Hackerangriffe so schützen Sie Ihr Unternehmen

Transkript

1 Hackerangriffe so schützen Sie Ihr Unternehmen Nationale Initiative für Internetund Informations-Sicherheit PRISM und Tempora Konsequenzen für Unternehmen - IHK Frankfurt am Main und das BIEG Hessen Mittwoch, den 11. Dezember 2013

2 Gefahren Sondermaschinenbauer schickt Experten nach Hong Kong Stilvolles Abendessen wird auf Video festgehalten und an den Mitarbeiter per gesendet, Mitarbeiter leitet Mail an verschiedene Kollegen im Unternehmen weiter, u. a. auch an die Forschungs- und Entwicklungsabteilung. Mail enthielt Trojaner, Planungsdaten wurden kopiert und an chinesischen Wettbewerber übermittelt. Chinesen sehen noch nicht einmal die Notwendigkeit das Logo des Maschinenbauers von den Konstruktionsunterlagen zu entfernen. Geschätzter Schaden: rund 5 Millionen Euro.

3 Abmahnung

4 IP-Adresse

5 Gefährdung mobiler Geräte Gefahr eines Diebstahls oder Verlustes ist deutlich höher als die Gefahr durch Viren. Rund zwei Prozent der Smartphone-Nutzer verlieren ihr Gerät. (Quelle:

6 Volker Bouffier verliert iphone Daten: Geheime Telefonnummern, sensible Kontakte wie die zu Ministerpräsidenten-Kollegen, Landes- und Bundesministern sowie zur Bundeskanzlerin. Außerdem s, SMS und Notizen. (Quelle: hr-online.de) "Das Handy wurde sofort gesperrt, die Daten gelöscht", erklärte der Regierungssprecher.

7 Glaube an gesetzliche Regelungen Schutz des Telekommunikationsgeheimnisses durch 88 Telekommunikationsgesetz in Deutschland für alle natürlichen und juristischen Personen Verbot des Abhörens von Funksignalen - 89 TKG Schutz der Telekommunikation durch Art. 10 GG

8 Weltweites Internet Nachrichten im Netz werden weltweit verteilt übereinstimmende Schutzgesetze in den meisten Ländern der Welt Deshalb glaubte man sich einigermaßen sicher, das Ausspähen war kriminell

9 Echolon Eigentlich wusste man schon seit Echolon ganz wesentliche Aspekte Spionagepraxis in Europa/Deutschland Verständnis der Dienste, zumindest auch der Wirtschaft zu dienen

10 Neue Erkenntnisse Neu ist die Erkenntnis, dass der weltweit identische Schutz nur jeweils die nationalen Vorgänge betrifft Kein Schutz für grenzüberschreitenden, nur zufällig das Land passierende Daten Umfang der Kapazitäten, Big Data

11 Nationale Lösungen im Internet?

12 Bundesdatenschutzgesetz Schutz des Einzelnen vor Verletzung seines Persönlichkeitsrechts durch Umgang mit seinen personenbezogenen Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

13 Wer ist verpflichtet? Öffentliche Stellen (Bund, Länder, Kommunen etc.) Private Stellen, insbesondere Unternehmen o Ausnahme nur für ausschließlich persönliche oder familiäre Tätigkeiten

14 Konsequenzen Bußgeld Schadensersatz Reputationsverlust

15 Krankenakten-Affäre: Lidl entlässt Deutschland- Chef wenige Monate nach Bußgeldzahlungen in Höhe von 1,5 Millionen Euro wegen der Bespitzelung von Mitarbeitern Danach: Informationen über die Krankheiten von Mitarbeitern erfasst

16 Angeklagter im Telekom-Prozess - Haft Ehemaliger Leiter der Telekom-Konzern-sicherheit zu einer Haftstrafe von drei Jahren verurteilt Bespitzelung von Journalisten, Aufsichtsräten und Betriebsräten über Telefonverbindungen

17

18 Kritische Unternehmensdaten, Know-How Gefahr der Preisgabe wichtiger Informationen, Know-How, Spezialwissen Pflicht zur ordnungsgemäßen Unternehmensführung umfasst auch Pflicht, Kommunikation so zu organisieren, dass kein Schaden für das Unternehmen entsteht

19 Kritische Infrastrukturen Gefahr des Angriffs auf die Infrastruktur von Unternehmen Datenverlust etc.

20 Gesetz zur Kontrolle und Transparenz IT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß 91 Abs.2 AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Persönliche Haftung nach 93 Abs. 2 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder)

21 Pflichten des Vorstands Risikofrüherkennung sowie Verpflichtung, auf die erkannte Risiken angemessen zu reagieren, vgl. 93 Abs.1 AktG. Beweislastumkehr zu Lasten der Vorstände: Exkulpation nur bei ordnungsgemäßer Protokollierung der getroffenen Entscheidungen und der daraufhin veranlassten und kontrollierten Maßnahmen.

22 Persönliche Haftung der Geschäftsführung Regelungen zur persönlichen Haftung gelten nicht nur für Aktiengesellschaften, sondern über den Wortlaut hinaus für sämtliche Unternehmensformen (Beispiel: 43 GmbHG) Auch Alleingesellschafter können durch Insolvenzverwalter oder Gläubiger der Gesellschaft mit ihrem gesamten Privatvermögen herangezogen werden. Versicherungen für Vorstände werden bei Vorsatz oder grober Fahrlässigkeit Regress nehmen.

23 Beispiel: Kündigung Bankvorstand Dass die vom Vorstand einer Bank getroffenen Maßnahmen zum Risikomanagement nicht die gesetzlichen Anforderungen erfüllen, kann dies als wichtiger Grund die fristlose Kündigung rechtfertigen. Der Vorstand ist gesamtverantwortlich. Die nicht zuständigen Vorstandsmitglieder haben Überwachungspflichten. LG Berlin, , BKR 2002, 969

24 Beispiel: Entlastung Vorstand unwirksam In der unterbliebenen Dokumentation eines Risikofrüherkennungssystems ist ein wesentlicher Gesetzesverstoß zu sehen, der zur Anfechtbarkeit des Beschlusses über die Entlastung des Vorstandes führt LG München

25 Beispiel: Haftung wegen Unwissen Der Vorstand der Bank begeht eine grobe Pflichtverletzung, wenn er nicht auf ausreichender Informationsgrundlage handelt oder bewusst übergroße Risiken, insbesondere Klumpenrisiken, eingeht. Bereits die übermäßige Komplexität und Intransparenz bedingt nahezu die Unmöglichkeit für den Vorstand, Entscheidungen auf ausreichender Informationsgrundlage zu treffen. Externe Ratings können den Vorstand von der Pflicht zu eigener Information nicht entbinden. OLG Düsseldorf

26 Persönliche Haftung der Mitarbeiter Persönliche Haftung für Mitarbeiter wird nur ausnahmsweise in Betracht kommen Sofern verantwortliche Mitarbeiter (IT-Leiter etc.) allerdings Grundregeln für eine angemessene IT-Sicherheit ignorieren, kommt persönliche Haftung in Betracht auch für Mitarbeiter in verantwortlichen Positionen für IT kommt Haftung in Betracht, auch ohne Vorstandsamt (Achtung vor klingenden Titeln!)

27 Betriebliche Beauftragte Verantwortlichkeit für Betriebliche Datenschutzbeauftragte, Compliance Officer, Leiter der Rechtsabteilung, Leiter Revision etc. Trotz Kenntnis der maßgeblichen Umstände hatte der Leiter der Innenrevision einer Anstalt des öffentlichen Rechts nichts gegen betrügerische Manipulationen durch ein Vorstandsmitglied unternommen und wurde wegen Betrug durch Unterlassen verurteilt. BGH, Urteil vom , 5 StR 394/08, NZG 2009, 1356

28 Weitere Anforderungen IT-Sicherheit Einbeziehung der Mitarbeiter bei Konzepten Ergonomie und Bedienungsfreundlichkeit Nachvollziehbarkeit von Meldungen an den Benutzer Barrierefreiheit der Programme

29 Vertragliche Vertraulichkeitsvereinbarungen Vertraulichkeitsvereinbarungen werden sehr oft abgeschlossen Praktisch Standard bei Verträgen vieler Unternehmen in der Regel wird diese Pflicht mit empfindlichen Vertragsstrafen unterlegt

30 Weitere Anforderungen Dem Jahresabschluss ist gemäß 336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. Basel II Eigenkapitalregelungen Gesetzliche Haftungsrisiken Vertragliche Haftungsrisiken

31 Film sicheres Passwort

32

33 Kontakt Dr. Thomas Lapp - Rechtsanwalt und Mediator Vorsitzender der NIFIS - Nationale Initiative für Informations- und Internetsicherheit e.v. Berkersheimer Bahnstraße 5, Frankfurt am Main Tel.: Fax: Mobil: RA DR Lapp (= ) thomas.lapp@nifis.de

34 Vielen Dank für Ihre Aufmerksamkeit! Weitere Informationen unter