Rechtliche Rahmenbedingungen für IT-Sicherheit H e l m h o l t z Re s e a rc h S c h o o l o n S e c u r i t y Te c h n o l o g i e s, Fo c u s - S e m i n a r 1 8. Fe b r u a r 2 0 1 6
Prof. Dr. Georg Borges Inhaber des Lehrstuhls für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie, Universität des Saarlandes Geschäftsführender Direktor, Institut für Rechtsinformatik, Universität des Saarlandes Richter am Oberlandesgericht Hamm a.d. Sprecher des Vorstands, Arbeitsgruppe Identitätsschutz im Internet (a-i3) Mitglied des Vorstands, EDV-Gerichtstag e.v. Mitglied des Verwaltungsrats, Stiftung Datenschutz Mitglied des Center for IT-Security, Privacy and Accountability (CISPA) Mitglied des Hörst-Görtz-Instituts für IT-Sicherheit (HGI) 2
Das Institut für Rechtsinformatik Struktur 3 juristische Lehrstühle der Rechts- und Wirtschaftswissenschaftlichen Fakultät juris-stiftungsprofessur für Rechtsinformatik Kooperation mit Uni Luxemburg (Prof. Cole) Themenfelder IT-Recht ejustice, egovernment Datenschutz IT-Sicherheit Rechtsinformatik Informationen: www.rechtsinformatik.saarland 3
Gliederung I. Ziele der Regulierung von IT-Sicherheit II. Formulierung normativer Anforderungen III. Durchsetzung von Sicherheitsanforderungen IV. Überlegungen de lege ferenda V. Fazit 4
I. Ziele der Regulierung von IT-Sicherheit 5
I. Ziele der Regulierung von IT-Sicherheit Warum Haftung? Schadensausgleich Anreiz zur Normbefolgung Verhaltenssteuerung durch Haftung Norm (Anforderung an Verhalten) Sanktion (Haftung) bei normwidrigem Verhalten Gegenstand des Vortrags: Regulierung von IT-Sicherheit 6
I. Ziele der Regulierung von IT-Sicherheit IT-Sicherheit Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nichttechnischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Wikipedia Problem: Unklarheit über Zielsetzung und Faktoren der IT-Sicherheit 7
I. Ziele der Regulierung von IT-Sicherheit Herausforderungen für IT-Sicherheit 8
I. Ziele der Regulierung von IT-Sicherheit Herausforderungen für IT-Sicherheit 9
I. Ziele der Regulierung von IT-Sicherheit Herausforderungen für IT-Sicherheit Identitätsdiebstahl DDoS-Angriffe Hacking Spionage Cyberterrorismus Cyberwar 10
I. Ziele der Regulierung von IT-Sicherheit IT-Sicherheit und Regulierung Aufgaben der Regulierung Identifizierung von Faktoren für Gewährleistung / Bedrohung von IT-Sicherheit Adressierung der Faktoren durch rechtliche Normen Beispiele für Faktoren: Abwehr von Eingriffen durch technische Sicherheitsmaßnahmen Erkennung von Angriffen Verbote von Angriffen 11
I. Ziele der Regulierung von IT-Sicherheit IT-Sicherheit und Regulierung Problem: Geringe Kenntnis über geeignete Regulierung Geringe Kenntnis über Beeinflussung der Faktoren durch Normen Geringe Kenntnis des Zusammenwirkens der Maßnahmen 12
I. Ziele der Regulierung von IT-Sicherheit Mittel der Technik-Regulierung Rechtsprechung Normsetzung, Auslegung allgemeiner Grundsätze Gesetzgebung Regelung von Verhaltensanforderungen (DeliktsR, StrafR) Standard Normierung technischer Regulierung BSI-Grundschutz ISO-Normen, DIN-Normen 13
I. Ziele der Regulierung von IT-Sicherheit Mittel der Technik-Regulierung Behördliche Kontrolle Normsetzung durch Verwaltungsakt Parteiautonomie / Vertrag Vertragliche Normen zu technischen Anforderungen Beispiel: VOB/B Kodex / Selbstverpflichtung Zertifizierung Prüfung und Bestätigung des Vorliegens technischer Eigenschaften 14
I. Ziele der Regulierung von IT-Sicherheit Elemente der IT-Sicherheits-Regulierung Formulierung materieller Normen Verhaltensanforderungen Technische Normen Durchsetzung der Normen 15
Gliederung I. Ziele der Regulierung von IT-Sicherheit II. Formulierung normativer Anforderungen III. Durchsetzung von Sicherheitsanforderungen IV. Überlegungen de lege ferenda V. Fazit 16
II. Formulierung normativer Anforderungen Gesetzgebung Verhaltensanforderungen Technische Anforderungen Beispiel: Authentisierung an Websites 2-Faktor-Authentisierung? / Fehlerzähler? Transportverschlüsselung Schlüssellänge Verschlüsselungsverfahren Tim Reckmann / pixelio.de 17
II. Formulierung normativer Anforderungen Gesetzgebung IT-SicherheitsG Kritis ( Rat der 500-2000 ) [www.kritis.bund.de] Generalklausel, 8a I 1 BSI-G Branchenstandards, 8a II BSI-G Rest der Welt 13 VII TMG 18
II. Formulierung normativer Anforderungen Gesetzgebung 9 BDSG Rechtsprechung Datenschutzaufsicht 823 I BGB Rechtsprechung Vertragsrecht (z.b. 675m BGB) Rechtsprechung 19
II. Formulierung normativer Anforderungen Gesetzgebung Branchenspezifische Gesetzgebung i.d.r. Generalklausel häufig: Aufsicht Konkretisierungsbefugnisse für Aufsicht 20
II. Formulierung normativer Anforderungen Rechtsprechung Verhaltensanforderungen Beispiel: Informationspflichten im Vertragsverhältnis Technische Anforderungen Kaum Gerichtsentscheidungen LG Hamburg, 18.7.2001, 401 O 63/00 Haftung für Virus bei Verwendung alter Version des Virenscanners 21
II. Formulierung normativer Anforderungen Rechtsprechung Probleme der IT-Regulierung durch Rechtsprechung Fehlen von Gerichtsentscheidungen wo kein Kläger, da kein Richter Hohe Kosten von Gerichtsverfahren zur IT-Sicherheit Beschränkung auf Zivilprozess Zeitdauer durch Rechtsprechung 6-7 Jahre zwischen Sachverhalt und BGH-Entscheidung 22
II. Formulierung normativer Anforderungen Behördliche Aufsicht Branchenspezifische Aufsicht besteht für zahlreiche Branchen Beispiel: Online Banking BaFin EBA (PSD II) Fachspezifische Aufsicht Beispiel: IT-Sicherheit im Datenschutz, 9 BDSG 23
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Aufgaben des BSI 3 Abs. 1 BSI-Gesetz Aufgaben des Bundesamtes Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: 1. Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes; 2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrung ihrer Sicherheitsinteressen erforderlich ist; 3. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik (IT- Sicherheitsprodukte), soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben; 24
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Aufgaben des BSI 3 Abs. 1 BSI-Gesetz Aufgaben des Bundesamtes Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: 4. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit; 5. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten; 6. Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit von informationstechnischen Systemen und Komponenten mit technischen Richtlinien des Bundesamtes; 25
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Aufgaben des BSI 3 Abs. 1 BSI-Gesetz Aufgaben des Bundesamtes Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: 7. Prüfung, Bewertung und Zulassung von informationstechnischen Systemen oder Komponenten, die für die Verarbeitung oder Übertragung amtlich geheim gehaltener Informationen nach 4 des Sicherheitsüberprüfungsgesetzes im Bereich des Bundes oder bei Unternehmen im Rahmen von Aufträgen des Bundes eingesetzt werden sollen; 8. Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für informationssichernde Systeme des Bundes, die im Bereich des staatlichen Geheimschutzes oder auf Anforderung der betroffenen Behörde auch in anderen Bereichen eingesetzt werden; 26
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Aufgaben des BSI 3 Abs. 1 BSI-Gesetz Aufgaben des Bundesamtes Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: 9. Unterstützung und Beratung bei organisatorischen und technischen Sicherheitsmaßnahmen sowie Durchführung von technischen Prüfungen zum Schutz amtlich geheim gehaltener Informationen nach 4 des Sicherheitsüberprüfungsgesetzes gegen die Kenntnisnahme durch Unbefugte; 10. Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und an die Eignung von Auftragnehmern im Bereich von Informationstechnik mit besonderem Schutzbedarf; 11. Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes; 27
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Aufgaben des BSI 3 Abs. 1 BSI-Gesetz Aufgaben des Bundesamtes Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu nimmt es folgende Aufgaben wahr: 12. Unterstützung der für Sicherheit in der Informationstechnik zuständigen Stellen des Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies gilt vorrangig für den Bundesbeauftragten für den Datenschutz, dessen Unterstützung im Rahmen der Unabhängigkeit erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach dem Bundesdatenschutzgesetz zusteht; 13. [ ] 14. Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen; 15. [ ] 28
II. Formulierung normativer Anforderungen Behördliche Aufsicht IT-Sicherheitsregulierung durch das BSI Fazit Keine allgemeine Überwachung der IT-Sicherheit Keine Eingriffsbefugnis Keine Befugnis zur Setzung verbindlicher Normen 29
II. Formulierung normativer Anforderungen Behördliche Aufsicht Beispiel: IT-Sicherheits-Regulierung durch Datenschutzaufsicht Ausgangspunkt: Aufsicht mit starken Befugnissen seit 1991 Befund: Kein messbarer Regulierungseffekt Wenige Gerichtsverfahren (keine veröffentlichten Urteile) Wenige Verwaltungsakte zu IT-Sicherheit Relativ wenige Verfahren zu IT-Sicherheit 30
II. Formulierung normativer Anforderungen Standards Zahlreiche Standards mit Bezug zur IT-Sicherheit BSI-Grundschutz ISO 270xy Probleme Unklarheit der rechtlichen Bedeutung insbesondere: keine rechtliche Bindung Durchsetzung Kein Durchsetzungsmechanismus 31
II. Formulierung normativer Anforderungen Fazit Unklarheit materieller Sicherheitsanforderungen de lege lata Keine gesetzliche Konkretisierung Keine Konkretisierung durch Rechtsprechung Unklarheit der Bedeutung von Standards Lösung: Bindung normativer Anforderungen an Standards Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. ( 8a II 1 BSI-G) 32
Gliederung I. Ziele der Regulierung von IT-Sicherheit II. Formulierung normativer Anforderungen III. Durchsetzung von Sicherheitsanforderungen IV. Überlegungen de lege ferenda V. Fazit 33
III. Durchsetzung von Sicherheitsanforderungen Durchsetzungsmechanismen für IT-Sicherheit Markt Anreiz durch drohenden Reputationsverlust Wettbewerbsvorteil durch Sicherheitsgewinn Haftung Durchsetzung durch Private (Geschädigte) Durchsetzung durch Zivilprozess Aufsicht Durchsetzung durch staatliche Stelle Durchsetzung durch staatliche Zwangsmittel 34
III. Durchsetzung von Sicherheitsanforderungen Faktoren effektiver Normdurchsetzung durch Haftung These Effektive Normdurchsetzung durch Haftung bedarf gut feststellbarer Haftungsvoraussetzungen. Klare materielle Voraussetzungen Gute Nachweisbarkeit im Zivilprozess 35
III. Durchsetzung von Sicherheitsanforderungen Nachweisbarkeit der Haftungsvoraussetzungen im Zivilprozess Pflichtverletzung ( Verschulden ) häufig schwierig Kausalität häufig schwierig Schaden zum Teil schwierig 36
Gliederung I. Grundlagen II. Formulierung normativer Anforderungen III. Durchsetzung von Sicherheitsanforderungen IV. Überlegungen de lege ferenda V. Fazit 37
IV. Überlegungen de lege ferenda Brauchen wir ein Software-Haftungsgesetz? These Gesetzgeberische Maßnahmen sind notwendig, da Steuerung durch zivilrechtliche Haftung bei Schäden durch Software de lege lata nicht hinreichend wirksam ist. 38
IV. Überlegungen de lege ferenda Gefährdungshaftung vs. Verschuldenshaftung Relevanz: Steuerung des Aktivitätsniveaus durch Gefährdungshaftung 39
IV. Überlegungen de lege ferenda Konkretisierung technischer Anforderungen These Notwendigkeit klarer Verknüpfung technischer Standards und rechtlicher Pflicht. 40
IV. Überlegungen de lege ferenda Feststellung von Pflichtverstößen Feststellung von Pflichtverstößen Frage: Notwendigkeit gesetzlicher Beweiserleichterungen? Beweislastumkehr? Anscheinsbeweisähnliche Regelung? These Mindesterfordernis sind Darlegungslasten des IT-Anbieters. 41
IV. Überlegungen de lege ferenda Kausalitätsnachweis These Beweiserleichterungen sind notwendig, mindestens im Sinne eines Anscheinsbeweises. 42
Gliederung I. Ziele der Regulierung von IT-Sicherheit II. Formulierung normativer Anforderungen III. Durchsetzung von Sicherheitsanforderungen IV. Überlegungen de lege ferenda V. Fazit 43
V. Fazit Regulierung der IT-Sicherheit bedarf der Fortentwicklung Haftung ist im Grundsatz der bestgeeignete Regulierungsansatz IT-Sicherheitsregulierung durch Haftung ist de lege lata unzureichend Notwendigkeit interdisziplinärer Forschung Notwendigkeit gesetzlicher Maßnahmen 44
Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Georg Borges georg.borges@uni-saarland.de it-recht.uni-saarland.de www.rechtsinformatik.saarland 45