Das Recht der IT-Sicherheit

AKTUELL

Duqu, son of Stuxnet

Die Warnung vor Nachfolgern von Stuxnet hat sich bewahrheitet. Symantec hat in einer sehr ausführlichen Studie das Folgeprogramm “Duqu” [dyü-kyü] untersucht. Zwar werden keine Steuerungsanlagen angegriffen, aber Informationen gesammelt und ein Key Stroke-Recorder installiert, womit alle Passwort-Eingaben mitgelesen werden. Neue Angriffe auf der Grundlage gewonnener Informationen sind zu befürchten.                                                     www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_prec ursor_to_the_next_stuxnet.pdf

IT-Verantwortliche sind gehalten, ihre Sicherheitsmaßnahmen auch insoweit auf dem neuesten Stand zu halten, um eine Chance bei der Abwehr solcher Angriffe zu behalten. Versäumnisse können persönliche Haftung begründen.

Open Source-Trojaner ?

In den Medien wird über den “Staatstrojaner” zur Überwachung berichtet. Zur rechtlichen Diskussion s. [1]. Zwei Aspekte müssen besonders beachtet werden. Der eine betrifft die Überwachung, der andere das Zugänglichmachen des Trojaner-Codes.

Datenübertragung in die USA

Erhebliche Zweifel bestehen, ob die im Rahmen einer Quellen-TKÜ (Überwachung von verschlüsselter Telefonie im Internet) gewonnenen Daten mit Personenbezug an einen Providerrechner in den USA übertragen werden dürfen. Hier wurde die IP-Adresse des US-Providers Webintellects, Inc. in Columbus,Ohio in den Code fest eingefügt (207.158.22.134). Die Daten wurden damit außerhalb des Geltungsbereichs der deutschen Strafprozessordnung verwendet. Die Zulässigkeit einer solchen Datenverwendung in fremden Staatsgebieten oder Übertragung in diese kann richterlich nicht wirksam angeordnet werden. Diese Verwendung ist umso bedenklicher, als sich der Provider in seinen Vertragsbedingungen ausdrücklich vorbehält, seinerseits die übertragenen Daten “law enforcement officials” zugänglich zu machen, und für alle Datenkommunikationen Log Files erstellt (also letztlich eine eigene Überwachung durchzuführen)..

Open Source-Trojaner ?

Durch die Codeanalyse des Computer Chaos Clubs (CCC) einer “Regierungs-Malware” [2] wurde auch der Trojanercode in der Form extrahierter Binärdateien im Netz zugänglich gemacht [3]. Damit ist Schadsoftware im Netz zugänglich, die auch von Dritten bequem für Angriffe auf IT-Systeme verwendet werden kann. Mit dieser Software können Screenshots (etwa von allen gespeicherten E-Mails) angefertigt, VOIP-Gespräche und Räume überwacht, Webcams angezapft und zudem Schadmodule nachgeladen werden. 

Alle Daten auf dem angegriffenen IT-System sind gefährdet, etwa sogar medizinische Daten von Mitarbeitern oder noch geheime Konstruktionspläne für neue Produkte. Digitale Tagebücher wie “Timeline” können komplett mitgelesen werden.

Rechtlich wird hierdurch die Vertraulichkeit und Integrität von Informationssystemen gefährdet, die vom Bundesverfassungsgericht als grundrechtlich geschützt angesehen wurde [4]. Dieser Schutz gilt nicht nur gegenüber Behörden, sondern als Teil der objektiven Wertordnung auch zwischen Privaten (und Unternehmen)

Aufgabe der Systembetreiber, SysOPs oder CIOs ist es, das System umgehend auch gegen solche Angriffe abzusichern, um etwa Abfluss wertvollen Know-hows zu verhindern oder Vorkehrungen gegen Veränderungen gespeicherter Dokumente zu treffen. Konkurrenten könnten nämlich versuchen, z.B. durch (mittels nachgeladener Schadsoftware) gefälschte Gewinnwarnungen wirtschaftlichen Schaden beim angegriffenen Unternehmen auszulösen. Mit der IT-Sicherheit beauftragte Dienstleister sollten aufgefordert werden, über ihre getroffenen Abwehrmaßnahmen Auskunft zu erteilen. Alle getroffenen Sicherungsmaßnahmen sollten dokumentiert werden.

[1] http://blog.beck.de/2011/10/09/der-bundestrojaner-jetzt-muss-schluss-sein.                   [2] www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf                              [3] http://ccc.de/de/updates/2011/staatstrojaner                                                               [4] www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html

Haftungsrisiko Beschaffen oder Weiterbetreiben unsicherer IT-Systeme

UPDATE 19.9.2011: Bitcoins und Botnets

Angreifer im Netz  finden neue Wege, von Unternehmen Geld zu erlangen, ohne ein großes Risiko einzugehen, gefunden zu werden.                             So wurden etwa von 400 angegriffenen Unternehmen “100 Bitcoins” verlangt, andernfalls ein verteilter Angriff zum Zusammenbruch der IT der betroffenen Unternehmen führen würde.  “Bitcoins” sind eine virtuelle Währung, in der Zahlungen anonym durchgeführt werden können. Für 100 Bitcoins wird ein Wert von 600 Euro angegeben.                                                                               Die Rückverfolgung wird erschwert, da die Kommunikation über komplexe Botnetze erfolgt, in denen laufend Rechner durch andere ersetzt werden. Inzwischen sollen nach Schätzung von Ermittlern fast eine Million Rechner “infiziert” sein, die über (russische) soziale Netzwerke in Kontakt stehen.           [Quelle: Die Zeit Nr. 38 v. 15.9.2011, S. 27, zu Bitcoins www.zeit.de/digital/internet/2011-09/geldwaesche-online-kriminalitaet.pdf]                                                     _____________________________________________________

Angriffe auf die Unternehmens-IT erfolgen nicht nur immer häufiger, sondern auch immer gezielter und ausgefeilter. Der wirtschaftliche Schaden wächst. Dies führt zu der Vermutung, dass die vorhandenen IT-Systeme nicht mehr den aktuellen Sicherheitsanforderungen entsprechen. Für Unternehmen und deren Geschäftsleitung kann dies massive Konsequenzen haben:       

• Schäden aus Datenverlusten und/oder Betriebsunterbrechungen können die wirtschaftliche Existenz des Unternehmens bedrohen. Versicherungsschutz hiergegen kann entfallen, wenn nicht rechtzeitig erforderliche Sicherheitsvorkehrungen nachweisbar getroffen wurden.
• Die Mitglieder der Geschäftsleitung können aus einem derartigen Versäumnis persönlich haften (Compliance).
• Auch beauftragte Provider etwa von Web Services müssen ihre eigenen Systeme ausreichend gegen Angriffe absichern. Gegen ausländische Anbieter (etwa aus China) können freilich Ansprüche nur sehr begrenzt erfolgreich durchgesetzt werden. Das beginnt bereits bei der Frage, ob der Beauftragte für den betrieblichen Datenschutz Rechenzentren des Providers etwa in Shenzhen betreten und überprüfen darf.

Aufgabe des CIO muss es sein, angesichts der Angriffswelle alle Komponenten der eingesetzten IT-Systeme - etwa Firewalls, Controller, Router und Verschlüsselungstechniken - zu überprüfen und die Beschaffung neuer, BSI-geprüfter Komponenten anzuregen sowie diese Aktivitäten zu seiner Haftungsentlastung zu protokollieren. Mehrere Firmen bieten bereits “gehärtete” Systeme an (s. die Übersicht in der Wirtschaftwoche Nr. 31 v. 1.8.2011, S. 64, 66).                                                                                                        Nicht sehr hilfreich erscheint es aber, wenn einzelne Anbieter bereits von einer “deutschen Cloud” sprechen, da man fernöstlichen Komponentenherstellern und Anti-Virus-Softwareunternehmen nicht trauen könne (so WiWo, a.a.O). In der EU wäre kartellrechtlich eine Abschottung des Binnenmarktes unzulässig. Entscheidend muss vielmehr sein, ob die konkrete Komponente als solche ausreichend angriffsgesichert ist und auch keinen verdeckten Zugriffe durch den Anbieter ermöglicht.

In den Beschaffungsverträgen mit Anbietern besonders gesicherter IT sollte der Kunde schließlich genau prüfen, ob der Anbieter für die beschriebene Sicherheit auch tatsächlich eine Beschaffenheitsgarantie übernimmt und für welchen Zeitraum diese ggf. gilt. Vorsorglich sollte diese Beschaffenheit ausreichend konkret beschrieben und zum Vereinbarungsinhalt gemacht werden.

Nähere Vertragsberatung  RA Dr. Frank A. Koch, München                               www.anwaltskanzlei-koch.info   koch@anwaltskanzlei.koch.de

Haftungsfalle IT-Security  + UPDATE (zu Ralph Langner)

IT-Sicherheit wird angesichts einer zunehmenden Zahl von Angriffen aus dem Internet immer wichtiger. Jedoch zeigt sich in der Beratungspraxis, dass Unternehmen und deren CIOs typische Fehler bei der Sicherung der betrieblichen IT machen. Einige Beispiele:

• Die notwendige laufende Kontrolle (Monitoring) und Aktualisierung der  Sicherungsmaßnahmen ist weder vertraglich kontrollfähig vereinbart noch in der Praxis sichergestellt. Es fehlt an klaren Regelungen,  welche Security-Kontrollmaßnahmen vom Provider spätestens wann geschuldet sind.
• Bisher unzureichend beachtet ist die technische Absicherung etwa gegen Umwelteinflüsse oder Stromausfall. Dringend erforderlich ist eine Risikoanalyse, für welchen Zeitraum auf eine Notstromversorgung zurückgegriffen werden kann.
• Das Unternehmen trifft keine Vorkehrungen, um verteilte Denial-of-Service-Angriffe abzuwehren (DDoS), etwa durch Absicherung von Ports und Root-Zugriffen oder sequentielles Abarbeiten von Anfragen. Die Verzögerung der Bearbeitung berechtigter Anfragen wird meist eher akzeptabel sein als das Lahmlegen der Systeme.
• Die Abläufe zur Abwehr von Angriffen auf das IT-System/-Netzwerk sind nicht klar definiert. Auch sind die Zuständigkeiten im Unternehmen nicht selten nur vage abgegrenzt, sodass niemand weiss, wer wann welche Mitteilungen machen und dokumentieren muss.
• Das Vorgehen im Falle externer Angriffe wird eher spontan-zufällig entschieden und nicht dokumentiert. Unklar bleibt hier oft, wer wann zu welcher Mitteilung an den Provider verpflichtet gewesen wäre. Mitarbeiter -und insbesondere CIOs - müssen an eindeutigen Regelungen interessiert sein, um ihr Haftungsrisiko zu begrenzen.
• Der Ablauf von Angriffen und der Systemstatus vor dem jeweiligen Angriff werden nicht ausreichend protokolliert. Solche Protokolle lassen sich nachträglich oft kaum noch rekonstruieren. Haftungsansprüche der geschädigten Unternehmen gegen festgestellte Schädiger können deshalb scheitern, weil den Unternehmen kein substantierter und beweistauglicher Sachvortrag möglich ist.  

Dringend anzuraten ist deshalb, vorsorglich geschlossene Verträge mit Security-Providern einerseits und getroffene Sicherheitvorkehrungen und deren Dokumentation zu überprüfen. Die Mehrzahl der Verträge mit den Providern erweisen sich in der Praxis als in wichtigen Punkten lückenhaft. Werden diese erkennbaren Lücken nicht geschlossen, d.h. rechtzeitig nachverhandelt, kann dies nach der zunehmend strengeren Rechtsprechung zur Compliance (s. unten)  zur Haftung der Geschäftsleitung führen.

UPDATE: Nicht geteilt werden kann die Auffassung von Ralph Langner, der “Stuxnet” entschlüsselte, dass erst neue Gesetze mehr IT-Scherheit bringen werden (Wirtschaftswoche Nr.27/4.7.2011, S. 78/79).Wenn Unternehmen erst einmal neue Gesetze abwarten wollen, bevor sie ihre IT-Sicherheit verbessern, kann dies zu verschärfter Haftung führen. Werden nämlich die Rechner des Unternehmens “gekapert” und zu DDoS-Angriffen auf Dritte mittels Bot- Netzen umfunktioniert und hätte dies durch zumutbare Sicherheitsmaßnahmen vermieden werden können,  so kann hierin u.U. sogar bedingter Vorsatz (in der Form des Inkaufnehmens der Gefährdung der Dritten) vorliegen. Diese Haftung besteht schon heute und bedarf keiner zusätzlichen Gesetze, die als solche IT-Systeme auch nicht sicherer machen..Langner hofft freilich auch nur deshalb auf neue Gesetze, weil ihn die “fehlende Resonanz der Wirtschaft” auf die “Stuxnet”-Bedrohung “, wie er schreibt, “desillusioniert” hat. Die Unternehmen würden jede nicht zwingend (sprich: gesetzlich) erforderliche Maßnahme vermeiden. Wenn Unternehmen in dieser Weise handeln, übersehen sie aber, dass sie längst aus § 823 BGB den Dritten gegenüber deliktisch haften, wenn keine ausreichenden Sicherheitsmaßnahmen nach ISO 27001 und dem Grundschutz-Handbuch des BSI getroffen und dokumentiert haben. Siehe “Compliance”: 

Compliance

Die Geschäftsleitung von Unternehmen ist verpflichtet, einerseits bestehende rechtliche Regelungen etwa im Wettbewerbs- und Urheberrecht oder auch Datenschutz (gegenüber Mitarbeitern und Kunden) einzuhalten, andererseits alle erforderlichen Maßnahmen zu treffen, um im Unternehmen eingesetzte IT-Systeme funktionsfähig zu halten und gegen alle bekannten Typen von Angriffen von außen abzusichern (Bestandssicherungspflicht).

Die Verletzung dieser Pflichten kann persönliche Haftung der Mitglieder der Geschäftsleitung begründen. Ihnen muss also auch im eigenen Interesse daran gelegen sein, die jeweils erforderlichen Maßnahmen zu ergreifen, Kontrollsysteme einzurichten und laufend auf Wirksamkeit und Aktualität zu überwachen. Alle Maßnahmen sollten (schon aus Beweisgründen) dokumentiert werden.

Für die Einrichtung eines internen Kontrollsystems (IKS) zum Risikomanagement sind verschiedene Modelle entwickelt worden, so etwa vom Committee of Sponsoring Organizations of the Treadway Commission, COSO ( http://de.wikipedia.org/wiki/COSO). Grundprinzipien:

• Kontrolltaugliche Sollkonzepte für alle Prozesse zur Fehleraufdeckung und -vermeidung (Transparenzprinzip),
• Risikobeurteilung und -reaktion,
• Gegenkontrolle für jeden Vorgang (Vier-Augen-Prinzip),
• Einhaltung der einschlägigen rechtlichen Vorschriften,
• Information und Kommunikation,
• Trennung der betrieblichen Funktionen
• Zuweisung nur der benötigten Infomationen an die Mitarbeiter (“need-to-know”).
• Überwachung und Dokumentation (Reporting).

Ordnungsgemäße DV-gestützte Buchführung

Zunächst gelten die allgemeinen Grundsätze ordnungsmäßiger Buchführung (GoB) des Handelsrechts (§ 238 I HGB).

Bei IT-Einsatz sind die GoBS einzuhalten.

Ergänzend gelten die GoB-Regelungsanforderungen  bei IT-Einsatz  IDW RS FAIT  1 und für E-Commerce IDW RS FAIT 2. Die Abschlussprüfung bei IT-Einsatz wird durch IDW PH 9.330.1 und IDW PS 330 (s. näher www.idw.de/idw/portal/d302224.

E-Mail-Archivierung

Das papierlose Büro oder allgemein Unternehmen existiert weiterhin nicht. Jedoch wird immer mehr Korrespondenz elektronisch abgewickelt. Zur Verantwortlichkeit der Geschäftsleitung gehört, ein rechtskonformes System der E-Mail-Verarbeitung und -Archvierung einzurichten und zu unterstützen.

Meist vorzuziehen ist eine zentrale Archivierung aller ein- und ausgehenden Mails auf betrieblichen Serverrechnern, da bei dezentraler (clientseitiger) Archivierung etwa am Arbeitsplatz E-Mails verlorengehen können (etwa bei begrenzt zugewiesener Speicherkapazität) und eine einheitliche Prozesskontrolle sowie ordnungsgemäße (insbesondere manipulationssichere, dauerhafte und wiedergabegetreue) Archivierung und Wiederauffindung erschwert werden. Zu beachten ist, dass grundsätzlich auch Anlagen (“Attachments”) zu E-Mails archivierungspflichtig und aufzubewahren (§ 238 II HGB) sind. Sichergestellt sein muss, dass für die Dauer der gesetzlichen Aufbewahrungsfristen Löschung ausgeschlossen ist.Das E-Mail-System muss so ausgelegt sein, dass bestimmte Mails gezielt gelöscht werden können, ohne dass gleich das ganze Archiv gelöscht werden muss.

Einige Grundsätze werden im BITKOM-Leitfaden E-Mail-Archivierung zusammengefasst                           

(http://e-archive.hardfacts-online.com/resources/pdf/BITKOM_Leitfaden_E-Mail_Archvierung_2005_07_13.pdf.)