WWW.JURE.DE

NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKENTELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80

Juristische Aspekte der IT-Sicherheit24.06.2008

Rechtsanwältin Kathrin Bergerberger@jure.de

Bedrohungsszenarien

• Viren, Würmer, Trojaner -> ungenügende Sicherung

• Illegale Internetnutzung durch Mitarbeiter -> z.B. illegale Seiten

• Urheberrechtsverletzungen

• (Ungewollte) Preisgabe von geschützten Informationen

• Datenverlust durch fehlende Datensicherung

Was ist IT-Sicherheit im rechtlichen Sinn ?

„Sicherheit in der Informationstechnik (...) bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. in informationstechnischen Systemen oder Komponenten 2. bei der Anwendung von informationstechnischen Systemen

oder Komponenten

(§ 2 Abs. 2 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG))

Grundwerte der IT-Sicherheit

Vertraulichkeit

Schutz vertraulicher Informationen vor unbefugtem Zugang

Verfügbarkeit

Funktionalitäten und Informationen stehen zur Verfügung, wenn sie benötigt werden

Integrität

Keine unerlaubte Veränderung der Daten während und nach ihrer Verarbeitung möglich

Authentizität

Aussteller ist zu erkennen und nachzuvollziehen

Säulen der IT-Sicherheit

Technik: sichere Hard- und Software, ständige Anpassung

Organisation: Vereinbarungen, Vorgaben für Mitarbeiter

Recht: Kontrolle muss im rechtlich zulässigen Rahmen bleiben

Staatliche Vorgaben

Bundesdatenschutzgesetz, Telekommunikationsgesetz Standards und Empfehlungen -> nicht konkret, Maßnahmen und

Empfehlungen z.B: im Grundschutzhandbuch des Bundesamtes für Sicherheit ni der Informationstechnik (www.bsi.de/gshb)

Verhaltenspflichten (z.B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich – „KontraG“; Verwaltungsrichtlinien)

Sanktionen (Haftungsverteilung, Ordnungswidrigkeiten, Strafrecht)

Wer haftet ?

Amtshaftung

Ausübung eines öffentlichen Amtes + Amtspflichtverletzung

Körperschaft haftet, in deren Diensten der pflichtwidrig handelnde Amtsträger steht

Vorsatz / grobe FahrlässigkeitRückriff möglich

Grundsätze der Haftung

Grundsätzlich: Haftung für Vorsatz und leichte sowie grobe Fahrlässigkeit

gem. § 8 BDSG haften öffentliche Stellen bei automatisierter Datenverarbeitung für entsprechende Verstöße verschuldensunabhängig

Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und Beaufsichtigung

ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die Auswahl und Aufsicht herangezogen werdeninterne Beauftragte müssen mit ausreichenden sachlichen und personellen Kapazitäten ausgestattet sein, bei externen Beauftragten muss sich die Amtsleitung von solchen Kapazitäten sorgfältig überzeugenBeauftragter muss mit allen notwendigen Informationen versorgt werden

Aufgabenbereiche

Strategische Aufgaben- Zuständigkeit: Amtsleiter- Anordnung geeigneter Maßnahmen

Konzeptionelle Aufgaben- Zuständigkeit: ggf. auch Mitarbeiter, wenn entsprechend beauftragt und verantwortlich- Sicherheitskonzept

Operative Aufgaben- Zuständigkeit: Mitarbeiter, wenn entsprechend beauftragt und verantwortlich- Ordnungsgemäße Abwicklung der Vorgaben (Einsatz von Spam-/Viren-Filtern, Backups, Lizenzen Software)

Beispiele

- Mitarbeiter besucht rechtswidrige Internetseiten und lädt dort indizierte Dateien herunter

- Mitarbeiter beteiligt sich über Bürorechner an P2P-Tauschbörsen und begeht Urheberrechtsverletzung

- Der mit der IT-Sicherheit beauftragte Mitarbeiter hat vergessen, eine Firewall einzurichten, daraufhin greift ein Hacker auf vertrauliche Daten zu und verbreitet diese weiter

Beispiele

Die Rathaus-Sekretärin wird damit betraut, die tägliche Datensicherung auf einer Kassette vorzunehmen. Sie hält dies nicht für notwendig und sichert nur ab und zu die Daten, da ja „nie etwas passiert“.

Vor der jährlichen Wartung des Servers erkundigt sich der Techniker, ob eine Sicherung der Daten durchgeführt wurde. Dies wird von der Sekretärin bejaht. Bei der Wartung werden sämtliche Daten zerstört, die Wiederherstellung ist sehr teuer.

Wer haftet für den Schaden?

Vielen Dank für Ihre Aufmerksamkeit !

Rechtsanwältin Kathrin BergerSTOPP PICK & KOLLEGEN

berger@jure.de