Kategorien
IT-Recht & Technologierecht Datenschutzrecht IT-Sicherheit

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde, Ein solcher Fall sollte Provider und Anbieter…

Kategorien
IT-Sicherheit

NIS2-Richtlinie: ITRE-Ausschuss genehmigt neues Cybersicherheitsgesetz

Bisher besteht die NIS-Richtlinie, die aktualisiert werden muss: Der Ausschuss für Industrie, Forschung und Energie (ITRE, „Committee on Industry, Research and Energy“) des EU-Parlaments hat nun am 28. Oktober 2021 den Vorschlag der NIS2-Richtlinie angenommen. Die NIS2-Richtlinie würde den Anwendungsbereich massiv erweitern, drastische Bußgelder einführen, Meldepflichten erhöhen und weitere Mindeststandards setzen. Update: Die Verhandlungen sind…

Kategorien
IT-Sicherheit Cybercrime Blog

Internationale Übereinkunft zu ausgebauter Cybersicherheit

Im Kampf gegen Ransomware kam es Mitte Oktober 2021 zu einem beachtlichen Treffen, das weitreichende Wirkung haben dürfte: Vertreter der USA, der Europäischen Union und 30 weiterer Länder haben sich getroffen, um darüber zu sprechen, wie man das Risiko von Ransomware mindern und das Finanzsystem vor Ausbeutung schützen kann. Die dort getroffenen Beschlüsse werden die…

Kategorien
IT-Sicherheit

US-Regierung verbietet Verkauf von Hacking-Tools an autoritäre Regime

Das US-Handelsministerium hat mit einer Verfügung angeordnet, dass der Verkauf von Hacker-Software und -Ausrüstung an autoritäre Regime verboten werden soll. Die Anordnung, die nach 90 Tagen in Kraft treten soll, verbietet die Ausfuhr, die Wiederausfuhr und den Transfer von „Cybersicherheitsgütern“ in Länder, die „Bedenken hinsichtlich der nationalen Sicherheit oder Massenvernichtungswaffen“ wie China und Russland haben,…

Kategorien
IT-Sicherheit Datenschutzrecht

Pentesting: Vertrag über Penetrationstest

Pentesting und IT-Sicherheit – in der IT-Sicherheit kommt man ohne einen professionellen Penetrationstest nicht aus: Bei einem Penetrationstest handelt es sich um einen umfassenden Sicherheitstest; hierbei geht es um die Prüfung der Sicherheit eines Netzwerks oder Softwaresystems mit den Mitteln und Methoden, die ein Angreifer voraussichtlich anwenden würde, um unautorisiert in das System einzudringen. Man „denkt“…

Kategorien
Cybercrime Blog Datenschutzrecht IT-Sicherheit

Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken

Suche nach Sicherheitslücken, Strafbarkeit und Bug-Bounty-Programme: Hierbei handelt es sich um Aufrufe von Anbietern dahin, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu „hacken“. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld „belohnt“. Aber: Es…

Kategorien
Cybercrime Blog IT-Sicherheit

Nach Ransomware-Angriff: FBI hielt Generalschlüssel auf Wochen zurück

Das FBI soll die Freigabe eines Entschlüsselungsschlüssels fast drei Wochen lang zurückgehalten haben, der Gruppen, die durch den massiven Ransomware-Angriff auf den IT-Konzern Kaseya Anfang des Jahres lahmgelegt wurden, dabei hätte helfen können, ihre Netzwerke zu entsperren.

Kategorien
Wirtschaftsrecht Geschäftsgeheimnis IT-Recht & Technologierecht IT-Sicherheit

Reverse Engineering: EUGH zur Dekompilierung von Software

Der EUGH (C‑13/20) konnte zur Dekompilierung von Software, auf Basis der früheren „Computerprogramm-Richtlinie“ 91/250, festhalten, dass der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen; insbesondere ist dies in dem Fall zulässig, dass die Berichtigung darin besteht, eine Funktion zu deaktivieren,…

Kategorien
IT-Sicherheit

Kabel als Sicherheitslücke: LANtenna

Sehr umtriebig ist ein Forschungsteam aus Israel, das nach ständig neuen Sicherheitslücken bei eigentlich isolierten Rechnern sucht. Der neueste Clou: Ethernet-Kabel werden als „Sendeantenne“ genutzt, um heimlich hochsensible Daten aus Systemen mit Luftspalt abzuschöpfen, wie auch Heise berichtet.

Kategorien
Künstliche Intelligenz & Blockchain Cybercrime Blog IT-Sicherheit

Cybercrime: Wie Unternehmen mit Ransomware erpresst werden

Die Polizei Aachen hat eine recht beachtliche Pressemitteilung zum Umgang mit Cybercrime für Unternehmen herausgegeben, die auch hier aufgenommen wird. Man kann nicht genug betonen, wie wichtig es ist, hier nicht zu blauäugig zu sein – Mitarbeiter sind ein erhebliches Einfallstor für Angreifer, etwa über Fake-Support-Anrufe und natürlich mit den modernen Bestell-Maschen.

Kategorien
Cybercrime Blog IT-Recht & Technologierecht IT-Sicherheit

Gefahr durch 2Faktor-Authentifizierung

Die 2Faktor-Authentifizierung ist, das scheint mir inzwischen Usus zu sein, der „neue“ Standard sicherer Log-ins. Dabei kann ich in meiner Rolle als Verteidiger nur davor warnen, ich sehe erhebliche Gefahren für Individuen und die digitale Gesellschaft – aber in technischer Hinsicht auch einen Trend, der in ein paar Jahren die neue Version von „bitte ändern…

Kategorien
IT-Recht & Technologierecht Cybercrime Blog IT-Arbeitsrecht IT-Sicherheit

Cybersecurity Month 2021

Jedes Jahr im Oktober findet der Cybersecurity Month statt – unsere Kanzlei unterstützt diese Phase der Aufmerksamkeit, um das Thema IT-Sicherheit in das Bewusstsein zu rücken.

Kategorien
Cybercrime Blog Datenschutzrecht IT-Sicherheit

Protonmail gibt IP-Adresse heraus

Es gab in der jüngeren Vergangenheit einige Aufregung, weil Protonmail wohl eine IP-Adresse zu einem Account an Ermittler herausgegeben hat. Dazu ist aus juristischer Sicht nur zu sagen: Natürlich haben sie das getan – und sie werden es sicherlich wieder tun. Denn es gibt letztlich keinen absoluten Schutz bei offiziellen Anbietern im geographischen Raum Europa,…