Inhalte
I. Begriffsbestimmung
1. IT-Sicherheit
2. Datensicherheit
3. Datenschutz
II. Relevanz von IT-Sicherheit
1. Angriffe, Effekte und Auswirkungen in Zahlen
2. Wirtschaftliche Interessen
III. Formen der Bedrohung
1. Internetkriminalität
2 .Computerkriminalität
3. Trojaner, Viren und Würmer
IV. Schutzmaßnahmen
1. Zugriffskontrollen
2. Datenverschlüsselung
3. Schutz-Software
V. IT-Management
1. Datenschutzbeauftrager
2. Mitarbeiter sensibilisieren
VI. Rechtliches
1. Strafbarkeit von Cyberkriminalität
2. Folgen der Nichtbeachtung von Sicherheitsstandards
3. Gesetze zur IT-Sicherheit, Standards in Deutschland
I. Begriffsbestimmung
1. IT-Sicherheit
IT-Sicherheit umfasst alle sogenannten soziotechnischen Systeme. Als soziotechnisch werden Strukturen bezeichnet, in denen verschiedenen Menschen mithilfe einer Technologie interagieren und gemeinsam einen wirtschaftlichen Erfolg herbeiführen. Die Sozialkomponente besteht in einem Unternehmen aus den Mitarbeitern. Die technologische Komponente ist sehr weitreichend. So zählen hierzu einfache Maschinen, die an einer beliebigen Produktionskette teilhaben. Damit sind aber auch Kommunikationsgeräte aller Art gemeint. IT-Sicherheit bezieht sich vornehmlich auf Computer. Sie schützt Rechner vor Unbefugten und gewährleistet die Aufrechterhaltung der Mensch-Maschinen-Interaktion. IT-Systeme umfassen sämtliche digital ablaufenden Prozesse, analoge Prozesse sind von der Definition ausgeschlossen.
Das Kürzel „IT“ steht für Informationstechnik. Durch ein Konglomerat verschiedener Subsysteme und technologischer Komponenten wird die notwendige Infrastruktur geschaffen, um miteinander kommunizieren zu können. Alternativ werden mitunter die Bezeichnungen EIT für elektronische Informationstechnik und EDV für elektronische Datenverarbeitung gebraucht. Da die Grenzen zwischen den Bezeichnung Information und Daten fließend sind und die Begriffe im alltäglichen Sprachgebrauch verschmelzen, wurden diese unter Informationstechnik zusammengefasst.
2. Datensicherheit
Ein weiterer Bestandteil der Informationssicherheit ist die Sicherung von Daten. Dieses Feld wird öfters mit Datenschutz gleichgesetzt. Der Unterschied besteht darin, dass Datensicherheit die technische Sicherung von Daten bezeichnet und Datenschutz bereits Gespeichertes vor Zugriffen und Änderungen Unbefugter schützt. So wird effektiver Datenschutz erst durch die vorherige Datensicherung ermöglicht. Die Datensicherung hat keinen direkten Bezug zu bestimmten Personen. So fallen beispielsweise auch Aufzählungen von Lagerbeständen und geheime Konstruktionspläne unter die Datensicherheit (gilt für Digitales als auch Analoges). Die Datensicherheit befasst sich mit der Frage, welche Maßnahmen wie getroffen werden müssen, um den Bestand der Daten gewährleisten zu können.
3. Datenschutz
Der Datenschutz besteht aus technischen und organisatorischen Maßnahmen, durch welche personenbezogene Daten vor missbräuchlicher Verwendung bewahrt werden. Es gilt die Faustregel „Datenschutz ist Personenschutz“. Er soll kriminellen Aktivitäten entgegenwirken. Ferner wird die Nutzung und Weitergabe zu vermeintlich legalen Zwecken verhindert. So ist Datenschutz immer untrennbar mit der elementaren Frage verknüpft, ob bestimmte Daten überhaupt erhoben werden dürfen und wenn ja, in welchem Umfang? Rechtliche Grundlagen sind der Anspruch auf informationelle Selbstbestimmung und das Gebot der Anonymitätswahrung. Die EU erweitert in ihrer Definition den Begriff des Datenschutzes und sieht darin nicht nur den Schutz personenbezogener Daten, sondern darüber hinausgehend den Schutz der Privatsphäre allgemein (Art. 1 I Richtlinie 95/46/EG)
II. Relevanz von IT-Sicherheit
1. Angriffe, Effekte und Auswirkungen in Zahlen
Nach einer Studie des nordrhein-westfälischen Landesamtes für Verfassungsschutz (LfV) kam es im Jahr 2014 im Durchschnitt alle drei Minuten zu Hacker-Angriffen. Alleine in NRW wurden bereites 370.000 Unternehmen im Jahr 2014 attackiert. Dabei sind Schäden entstanden, die sich auf etwa 50 Mrd. Euro beziffern lassen. Allein Russland und China sollen dabei an 50% aller Angriffe beteiligt gewesen sein. So verwendet der russische Geheimdienst hochprofessionalisierte Technologien, denen im Zweifel nicht einmal die umfangreichen Sicherheitsmaßnahmen von Großkonzernen standhalten können, um Industriespionage zu betreiben. Dass Nachrichtendienste für einen Hauptteil der Wirtschaftsspionage verantwortlich sind, ist sogar im russischen Gesetz vorgeschrieben: demnach soll die Wirtschaft von Geheimdiensten gefördert werden. Während im Jahr 2013 lediglich 27% aller deutschen Unternehmen von Hacking betroffen waren, lag die Zahl 2015 bei ca. 40%. Ein Drittel aller Delikte entfiel auf bargeldlose Zahlungssysteme. Insgesamt waren 55% aller Finanzdienstleister von Angriffen betroffen.
Nicht nur die großen, international agierenden Konzerne sind den Gefährdungen durch Computer- und Cyberkriminalität ausgesetzt. Einer Umfrage der Beratungsgesellschaft PricewaterhouseCoopers (PwC) zufolge, unterschätzen grade die mittelständischen Unternehmen die Problematik. So wurde 2014 durchschnittlich jedes zehnte mittelständische Unternehmen attackiert. Die Schadenssumme lag im Schnitt bei 80.000 Euro. Vereinzelt entstanden wirtschaftliche Schäden in Höhe einer halben Million Euro, im Jahr davor wurde die Schadenssumme bei den meisten Fällen noch auf 10.000 Euro beziffert. Vor allem die Branchen Transport und Logistik, sowie Technologie, Medien und Telekommunikation haben in Sachen Informationssicherheit erheblichen Nachholbedarf. Zur Zeit fehlt es noch an Gefahrenbewusstsein. Durch einen sensibleren Umgang der Geschäftsführung und Mitarbeiter mit Daten, könnte der wirtschaftliche Schaden schon erheblich reduziert werden.
2. Wirtschaftliche Interessen
Durch die Angriffe wollen Kriminelle der Konkurrenz entweder Schaden zufügen und/oder sich selbst bereichern. Die Folgen der Hacker-Angriffe lauten: Einnahmeverluste, Datendiebstahl, Know-how-Diebstahl, Produktionsausfälle, Gefährdung von Umwelt, Menschen und Maschinen. Organisierte Täterbanden versuchen vor allem an geistiges Eigentum zu gelangen. Industriespionage verursacht weitaus nachhaltigere Schäden als das Stehlen von Geldbeträgen. Zusätzlich bestehen Reputationsrisiken. Der Begriff Reputation meint das Ansehen beziehungsweise Image eines Unternehmens. Werden Schadensfälle größerer Unternehmen medienwirksam bekannt, verliert der Konzern an Glaubwürdigkeit. Im Jahr 2015 kam es zu einem spektakulären Fall, in welchem Millionen Nutzerdaten von Sony Playstation und einer Partnervermittlung-Agentur an die Öffentlichkeit drangen. Dies führt zu immensen Vertrauensschaden und Verunsicherung bei den Nutzern, was ein Kundenverhältnis verschlechtert oder gar beenden kann. Ein negatives Image ruft eine niedrigere Ertragslage hervor, zudem kommt es zu einer Verschlechterung der Vermögensverhältnisse und zu Wertminderungs-Effekten.
Das Interesse an Informationssicherheit ergibt sich nicht bloß aus Gefahren wie Wirtschaftsspionage, Finanzstraftaten und Marktmanipulation. Darüber hinaus führen Opportunitätskosten und die Beseitigung des Schadens zu erheblichen Kosten.
III. Formen der Bedrohung
Internetkriminalität ist nicht mit Computerkriminalität gleichzusetzen. Während cyberkriminelle Straftaten mit den Techniken des Internets ausgeübt werden oder diese im Internet selbst geschehen, bezeichnet Computerkriminalität prinzipiell alle Delikte, bei denen Informations- und Kommunikationstechnik missbraucht wird.
1. Internetkriminalität
Innerhalb der Internetkriminalität muss zwischen Onlinesicherheit und Internetsicherheit unterschieden werden. Onlinesicherheit soll vor kriminellen Handlungen im und durch das Internet schützen. Internetkriminalität umfasst darüber hinausgehend auch den Schutz der Infrastruktur selbst. Dies beinhaltet nicht nur digitale Gefahren, sondern auch mechanische Bedrohungen. Da Internetsicherheit eher im entfernteren Sinne mit Internetkriminalität zu tun hat, geht es in diesem Abschnitt vorwiegend um Onlinesicherheit.
Die Erscheinungsformen internetkriminellen Handelns lauten: Betrug, Spionage von Daten, Verstöße gegen das Urheberrecht, Identitätsdiebstahl, Cyber-Terrorismus und auch Volksverhetzung sowie das Verbreiten pornographischer Inhalte. Der Begriff deckt also eine große Bandbreite ab. Es ist wichtig die einzelnen Delikte in Kategorien einzuordnen, um anhand dessen die korrekte Maßnahme zur Verbesserung der Sicherheit zu treffen.
Cyberkriminalität Typ 1: kommt aus Opferperspektive nur einmal vor.
Ein Beispiele für Typ 1 wäre das einmalige Herunterladen eines Trojaners. Auf diesem Trojaner könnte etwa ein Tastenaufzeichner, sogenannter Keystroke Logger, enthalten sein, durch den der Täter Passwörter ausspionieren kann. Grundsätzlich werden Diebstahl, die Manipulation von Daten oder Diensten durch Hacker oder Viren, Identitätsdiebstahl sowie Bank- oder E-Commerce-Betrug dem Typ 1 zugerechnet.
Cyberkriminalität Typ 2: kommt häufig vor, Kommunikation zwischen Opfer und Täter.
Delikte des Typus 2 besitzen die Eigenschaft, dass der Täter nicht eine einmalige Handlung ausübt, sondern in einem gewissen Zeitraum kontinuierlich mit dem Opfer in Kontakt steht. Beispielsweise, wenn er versucht eine Beziehung in einem Chatroom aufzubauen und diese Beziehung dann für kriminelle Machenschaften ausnutzt (Social Engineering). Darüber hinaus zählen auch Foren, in denen sich Täterbanden gemeinsam besprechen und austauschen zum Typ 2 cyberkriminellen Handelns.
2. Computerkriminalität
Eine einheitlich Definition für Computerkriminalität existiert bislang nicht. Die Polizei unterscheidet zwischen Computerkriminalität im engeren und im weiteren Sinne. Demnach ist Computerkriminalität im engeren Sinne das Begehen von Straftaten mithilfe von Informations- und Kommunikationstechnik. Im weiteren Sinne sind Handlungen gefasst, die zwar keine Straftat darstellen aber rechtswidrig sind. Der Unterschied zwischen Straftat und Rechtswidrigkeit besteht in der Schuld. Handelt der Täter ohne Unrechtsbewusstsein oder im Irrtum, ist sein Verhalten zwar rechtswidrig, aber stellt keine Straftat dar. Nach dem herrschenden dreistufigen Deliktsaufbau schließt die Vollendung einer Straftat den vorsätzlich begangen Tatbestand, die Rechtswidrigkeit und das Element der Schuld voraus.
In Zeiten zunehmender Digitalisierung haben Computerkriminelle Eingang in ein breites Spektrum verschiedener Kriminalitätsformen gefunden. Dazu zählen politischer Extremismus, Wirtschaftskriminalität, organisierte Kriminalität und das Drogen-Milieu. Ein „Klassiker“ von Wirtschaftskriminalität ist das Ausspähen von Bankautomaten. Der Täter nutzt personenbezogene Kennwörter und Konten, um sich auf Kosten Anderer zu bereichern. Statistisch betrachtet nimmt Computerkriminalität kontinuierlich zu, wobei Delikte an Geldautomaten die stärkste Wachstumsrate verzeichnen. Beliebt sind die sogenannten Skimming- und Cash-Tapping-Methoden. Skimming ist eine Form der Spionage, wobei die Kriminellen das Tastatur-Eingabefeld so präparieren, dass die PIN-Eingabe durch eine zweite Tastatur aufgezeichnet wird. Dieses zweite Eingabefeld liegt über dem originalen EPP und ist für den Kunden im Regelfall nicht sichtbar.
Beim Cash-Tapping wird die Geldausgabe so präpariert, dass das abgebuchte Geld nicht aus dem Automaten gelangen kann und am Ausgabeschacht hängen bleibt. Ein doppelter Schlitz verhindert de Herausgabe der Scheine, sodass der Betrag in dem Schlitz kleben bleibt. Die Kriminellen warten solange, bis der verwirrte Kunde den Automaten verlässt und entnehmen dann den Schlitz samt Bargeld. Neben dem Betrug an Geldautomaten haben urheberrechtswidrig hergestellte Kopien von Daten aller Art (Video- und Bildsequenzen, Musikstücke, Geheimdokumente, etc…) einen beträchtlichen Anteil am durch Computerkriminalität entstehenden Schaden.
3. Trojaner, Viren und Würmer
Trojaner sind Spionage-Programme, die aus dem Internet in eine Computer eingeschleust werden und diesen mit Schadsoftware infizieren. Die Bezeichnung stammt aus dem griechischen Heldenepos, in welchem die Griechen Soldaten über das Trojanische Pferd in die Stadt Troja einschleusen, um diese dann von innen heraus zu erobern. Die Funktionsweise von Trojanern ist ähnlich und unterteilt sich in zwei Varianten. Es gibt Trjoaner-Software, welche den Schädling bereits an Board haben und solche, die diese selbstständig aus einer Internetquelle beziehen (sogenannter Download-Trojaner). Zwar ist die genaue Ausführung eines Trojaners variabel. Doch alle Schadensprogramme verfolgen grundsätzlich eine der hier genannten Absichten:
Keylogger: dieser Schädling zeichnet die Tastatureingabe des Nutzers auf und übermittelt sie einem Spion. Gefährlich wird die Tastatureingabe insbesondere bei der Eingabe von Passwörtern.
Sniffer: ein Sniffer (aus dem Englischen für Schnüffler) hackt sich in das Firmennetzwerk oder die Cloud eines Unternehmens ein und analysiert die darin hinterlegten Daten. Der Täter versucht sich dadurch Firmengeheimnisse anzueignen. Es wird vermutet, dass Keylogger und Sniffer im Wesentlichen für Industriespionage und den Diebstahl geistigen Eigentums verantwortlich sind.
Backdoorprogramm: ein Backdoorprogramm ermöglicht die externe Steuerung des befallenen Rechners, ohne dass der Nutzer etwas davon merkt. Der Computer fungiert dabei quasi als extern gesteuerte Waffe. So infizieren Programme bis zu tausende Computer, verschicken Mails an denselben Account oder probieren einen Inhalt gleichzeitig aufzurufen, sodass dieser dann lahmgelegt wird. Es kam in der Vergangenheit mehrfach zu Cyber-Terrorismus, durch welchen Behördennetzwerke mithilfe von Backdoorprogrammen attackiert wurden.
Jeder Computervirus hat eine Vermehrungs- und eine Schadfunktion. Zunächst schleust er sich in eine bestimmte Datei („Wirt“) ein. Anschließend wird der Virus aktiv, nistet sich im Arbeitsspeicher ein und sucht nach nicht infizierten Programmen, die er dann ebenfalls befällt. Um zwischen infizierten und nicht infizierten Dateien unterscheiden zu können, muss der Virus die befallene Software kennzeichnen. Hier greifen Antivirenprogramm ein und suchen nach eben dieser Kennzeichnung, um den Schädling anschließend zu beseitigen. Das Ziel des Virus ist ein Programm oder den gesamten Rechner zu deaktivieren. Besonders ausgeklügelte Computerprogramme können ihre Struktur verändern, das Betriebssystem manipulieren und sich dadurch tarnen. Von besonderer Gefahr sind „Retroviren“. Diese Form von Schädlingen befällt einen Computer nicht wahllos, sondern sucht gezielt nach Schutzsoftware. Durch die Deaktivierung der Schutzsoftware steht dann auch weiteren Schädlingen die Tür offen.
Würmer sind durch ihre hohe Reproduktionsrate charakterisiert. Sie nutzen bestehende Netzwerkverbindung, um sich auf einer Vielzahl von Geräten einzunisten. Befällt der Wurm beispielsweise einen Mail-Account, durchforstet er das Adressbuch und versucht Eingang in weitere Netzwerke zu finden. So können bereits durch relativ wenige Zwischenschritte Millionen Rechner von einem einzigen Schädling infiziert werden. Nicht nur über das Internet, sondern auch Wechseldatenträger wie USB-Sticks sind für die Zwecke des Computerwurms ausreichend. Der Nutzer kann Würmer anhand untypisch langer Dateiname-Bezeichnungen erkennen. Werden diese in einem kleinen Fenster angezeigt, bleibt der letzte Teil des Dateinamens und somit die Erweiterung verborgen (zum Beispiels angezeigt als „geheime_pläne_meines_projekts_aus_nor…“). Werden Würmer via Spam-Mail verschickt, versuchen diese den Nutzer psychisch zu beeinflussen. Die Neugierde oder Ängste des Opfers werden geweckt, indem hohe Geldgewinne versprochen oder Strafandrohungen für angeblich begangene Delikte gestellt werden. Das geweckte Interesse vermindert das Sicherheitsbewusstsein des Empfängers, sodass dieser geneigt ist beigefügte Links anzuklicken.
IV. Schutzmaßnahmen
1. Zugriffskontrolle
Anhand von Zugriffskontrollen kann die Integrität, Überwachung und Steuerung eines Systems gesichert werden. Zugriffskontrollen stellen sicher, dass nur zum Zugang berechtigte Personen an Informationen gelangen. Eine Zugangskontrolle leistet daher auch einen wichtigen Beitrag zur Vertraulichkeit und Verfügbarkeit von Daten. Professionelle Zugriffskontrollen unterteilen sich in einen administrativen und technischen Bereich.
Administrativen Zugriffskontrollen liegt das Hierarchieprinzip zugrunde. Das Unternehmen entscheidet über die Befugnisse jedes einzelnen Nutzers, indem diesen eine Position zugeteilt wird. In umfangreichen Vorschriften sind dann die jeweiligen Kompetenzen der zugeteilten Position geregelt. Somit wird durch Administration die Nutzung technischer Geräte organisiert. Der Betrieb legt fest, welche Rollen unter den Mitarbeitern getrennt werden müssen, welche Eigenschaften eine Person für die Zugangsberechtigung erfüllen muss und wie diese Eigenschaften regelmäßig überprüft und wieder entzogen werden können.
Technische Zugriffskontrollen (auch logische Zugriffskontrollen gennant) sind der restriktive (beschränkende) Teil und setzen die abstrakten Schritte um, die in der Administration entworfen wurden. Entsprechende Softwares entscheiden über die Zugriffsberechtigung des Nutzers, wenn dieser die entsprechenden Zugriffsrechte nachweisen kann. Dies kann durch Passwörter oder sonstige Identifikationsmerkmale erfolgen. Es gibt geistige, materielle oder biologische Identifikationsmerkmale. So kann der Identifikationsmerkmalträger seine Identität anhand eines PINs, einer Chipkarte oder durch biometrische Merkmale wie den Fingerabdruck nachweisen.
2. Datenverschlüsselung
Durch Datenverschlüsselung (Chiffrierung) wird die Informationssicherheit maßgeblich erhöht und sie ist Grundvoraussetzung, um Dokumente vor Mitbenutzern und Fremden zu schützen. Obwohl die Verschlüsselungstechniken immer umfangreicher werden und kontinuierlich an noch ausgefeilteren Codes gearbeitet wird, lassen sich die wesentlichen Grundprinzipien relativ leicht nachvollziehen. Die Chiffrierung kann einzelne Daten sichern, zudem kann verschlüsselt kommuniziert werden. Das Prinzip basiert zunächst auf einem Passwort. Das Passwort kann entweder vom Nutzer selbst bestimmt werden oder automatisch von einem Server, sodass der User dies nicht einmal mitbekommt. Durch letzteres soll der „menschliche Faktor“ (die Wahl unzureichend sicherer Passwörter) eliminiert werden. Neben dem Schlüssel ist ein Entschlüsselungs-Verfahren vonnöten. Soll der Inhalt eines Textes ohne Schlüssel festgestellt werden, spricht man von Entzifferung und nicht von Entschlüsselung.
3. Schutz-Software
Werden Dateien aus dem Internet heruntergeladen, so sollte man dies nur auf vertrauenswürdigen Seiten tun. Doch selbst bei seriösen Inhalten kann das Risiko einer Infizierung durch Schadensprogramme niemals ganz ausgeschlossen werden. Die Installation eines Antivirenprogramm ist daher unabdinglich. Eine große Gefahr geht von neu entwickelteren Schädlingen aus. Wird das Sicherheitsprogramm nicht stetig aktualisiert oder ganz erneuert, ist die Software faktisch nutzlos. Unabhängig von der Schutzgarantie eines Programms, sollte dies den Nutzer nicht zu leichtsinnigem Verhalten verleiten. Ein absoluter Schutz kann nur in den seltensten Fällen, unter strenger Isolation und einer Vielzahl von Zugriffsbeschränkungen gewährleistet werden. In der Praxis sind Informations- und Kommunikationstechniken nur relativ sicher.
V. IT-Management
Das IT-Management befasst sich mit der Erstellung, dem Betrieb und der Nutzung von Informationstechnik. Dies beinhaltet das Formulieren von Zielen, die gegebenenfalls im Konflikt zueinander stehen. Ein solcher Zielkonflikt besteht zum Beispiel in dem unternehmerischen Stellenrang von Informationstechnologie selbst. So ist IT niemals ein Selbstzweck (lediglich Infrastruktur), aber gleichzeitig sind Freiräume nötig, um neue Wirtschaftsfelder erschließen zu können. Das IT-Management richtet sich durch Personalsteuerung und Organisation auf ein konkretes Ziel aus und versucht dies durch das Priorisieren einzelner Tätigkeitsfelder zu erreichen. Wesentliche Anliegen des IT-Managements lauten: Transparenz schaffen, Risiken planen und sicherstellen, sowie auf die Erfüllung gesetzlicher Anforderungen zu achten.
1. Datenschutzbeauftragter
Der Datenschutzbeauftragte (DSB) berät ein Unternehmen bei Maßnahmen, die zur Wahrung des Datenschutzes erforderlich sind. Er überwacht die Einhaltung der DSGVO (siehe unten) und weiterer nationaler Sonderregelungen. Darüber hinaus sensibilisiert und schult er Mitarbeiter. Der DSB fungiert in seiner unabhängigen Stellung als Bindeglied zwischen Unternehmen und Aufsichtsbehörden. So kann die Position von einer internen oder externen Arbeitskraft belegt werden. Einstellungskriterien sind Fachwissen und Unbefangenheit; der DSB darf sich nicht in Zielkonflikte verwickeln oder der Selbstkontrolle unterliegen. Zielkonflikte können insbesondere dann entstehen, wenn der Datenschutzbeauftragte noch einer anderen Tätigkeit nachgeht. Dies wird vor allem bei Mitarbeitern angenommen, die gleichzeitig in der Personalabteilung oder Geschäftsführung tätig sind. Ein Datenschutzbeauftragter ist beruflich qualifiziert, wenn er über Kenntnisse des Datenschutzes und der Datenschutzpraxis verfügt. Ferner ist eine stetige Weiterbildung in den Bereichen IT und Datenschutzrecht unumgänglich.
Wann ein Betrieb einen Datenschutzbeauftragten einberufen muss, wird nicht vom Bund geregelt, sondern ist Ländersache. Somit variieren die Gesetze je nach Bundesland. Alas Grundlage dient das bundesweit geltende Bundesdatenschutzgesetz (BDSG). Ab dem 25. Mai 2018 wird ein von der EU beschlossenes Einheitsgesetz in Kraft treten. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wird den Schutz personenbezogener Daten dadurch angleichen. So soll ein freier und reibungsloser EU-Binnenmarkt gestärkt werden. Gemäß Art. 37 EU-DSGVO ist ein Datenschutzbeauftragter nötig, wenn das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf:
Quote„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen(Auskunfteien oder Adresshändler), oder
c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Als Kerntätigkeit sind hier jene Tätigkeiten gemeint, welche essentiell für die Erreichung eines unternehmerischen Ziels sind. Zum Beispiel: das Verarbeiten von Gesundheitsdaten in einem Krankenhaus. Bis zum Inkrafttreten der EU-DSGVO regelt das BDSG, wann ein Datenschutzbeauftragter eingestellt werden muss. Dies ist der Fall, wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der nicht-automatisierten Verarbeitung greift die Vorschrift erst ab 20 Mitarbeitern.
2. Sensibilisieren von Mitarbeitern
Das Sensibilisieren von Mitarbeitern ist für die Umsetzung datenschutzrechtlicher Maßnahmen unumgänglich. Darüber hinaus ist es ein wichtiger Bestandteil der Informationssicherheit, da viele der durch Computer- und Cyberkriminalität entstandenen Schäden auf laxen Umgang von Mitarbeitern zurückzuführen ist. Die Verpflichtung Schulungen durchzuführen, ergibt sich aus § 4g I BDSG, wonach der „Beauftragte für den Datenschutz auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin wirkt.“ Offen bleiben an dieser Vorschrift jedoch das „Wie und Was“. Ein erster Schritte wäre das Interesse der Mitarbeiter für Datensicherung und -schutz zu wecken. Zum Beispiel, indem der konkrete Nutzen und Stellenrang dessen verdeutlicht wird. Man könnte den Umgang mit Daten auch mit Themen des dienstlichen und privaten Gebrauchs verknüpfen, um es so für den Mitarbeiter zugänglicher zu machen. Konkretes Material ist auf den Internetseiten der Datenschutzbeauftragten der Länder frei verfügbar.
VI. Rechtliches
1. Strafbarkeit von Cyberkriminalität
Die in Punkt III.1. vorgestellten Straftaten wie Betrug, Spionage von Daten, Verstöße gegen das Urheberrecht, Identitätsdiebstahl, Cyber-Terrorismus, Volksverhetzung, etc. werden nicht anders behandelt, nur weil sie über das Internet erfolgen. Um Widersprüche im Gesetz zu vermeiden, wurden einige Strafparagraphen durch Zusätze erweitert. So ist der Betrug in § 263 StGB geregelt und wurde durch § 263a StGB Computerbetrug erweitert.
Problematisch für die Anwendung des Strafrechts ist das in § 3 StGB vorgeschriebe Territorialprinzip. Demnach gilt das deutsche Strafrecht für Taten, die im Inland begangen werden. In einem BGH-Fall aus dem Jahr 2000 hat ein Deutscher in Australien die sogenannte „Ausschwitzlüge“ in deutscher und englischer Sprache ins Netz gestellt. Gemäß § 3 StGB könnte der Täter nur nach deutschem Recht verurteilt werden, wenn der Handlungs- und Erfolgsort im Herkunftsland läge. Da die Inhalte über das Internet weltweit abgerufen werden können, kann freilich bejaht werden, dass der tatbestandliche Erfolg (auch) in Deutschland und nicht nur in Australien eingetreten ist. Die eigentliche Handlung geschah jedoch auf ausländischem Boden. Der Bundesgerichtshof verurteilte den Täter mittels einer weit gefasste Auslegung vom Begriff „Handlungsort“. Demnach konnte dem Täter der deutsche Staatsboden als Handlungsort zugerechnet werden, weil er einen inländischen Computer nutzte und lediglich ein ausländischer Anbieter den Zugang zum Internet ermöglichte.
2. Folgen der Nichtbeachtung von Sicherheitsstandards
Verstöße gegen das Datenschutzrecht werden mit Geldstrafen sanktioniert. Erhebt ein Unternehmen personenbezogene Daten, haftet der Unternehmer. Er ist für die Sicherheit von Datenprozessen verantwortlich. Bei schwerwiegenden Verstößen wird gegebenenfalls auch das Privatvermögen in Anspruch genommen. Ein allgemeiner Bußgeldkatalog existiert nicht. Es hängt von den Umständen des Einzelfalls ab, in welchem Ausmaß das Bußgeld im Schadensfall erhoben wird. Es kommt darauf an, ob das Unternehmen mit Vorsatz handelte oder es aufgrund fahrlässigen Verhaltens zu Fehlern kam. Dokumentiert ein Betrieb seine Entscheidung nach bestem Wissen und Gewissen, wird dies positiv berücksichtigt. Schwerwiegende Verstöße, wie das Nichteinstellen eines Datenschutzbeauftragten wird als Vorsatztat gewertet und kann schnell mit 50.000 Euro bestraft werden. Zieht der Täter noch einen wirtschaftlichen Gewinn aus dem aktiven Verstoß, betragen Bußgelder nicht selten um die 300.000 Euro. Unabhängig davon erleiden Unternehmen einen gewaltigen Image-Schaden bei Geschäftspartnern und Kunden.
3. Gesetze zur IT-Sicherheit, Standards in Deutschland
Die gesetzlichen Eckpfeiler zur Informationssicherheit bilden folgende Normierungen:
- das Bundesdatenschutzgesetz (BDSG),
- IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme,
- KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich,
- GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
- (und ferner auch das KWG: Kreditwesengesetz).
Das BDSG regelt in Verbindung mit den Regelungen der Länder den Umgang mit personenbezogenen Daten (siehe Punkt V.1.). Das Gesetz bezweckt den Schutz des Einzelnen. Der Staatsbürger soll vor Eingriffen in seine Privatsphäre durch Behörden oder Unternehmen geschützt werden.
Das IT-Sicherheitsgesetz (kurz IT-SG) ist am 25.07.2015 in Kraft getreten und schützt die Betreiber „kritischer Infrastrukturen“. Die Sicherheit von Daten und IT-Systemen soll durch die Erarbeitung von Sicherheitsstandards gewährleistet werden, welche alle zwei Jahre einer Überarbeitung unterliegen. Das IT-SG ist in Artikeln aufgebaut. Ein Artikelgesetz besitzt die Eigenschaft, dass verschiedene Fachbereiche, die eigentlich keinen Bezug zueinander haben, zusammengefasst werden und ein bestimmtes Ziel abbilden.
Das KonTraG ist ein Artikelgesetz, welches aus Gesetzen wie das GmbHG , das AktG oder das HGB besteht. Dadurch werden Grundsätze der Unternehmensführung verbessert.
Das GoBD stellt Vorgaben für Dokumentationsprozesse und der Protokollführung innerhalb eines Betriebs. Dieses Gesetz ist also an Unternehmen, die Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten haben gerichtet. Es definiert allgemeine Sorgfaltspflichten. Unter Sorgfalt ist hierbei die Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit von der Dokumentation zu verstehen.
