei davon aus, dass diese Überwachung in jedem Fall kommen wird und versuchen, uns zunehmend darauf einzustellen. Dabei zeigen neuere Erkenntnisse, dass man Fehlerquoten zugunsten einer möglichst hohen Entdeckungsquote schlicht in Kauf nimmt und…

Kategorien
Produkthaftung Compliance Datenschutzrecht IT-Recht & Technologierecht IT-Sicherheit

DSGVO-Verstoß durch Mängel in Supply-Chain

Beim Landgericht Köln, 28 O 328/21, ging es um einen recht klassischen Fall: Bei einem Unternehmen fand ein unbefugter Zugriff auf die Daten (nicht nur) eines Nutzers statt; dieser Zugriff war den Hackern mittels Zugangsdaten möglich, die infolge eines Cyber-Angriffs auf eine andere Firma („CS“) erlangt worden waren.

Kategorien
Cybercrime Blog IT-Sicherheit

Bericht zur Zusammenarbeit von CSIRTs und Strafverfolgungsbehörden

Die ENISA hat einen Bericht vorgelegt, in dem die Zusammenarbeit zwischen Computer Security Incident Response Teams (CSIRTs) und Strafverfolgungsbehörden (LEAs) untersucht werden – hierbei speziell die Interaktion mit der Justiz (Staatsanwälte und Richter). In der Analyse geht es um den rechtlichen und organisatorischen Rahmen, den Rollen und Pflichten von CSIRTs, LEAs sowie der Justiz, ihren…

Kategorien
IT-Sicherheit

ENISA: Tipps zur Warnung von TK-Kunden vor Sicherheitsproblemen

Mit dem EU-Telekommunikationsrecht – gemeint ist der Europäische Kodex für die elektronische Kommunikation (Richtlinie (EU) 2018/1972, der „EECC“) – wird von den Anbietern öffentlicher elektronischer Kommunikationsnetze oder -dienste verlangt, ihre Nutzer zu benachrichtigen, wenn eine besondere und erhebliche Bedrohung für diese Netze oder Dienste vorliegt. Diese Pflicht ist inzwischen auch im deutschen TKG umgesetzt. Die…

Kategorien
IT-Sicherheit Geschäftsgeheimnis

TLS-Verschlüsselung im E-Mail-Verkehr als Schutzmaßnahme für Geschäftsgeheimnisse

Zum Schutz von Mails konnte sich das Schleswig-Holsteinisches Oberlandesgericht (6 U 39/21) im Rahmen des Schutzes von Geschäftsgeheimnissen äußern. Ein Schutz von Betriebsgeheimnissen setzt mit dem Geschäftsgeheimnisschutzgesetz voraus, dass besondere Sicherungsmaßnahmen getroffen wurde. Die Vorinstanz hatte das von der Klägerin ergriffene Schutzniveau als ausreichend erachtet: Hier waren die mobilen Endgeräte mit einem Bitlocker gegen den…

Kategorien
IT-Sicherheit

OVG NRW: BSI durfte vor Virenschutzsoftware warnen

Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig. Das hat das Oberverwaltungsgericht am 28.4.22 entschieden und in den Leitsätzen der Entscheidung ausgeführt: Unabhängig davon, inwieweit staatliches Informationshandeln einfachgesetzlicher Normierung zugänglich ist, besteht eine Grundrechtsbindung aus Art. 12 Abs. 1 GG, wenn solches Handeln…

Kategorien
Cybercrime Blog IT-Sicherheit Strafrecht

BGH: Besonders schwerer Diebstahl durch Verlängerung von Keyless-System

Der Bundesgerichtshof (4 StR 52/22) konnte sich endlich klarstellen zur Frage äußern, ob ein Diebstahl vorliegt, wenn ein Funksignal eines Keyless-Systems „verlängert“ wird und somit genutzt wird, um einen PKW zu entwenden. Die Frage bejaht der BGH nun am Rande und es zeigt sich, dass es juristisch einen Unterschied macht, ob das Signal aktiv verwendet…

Kategorien
IT-Sicherheit

Koordinierte Offenlegung von Schwachstellen in der EU

Der Zustand der IT-Sicherheit in der EU ist wahrscheinlich kein Glanzfall, die Erkenntnis dürfte nicht überraschen. Nun hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) eine Übersicht über die nationalen Maßnahmen zur koordinierten Offenlegung von Schwachstellen („Coordinated Vulnerability Disclosure“ – CVD) in den EU-Mitgliedstaaten veröffentlicht und zeigt auf, dass noch sehr viel Arbeit vor…

Kategorien
IT-Sicherheit

Cybersicherheit auf EU-Ebene

Die EU-Kommission hat eine neue Verordnung vorgelegt, um gemeinsame Cybersicherheitsmaßnahmen für die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union festzulegen. Die wichtigsten Elemente des Vorschlags für eine Cybersicherheitsverordnung: Stärkung des Mandats von CERT-EU und Bereitstellung der zur Erfüllung dieses Mandats erforderlichen Ressourcen; Verpflichtung aller Organe, Einrichtungen, Ämter und Agenturen der EU zu: über einen…