Cyber Security und Know-how Schutz rechtliche Grundlagen

Transkript

1 Cyber Security und Know-how Schutz rechtliche Grundlagen RA Jan Feuerhake, LL.M. (Melbourne) Sieb & Meyer AG, Lüneburg, 10. März 2015

2 Agenda 01 > Rechtlicher Schutz von Know-how 02 > IT-Systeme als Angriffsweg 03 > Definition IT-Sicherheit 04 > IT-Compliance als unternehmerische Pflicht 05 > Partnerunternehmen, Zulieferer 06 > Prävention bei den eigenen Mitarbeitern 07 > Implementierung von Betriebsrichtlinien 08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) 09 > Einrichtung eines IT-Risikomanagementsystems 10 > Sonderproblem: Mobile Device 11 > Sonderproblem: Social Media 12 > Rechtliche Reaktionsmöglichkeiten im Ernstfall 2

3 01 > Rechtlicher Schutz von Know-how >Vertraglich durch KnowHow-Schutzklausel oder Geheimhaltungsvereinbarung >Durch angemeldete Schutzrechte Produktpatente und Verfahrenspatente Gebrauchsmuster Marken und Designs Jährliche Kosten, länderspezifisch > Ohne Anmeldung Urheberrechtlicher Schutz (Entwürfe, Pläne, Software, Datenbanken) Wettbewerbsrecht Schutz von Betriebsund Geschäftsgeschäftsgeheimnissen 3

4 02 > IT-Systeme als Angriffsweg > Insolvenz eines Anbieters für Cloudhosting nach Erpressungsversuch Im Juni 2014 verschafften sich Täter Zugang zu einem Adminpaneldes britischen Unternehmens Code Spaces,dessen Kerngeschäft in der Bereitstellung von Cloudspeicher für Entwickler besteht. Nach einem erfolglosen Erpressungsversuch löschten die Angreifer wahllos Kundeninhalte aus der Cloud, für die kein Backup existierte. Zuvor hatte es ähnliche, erfolglose Erpressungsversuche nach DDoSAttacken auf die Anbieter Evernote und Feedly gegeben. > Phishing Mails an leitende Mitarbeiter eines Stahlwerks in Deutschland Mittels gefälschter s und einem maßgeschneiderten Vorwand (sog. Spear Phishing) konnten Angreifer in das Steuerungssystem eines Hochofens eindringen, so dass das Unternehmen die Kontrolle über den Hochofen verlor. Folge waren massive Schäden an der Anlage. BSI Lagebericht 2014, Punkt > Angriffe auf Steuerungssysteme europäischer Energieunternehmen Der Angriff im Juli 2014 erfolge in 2 Stufen: Zunächst griffen Täter die Hersteller von industrieller Steuerungssoftware an und infizierten Downloadpakete. So infizierten deren Kunden bei der Installation ihre Systeme mit Schadsoftware, so dass die Täter gezielt Daten über das Produktionsnetz sammeln konnten. 4

5 03 > Definition IT-Sicherheit Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen. ( 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) IT-Security Datenschutz > Verfügbarkeit: Schutz des Zugang zu Daten / IT-Systemen, > Unversehrtheit: Schutz vor inhaltlicher Manipulation, > Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme, > Zurechenbarkeit: Schutz vor gefälschter Identität / Herkunft, > Informationelle Selbstbestimmung: Schutz von personenbezogenen Daten, > Qualitätsprüfung: reglm. Überprüfung der sachgerechten Umsetzung der Sicherheitsmaßnahmen. > IT-Sicherheit bedeutet Schutz von Know-how 5

6 04 > IT-Compliance als unternehmerische Pflicht Corporate Compliance im System der Managementpflichten > Kein reiner Befehlsempfänger der Gesellschafter > Informiert sich und Gesellschafter über die rechtlichen Rahmenbedingungen > Informiert Gesellschafter hinsichtlich der (wirtschaftlichen/ rechtlichen) Auswirkungen von Weisungen Pflichten des Geschäftsführers / Vorstands > Achtet auf Einhaltung rechtlicher Bestimmungen und interner Regeln (Organisation/ Corporate Compliance) > Verfolgt Geschäftschancen der Gesellschaft > Achtet auf Profitabilität und Nachhaltigkeit 6

7 05 > Partnerunternehmen, Zulieferer > Vertraulichkeitsvereinbarungen Sensibilisierung für kritische Daten > Vereinbarung von Vertragsstrafen / pauschaliertem Schadensersatz Erspart spätere Rechts-und Gutachterkosten bei der Ermittlung von konkreten Schäden Wirkungsvolle Abschreckung > Kontrollrechte Hinreichende IT-Security Nachweis von Wettbewerbsverstößen nach dem UWG Bei Verfahrenspatenten ansonsten kaum Möglichkeit der Rechtsdurchsetzung 7

8 06 > Prävention bei den eigenen Mitarbeitern Vertraulichkeitsvereinbarungen Implementierung von Betriebsrichtlinien >Sensibilisierung der Mitarbeiter > Hinweis auf gesetzl. Haftung >Konkretisierung von Aufgaben & Pflichtenzum Datenschutz 8

9 07 > Implementierung von Betriebsrichtlinien Betriebsrichtlinien zur Festlegung der Nutzungserlaubnis: > Kategorisierung von Mitarbeitern Individualisierung der erforderlichen Zugriffsrechte > Kategorisierung von Daten zur Festlegung kritischer Datensätze Beschränkung auf Virtualisierung / Private Cloud bei kritischen Daten Richtlinien zur physischen Speicherung von sonstigen Daten auf Endgeräten > Gestattung bzw. Verbot der Privatnutzung Fernmeldegeheimnis / ggf. Standortdatenerhebung zu beachten Strikte Trennung zwischen privaten und betrieblichen Datensätzen Social Media 9

10 07 > Implementierung von Betriebsrichtlinien > Remote-Zugriffsrechte bei mobilen Endgeräten rechtlich absichern Trennung bei gestatteter Privatnutzung beachten Remote-Wipe bei Verlust > Regelung über Haftungsfragen Bei Datenverlust / Offenlegung von Daten ggü. Dritten Haftungsbeschränkung für Mitarbeiter (innerbetrieblicher Schadensausgleich) > Regelungen über Umgang mit Hardware Festlegung von Sorgfaltspflichten (Stereotypes Beispiel: Handy wird in Bar liegen gelassen) 10

11 08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) >Datenschutzrechtliche Absicherung von Outsourcing bei personenbezogenen Daten, Anforderungen des 11 BDSG >Beispiel: Nutzung externer IT-Ressourcen wie Cloud Computing, SaaS, Datenhosting / Servermiete Daten oft gemischt technologie- und personenbezogen 1. Gesetzliche Anforderungen zum Schutz von personenbez. Daten 2. Gefahr des Fremdzugriffs auf sensible technische Daten, Know-how >Lösung: Verträge zur ADV vor Beginn der Datenverarbeitung können auch technische Aspekte mitregeln Einhaltung der gesetzlichen Pflichten als Unternehmer Vermeidung von Haftungsrisiken Grundlage für eventuelle spätere Schadensersatzansprüche 11

12 09 > Einrichtung eines IT-Risikomanagementsystems Bestandsaufnahme > Wo wird IT eingesetzt? > Welche IT wird eingesetzt? > Risikoanalyse Risikomanagementsystem > Festlegung der zu ergreifenden Sicherheitsmaßnahmen > Berücksichtigung der wichtigen operativen Risiken > Technische Maßnahmen > Organisatorische Maßnahmen > Berücksichtigung IT-immanenter rechtlicher Risiken Lizenzmanagement Datenschutz Outsourcing > Sorgfalts- und Leistungsnachweis, somit Reduzierung des Haftungsrisikos durch ISO Zertifizierung möglich 12

13 10 > Sonderproblem: Mobile Device > Erhöhtes Sicherheitsrisiko durch leichteren Zugriff unbefugter Dritter > Dadurch erhöhte Anforderungen an zu ergreifende Sicherheitsmaßnahmen Verschlüsselung, Zugangssperren (Passwörter usw.) Remote-Zugriff, Remote-Wipe Virtualisierungstechnologie / Private Cloud zur Minimierung der auf den Endgeräten gespeicherten Daten Trusted Computing Modules usw. > Outsourcing von Push- oder Cloud-Diensten Zumeist Auftragsdatenverarbeitung gemäß 11 BDSG 11 Abs. 2 Satz 4 BDSG: Auftraggeber muss sich über Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer vergewissern Angemessenes Schutzniveau bei Drittlandsübermittlungen zu beachten 13

14 11 > Sonderproblem: Social Media > Gefahr: Verletzung von Betriebs- und Geschäftsgeheimnissen Beispiel Twitter Vorabinformation über offiziellen Twitter- Account Beispiel Facebook/Youtube Bilder/Videos mit internen Betriebsabläufen oder sonstigen, geheimen oder geschützten Gegenständen/Prozessen 14

15 12 > Reaktion / Schadensbegrenzung im Ernstfall > Gewerblicher Rechtsschutz / Vorgehen gegen Konkurrenten Nachträgliche Patentanmeldung Unterlassungsansprüche Faktisch begrenzte Möglichkeit der Rechtsdurchsetzung im Ausland Bei Hackerangriffen: Patentschutz ist länderbezogen und damit teuer und nur unter hohem Aufwand flächendeckend möglich, wenn Herkunftsland nicht bekannt (oft aus Asien) > Regress bei Verschulden von Mitarbeitern IdRrechtlich nicht erfolgversprechend, da reduzierter Haftungsmaßstab: in Fällen externer Täuschung (Phishing usw.) evtl. nur leichte Fahrlässigkeit (innerbetr. Schadensausgleich) Wirtschaftlich oft sinnlos, da hohe Beträge 15

16 Vielen Dank für Ihre Aufmerksamkeit. Jan Feuerhake, LL.M. (Melbourne) Rechtsanwalt, Hamburg Kontakt T: +49 (0) E: Taylor Wessing Hanseatic Trade Center Am Sandtorkai Hamburg 16

17 Unsere Standorte Beijing * Unit 2307&08, West Tower, Twin Towers B-12 Jianguomenwai Avenue Chaoyang District Beijing T. +86 (10) Berlin Ebertstraße Berlin T. +49 (0) Bratislava TaylorWessing e n w c Panenská Bratislava T. +421(0) Brünn * TaylorWessing e n w c Dominikánské námĕstí 4/ Brünn T Brüssel Trône House 4 Rue du Trône 1000 Brüssel T. +32 (0) Budapest TaylorWessing e n w c Dorottya u. 1. III. em Budapest T. +36 (0) Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0) Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box Dubai, United Arab Emirates T (0) Düsseldorf Benrather Straße Düsseldorf T. +49 (0) Frankfurt Senckenberganlage Frankfurt a.m. T. +49 (0) Hamburg Hanseatic Trade Center Am Sandtorkai Hamburg T. +49 (0) Jakarta RHTLaw Taylor Wessing LLP Wisma 46 Kota BNI, 32nd & 41st Floor. Jl. Jend. Sudirman Kav. 1. Jakarta T. +62 (0) Kiew TaylorWessing e n w c Illinsky Business Center vul. Illinska Kiew T. +38 (0) Klagenfurt * TaylorWessing e n w c Alter Platz Klagenfurt T. +43 (0) London 5 New Street Square London EC4A 3TW T. +44 (0) München Isartorplatz München T. +49 (0) Paris 42 avenue Montaigne Paris T. +33 (0) Prag TaylorWessing e n w c U Prasné brány 1 CZ Prag 1 T Shanghai * Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai T. +86 (0) Singapur RHTLaw Taylor Wessing LLP Six Battery Road #09-01, #10-01 Singapur T Wien TaylorWessing e n w c Schwarzenbergplatz Wien T. +43 (0) Warschau TaylorWessing e n w c ul. Mokotowska Warschau T. +48 (0) * Repräsentanzen 17