IT-Sicherheit & Cybersecurity

hero header placeholder

IT-Sicherheit: Rechtsanwalt für Cybersecurity

Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, ist im Bereich der IT-Sicherheit tätig und ergänzt damit inhaltlich seine Tätigkeit im Bereich Cybercrime, Softwarerecht und IT-Arbeitsrecht. Rund um Haftung, Strafbarkeiten und die rechtliche Absicherung unterstützt Strafverteidiger und Fachanwalt für IT-Recht Jens Ferner Unternehmen.

Rechtsanwalt für IT-Sicherheitsrecht im Raum Aachen
Fachanwalt für IT-Recht Jens Ferner | 02404 92100

Rechtsanwalt für IT-Sicherheit & Cybersecurity

Die IT-Sicherheit gerät zunehmend in den Fokus des Gesetzgebers und ist darüber hinaus ein wirtschaftlicher Faktor. Rechtsanwalt Jens Ferner ist als Strafverteidiger und Fachanwalt für Informationstechnologierecht mit Spezialwissen im Bereich des IT-Strafrechts („Internet-Strafrecht“, „Cybercrime“) und IT-Sicherheitsrecht („Cybersecurity“) aktiv. Unternehmen und Geschäftsführer werden im Bereich IT-Sicherheit umfassend beraten, etwa wenn Mitarbeiter im Homeoffice tätig sind oder bei der Frage notwendiger Beachtung im Rahmen von Softwareentwicklung.

Erste Hilfe zum Thema Cyberangriff:

Jens Ferner ist als Rechtsanwalt & Fachanwalt für Informationstechnologierecht spezialisiert auf den Bereich IT-Sicherheit, IT-Strafrecht & Cybercrime. Rechtsanwalt Jens Ferner bietet sowohl eine umfassende juristische Expertise im Bereich IT-Recht, IT-Sicherheit, Cybercrime & Datenschutzrecht als auch eine umfangreiche technischen Erfahrung als Programmierer, Linux-Systemadministrator & Sicherheitsberater inkl. Wissen in den Bereichen Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.

IT-Sicherheit: Rechtsanwalt für IT-Sicherheit und Cybersecurity. Fachanwalt für IT-Recht Jens Ferner hilft im Bereich IT-Sicherheitsrecht

IT-Sicherheitsrecht

Im Bereich der Cybersecurity sind auf nationaler Ebene vor allem das BSI-Gesetz, die technischen Standards des BSI und das seit 2015 umgesetzte IT-Sicherheitsgesetz von Bedeutung, die europäische Vorgaben in Form der NIS-Richtlinie umsetzen.

Zur NIS-Richtlinie ist festzuhalten, dass IT-Sicherheit auch auf europäischer Ebene ein Thema mit hervorgehobener Bedeutung ist. Hier soll vornehmlich durch die “Richtlinie zur Netz- und Informationssicherheit” (“NIS-Richtlinie”) ein europaweit einheitlicher Standard geschaffen werden. Nachdem dieses Vorhaben über Jahre hinweg vor sich hindümpelte kam dann im Jahr 2016 der Durchbruch. Allerdings hatte der deutsche Gesetzgeber hier schon vorbereitend das IT-Sicherheitsgesetz erlassen, das bereits Teile der NIS-Richtlinie umgesetzt hatte.

Rechtsanwalt für IT-Sicherheit & Cybersecurity

Cybersecurity: Abgestuftes gesetzliches Sicherheitskonzept

In Deutschland besteht im Ergebnis im Bereich der Cybersicherheit („Cybersecurity“) ein abgestuftes Sicherheitskonzept, das unterschiedliche Rahmenbedingungen je nach Dienst vorsieht. Es gibt so unterschiedliche Dienste, die teilweise ausdrücklich vorgesehen sind, aber auch sich als faktisches Ergebnis darstellen und für die dann jeweils eigene Sicherheitsstufen existieren:

  • Kritische Dienste (KRITIS), die in der Richtlinie als „wesentliche Dienste“ beschrieben sind;
  • digitale Dienste, hierzu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, wobei es aber Ausnahmen für Kleinstunternehmer gibt;
  • Telemedien allgemein, für die im Telemediengesetz seit dem IT-Sicherheitsgesetz allgemeine Sicherheitsvorgaben gemacht werden.

Während KRITIS eine vorbeugende Pflicht zu Sicherheitsmaßnahmen trifft müssen digitale Dienst eher im Nachhinein agieren und sind grundsätzlich zu verschärfter Wahrung der Sicherheit angehalten und zum Einrichten von Konzepten für Notfälle, während auf schwächster Stufe allgemein Telemedien angehalten sind, gängige Sicherheitsstandards einzuhalten.


Gesetzliche Grundlagen der IT-Sicherheit in Deutschland

  • BSI-Gesetz: Das BSI Gesetz kann im Kern als Definition der Rolle des Bundesamts für Sicherheit in der Informationstechnik und Eckpfeiler der gesetzlich normierten IT-Sicherheit in Deutschland verstanden werden. Mehr zum BSI-Gesetz finden Sie hier von mir.
  • IT-Sicherheitsgesetz: Das IT-Sicherheitsgesetz ist kein eigenständiges Gesetz, sondern ein Artikel-Gesetz, mit dem das BSI-Gesetz im Jahr 2015 spürbar “aufgebohrt” wurde sowie das Telemediengesetz um den Aspekt IT-Sicherheit erweitert wurde. Zusätzlich ergehen Rechtsverordnungen. Mehr zum IT-Sicherheitsgesetz finden Sie hier von mir.
  • NIS-RichtlinieDie NIS-Richtlinie finden Sie hier von mir umfassend besprochen.
  • Gesetz zur Umsetzung der NIS-Richtlinieebenfalls in einem eigenen Artikel
  • Datenschutzgrundverordnung: Die Datenschutzgrundverordnung sieht in den Artikel 25, 32 DSGVO vor, dass Anbieter einen Schutz von Daten bei Erhebung und Verarbeitung sicher zu stellen haben.
  • Telemediengesetz: §13 Abs.7 TMG gibt für Telemediendiensteanbieter die klare Pflicht vor, Ihre Angebote nach dem Stand der Technik zu sichern – hier ist daran zu denken, dass dies dann auch für kommunizierende Software gilt die in Hardware verbaut ist (“Internet of Things”).
  • Produktsicherheitsgesetz: Das Produktsicherheitsgesetz sieht eine grundsätzliche Sicherheit von Produkten vor, hier werden die DSGVO und das TMG mit hineinspielen.

Zumindest ein paar Sätze zu Standards in der IT-Sicherheit sind notwendig, dabei sind zwei Anlaufpunkte in den Fokus zu Rücken:

  1. Das BSI bietet mit den IT-Grundschutz-Katalogen eine Handreichung die als FUndament für die Praxis dienen.
  2. Das Angebot des BSI setzt letztlich die ISO-27000 Standards um, hier bietet sich über das Stichwort “Management für Informationssicherheit” ein geeigneter Einstieg.

News zur IT-Sicherheit

Aufdrängen von Upgrade wegen angeblicher Sicherheitsprobleme wettbewerbswidrig

Einen ganz besonderen Fall hatte das OLG München (6 U 3509/19) zu entscheiden: Es ging um die Frage, wie man mit einem aufgedrängten Upgrade umgeht. Üblicherweise streitet man im Softwarerecht ja eher um das Gegenteil, nämlich um die Frage der Updatepflicht. Dabei ging es um ein Softwareunternehmen, das wohl einen orthopädischen Chirurgen angeschrieben und darauf…

Continue Reading Aufdrängen von Upgrade wegen angeblicher Sicherheitsprobleme wettbewerbswidrig

Haftung für Webseiten-Inhalte nach Hackangriff

Eine wichtige Entscheidung hat das OLG Hamburg (5 U 33/19) getroffen, dies hinsichtlich der urheberrechtlichen Haftung für Inhalte, die nach einem Hackangriff auf der eigenen Webseite stehen. Im Sachverhalt hatte ein Fotograf einen Webseitenbetreiber auf Unterlassung in Anspruch nehmen wollen, nachdem nach einem Hacker-Angriff unbemerkt ganz neue Seiten hochgeladen waren, auf denen auch das Foto…

Continue Reading Haftung für Webseiten-Inhalte nach Hackangriff

Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß

In einem ganz anderen Zusammenhang hebt das LG Frankfurt am Main mit Urteil vom 18.09.2020, 2-27 O 100/20, hervor, dass nicht alleine der Verzicht auf Passwort-Hashes Sicherheitsbedenken begegnet. Vorliegend ging es um den Zusammenhang, dass jemand PCI-DSS-Standards verletzt sah, weil die Primary Account Number (PAN, d.h. die Kreditkartennummer) ohne Verwendung von Hashes gespeichert wurde. Dem…

Continue Reading Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß

Ansätze für die Sicherheit von Smart Cars

Erst jetzt habe ich den ENISA Bericht zur Sicherheit von modernen PKW aus dem November 2019 gefunden, den ich zumindest der Vollständigkeit halber hier Erwähnen möchte: Dieser Bericht versucht praktikable Ansätze für die Sicherheit intelligenter Fahrzeuge, also vernetzter und (halb-) autonomer Fahrzeuge zu bieten, um den Nutzungswert der Fahrzeugnutzer zu verbessern und die Fahrzeugsicherheit zu…

Continue Reading Ansätze für die Sicherheit von Smart Cars

Werbung mit „Made in Germany“

Made in Germany: Wann darf ein Produkt als „Made in Germany“ beworben werden, wie sieht es bei „made in germany“ mit der rechtlichen Grundlage aus? Diese Frage ist durchaus berechtigt, denn in der heutigen Zeit werden Produkte mitunter an verschiedenen Orten gefertigt – und zugleich ist das Qualitätsmerkmal „Made in germany“ beliebt. Schnell kommt dann…

Continue Reading Werbung mit „Made in Germany“

Fahrlässige Tötung durch Schadsoftware im Krankenhaus?

Wer macht sich wegen fahrlässiger Tötung strafbar, wenn ein Schadsoftware-Befall in einem Krankenhaus zu einem Todesfall führt? Hintergrund dieser Fragestellung ist ein Vorfall an der Düsseldorfer Uniklinik, der durch Verwicklungen im Ablauf der Behandlung einer Frau zu deren – wohl vermeidbaren – Tod führte weswegen aktuelle Ermittlungen der Staatsanwaltschaft laufen. Dass der Befall des Krankenhauses…

Continue Reading Fahrlässige Tötung durch Schadsoftware im Krankenhaus?

Zugehörige Downloads

  • pdf bgbl109s2821_54271
    BSI-Gesetz im BGBL 2009
    Dateigröße: 74 kB
  • pdf bgbl115s1324_109747
    Im Bundesgesetzblatt verkündetes IT-Sicherheitsgesetz
    Dateigröße: 88 kB
  • pdf 1804096
    IT-Sicherheitsgesetz: Gesetzentwurf der Bundesregierung
    Dateigröße: 445 kB
  • pdf digitale-agenda-im-fokus
    Digitale Agenda im Fokus
    Dateigröße: 1 MB
  • pdf bsi-lagebericht-it-sicherheit
    BSI Lagebericht: IT-Sicherheit Deutschland 2014
    Dateigröße: 2 MB
  • pdf COM_2013__48_final
    NIS-Richtlinie, Entwurf aus dem Jahr 2013
    Dateigröße: 210 kB
  • pdf st15229-re02.en15
    Text der NIS-Richtlinie mit Stand Dezember 2015
    Dateigröße: 366 kB
  • pdf fb_vorsicht-kartentricks_2016-03
    Das Faltblatt weist auf Gefahren hin, die das bargeldlose Bezahlen mit Kreditkarte, ec-Karte oder per Lastschrift sowie der elektronische Zahlungsverkehr und die Nutzung von Zahlungskarten im Internet mit sich bringen. Es informiert, wie man sich vor dem Missbrauch der Zahlungskarte schützen kann und was zu tun ist, wenn eine Zahlungskarte verloren geht. Dazu werden die Telefonnummern der zentralen Sperrannahmedienste aufgeführt. Integriert ist auch ein "Notfall-Info-Pass" mit der Sperrnotrufnummer sowie der Möglichkeit, seine Kreditkarten- und Kontodaten einzutragen.
    Dateigröße: 1 MB
  • pdf ib_sicherheit_unbare_zahlungsmittel_2013_01
    Das Informationsblatt wendet sich an Gewerbetreibende mit dem Ziel, sie vor etwaigen Schäden durch den Missbrauch von Debitkarten (z.B. girocard, früher auch als ec-Karte bezeichnet) zu schützen. Es gliedert sich in vier Abschnitte. Zunächst wird das Phänomen kurz beschrieben und danach werden zwei verschiedene Fallvarianten dargestellt. Der dritte Teil enthält eine Reihe praktischer Tipps für Unternehmer, wie sie Betrugsfällen durch den Missbrauch zuvor gestohlener oder abhanden gekommener oder gefälschter Debit- und Kreditkarten vermeiden können. Im letzten Teil finden sich Hinweise für das Kassenpersonal, was beim Zahlungsvorgang zu beachten und wie im Verdachtsfall zu reagieren ist.
    Dateigröße: 292 kB