Kategorien
IT-Recht & Technologierecht IT-Sicherheit

Einfluss technischer Norm auf Produktsicherheit

Eine besonders hohe Relevanz hat die Entscheidung des OLG Frankfurt (6 U 28/18). Es ging um die Frage, ob ein (für den privaten Gebrauch) bestimmter Gegenstand bereits allein deshalb als sicherheits- und gesundheitsgefährdend im Sinne von § 3 II ProdSG anzusehen ist, weil eine ggfs. zu beachtende technische Norm nicht erfüllt ist.

Kategorien
IT-Vertragsrecht IT-Recht & Technologierecht IT-Sicherheit Softwarerecht

Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig

Beim Oberlandesgericht Köln (6 U 100/19) ging es um die Frage, ob beim Verkauf von Smartphones auf im Rahmen des Betriebssystems bestehende Sicherheitslücken und fehlende Sicherheitsupdates hingewiesen werden muss. Die Entscheidung ist Wichtig, inhaltlich durchaus richtig – und offenbart durchaus kritisch zu hinterfragende Probleme im Umgang mit der Cybersicherheit. Passend dazu: Verkäufer muss nicht auf…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Kommentar: IT-Sicherheit ist wie Hygiene – und es mangelt an der Seife

Nach den aktuellen Entwicklungen und den zunehmenden Problemen, die nahezu täglich im Bereich der öffentlichen IT-Sicherheit zu Tage treten, möchte ich einen persönlichen Kommentar zum Thema IT-Sicherheit abfassen. Denn ich fürchte, wir stehen nur am Anfang einer desaströsen Entwicklung.

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Restriktive Maßnahmen der EU gegen Cyberangriffe

Bereits im Mai 2019 hat die EU mit zwei Maßnahmen auf die Gefahr von Cyberangriffen von außen reagiert, die bisher nicht wirklich öffentliche Aufmerksamkeit hatten. Update: Am 30. Juli 2020 wurden erstmals in diesem Zusammenhang Maßnahmen gegen hacker ergriffen

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Hackerangriff auf USB-Ladestation

Ein immer noch unterschätztes Problem sind Hackerangriff auf (öffentliche) USB-Ladestationen. Dabei ist das Vorgehen recht simpel: Eine USB-Ladestation ist so präpariert, dass der sich arglos anstöpselnde Nutzer unbemerkt nicht nur Strom sondern auch eine Schadsoftware mitgeliefert bekommt. Dies kann gerade bei reisenden Geschäftsleuten für breit gestreute Angriffe genutzt werden; im Übrigen ist es ein recht…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Cybersecurity (k)ein Thema in der Medizin?

Mit Sorge beobachte ich die zunehmenden Meldungen über die mangelnde IT-Sicherheit im medizinischen Umfeld. Aktuell nehmen in erheblichem Maße die Berichte zu gravierenden Angriffsszenarien und Sicherheitsproblemen bei Medizinprodukten (Stichwort „Internet of Things“, „IoT“) zu. Bereits im Mai 2019 gab es einen Bericht, dass einer Umfrage von PricewaterhouseCoopers (PwC) zufolge gerade einmal 37 Prozent der Führungskräfte…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Kritische Infrastrukturen: Wie Mitgliedstaaten Betreiber wesentlicher Dienste ermittelt haben

Die EU-Kommission hat einen Bericht veröffentlicht, in dem sie bewertet, wie die EU-Mitgliedstaaten öffentliche und private Organisationen identifiziert haben, die Cybersicherheitsmaßnahmen ergreifen und größere Cyberunfälle melden müssen. Diese Organisationen, die oft als „Betreiber wesentlicher Dienste“ bezeichnet werden, sind in entscheidenden Bereichen der Wirtschaft und Gesellschaft tätig, wie Gesundheitsversorgung, Verkehr, Energie, Finanzinfrastruktur, Wasserversorgung und mehr, und…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben. Es lässt sich wenig überraschend…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Strukturübersicht der deutschen Cybersecurity-Architektur

Die „Stiftung neue Verantwortung“ hat eine Grafik zur Architektur der staatlich regulierten Cybersicherheit (aus Behördensicht) in Deutschland erstellt, mit der ein ebenso umfassender wie diffus-verstörender Überblick geboten wird – immerhin steht das BSI im Zentrum:

Kategorien
Arbeitsrecht Datenschutzrecht IT-Arbeitsrecht IT-Recht & Technologierecht IT-Sicherheit

Haftung des Arbeitnehmers für Installation von Ransomware oder Virus

Kann ein Arbeitnehmer gegenüber seinem Arbeitgeber haften, wenn durch sein Fehlverhalten Schadsoftware wie etwa Ransomware oder ein Virus installiert werden? Die Rechtsprechung ist durchaus bereit, dies zuzubilligen, wobei es auf den Einzelfall ankommt. Tatsächlich kann für Arbeitnehmer ein erhebliches Haftungsrisiko bestehen.

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Ransomware bleibt beherrschendes Thema 2019

Einiges tut sich auf dem Markt der Ransomware, allerdings ist eine Entspannung nicht in Sicht – dafür sind die Aussichten, mit Ransomware gutes Geld „zu verdienen“ schlicht zu hoch. Und es zeigt sich schon länger, dass Cyberkriminelle verstanden haben, auf dem Weg am besten zu verdienen. Während die Welle um Emotet zu Ende zu sein…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

Derzeit (Pressemitteilung vom 24.04.2019) registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden. Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die…

Kategorien
Cybercrime & IT-Strafrecht IT-Sicherheit

Zukunft Anmeldung ohne Passwort: W3C macht WebAuthn zum Standard

Es ist soweit, WebAuthn ist nun ein W3C Standard und soll es zukünftig ermöglichen, dass man sich nicht mehr mit einem Benutzernamen und einem Passwort, sondern einem Authentikator anmeldet – sei es ein Dongle wie ein USB-Stick oder auch ein öffentlicher Schlüssel wie ein Zertifikat. Damit kann auf der einen Seite mehr Sicherheit existieren, weil…