Cybersecurity Act

Bereits am 28. Juni 2019 ist der Rechtsakt zur Cybersicherheit („Cybersecurity Act“) als unmittelbar innerhalb der EU geltende Verordnung (EU) 2019/881 in Kraft getreten. Schon begrifflich ist der Cybersecurity Act ein Fortschritt, weil nun endlich verbindliche Definitionen herrschen, auf die man verweisen kann.

So ist insbesondere die „Cybersicherheit“ nun definiert und bezeichnet begrifflich alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.

„Cybersecurity Act“ weiterlesen
   

ENISA

Die ENISA ist die Europäische Cybersicherheitsbehörde („European Union Agency for Cybersecurity„) und definiert Ihre Aufgabe so, dass sie in der EU die „erforderliche hochgradige Netz- und Informationssicherheit“ gewährleistet, indem sie

  • Einzelstaatlichen Behörden und den EU-Institutionen  fachkundige Ratschläge zur Netz- und Informationssicherheit erteilt,
  • Als Forum für den Austausch bewährter Verfahren fungiert und
  • Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen erleichtert.

Es handelt sich also um eine Behörde in erster Linie zur Koordination und zum Informationsaustausch im weitesten Sinne, sie wurde mit dem Cybersecurity-Act massiv ausgebaut und soll zentrale Schnittstelle der Cybersicherheit in der EU sein.

   

Cyberangriff: Was tun nach einem Hackerangriff?

Was tun nach einem Hackerangriff: Nach einem Hackerangriff oder Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

„Cyberangriff: Was tun nach einem Hackerangriff?“ weiterlesen
   

Pflegevertrag für Telefonanlage und Hackerangriff

Um einen „Klassiker“ ging es beim Oberlandesgericht Köln, 19 U 50/13: Ein Unternehmen mietet eine Telefonanlage samt Pflege von einem Anbieter. Später kommt es – angeblich – zu einem erfolgreichen Hackerangriff auf die Telefonanlage und sodann zu teuren ungewollten Telefonaten.

Das OLG führt nun aus, dass diese Klauseln nicht bedeuten, dass Sicherheitsupdates zu installieren sind:

Der Vermieter hält die Anlage betriebsfähig. Soweit das/die gemäß Ziffer 1 des Mietvertrages vereinbarte(n) Servicepaket/Servicemodul(e) nichts Abweichendes vorsieht/vorsehen, beseitigt der Vermieter auf seine Kosten Programmfehler sowie alle bei ordnungsgemäßem Gebrauch durch natürliche Abnutzung entstandenen Störungen (…) Alle an der Anlage erforderlichen Arbeiten einschließlich Instandsetzung und Erneuerung sowie Störungs- und Schadensbeseitigungen werden ausschließlich vom Beauftragten des Vermieters und, soweit sich aus dem/den jeweils vereinbarten Servicepaket/Servicemodul(en) nichts anderes ergibt, während der bei ihm üblichen Arbeitszeit ausgeführt.

Das OLG Köln sagt hierzu ausdrücklich, dass auf Basis dieser Klauseln nicht erkennbar ist, dass der Vermieter der Anlage eine vertragliche Verpflichtung getroffen hätte, Software-Updates zum verbesserten Schutz vor Hackerangriffen kostenfrei anzubieten bzw. von sich aus auf die durch die Klägerin gemietete Telefonanlage aufzuspielen. Zu den vertraglichen Verpflichtungen der Beklagten gehörte es nicht, die Telefonanlage vor Hackerangriffen zu bewahren.

Nun ist die Entscheidung etwas älter und im Hinblick auf die Entwicklungen der letzten Jahre im Bereich IT-Sicherheit und DSGVO mag man überlegen, ob möglicherweise eine andere Auslegung im Raum steht. Grundsätzlich aber sei darauf verwiesen, dass es sinnvoll ist, diesen Aspekt bei Vertragsverhandlungen immer unmittelbar und ausdrücklich zu klären. Die im Raum stehenden Kosten können schnell immens sein.

   

Internet-Betrug mit Corona-Soforthilfe

In NRW gab es einen ebenso professionell wie gross angelegten Online-Betrug mit der Corona-Soforthilfe. Auch hier gilt leider wieder, dass die Not-Situation vieler auch immer gleich Betrüger anzieht, wie die Notdurft die Schmeissfliegen. Das Ergebnis ist ein derzeit gestopptes Corona-Soforthilfeprogramm in NRW. Das Ganze dürfte erhebliche strafrechtliche Breitenwirkung haben.

Denn, das sage ich direkt zu Beginn: Für jedes Betroffene Unternehmen – um die 5.000 sollen betroffen sein – zeichnet sich hier schon jetzt ab, dass man auf Jahre mit hochprofessionellen Angriffen rechnen muss – die abgefangenen Daten sind insoweit ein Einfallstor von der Größe eines Scheunentores.

„Internet-Betrug mit Corona-Soforthilfe“ weiterlesen
   

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber, so das Arbeitsgericht Siegburg (3 Ca 1793/19).

„Fristlose Kündigung wegen Missbrauchs von Kundendaten“ weiterlesen
   

Einfluss technischer Norm auf Produktsicherheit

Eine besonders hohe Relevanz hat die Entscheidung des OLG Frankfurt (6 U 28/18). Es ging um die Frage, ob ein (für den privaten Gebrauch) bestimmter Gegenstand bereits allein deshalb als sicherheits- und gesundheitsgefährdend im Sinne von § 3 II ProdSG anzusehen ist, weil eine ggfs. zu beachtende technische Norm nicht erfüllt ist.

„Einfluss technischer Norm auf Produktsicherheit“ weiterlesen
   

Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig

Beim Oberlandesgericht Köln (6 U 100/19) ging es um die Frage, ob beim Verkauf von Smartphones auf im Rahmen des Betriebssystems bestehende Sicherheitslücken und fehlende Sicherheitsupdates hingewiesen werden muss.

Die Entscheidung ist Wichtig, inhaltlich durchaus richtig – und offenbart durchaus kritisch zu hinterfragende Probleme im Umgang mit der Cybersicherheit.

Passend dazu: Verkäufer muss nicht auf bald bevorstehenden Modellwechsel hinweisen

„Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig“ weiterlesen
   

Kommentar: IT-Sicherheit ist wie Hygiene – und es mangelt an der Seife

Nach den aktuellen Entwicklungen und den zunehmenden Problemen, die nahezu täglich im Bereich der öffentlichen IT-Sicherheit zu Tage treten, möchte ich einen persönlichen Kommentar zum Thema IT-Sicherheit abfassen. Denn ich fürchte, wir stehen nur am Anfang einer desaströsen Entwicklung.

„Kommentar: IT-Sicherheit ist wie Hygiene – und es mangelt an der Seife“ weiterlesen
   

Warnung vor Emotet und getarnten Word-DOCM Dateien (Dezember 2019)

Jetzt gerade, Dezember 2019, verbreitet sich kurz vor Weihnachten eine ganz erhebliche Emotet-Welle. Gerade hat auch das BSI eine akute Warnmeldung herausgegeben, weil offenkundig gleich mehrere Bundesbehörden betroffen sind. Weiterhin sind derzeit mehrere Hochschulen, Städte, Krankenhäuser – und natürlich auch Firmennetzwerke betroffen. Das Problem ist dabei insbesondere ein intensiviertes und perfideres Vorgehen der Malware Emotet, weswegen ich an dieser Stelle nochmals eine eindringliche Warnung herausgebe.

„Warnung vor Emotet und getarnten Word-DOCM Dateien (Dezember 2019)“ weiterlesen
   

Hackerangriff auf USB-Ladestation

Ein immer noch unterschätztes Problem sind Hackerangriff auf (öffentliche) USB-Ladestationen. Dabei ist das Vorgehen recht simpel: Eine USB-Ladestation ist so präpariert, dass der sich arglos anstöpselnde Nutzer unbemerkt nicht nur Strom sondern auch eine Schadsoftware mitgeliefert bekommt. Dies kann gerade bei reisenden Geschäftsleuten für breit gestreute Angriffe genutzt werden; im Übrigen ist es ein recht gut planbares Vorgehen, um auch zielgerichtet Führungspotential anzugehen das mit öffentlichen Verkehrsmitteln reist – nicht ohne Grund warten bereits das Manager Magazin vor zu viel Arglosigkeit.

„Hackerangriff auf USB-Ladestation“ weiterlesen
   

Cybersecurity (k)ein Thema in der Medizin?

Mit Sorge beobachte ich die zunehmenden Meldungen über die mangelnde IT-Sicherheit im medizinischen Umfeld. Aktuell nehmen in erheblichem Maße die Berichte zu gravierenden Angriffsszenarien und Sicherheitsproblemen bei Medizinprodukten (Stichwort „Internet of Things“, „IoT“) zu.

Bereits im Mai 2019 gab es einen Bericht, dass einer Umfrage von PricewaterhouseCoopers (PwC) zufolge gerade einmal 37 Prozent der Führungskräfte im US-Gesundheitswesen „sehr zuversichtlich“ sein sollten dahingehend, dass ausreichende Sicherheits- und Datenschutzkontrollen in von Ihnen verantwortete IoT-Implementierungen im Gesundheitswesen integriert seien. Auch sollte man in Erinnerung haben, dass gar nicht selten Krankenhäuser insgesamt Opfer von Cyberangriffen werden.

„Cybersecurity (k)ein Thema in der Medizin?“ weiterlesen