Pressekonferenz Internet-Sicherheit 2012

Transkript

1 Pressekonferenz Internet-Sicherheit 2012 eco Verband der deutschen Internetwirtschaft e.v. Internet Security Days, , Brühl

2 Die Themen Trends bei Schadprogrammen und Spam, Anti-Botnet-Beratungszentrum - Kampf gegen Internetkriminalität Initiative S Sicherheit und Schutz für den Webauftritt von kleinen und mittelständischen Unternehmen Viren, Würmer, Trojaner und Co. Wie leicht Unternehmer in die Haftungsfalle geraten können

3 Trends bei Schadprogrammen Thorsten Kraft Senior Technical Project Manager eco Verband der deutschen Internetwirtschaft e.v.

4 Trends bei Schadprogrammen Schadprogramme immer spezifischer auf ihre Opfer und Verwendungszwecke zugeschnitten, z. B. Social Engineering 2011 gab es 403 Millionen Varianten von Malware (2010 waren es 286 Millionen. Quelle: Symantec) 2,6 % aller deutschen Webseiten sind infiziert, Befall wird stärker (IFIS) 80% aller Infektionen geschehen über Websites (IFIS)

5 Spamtrends Anteil von Spam an s 100% 80% 60% 40% 20% 0% ca. 85% aller s sind Spam Phishing: hauptsächlich Bankdaten 2011: eine von 299 s Phishingattacke (2010: eine von 442 s. Quelle: Symantec) BGP Hijacking: Dritte fangen IP- Adressen ab und verschicken über diese Spam

6 Was ist das Anti-Botnet- Beratungszentrum? Projektaufbau März 2010, operativer Projektstart 15. September 2010 Projektförderung durch BMI/BSI bis Ende 2011 DE-Cleaner werden bereitgestellt von Norton by Symantec, Kaspersky und Avira

7 Ziele und Service des Anti- Botnet-Beratungszentrums Informieren Säubern Vorbeugen Nutzer beim Thema Internetsicherheit unterstützen Botnetze verkleinern: Infizierte Rechner von Schadprogrammen befreien in Kooperation mit Internet- Zugangsanbietern und Anti-Viren- Software-Herstellern telefonischer Support beim Entfernen von Malware

8 Zusätzliche Angebote Anti-Botnet-Beratungszentrum reagiert schnell auf aktuelle Bedrohungen dnschanger.eu bka-trojaner.de Browser-Check Blog informiert regelmäßig Expertentipps im Forum

9 Statistik Webseitenzugriffe botfrei.de: Besucher blog.botfrei.de (seit ): Besucher forum.botfrei.de (seit ) Besucher und Beiträge Downloads & Aktivierungen DE- Cleaner : über 35 % der gescannten Systeme infiziert

10 Initiative S Sicherheit und Schutz für den Webauftritt von kleinen und mittelständischen Unternehmen Markus Schaffrin Geschäftsbereichsleiter Mitglieder Services eco Verband der deutschen Internetwirtschaft e.v.

11 Trends bei Schadprogrammen neuer Service von eco gefördert vom BMWi im Rahmen der Task Force IT-Sicherheit in der Wirtschaft Kleine und mittelständische Unternehmen können testen, ob auf ihren Webseiten Schadcode ausgeliefert wird

12 Warum ist ein Webseitencheck notwendig? Deutschland belegt 5. Platz im internationalen Vergleich der Länder, von denen schädliche Onlineaktivitäten ausgehen (Quelle: Symantec) 50 % aller Hackangriffe richten sich gegen KMU (schlechter geschützt als große Konzerne) Webseiten seriöser Unternehmen werden benutzt, um Schadsoftware zu verbreiten IT- Sicherheitsniveau von KMU verbessern

13 Warum ist ein Webseitencheck notwendig? 2,6 % aller Webseiten sind in Deutschland infiziert (Quelle: IFIS) Trend: Wird stärker, 80 % aller Infektionen geschehen über Webseiten

14 Wie funktioniert der Webseitencheck? Unternehmen geben auf der Initiative S-Website ihre Domain ein und lassen diese direkt auf Schadcode auf ihrer Website testen Verifizierung der eingegebenen Adresse per und Vergabe einer Ticket-Nr. für KMU System meldet Schadcode/Befall mit Schadprogramm, falls diese auftreten

15

16 Benachrichtigungs- an Unternehmen

17 Wir lassen KMU nicht alleine Wer weitere Hilfe braucht, bekommt telefonische Unterstützung der Experten regelmäßige Erinnerung, wenn Schadcode nach 48 Stunden nicht beseitigt ist, und gleichzeitig Information an Host-Provider regelmäßige Überprüfung der Unternehmens-Domain seitens eco

18 Funktionsschema der Initiative S

19 Viren, Würmer, Trojaner und Co. Wie leicht Unternehmer in die Haftungsfalle geraten können RA Christian Solmecke Partner der Kanzlei Wilde Beuger Solmecke, Köln

20 Welche Schäden können durch Schadsoftware entstehen? Fremdschäden Hardwareschäden ( Eigentumsverletzung) Veränderung oder Löschung von Daten des Empfängers BGH (NJW 1993, 2436, 2437 f.): Daten = Sachen, wenn sie auf Datenträgern gespeichert sind Eigentumsverletzung

21 Welche Schäden können durch Schadsoftware entstehen? Fremdschäden Preisgabe gespeicherter personenbezogener Daten, insbesondere bei Hacking Angriffen und Trojanischen Pferden (z.b. Adressen von Kunden, Kreditkartendaten, Handynummern ) Verletzung des allgemeinen Persönlichkeitsrechts

22 Welche Schäden können durch Schadsoftware entstehen? Eigenschäden Verlust oder Beschädigung eigener Daten Schaden: personeller, sachlicher und finanzieller Aufwand zur Wiederherstellung Regressansprüche wegen Fremdschäden gegenüber Vertragspartnern gegenüber Dritten Imageschaden, Vertrauensverlust

23 Wer haftet für diese Schäden? Versender oder Empfänger? Problem: Versender verschickt Schadsoftware unbemerkt, daher: keine strafrechtliche Verantwortlichkeit kein vorsätzliche deliktische Handlung aber: Haftung wegen Verletzung einer Verkehrssicherungspflicht (aus 823 Abs. 1 BGB) möglich

24 Wer haftet für diese Schäden? Warum habe ich als Unternehmer eine Verkehrssicherungspflicht (VSP)? 1. Grund: Wer eine Gefahrenquelle (=infizierter PC/Netzwerk) beherrscht, muss Schäden Dritter vermeiden 2. Grund: Schaffung einer besonderen Gefahrenlage wer Webseiten anbietet, muss Gefahr des Virenbefalls einkalkulieren Umfang der VSP? BGH: es müssen alle wirtschaftlich zumutbaren Maßnahmen getroffen werden, die geeignet sind, Gefahren von anderen abzuwenden

25 Konkret: Was muss ich tun, um meine Verkehrssicherungsplicht zu erfüllen? Einrichtung eines Virenschutzprogramms laufende Aktualisierung des Virenschutzes (mindestens wöchentlich, am besten jedoch fortlaufende Online-Updates) Haftung entfällt nur dann, wenn Virus noch nicht bekannt ist und das Programm ihn deshalb nicht erkennen kann

26 Konkret: Was muss ich tun, um meine Verkehrssicherungsplicht zu erfüllen? Einrichtung einer Firewall Internes IT-Risikomanagement EDV Abteilung technisch und organisatorisch immer up to date halten! Ggf. externe EDV Fachbetriebe in Anspruch nehmen Verhaltensrichtlinien für Arbeitnehmer aufstellen (Security Policies) Mitarbeiter schulen

27 Handlungspflichten nach anderen Gesetzen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG): Unternehmen sind verpflichtet, für eine sichere IT-Infrastruktur zu sorgen fehlt es hieran, können Vorstände und Geschäftsführer haftbar gemacht werden

28 Handlungspflichten nach anderen Gesetzen 9 Bundesdatenschutzgesetz (BDSG) ivm Nr. 3, 4 der Anl.: Unternehmen müssen verhindern, dass personenbezogene Daten verändert, gelöscht, ausgespäht oder weitergeleitet werden Verletzung dieser Pflicht Schadensersatzanspruch ( 7 BDSG) Haftungsfalle: Verschulden des Unternehmers wird vermutet!

29 Kann ich meine Haftung ausschließen? Haftungsausschluss in s oder Impressum wirksam? Nur, wenn bereits vertragliche Beziehung zu Empfänger besteht (z.b. Kunde oder Geschäftspartner) die Haftungsfreizeichnung sich ausdrücklich auch auf deliktische Ansprüche erstreckt lediglich die Haftung für leicht fahrlässig verursachte Sachschäden ausgeschlossen wird

30 Kann ich meine Haftung ausschließen? Fazit: kompletter Haftungsausschluss ist nicht möglich, nur eine (geringfügige) Haftungsreduzierung

31 Kann ich meine Haftung auf Dritte abwälzen? auf den Arbeitnehmer, der z.b. einen verdächtigen Anhang ungeprüft weitergesendet hat? nein, da der Arbeitgeber wegen Organisationsverschulden haftet auf den Mailserver-Betreiber (Provider), weil dieser keine ordnungsgemäße Virenprüfung vorgenommen hat? nur unter sehr engen Voraussetzungen: Provider ordnungsgemäß ausgewählt klare Absprache über Einrichtung und Aktualisierung von Virenschutz ständige Überwachung der Einhaltung dieser Pflichten Fazit: i.d.r. keine Haftungsübertragung möglich

32 Gegenüber wem hafte ich? Versender von Schadsoftware b2c b2b Privatperson (z.b. Kunde) Unternehmer (z.b. Geschäftspartner) H.M.: gegenüber beiden, da die Schäden gerade im Unternehmensbereich besonders hoch sein können Aber: der Empfänger muss sich ggf. ein Mitverschulden anrechnen lassen, wenn er selbst kein geeignetes Virenschutzprogramm verwendet hat

33 Fazit Hohes Haftungsrisiko kaum Möglichkeiten der Haftungsreduzierung Optimaler Schutz gegen Schadsoftware erforderlich!

34 Ich danke für Ihre Aufmerksamkeit! RA Christian Solmecke, LL.M solmecke@wbs-law.de RA Christian Solmecke, LL.M.

35 Bildnachweise K.-U. Häßler Fotolia Daniel Ernst - Fotolia Victoria - Fotolia Kitty - Fotolia arahan - Fotolia mkrberlin - Fotolia Ray - Fotolia kmit - Fotolia treenabeena copyright 2005 samantha grandy ioannis kounadeas - Fotolia ioannis kounadeas - Fotolia treenabeena - Fotolia onlinebewerbung.de - Fotolia Stefan Rajewski - Fotolia weissdesign - Fotolia K.-U. Häßler - Fotolia Nerlich Images - Fotolia M&S Fotodesign - Fotolia M&S Fotodesign - Fotolia Pixel - Fotolia m.schuckart - Fotolia Spencer - Fotolia

36 Vielen Dank! Fragen? eco Verband der deutschen Internetwirtschaft e.v. Lichtsstr. 43h Köln Pressekontakt: 0221/