10.08.2012 Cybersicherheit und Wirtschaftsschutz im Unternehmen - Kommentierte Linksammlung Vom effektiven Informationsschutzmanagement bis zur Abwehr von Cyber-Angriffen / Von Martin T. Ondrejka Neben Produktpiraterie bedrohen immer öfter Cyberangriffe den deutschen Mittelstand und richten Schäden in Milliardenhöhe an. Wichtige rechtliche Grundlagen, praxisgerechte Leitfäden und Kontaktstellen zum Thema Cybersicherheit für Unternehmen enthält diese kommentierte Zusammenstellung. Der Bereich Recht der Germany Trade and Invest hat die wichtigsten rechtlichen Grundlagen zum Thema Cybersicherheit wie auch IT-Sicherheit sowie die im Artikel Spione aus dem Orbit" in markets 4/2012 (Seiten 48-49) genannten Leitfäden mitsamt Kontaktstellen und sonstigen wichtigen Quellen getreu dem Motto Hilfe zur Selbsthilfe" für KMU für Sie zusammengestellt und kommentiert. Folgende Punkte werden dabei beleuchtet: Cybersicherheit - Wichtige Rechtsgrundlagen Cybersicherheit - Informationsquellen und Hilfestellungen für Unternehmen......auf Bundesebene...auf europäischer Ebene Sonstige Informationsquellen zum Thema IT-Sicherheit und Cybersicherheit für KMU. Cybersicherheit - Wichtige Rechtsgrundlagen: Budapester Konvention Europaratsübereinkommen Nr. 185 über Computerkriminalität Convention on Cybercrime", unterzeichnet in Budapest am 23.11.2001, in Kraft getreten am 1.7.2004 (in Deutschland: 1.7.2009) Mitgliedstaaten: 33, in 14 weiteren Staaten bereits unterzeichnet aber noch nicht in Kraft u.a. in Österreich, Belgien, Tschechien, Polen, Spanien oder der Türkei. Inhalt: Erster völkerrechtlicher Vertrag zu Straftaten, die über das Internet oder über sonstige Computernetzwerke begangen werden; enthält Regelungen zu Urheberrechtsschutz, Computerbetrug und Verletzungen von IT-Sicherheit. Vertragstext und weitere Informationen zur Budapester Konvention 1 www.gtai.de
EU-Kommission Rechtsgrundlagen zur IT-Sicherheit und zur Cybersicherheit in der EU: Mitteilung der Kommission vom 30.3.2009 (KOM(2009) 149 endgültig) über den Schutz kritischer Informationsinfrastrukturen Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität". Vorschlag der Kommission vom 30.9.2012 (KOM(2010) 517 endgültig ) für eine Richtlinie über Angriffe auf Informationssysteme und zur Aufhebung des Rahmenbeschlusses 2005/222/JI des Rates Rechtsgrundlage für das Europäische Cybercrime - Zentrum (European Cybercrime Centre - EC3): Mitteilung der Kommission vom 28.3.2012 (COM(2012) 140 final) Kriminalitätsbekämpfung im digitalen Zeitalter: Errichtung eines Europäischen Zentrums zur Bekämpfung der Cyberkriminalität". Rechtsgrundlagen zur IT-Sicherheit und zur Cybersicherheit in der Bundesrepublik Deutschland: Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), BGBl. 2009 Teil I Nr. 54, in Kraft seit 20.8.2009. Cyber-Sicherheitsstrategie für Deutschland (deutsch und englisch ). Sicherheit in der Informationstechnik (Bundeministerium des Innern). IT-Sicherheitsrecht (SAP Pocketseminar) abrufbar unter DsiN.de unter Materialien für Unternehmen (unten) u.a. zu folgenden Themen: - Was hat IT-Sicherheit mit Recht zu tun? - Rechtliche und wirtschaftliche Grundlagen der IT-Sicherheit - Gesetzliche Vorgaben und vertragliche Vereinbarungen zur IT-Sicherheit - Typische Haftungsszenarien der IT-Sicherheit - Private Internetnutzung im Betrieb - Arbeitsrechtliche Aspekte - Die große Checkliste - Haftungsvermeidung - Der IT-SIcherheitsbeauftragte Cybersicherheit - Informationsquellen und Hilfestellungen für Unternehmen - Hilfe zur Selbsthilfe auf Bundesebene: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der zentrale IT-Sicherheitsdienstleister des Bundes und für die IT-Sicherheit in Deutschland verantwortlich. Das BSI wendet sich an Nutzer und Hersteller 2 www.gtai.de
von Informationstechnik, in erster Linie öffentliche Verwaltungen in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender. BSI- Themenschwerpunkt zur Cyber-Sicherheit mit folgenden Inhalten: - Strategie & Aktivitäten - Gefährdungslage - BSI-Analysen zur Cyber-Sicherheit - BSI-Empfehlungen zur Cyber-Sicherheit - BSI-Standards zur Internet-Sicherheit (ISi-Reihe) - Themen der Cyber-Sicherheit - Register aktueller Cyber-Gefährdungen und -Angriffsformen Veröffentlichung aus der Reihe "BSI-Analysen zur Cyber-Sicherheit", mit der das Bundesamt für Sicherheit in der Informationstechnik professionelle IT-Anwender über Gefährdungen aus dem Cyber-Raum aufklärt. BSI Einschätzungen sowie Register zu aktuell besonders bedrohlichen und relevanten Gefährdungen. Auszug: Top 6 der aktuellen Cyber-Angriffsformen (Stand August 2012): - Gezieltes Hacking von Webservern mit dem Ziel der Platzierung von Schadsoftware oder zur Vorbereitung der Spionage in angeschlossenen Netzen oder Datenbanken - Drive-by-Exploits zur breitflächigen Infiltration von Rechnern mit Schadsoftware beim Surfen mit dem Ziel der Übernahme der Kontrolle des betroffenen Rechners - Gezielte Malware-Infiltration über E-Mail und mithilfe von Social Engineering mit dem Ziel der Übernahme der Kontrolle über den betroffenen Rechner und anschließender Spionage - Distributed Denial of Service-Angriff mittels Botnetzen mit dem Ziel der Störung der Erreichbarkeit von Webservern oder der Funktionsfähigkeit der Netzanbindung der betroffenen Institution - Ungezielte Verteilung von Schadsoftware mittels SPAM oder Drive-by-Exploits mit Fokus auf Identitätsdiebstahl - Mehrstufige Angriffe, bei denen z.b. zunächst zentrale Sicherheitsinfrastrukturen (wie TLS/SSL-Zertifizierungsstellen) kompromittiert werden, um dann in weiteren Schritten die eigentlichen Ziele anzugreifen Industrial Control System Security - Top 10 Bedrohungen: "...Unter dem Titel "Industrial Control System Security - Top 10 Bedrohungen" informiert das BSI über die kritischsten Sicherheitsrisiken für Automatisierungs-, Prozesssteuerungs- und -leitsysteme (ICS)...". Das BSI bietet auch außerhalb der Cyber-SIcherheits-Thematik wertvolle Hinweise für kleine und mittlere Unternehmen (KMU), wie etwa das Merkblatt PRODUKTKONFIGURATION PCs unter Microsoft Windows für kleine Unternehmen und Selbstständige" oder auch die Schwachstellenampel". BSI- Schwachstellenampel - Produktsicherheit auf einen Blick 3 www.gtai.de
Die Schwachstellenampel ist ein Indikator, der die aktuelle Sicherheitslage in Bezug auf Sicherheitslücken in gängigen Softwareprodukten verdeutlicht. IT-Sicherheitsnavigator (BMWi): Unterstützt von der Task-Force IT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Technologie führt der IT-Sicherheitsnavigator Unternehmer durch Themen wie E-Commerce oder Datenschutz und Datensicherheit, beleuchtet neuere Fragestellungen im Zusammenhang mit sozialen Netzwerken, mobilem Arbeiten oder Cloud Computing und nennt wichtige Kontaktstellen. Allianz für Cyber-Sicherheit:...Die Allianz für Cyber-Sicherheit ist eine gemeinsame Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM). Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, aktuelle und valide Informationen flächendeckend bereitzustellen..." (Start des Pilotbetriebs am 30.05.2012). Initiative Deutschland sicher im Netz" (DsiN.de) biete für Unternehmen u.a. Informationen zu: - DsiN-Sicherheitscheck - IT-Sicherheitslage im Mittelstand 2012 - Starthilfe Sicherheit - Steuerberater / Wirtschaftsprüfer - Task Force "IT-Sicherheit in der Wirtschaft" - Wirtschaftsspionage - Zertifikate & Verschlüsselung Bürger-CERT (Computer Emergency Response Team), ein Angebot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen (kostenfrei und neutral). Bundesamt für Verfassungsschutz (BfV), Informationsangebot zum Thema Wirtschaftsspionage: Bedrohungspotenzial für die Unternehmen", u.a. Newsletter und Faltblätter zu folgenden Schwerpunkten: - Besuchermanagement-Umgang mit Besuchern und Fremdpersonal - Wirtschaftsspionage durch Diebstahl und Einbruchdiebstahl - Geschäftsreisen-Schützen Sie Ihr Know-how! - Personalauswahl-Sicherheitsaspekt im Unternehmen - Verfassungsschutz - Ihr Ansprechpartner für Wirtschaftsschutz - Sicherheitslücke Mensch - Der Innentäter als größte Bedrohung für die Unternehmen - Elektronische Attacken auf Informations- und Kommunikationstechnik - Schrankenlose Offenheit - 'soziale Netzwerke' im Web - Sicherheit im Know-how-Transfer - Wissenschaftsspionage - Gefahren für Forschung und Lehre 4 www.gtai.de
Die Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.v. (ASW) ist eine Zentralorganisation der Wirtschaft in Sicherheitsfragen. Auf der ASW-Webseite finden sich für Unternehmer aktuelle Meldungen, Studien und Veranstaltungshinweise. Bundeskriminalamt, Lagebilder Cybercrime (zuletzt 2010). Cybersicherheit - Informationsquellen und Hilfestellungen für Unternehmen - Hilfe zur Selbsthilfe auf europäischer und internationaler Ebene Europarat (Council of Europe): Unter dem Arbeitstitel Octopus finden regelmäßig Konferenzen zur Cybersicherheit statt. Ziel ist dabei eine Bündelung internationaler Erkenntnisse, Rechtsressourcen und Kooperationen im Kampf gegen Cybercrime. In der 2012-er Ausgabe der Octopus-Konferenz von Anfang Juni fanden sich 280 Cybercrime-Experten aus rund 80 Staaten zusammen, um u.a. über diese Punkte zu beraten: Cybercrime Bedrohungen und Trends Umsetzung der Budapester Konvention gegen Computerkriminalität Rechtsregelungen und -initiativen internationaler Organisationen und des Privatsektors. weiterer Schwerpunkt: grenzüberschreitender Datenzugriff, etwa im Zusammenhang mit Datenverarbeitungsdienstleistungen des Cloud-Computing. Europarat, Materialien zur Octopus Konferenz 2012 sowie Kurzzusammenfassung der Tagungsergebnisse (englisch). Europäische Union: ENISA (European Network and Information Security Agency), Verzeichnis der digitalen Feuerwehren" europaweit (CERTs in Europe map, v.2.7) sowie für Unternehmen relevante Leitfäden zum Beispiel zu: Datensicherheit bei KMU Beschaffung von Cloud-Computing Dienstleistungen sozialen Netzwerken oder Abwehr von Cyber-Angriffen. Europäische Kommission, Generaldirektion Inneres, Themenseite zur Cyber-Sicherheit (englisch). 5 www.gtai.de
Machbarkeitsstudie zu einem Europäischen Cybercrime - Zentrum (Feasibility study for a European Cybercrime Centre, auf Englisch). Europäisches Parlament, Bericht vom 16.5.2012 des Ausschusses für Industrie, Forschung und Energie über den Schutz kritischer Informationsinfrastrukturen - Ergebnisse und nächste Schritte: der Weg zur globalen Netzsicherheit (2011/2284(INI), Berichterstatter: Ivailo Kalfin). Europäisches Parlament, Pressemitteilung der EPP vom 27.3.2012 zur Forderung nach einer verschärften Strafbarkeit von Cybercrime-Delikten (auf Englisch). Europäisches Cybercrime - Zentrum (European Cybercrime Centre - EC3) bei Europol Polizeiamt (EU-Agentur)., dem Europäischen Zukunft des Cybercrime, Kooperation mit der International Cyber Security Protection Alliance (ICSPA), Pressemeldung des EC 3 vom 19.7.2012. Internationale Perspektive der Cybersicherheit: Internationales Bündnis zum Schutz der Cyber-Sicherheit - International Cyber Security Protection Alliance (ICSPA) eine globale not-for-profit Organisation zur Bündelung von Mitteln und Expertise auf dem Gebiet der Cyber-Sicherheit zur Unterstützung von nationalen und internationalen Cybercrime-Bekämpfungseinheiten (auf Englisch). Norton Cybercrime Report 2011, Studie zur Cybersicherheit einer der weltweit größten Softwarefirmen aus den USA, ermittelte einen volkswirtschaftlichen Schaden durch Computerkriminalität von weltweit geschätzten 388 Milliarden Euro pro Jahr (auf Englisch). Cybersicherheit - Informationsquellen und Hilfestellungen für Unternehmen - Sonstige Informationsquellen zum Thema IT-Sicherheit und Cybersicherheit für KMU IT-Sicherheitsrecht für kleine und mittlere Unternehmen (SAP Pocketseminar DsiN.de unter Materialien für Unternehmen., 2. Aufl.), abrufbar unter Bundesamt für Sicherheit in der Informationstechnik (BSI): Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen :...Das Bewusstsein für Themen der IT-Sicherheit ist demnach [ der BSI-Studie] bei den Verantwortlichen in deutschen KMU vorhanden. Auch in technischer Hinsicht sind viele Unternehmen gegen die Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen..." Wirtschafts- und Industriespionage - Handbuch Know-How-Schutz für die österreichische Wirtschaft. Corporate Trust, Studie Industriespionage 2012 - Aktuelle Risiken für die Deutsche Wirtschaft durch Cyberwar :...Die Studie Industriespionage 2012 zeigt deutlich die Veränderungen zur Erhebung aus der Studie 2007. Die finanziellen Schäden sind um 50 Prozent angestiegen und der Cyberwar ist mittlerweile zu einer realen Bedrohung für die deutsche Wirtschaft geworden..." 6 www.gtai.de
Zu guter Letzt: "Wichtiger Ausgangspunkt aller effektiven Schutz- und Abwehrmaßnahmen ist gegenseitiges Vertrauen ebenso wie ein möglichst umfassendes Lagebild. Um dies erstellen zu können, appellieren wir an betroffene Unternehmen, uns IT-Sicherheitsvorfälle zu melden." Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Schlüssel zu einem besseren Schutz gegen Cyber-Angriffe, Pressemitteilung des BSI vom 31.5.2012 Alle Rechte vorbehalten. Nachdruck auch teilweise nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt. 2017 Germany Trade & Invest Gefördert vom Bundesministerium für Wirtschaft und Energie aufgrund eines Beschlusses des Deutschen Bundestages. 7 www.gtai.de