Mindestlohngesetz MiLoG. Bremen, den 15. Oktober 2014

Transkript

1 Mindestlohngesetz MiLoG Bremen, den 15. Oktober 2014

2 Gliederung 1. Einführung 2. Persönlicher Geltungsbereich 3. Höhe des Mindestlohns 4. Fälligkeit, Verjährung 5. Ausfallhaftung des Auftraggebers 6. Sanktionen 7. Sonstige unternehmerische Pflichten FIDES Treuhand GmbH & Co. KG Seite 2

3 1. Einführung Zweck des Gesetzes Inkrafttreten zum 1. Januar 2015 Übergangsvorschriften Tarifverträge bis zum 31. Dezember 2017 Anpassung für Zeitungszusteller bis zum 1. Januar 2017 Bedeutung für alle Unternehmen wegen Auftraggeberhaftung FIDES Treuhand GmbH & Co. KG Seite 3

4 1. Einführung 13 MiLoG Haftung des Auftraggebers 14 des Arbeitnehmer-Entsendegesetzes findet entsprechende Anwendung. FIDES Treuhand GmbH & Co. KG Seite 4

5 1. Einführung 14 AEntG Haftung des Auftraggebers Ein Unternehmer, der einen anderen Unternehmer mit der Erbringung von Werk- oder Dienstleistungen beauftragt, haftet für die Verpflichtungen dieses Unternehmers, eines Nachunternehmers oder eines von dem Unternehmer oder einem Nachunternehmer beauftragten Verleihers zur Zahlung des Mindestentgelts an Arbeitnehmer oder Arbeitnehmerinnen oder zur Zahlung von Beiträgen an eine gemeinsame Einrichtung der Tarifvertragsparteien nach 8 wie ein Bürge, der auf die Einrede der Vorausklage verzichtet hat. FIDES Treuhand GmbH & Co. KG Seite 5

6 1. Einführung 21 Abs. 2 MiLoG Ordnungswidrig handelt, wer Werk- oder Dienstleistungen in erheblichem Umfang ausführen lässt, indem er als Unternehmer einen anderen Unternehmer beauftragt, von dem er weiß oder fahrlässig nicht weiß, dass dieser bei Erfüllung dieses Auftrages 1. entgegen 20 das dort genannte Arbeitsentgelt nicht oder nicht rechtzeitig zahlt oder 2. einen Nachunternehmer einsetzt oder zulässt, dass ein Nachunternehmer tätig wird, der entgegen 20 das dort genannte Arbeitsentgelt nicht oder nicht rechtzeitig zahlt. FIDES Treuhand GmbH & Co. KG Seite 6

7 2. Persönlicher Geltungsbereich Der gesetzliche Mindestlohn gilt für alle Arbeitnehmer; auch für geringfügig Beschäftigte ausländische Arbeitnehmer Praktikanten, wenn nicht ausdrücklich ausgenommen Ausnahmen: "echte" Praktikanten bis zur Dauer von drei Monaten, wenn Berufspraktikum vorgeschrieben Personen unter 18 Jahren ohne abgeschlossene Berufsausbildung Auszubildende ehrenamtlich Tätige Langzeitarbeitslose für die ersten sechs Monate der Beschäftigung FIDES Treuhand GmbH & Co. KG Seite 7

8 3. Höhe des Mindestlohns EUR 8,50 pro Stunde Bei Festgehalt Umrechnung auf tatsächlich geleistete Stunden Andere Gehaltsbestandteile sind berücksichtigungsfähig, wenn sie nach ihrer Zweckbestimmung als Gegenleistung für die normale Arbeitsleistung dienen ("Äquivalenzprinzip") Nicht berücksichtigungsfähig: Zulagen für quantitative oder qualitative Mehrarbeit Zuschläge für Arbeiten zu besonderen Tageszeiten oder an Sonn- und Feiertagen Zuschläge für Arbeiten unter besonders beschwerlichen, belastenden oder gefährlichen Umständen vermögenswirksame Leistungen jährliche Sonderzahlungen FIDES Treuhand GmbH & Co. KG Seite 8

9 4. Fälligkeit, Verjährung Späteste Fälligkeit am letzten Bankarbeitstag des Folgemonates Einstellung von Stunden auf Arbeitszeitkonten zulässig, wenn Ausgleich innerhalb von zwölf Monaten Ausschlussfristen gelten nicht Verjährungsfrist drei Jahre FIDES Treuhand GmbH & Co. KG Seite 9

10 5. Auftraggeberhaftung 13 MiLoG verweist auf 14 AEntG Haftung möglicherweise nur im Verhältnis Generalunternehmer/Subunternehmer Verschuldensunabhängige Haftung, keine Entlastungsmöglichkeit Haftung nur für Nettoentgelt FIDES Treuhand GmbH & Co. KG Seite 10

11 6. Sanktionen Bußgeld bis EUR ,00, wenn fahrlässig Mindestlohn nicht oder nicht bei Fälligkeit gezahlt wird beauftragte Werk- und Dienstleistungsunternehmer Mindestlohn nicht oder nicht rechtzeitig zahlen Bußgeld bis EUR ,00 bei sonstigen Verstößen Ausschluss von öffentlichen Ausschreibungen Verfall FIDES Treuhand GmbH & Co. KG Seite 11

12 7. Sonstige unternehmerische Pflichten Meldepflicht bei Einsatz ausländischer Arbeitnehmer Dokumentationspflicht über tägliche Arbeitszeit für alle Beschäftigten in den in 2 a SchwarzArbG genannten Wirtschaftsbereichen geringfügig Beschäftigten in allen Branchen; Ausnahme: Privathaushalte Aufbewahrungspflicht für zwei Jahre FIDES Treuhand GmbH & Co. KG Seite 12

13 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Dr. Johannes Dälken Rechtsanwalt Fachanwalt für Arbeitsrecht Dr. Christian Merz Rechtsanwalt Fachanwalt für Arbeitsrecht Birkenstraße Bremen Tel. +49 (421) Fax +49 (421) FIDES Treuhand GmbH & Co. KG

14 Aktuelle steuerliche Entwicklungen Bremen, 15. Oktober 2014

15 Inhalt A. Neue Rechtsprechung zur Abgeltungsteuer B. Kroatien-Anpassungsgesetz C. Update Erbschaftsteuer FIDES Treuhand GmbH & Co. KG Seite 2

16 A. Neue Rechtsprechung zur Abgeltungsteuer 1. Hintergrund Gesonderter Steuersatz (25 %) für Einkünfte aus Kapitalvermögen in 32d EStG Keine Werbungskosten (nur Sparer-Pauschbetrag von 801 EUR / EUR) Ausnahmen Gläubiger und Schuldner nahe stehende Personen Darlehen an Kapitalgesellschaft durch Gesellschafter oder diesem nahe stehende Person, wenn Beteiligung des Gesellschafters >= 10 % Frage: Was ist eine nahestehende Person? FIDES Treuhand GmbH & Co. KG Seite 3

17 A. Neue Rechtsprechung zur Abgeltungsteuer 2. Abgeltungsteuersatz bei Darlehen zwischen Angehörigen (BFH v ) V (Vater) Zinsertrag 100: Steuersatz 25 % Steuerbelastung: 25 Finanzverwaltung: Angehörige sind nahestehende Personen S (Sohn) Darlehen Einkünfte V + V Zinsaufwand 100: Steuersatz z.b. 42 % Steuerentlastung: 42 BFH: Ein lediglich aus der Familienangehörigkeit abgeleitetes persönliches Interesse begründet kein Nahestehen Näheverhältnis nur, wenn auf eine der Vertragsparteien ein beherrschender oder ein außerhalb der Geschäftsbeziehung begründeter Einfluss ausgeübt werden kann oder ein eigenes wirtschaftliches Interesse an der Erzielung der Einkünfte des anderen besteht Besteuerung der Kapitalerträge bei V mit Abgeltungsteuersatz Werbungskostenabzug bei S FIDES Treuhand GmbH & Co. KG Seite 4

18 A. Neue Rechtsprechung zur Abgeltungsteuer 3. Abgeltungsteuersatz bei Darlehen an GmbH durch Angehörige der Anteilseigner (BFH v ) T (Tochter) 10% X-GmbH M (Mutter) Darlehen Finanzverwaltung: Angehörige sind nahestehende Personen BFH: Ein lediglich aus der Familienangehörigkeit abgeleitetes persönliches Interesse begründet kein Nahestehen Näheverhältnis nur, wenn auf eine der Vertragsparteien ein beherrschender oder ein außerhalb der Geschäftsbeziehung begründeter Einfluss ausgeübt werden kann oder ein eigenes wirtschaftliches Interesse an der Erzielung der Einkünfte des anderen besteht Besteuerung der Kapitalerträge bei M mit Abgeltungsteuersatz FIDES Treuhand GmbH & Co. KG Seite 5

19 A. Neue Rechtsprechung zur Abgeltungsteuer 4. Aber: Kein Abgeltungsteuersatz bei Gesellschafterdarlehen (BFH v ) X 10% Darlehen BFH: Kein Abgeltungsteuersatz aufgrund des eindeutigen Gesetzeswortlauts Keine Verletzung des Gleichheitsgrundsatzes Auch 10 %-Grenze verfassungsrechtlich unbedenklich X-GmbH Besteuerung der Kapitalerträge bei X mit individuellem Steuersatz FIDES Treuhand GmbH & Co. KG Seite 6

20 Inhalt A. Neue Rechtsprechung zur Abgeltungsteuer B. Kroatien-Anpassungsgesetz C. Update Erbschaftsteuer FIDES Treuhand GmbH & Co. KG Seite 7

21 B. Kroatien-Anpassungsgesetz 1. Grunderwerbsteuer: Konzernklausel (1) 6a GrEStG begünstigt bestimmte Grundstücksübertragungen zwischen herrschenden und abhängigen Unternehmen (95 %-Beteiligung) Voraussetzung: Fünfjährige Vor- und Nachfrist hinsichtlich des Abhängigkeitsverhältnisses Bisher: Keine Steuererhebung für einen nach 1 Abs. 1 Nr. 3 Satz 1, Absatz 2, 2a, 3 oder Absatz 3a steuerbaren Rechtsvorgang aufgrund einer Umwandlung im Sinne des 1 Abs. 1 Nr. 1 bis 3 des Umwandlungsgesetzes, bei Einbringungen sowie bei anderen Erwerbsvorgängen auf gesellschaftsrechtlicher Grundlage. Neu: Keine Steuererhebung für einen nach 1 Abs. 1 Nr. 3 Satz 1, Absatz 2, 2a, 3 oder Absatz 3a steuerbaren Rechtsvorgang aufgrund einer Umwandlung im Sinne des 1 Abs. 1 Nr. 1 bis 3 des Umwandlungsgesetzes, einer Einbringung oder eines anderen Erwerbsvorgangs auf gesellschaftsrechtlicher Grundlage. Übertragungen einzelner Grundstücke auf Kapitalgesellschaften, die außerhalb des Umwandlungsgesetzes erfolgen, werden nicht erfasst FIDES Treuhand GmbH & Co. KG Seite 8

22 B. Kroatien-Anpassungsgesetz 1. Grunderwerbsteuer: Konzernklausel (2) M-GmbH Keine Begünstigung nach 6a GrEStG Begünstigung evtl. über wirtschaftliches Eigentum erreichbar ( Einlage dem Werte nach") T-GmbH FIDES Treuhand GmbH & Co. KG Seite 9

23 A. Kroatien-Anpassungsgesetz 2. Umsatzsteuer Mindestbemessungsgrundlage ( 10 Abs. 5 Satz 2 UStG) Begrenzung auf das marktübliche Entgelt d.h. keine Berücksichtigung der ggf. höheren Kosten Telekommunikations-, Rundfunk- und Fernsehleistungen sowie auf elektronischem Weg erbrachte Leistungen an Nichtunternehmer ( 3a Abs. 5 UStG) Leistungsort ist der Sitz/Wohnsitz des Leistungsempfängers Erklärung über das BZSt Reverse Charge-Verfahren Umgekehrte Steuerschuldnerschaft Gesetzliche Normierung der bisherigen Auffassung der Finanzverwaltung für Bauleistungen ( 13b Abs. 5a UStG) Erfassung von Lieferungen von Edelmetallen bzw. unedlen Metallen Erfassung von Tablett-PCs und Spielekonsolen FIDES Treuhand GmbH & Co. KG Seite 10

24 Inhalt A. Neue Rechtsprechung zur Abgeltungsteuer B. Kroatien-Anpassungsgesetz C. Update Erbschaftsteuer FIDES Treuhand GmbH & Co. KG Seite 11

25 C. Update Erbschaftsteuer BFH v : Weitgehende Verschonung des Erwerbs von Betriebsvermögen stellt verfassungswidrige Überprivilegierung dar Mündliche Verhandlung beim BVerfG hat am stattgefunden Entscheidung des BVerfG zwischenzeitlich für Herbst 2014 erwartet Konkreter Termin momentan nicht bekannt Rahmenbedingungen werden sich voraussichtlich eher verschlechtern Empfehlung weiterhin: Zeitnahe Umsetzung bei ohnehin geplanten Übertragungen FIDES Treuhand GmbH & Co. KG Seite 12

26 Der Inhalt dieser Unterlagen wurde sorgfältig erarbeitet. Für den Inhalt der Präsentation wird jedoch keine Gewähr übernommen. Die Unterlagen sind insbesondere nicht geeignet, eine einzelfallbezogene umfassende Beratung zu ersetzen. Sie sind urheberrechtlich geschützt. Jede Form der Verwertung bedarf der Genehmigung durch die FIDES Treuhand GmbH & Co. KG. FIDES Treuhand GmbH & Co. KG Seite 13

27 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Dr. Christoph Löffler, LL.M., StB Birkenstraße Bremen Tel. +49 (421) Fax +49 (421)

28 Der jüngste Entwurf des IT-Sicherheitsgesetzes: Besteht in Ihrem Unternehmen Handlungsbedarf? Bremen, Christian Heermeyer Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz und IT-Recht

29 Das erste IT-Sicherheitsgesetz Das Bundesministerium des Innern hat im Juli 2014 einen neuen Entwurf des schon seit 2013 in der Diskussion befindlichen IT-Sicherheitsgesetzes vorgestellt Das Gesetz ist Teil der Digitalen Agenda der Bundesregierung "Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken." Der Staat müsse deshalb "Sicherheitsgurte für die IT der kritischen Infrastrukturen" einführen FIDES Treuhand GmbH & Co. KG Seite 2

30 1. Probleme nach dem Gesetzesentwurf Quer durch alle Branchen ist schon heute mehr als die Hälfte aller Unternehmen in Deutschland vom Internet abhängig Deutschland ist zunehmend Ziel von Cyberangriffen, Cyberspionage und sonstigen Formen der Cyberkriminalität. Wirtschaft, Bürger und auch der Staat selbst sind hiervon gleichermaßen betroffen Die Angriffe erfolgen danach zunehmend zielgerichtet, technologisch ausgereifter und komplexer Neue Schwachstellen werden immer schneller ausgenutzt FIDES Treuhand GmbH & Co. KG Seite 3

31 2. Kernziele des Gesetzentwurfs Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland und eine Anpassung der gestiegenen Bedrohungslage erreicht werden: 1. Schutz der Bundesrepublik Deutschland vor dem Ausfall kritischer Infrastrukturen 2. Verbesserung der IT-Sicherheit bei Unternehmen 3. Schutz der Bürgerinnen und Bürger in einem sicheren Netz 4. Schutz der IT des Bundes FIDES Treuhand GmbH & Co. KG Seite 4

32 3. Kernänderungen des Gesetzentwurfs 1. Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme 2. Festlegung von Sicherheitsstandards 3. Informationspflichten der Telekommunikationsanbieter ihrer Kunden über Cyberangriffe und Mittel zu deren Behebung 4. Etablierung und Stärkung des Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde FIDES Treuhand GmbH & Co. KG Seite 5

33 4. Gesetzliche Änderungen Änderung und Erweiterung von 5 Gesetzen: 1. BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) 2. TMG (Telemediengesetz) 3. TKG (Telekommunikationsgesetz) 4. AWG (Außenwirtschaftsgesetz) 5. BKAG (Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten) FIDES Treuhand GmbH & Co. KG Seite 6

34 5. Änderungen im BSI-Gesetz (1) Wer ist betroffen? Gesetzliche Änderungen einschlägig für Betreiber kritischer Infrastrukturen Eine kritische Infrastruktur besteht, wenn durch Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten können: Wasser Ernährung Energie Gesundheit Finanz- und Versicherungswesen Informationstechnik und Telekommunikation Transport und Verkehr Genaue Festlegung betroffener Unternehmen erfolgt erst später durch Rechtsverordnung des BSI unter Einbeziehung diverser Ministerien, betroffener Betreiber und Wirtschaftsverbänden ( 10 BSIG) Dienstleister für Betreiber kritischer Infrastrukturen (mittelbar) FIDES Treuhand GmbH & Co. KG Seite 7

35 5. Änderungen im BSI-Gesetz (2) Aufgaben und Befugnisse des BSI BSI wird nationale Informationssicherheitsbehörde ( 1 BSIG) BSI kann gewonnene Erkenntnisse Dritten, insbesondere Betroffenen, zur Verfügung stellen BSI kann Betreiber kritischer Infrastrukturen auf Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen BSI wird zentrale Meldestelle für die Sicherheit der Informationstechnik für z. B. Schadprogramme, Sicherheitslücken, erfolgreiche und abgewehrte Angriffe sowie technische Defekte ( 8b BSIG) BSI kann sich unter Datenschutzgesichtspunkten bei Warnungen der (freiwilligen) Mitwirkung Dritter (z. B. Provider) bedienen BSI erhält Befugnis potentiell Gefährdete bzw. die Öffentlichkeit über bekannt gewordene Sicherheitslücken, Schadprogramme, Datendiebstähle etc. zu informieren ( 7 i. V. m. 8c BSIG) FIDES Treuhand GmbH & Co. KG Seite 8

36 5. Änderungen im BSI-Gesetz (3) Aufgaben und Befugnisse des BSI BSI darf IT-Produkte, Systeme und Dienste selbst oder durch Dritte untersuchen, um den Schutz vor Störungen zu gewährleisten und Erkenntnisse weitergeben und veröffentlichen ( 7a BSIG) BSI ist verpflichtet, dem Bundesministerium des Innern über Tätigkeiten zu berichten, auf Grundlage dessen wird jährlich ein IT-Sicherheitslagebericht veröffentlicht ( 13 BSIG) FIDES Treuhand GmbH & Co. KG Seite 9

37 5. Änderungen im BSI-Gesetz (4) Auswirkungen für Unternehmen Organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz vor IT-Ausfällen: Eigenverantwortliche Festlegung von angemessenen Mindeststandards für IT-Sicherheit, ggfs. auch branchenspezifisch ( 8a Abs. 1 BSIG) Standards müssen regelmäßig dem Stand der Technik angepasst werden Mindeststandards sollen in Sicherheits- und Notfallkonzepte einfließen, die durch die Betreiber umzusetzen sind Anforderungen lehnen sich an die Vorgaben für Telekommunikations- und Energieversorgern an Standards bedürfen der Anerkennung durch das BSI Betreiber müssen die Erfüllung der Sicherheitsstandards mindestens alle zwei Jahre nachweisen ( 8a Abs. 2 BSIG), hierzu müssen Audits durch nachweislich qualifizierte Prüfer durchgeführt, die Aufstellung der durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen sowie aufgedeckte Sicherheitsmängel dem BSI vorgelegt werden. FIDES Treuhand GmbH & Co. KG Seite 10

38 5. Änderungen im BSI-Gesetz (5) Auswirkungen für Unternehmen Unternehmen müssen eine ständig erreichbare Kontaktperson für das BSI benennen, Kontaktpersonen können auch mit mehreren Unternehmen gemeinsam eingerichtet werden ( 8b Abs. 3 BSIG) Verpflichtung zur Meldung von IT-Störungen an das BSI, um die Warnung weiterer potentiell Gefährdeter und Erstellung eines Lageberichts über die IT-Sicherheit in Deutschland zu ermöglichen ( 8b Abs. 4f. BSIG). Anonyme Meldung nur bei Gefährdung von Systemen, nicht bei Eintritt einer Störung Pflichten bestehen auch dann, wenn Unternehmen ihre IT durch Dienstleister betreiben lassen FIDES Treuhand GmbH & Co. KG Seite 11

39 5. Änderungen im BSI-Gesetz (6) Erforderliche Maßnahmen bei betroffenen Unternehmen Erarbeitung von Sicherheitsstandards Identifikation kritischer Cyber-Assets Vorkehrungen zur Angriffsprävention und -erkennung Implementierung eines Betriebskontinuitätsmanagements Durchführung und Dokumentation von Audits, Prüfungen und Zertifizierungen zum Nachweis ausreichender Schutzmaßnahmen durch eine fachkundige Person Festlegung einer Kontaktperson (ggf. externe Stelle zum Zwecke der Anonymisierung) Organisatorische und vertraglichen Regelungen, falls IT durch Dienstleister betrieben wird FIDES Treuhand GmbH & Co. KG Seite 12

40 6. Änderungen im Telemediengesetz (1) Wer ist betroffen? Telemediendienste (alle, nicht auf Betreiber kritische Infrastruktur beschränkt) z. B. Anbieter mit eigenen Inhalten (Contentprovider) und Anbieter, die fremde Informationen für Nutzer (Hostprovider) speichern FIDES Treuhand GmbH & Co. KG Seite 13

41 6. Änderungen im Telemediengesetz (2) Zusätzliche Probleme bei Telemedien Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Anbieterpflichten für Telemediendiensteanbieter um technische Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte ergänzt. Ein Zugriff von anderen als den hierzu Berechtigten ist zu verhindern, um Angreifern eine Kompromittierung des Systems unmöglich zu machen. Hiermit soll insbesondere einer der Hauptverbreitungswege von Schadsoftware, das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Webseite eingedämmt werden. Auch die Erledigung von Geschäften, die die Grundbedürfnisse der Menschen betreffen, wird zunehmend ins Netz verlagert. Da es hierbei häufig zur Verarbeitung teils auch sensibler personenbezogener Daten und zu finanziellen Transaktionen kommt, gewinnen sichere Authentifizierungsverfahren zunehmend an Bedeutung. FIDES Treuhand GmbH & Co. KG Seite 14

42 6. Änderungen im Telemediengesetz (3) Auswirkungen für Unternehmen Unternehmen müssen durch die erforderlichen technischen und organisatorischen Vorkehrungen sicherstellen, dass ein Zugriff auf die Telekommunikations- und Datenverarbeitungssysteme nur für Berechtigte möglich ist. Bei personalisierten Telemediendiensten ist den Nutzern die Anwendung eines sicheren und dem Schutzbedarf angemessenen Authentifizierungsverfahrens anzubieten. Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. FIDES Treuhand GmbH & Co. KG Seite 15

43 7. Kosten lt. Gesetzentwurf Für Betreiber: Laut Kostenschätzung des Gesetzentwurfs entstehen für die Wirtschaft keine Kosten für die Einrichtung, sofern bereits ausreichende Sicherheitsstandards und Meldewege etabliert sind Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen durch die Durchführung der vorgesehenen Sicherheitsaudits Für Verwaltung: Behördenübergreifend wird mit 275 neu zu schaffenden Stellen und zusätzlichen Personal- und Sachkosten in Höhe von EUR 25 Mio. gerechnet Für Bürgerinnen und Bürger: Keine zusätzlichen Kosten erwartet FIDES Treuhand GmbH & Co. KG Seite 16

44 8. Sanktionen und Strafen Im Telekommunikationsbereich Untersagung der Tätigkeit oder Abschaltung einzelner Einrichtungen auf Anordnung der Bundesnetzagentur möglich. Der Gesetzentwurf enthält im Übrigen keine Informationen über mögliche Ordnungsgelder oder Strafmaßnahmen bei Pflichtverletzungen. Denkbar sind Schadensersatzansprüche Dritter gegen das Unternehmen, der Gesellschafter gegen die Geschäftsführung sowie Wettbewerbsverstöße FIDES Treuhand GmbH & Co. KG Seite 17

45 Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Christian Heermeyer RA Fachanwalt für IT-Recht und Gewerblichen Rechtschutz Birkenstraße Bremen Tel. +49 (421) Fax +49 (421) FIDES Treuhand GmbH & Co. KG Seite 18

46 Cybercrime - Strategien zur Risikoerkennung und Abwehr Bremen, Stefan Decker FIDES IT Consultants

47 Vorstellung FIDES Gruppe IT-Strategie IT-Due Diligence IT-Projektmanagement IT-Infrastruktur IT-Sicherheit IT-Forensik Datenschutz Controlling Wirtschaftsprüfung IT-Audit Steuer- und Rechtsberatung Corporate Finance Rechnungs- und Personalwesen Insolvenzprüfungen Handelsrecht und Wirtschaftsrecht Gesellschaftsrecht IT-Vertragsrecht Unternehmensnachfolge Öffentliches Recht Stiftungs- und Gemeinnützigkeitsrecht FIDES IT Consultants 2

48 Was ist Cybercrime? (1) Cybercrime sind alle Straftaten, die unter Ausnutzung von Informations- und Kommunikationstechnik oder gegen diese begangen werden. Beispiele für Cybercrime: Computerbetrug Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Fälschung von Daten Datenveränderung, Computersabotage Ausspähen und Abfangen von Daten Phishing DDoS (Distributed Denial of Service)-Attacken Digitale Erpressung Delikte, bei denen die EDV zur Planung, Vorbereitung oder Ausführung eingesetzt wird Herstellen, Überlassen, Verbreiten, Verschaffen von Hacker- Tools (vgl. Bundeskriminalamt: Cybercrime Bundeslagebild 2012) enge Definition weite Definition FIDES IT Consultants 3

49 Was ist Cybercrime? (2) Ist die freiwillige (?) Weitergabe von Daten Cybercrime? Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, [ ] (Auszug aus den Nutzungsbedingungen der Apple icloud) FIDES IT Consultants 4

50 Ist Cybercrime ein Problem? Laut einer Studie des Ponemon Institute mit über befragten Personen in KMUs sehen 58 % Cyberkriminalität nicht als bedeutendes Risiko für ihr Unternehmen. geben 42 % an, in den letzten 12 Monaten Opfer einer Attacke gewesen zu sein. 33 % wissen nicht, ob sie Opfer einer Attacke geworden sind. Quelle: FIDES IT Consultants 5

51 Ausgewählte Bedrohungsszenarien Staatliche Akteure Wirtschaftsspionage Sabotage UNTERNEHMEN Kriminelle Hacker DDoS Website Defacing Kundendatendiebstahl Wettbewerber Wirtschaftsspionage Sabotage Kundendatendiebstahl Mitarbeiter Datendiebstahl Social Engineering Spear Phishing Viren, Malware, maliziöse Apps etc. FIDES IT Consultants 6

52 TOP 6 Sicherheitslücken Ungeschützter Betrieb eines öffentlichen Webservers im internen Netz Aus dem Internet erreichbarer Fernzugriff auf einen internen Rechner mit Electronic- Banking System mit schwacher Verschlüsselung und Trivialpasswörtern Leicht zu erratende Trivialpasswörter für hochprivilegierte Benutzer mit 7x24 Zugriffsmöglichkeiten aus dem Internet ohne adäquate Sperre bei Falscheingabe und ohne IT-Monitoring Überbrückung der eigentlich sicheren Firewall durch Server oder einzelne PC von Mitarbeitern, mit ungeschütztem lokalen Internetzugang Einsatz einer Firewall mit veraltetem und unsicherem Betriebssystem (Firmware) Direkter (VPN-)Zugriff von Smartphones und Tablets auf interne Mailsysteme FIDES IT Consultants 7

53 Firewall ein Praxisbeispiel FIDES IT Consultants 8

54 Bedrohungsanalyse Schritt 1 Welche Daten sind bedroht? Wer bedroht die Daten? Was ist die Bedrohung? Schritt 2 Wer hat Zugang zu den Daten und warum? Wie werden die Daten geschützt? Wie werden die technischen Komponenten geschützt? FIDES IT Consultants 9

55 Ausgewählte Maßnahmen zur Risikoabwehr 1. Technisch Firewalls Virenscanner Verschlüsselung 2. Organisatorisch Passwortkonventionen Berechtigungskonzepte Vorschriften zur Internetnutzung 3. Awareness Schulung von Organen und Mitarbeitern Regelmäßige Überwachung der Wirksamkeit der Maßnahmen Sicherheit ist kein Zustand, sondern ein Prozess. FIDES IT Consultants 10

56 Diskussion / Fragen?????? FIDES IT Consultants 11

57 Vielen Dank für Ihre Aufmerksamkeit Stefan Decker T M F Birkenstr. 37 Am Kaiserkai Bremen Hamburg FIDES IT Consultants

58 Penetration Testing Die Vorsorgeuntersuchung für Ihre IT-Sicherheit Bremen, Tim Kohnen

59 Agenda 1. Überblick zu Forensischen Leistungen 2. Was ist Penetration Testing? 3. Was erreicht Penetration Testing? 4. Wie funktioniert Penetration Testing? (Fallbeispiel) 5. Technische Stolpersteine FIDES IT Consultants 2

60 1. Überblick zu Forensischen Leistungen Forensische Leistungen 1. Sachverhaltsaufklärung a. Sicherstellung von Daten b. Analyse und Auswertung von Daten c. Beratung in Streitverfahren 2. Prävention wirtschaftskrimineller Handlungen a. Risikoregister und bewertung, Schutzbedarfsfeststellung b. Prüfung konzeptioneller IT-Sicherheit c. Data Loss Prevention d. Penetration Testing FIDES IT Consultants 3

61 2. Was ist Penetration Testing? - Eine Öffnung von IT-Systemen nach außen ist heute faktisch nicht mehr zu umgehen: - - Datenaustausch mit Kunden und Lieferanten (bspw. EDI) - Online-Shop - Mobile Devices (Smartphones) - Die Anbindung eines Unternehmensnetzwerks erfolgt in der Regel mindestens mittels einer Firewall, die das interne Netzwerk von eingehenden Verbindungen abschottet und auch ausgehende Datenverbindungen überwachen sollte. - Typischerweise sind jedoch Ausnahmen in der Firewall definiert, die den Zugriff auf interne Server oder Netzwerkgeräte (bspw. Webserver, Mailserver) sowie den Ausgang von Daten (bspw. ) erlauben. FIDES IT Consultants 4

62 2. Was ist Penetration Testing? - Prüfung der Sicherheit eines Netzwerks oder Systems - aus dem Internet - aus dem internen Netzwerk - über andere Zugangswege (Modems) mit den Mitteln eines Hackers - Aufdecken von unvollständigen, fehlerhaften oder veralteten Konfigurationen von Sicherheitskomponenten durch aktives Testen - Prüfung der Möglichkeiten über zwischenmenschliche Kontakte oder Aktivitäten technische Sicherungsvorkehrungen zu überbrücken (sog. Social Engineering ) - Verwendung von kommerziellen und frei verfügbaren sog. Hacking-Tools FIDES IT Consultants 5

63 3. Was erreicht Penetration Testing? - Aufdecken der Risikoexposition eines Unternehmens hinsichtlich elektronischem Vandalismus und Industriespionage durch - Identifikation von technischen und organisatorischen Schwachstellen - Aufdeckung von unvollständigen, fehlerhaften oder veralteten Einstellungen an Sicherheitskomponenten - Aufdeckung von tatsächlich vorhandenen Möglichkeiten, die für Einbrüche genutzt werden können oder bereits genutzt wurden - Sensibilisierung der Mitarbeiter für die sicherheitstechnische Auswirkung von Änderungen an IT-Systemen - Verbesserung des Sicherheitsniveaus nach Abstellung identifizierter Schwachstellen FIDES IT Consultants 6

64 4. Wie funktioniert Penetration Testing? - Ermittlung von technisch vorhandenen Einstiegsmöglichkeiten (sog. Port Scanning auf erreichbare, offene Netzwerkanschlüsse an Systemen des Unternehmens) - aus dem Internet - aus dem internen Netzwerk gegen zentrale Systeme Beispiel: Portscan auf zwei Systeme: Offene Ports und verwendete Serverprogramme werden (mit hoher Wahrscheinlichkeit) erkannt. Dies ermöglicht gezielt, (bekannte) Schwachstellen in verwendeter Software für einen Einbruchversuch zu nutzen. FIDES IT Consultants 7

65 4. Wie funktioniert Penetration Testing? Beispiel: Ergebnis Portscan Scan aus dem internen Netzwerk - Aus dem internen Netzwerk konnten zum Zeitpunkt des Scans erreichbare IP-Adressen in folgenden Netzen identifiziert werden: Netzwerk Anzahl erreichbarer Systeme / Adressen /24 1 Adresse / Adressen /24 50 Adressen /24 5 Adressen /24 46 Adressen FIDES IT Consultants 8

66 4. Wie funktioniert Penetration Testing? - Prüfung identifizierter Systeme auf vorhandene Schwachstellen (Vulnerability Scanner) Beispiel: Vulnerability Scan mit OpenVAS: Der Ergebnisreport weist die Schwere von Feststellungen bei erreichbaren Services aus. Ursache ist hier beispielsweise ein veralteter, unsicherer Softwarestand. FIDES IT Consultants 9

67 4. Wie funktioniert Penetration Testing? Beispiel: Schwachstellen Schwachstellenanalyse aus dem internen Netzwerk Netz IP s/hosts 1) Scan Ergebnis Hohes Risiko Scan Ergebnis Mittleres Risiko Scan Ergebnis Geringes Risiko / / / / / / Summe Scan Ergebnis Nur protokolliert 1) Anzahl IP s/hosts, die zum Zeitpunkt des Scans im Netz erreichbar waren. FIDES IT Consultants 10

68 4. Wie funktioniert Penetration Testing? Beispiel: Risikobewertung Ergebnisse mit potentiell hohem Risiko Anzahl IP s ID Kurzbeschreibung der Sicherheitslücke (in der zum Zeitpunkt des Scans eingesetzten Version/Konfiguration) SSH-Login mit Default-Passwort möglich ESXi-Version veraltet und angreifbar für DoS-Attacken ESXi-Version veraltet vcenter-version veraltet und angreifbar Unbekannter Port geöffnet, möglicherweise Trojaner NTP anfällig für DoS-Angriff Apache-Version veraltet libupnp veraltet Heartbleed-Bug Apache HTTPD anfällig für DoS-Angriff Windows-Update fehlt SNMP community name erratbar HTTP-Server erlaubt Trace and Track SOAP-Zugriff auf Oracle-DB-Server ist erlaubt ILO veraltet Relevanz FIDES IT Consultants 11