Cyber Security und Know-how Schutz rechtliche Grundlagen RA Jan Feuerhake, LL.M. (Melbourne) Sieb & Meyer AG, Lüneburg, 10. März 2015
Agenda 01 > Rechtlicher Schutz von Know-how 02 > IT-Systeme als Angriffsweg 03 > Definition IT-Sicherheit 04 > IT-Compliance als unternehmerische Pflicht 05 > Partnerunternehmen, Zulieferer 06 > Prävention bei den eigenen Mitarbeitern 07 > Implementierung von Betriebsrichtlinien 08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) 09 > Einrichtung eines IT-Risikomanagementsystems 10 > Sonderproblem: Mobile Device 11 > Sonderproblem: Social Media 12 > Rechtliche Reaktionsmöglichkeiten im Ernstfall 2
01 > Rechtlicher Schutz von Know-how >Vertraglich durch KnowHow-Schutzklausel oder Geheimhaltungsvereinbarung >Durch angemeldete Schutzrechte Produktpatente und Verfahrenspatente Gebrauchsmuster Marken und Designs Jährliche Kosten, länderspezifisch > Ohne Anmeldung Urheberrechtlicher Schutz (Entwürfe, Pläne, Software, Datenbanken) Wettbewerbsrecht Schutz von Betriebsund Geschäftsgeschäftsgeheimnissen 3
02 > IT-Systeme als Angriffsweg > Insolvenz eines Anbieters für Cloudhosting nach Erpressungsversuch Im Juni 2014 verschafften sich Täter Zugang zu einem Adminpaneldes britischen Unternehmens Code Spaces,dessen Kerngeschäft in der Bereitstellung von Cloudspeicher für Entwickler besteht. Nach einem erfolglosen Erpressungsversuch löschten die Angreifer wahllos Kundeninhalte aus der Cloud, für die kein Backup existierte. Zuvor hatte es ähnliche, erfolglose Erpressungsversuche nach DDoSAttacken auf die Anbieter Evernote und Feedly gegeben. www.theregister.co.uk/2014/06/18/code_spaces_destroyed/ > Phishing Mails an leitende Mitarbeiter eines Stahlwerks in Deutschland Mittels gefälschter Emails und einem maßgeschneiderten Vorwand (sog. Spear Phishing) konnten Angreifer in das Steuerungssystem eines Hochofens eindringen, so dass das Unternehmen die Kontrolle über den Hochofen verlor. Folge waren massive Schäden an der Anlage. BSI Lagebericht 2014, Punkt 3.3.1 > Angriffe auf Steuerungssysteme europäischer Energieunternehmen Der Angriff im Juli 2014 erfolge in 2 Stufen: Zunächst griffen Täter die Hersteller von industrieller Steuerungssoftware an und infizierten Downloadpakete. So infizierten deren Kunden bei der Installation ihre Systeme mit Schadsoftware, so dass die Täter gezielt Daten über das Produktionsnetz sammeln konnten. http://www.welt.de/wirtschaft/article129674310/hacker-infizieren-schaltzentralen-der-stromnetze.html 4
03 > Definition IT-Sicherheit Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen. ( 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) IT-Security Datenschutz > Verfügbarkeit: Schutz des Zugang zu Daten / IT-Systemen, > Unversehrtheit: Schutz vor inhaltlicher Manipulation, > Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme, > Zurechenbarkeit: Schutz vor gefälschter Identität / Herkunft, > Informationelle Selbstbestimmung: Schutz von personenbezogenen Daten, > Qualitätsprüfung: reglm. Überprüfung der sachgerechten Umsetzung der Sicherheitsmaßnahmen. > IT-Sicherheit bedeutet Schutz von Know-how 5
04 > IT-Compliance als unternehmerische Pflicht Corporate Compliance im System der Managementpflichten > Kein reiner Befehlsempfänger der Gesellschafter > Informiert sich und Gesellschafter über die rechtlichen Rahmenbedingungen > Informiert Gesellschafter hinsichtlich der (wirtschaftlichen/ rechtlichen) Auswirkungen von Weisungen Pflichten des Geschäftsführers / Vorstands > Achtet auf Einhaltung rechtlicher Bestimmungen und interner Regeln (Organisation/ Corporate Compliance) > Verfolgt Geschäftschancen der Gesellschaft > Achtet auf Profitabilität und Nachhaltigkeit 6
05 > Partnerunternehmen, Zulieferer > Vertraulichkeitsvereinbarungen Sensibilisierung für kritische Daten > Vereinbarung von Vertragsstrafen / pauschaliertem Schadensersatz Erspart spätere Rechts-und Gutachterkosten bei der Ermittlung von konkreten Schäden Wirkungsvolle Abschreckung > Kontrollrechte Hinreichende IT-Security Nachweis von Wettbewerbsverstößen nach dem UWG Bei Verfahrenspatenten ansonsten kaum Möglichkeit der Rechtsdurchsetzung 7
06 > Prävention bei den eigenen Mitarbeitern Vertraulichkeitsvereinbarungen Implementierung von Betriebsrichtlinien >Sensibilisierung der Mitarbeiter > Hinweis auf gesetzl. Haftung >Konkretisierung von Aufgaben & Pflichtenzum Datenschutz 8
07 > Implementierung von Betriebsrichtlinien Betriebsrichtlinien zur Festlegung der Nutzungserlaubnis: > Kategorisierung von Mitarbeitern Individualisierung der erforderlichen Zugriffsrechte > Kategorisierung von Daten zur Festlegung kritischer Datensätze Beschränkung auf Virtualisierung / Private Cloud bei kritischen Daten Richtlinien zur physischen Speicherung von sonstigen Daten auf Endgeräten > Gestattung bzw. Verbot der Privatnutzung Fernmeldegeheimnis / ggf. Standortdatenerhebung zu beachten Strikte Trennung zwischen privaten und betrieblichen Datensätzen Social Media 9
07 > Implementierung von Betriebsrichtlinien > Remote-Zugriffsrechte bei mobilen Endgeräten rechtlich absichern Trennung bei gestatteter Privatnutzung beachten Remote-Wipe bei Verlust > Regelung über Haftungsfragen Bei Datenverlust / Offenlegung von Daten ggü. Dritten Haftungsbeschränkung für Mitarbeiter (innerbetrieblicher Schadensausgleich) > Regelungen über Umgang mit Hardware Festlegung von Sorgfaltspflichten (Stereotypes Beispiel: Handy wird in Bar liegen gelassen) 10
08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) >Datenschutzrechtliche Absicherung von Outsourcing bei personenbezogenen Daten, Anforderungen des 11 BDSG >Beispiel: Nutzung externer IT-Ressourcen wie Cloud Computing, SaaS, Datenhosting / Servermiete Daten oft gemischt technologie- und personenbezogen 1. Gesetzliche Anforderungen zum Schutz von personenbez. Daten 2. Gefahr des Fremdzugriffs auf sensible technische Daten, Know-how >Lösung: Verträge zur ADV vor Beginn der Datenverarbeitung können auch technische Aspekte mitregeln Einhaltung der gesetzlichen Pflichten als Unternehmer Vermeidung von Haftungsrisiken Grundlage für eventuelle spätere Schadensersatzansprüche 11
09 > Einrichtung eines IT-Risikomanagementsystems Bestandsaufnahme > Wo wird IT eingesetzt? > Welche IT wird eingesetzt? > Risikoanalyse Risikomanagementsystem > Festlegung der zu ergreifenden Sicherheitsmaßnahmen > Berücksichtigung der wichtigen operativen Risiken > Technische Maßnahmen > Organisatorische Maßnahmen > Berücksichtigung IT-immanenter rechtlicher Risiken Lizenzmanagement Datenschutz Outsourcing > Sorgfalts- und Leistungsnachweis, somit Reduzierung des Haftungsrisikos durch ISO 27001 Zertifizierung möglich 12
10 > Sonderproblem: Mobile Device > Erhöhtes Sicherheitsrisiko durch leichteren Zugriff unbefugter Dritter > Dadurch erhöhte Anforderungen an zu ergreifende Sicherheitsmaßnahmen Verschlüsselung, Zugangssperren (Passwörter usw.) Remote-Zugriff, Remote-Wipe Virtualisierungstechnologie / Private Cloud zur Minimierung der auf den Endgeräten gespeicherten Daten Trusted Computing Modules usw. > Outsourcing von Push- oder Cloud-Diensten Zumeist Auftragsdatenverarbeitung gemäß 11 BDSG 11 Abs. 2 Satz 4 BDSG: Auftraggeber muss sich über Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer vergewissern Angemessenes Schutzniveau bei Drittlandsübermittlungen zu beachten 13
11 > Sonderproblem: Social Media > Gefahr: Verletzung von Betriebs- und Geschäftsgeheimnissen Beispiel Twitter Vorabinformation über offiziellen Twitter- Account Beispiel Facebook/Youtube Bilder/Videos mit internen Betriebsabläufen oder sonstigen, geheimen oder geschützten Gegenständen/Prozessen 14
12 > Reaktion / Schadensbegrenzung im Ernstfall > Gewerblicher Rechtsschutz / Vorgehen gegen Konkurrenten Nachträgliche Patentanmeldung Unterlassungsansprüche Faktisch begrenzte Möglichkeit der Rechtsdurchsetzung im Ausland Bei Hackerangriffen: Patentschutz ist länderbezogen und damit teuer und nur unter hohem Aufwand flächendeckend möglich, wenn Herkunftsland nicht bekannt (oft aus Asien) > Regress bei Verschulden von Mitarbeitern IdRrechtlich nicht erfolgversprechend, da reduzierter Haftungsmaßstab: in Fällen externer Täuschung (Phishing usw.) evtl. nur leichte Fahrlässigkeit (innerbetr. Schadensausgleich) Wirtschaftlich oft sinnlos, da hohe Beträge 15
Vielen Dank für Ihre Aufmerksamkeit. Jan Feuerhake, LL.M. (Melbourne) Rechtsanwalt, Hamburg Kontakt T: +49 (0)40 368030 E: j.feuerhake@taylorwessing.com Taylor Wessing Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg www.taylorwessing.com 16
Unsere Standorte Beijing * Unit 2307&08, West Tower, Twin Towers B-12 Jianguomenwai Avenue Chaoyang District Beijing 100022 T. +86 (10)6567 5886 Berlin Ebertstraße 15 10117 Berlin T. +49 (0)30 88 56 36 0 Bratislava TaylorWessing e n w c Panenská 6 81103 Bratislava T. +421(0)2 5263 2804 Brünn * TaylorWessing e n w c Dominikánské námĕstí 4/5 602 00 Brünn T. +420 543 420 401 Brüssel Trône House 4 Rue du Trône 1000 Brüssel T. +32 (0)2 289 6060 Budapest TaylorWessing e n w c Dorottya u. 1. III. em. 1051 Budapest T. +36 (0)1 327 04 07 Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0)1223 446400 Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box 33675 Dubai, United Arab Emirates T. +971 (0)4 309 1000 Düsseldorf Benrather Straße 15 40213 Düsseldorf T. +49 (0)211 83 87 0 Frankfurt Senckenberganlage 20-22 60325 Frankfurt a.m. T. +49 (0)69 971 30 0 Hamburg Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg T. +49 (0)4 0 36 80 30 Jakarta RHTLaw Taylor Wessing LLP Wisma 46 Kota BNI, 32nd & 41st Floor. Jl. Jend. Sudirman Kav. 1. Jakarta 10220 T. +62 (0) 21 5701837 Kiew TaylorWessing e n w c Illinsky Business Center vul. Illinska 8 04070 Kiew T. +38 (0)44 369 32 44 Klagenfurt * TaylorWessing e n w c Alter Platz 1 9020 Klagenfurt T. +43 (0)463 51 52 27 London 5 New Street Square London EC4A 3TW T. +44 (0)20 7300 7000 München Isartorplatz 8 80331 München T. +49 (0)89 2 10 38 0 Paris 42 avenue Montaigne 75008 Paris T. +33 (0)1 72 74 03 33 Prag TaylorWessing e n w c U Prasné brány 1 CZ-110 00 Prag 1 T. +420 224 81 92 16 Shanghai * Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai 200040 T. +86 (0)21 6247 7247 Singapur RHTLaw Taylor Wessing LLP Six Battery Road #09-01, #10-01 Singapur 049909 T. +65 6381 6868 Wien TaylorWessing e n w c Schwarzenbergplatz 7 1030 Wien T. +43 (0)1 716 55 Warschau TaylorWessing e n w c ul. Mokotowska 1 00-640 Warschau T. +48 (0)22 584 97 40 * Repräsentanzen 17