Cyber Security und Know-how Schutz rechtliche Grundlagen



Ähnliche Dokumente
Aktuelle politische und rechtliche Entwicklungen im Mietrecht. Dr. Adrian Birnbach LL.M. (Stellenbosch) München,

Rechtsraum Cyber - welche rechtlichen Grundlagen müssen Unternehmen beachten?

Internationalisierung von Start-Ups. Dr. Tobias Schelinski 9. Oktober 2012

Was läuft beim LEP NRW?

Baurechtschaffung vs. Gentrifizierung. Dr. Tanja Brunner München,

Nachbarrechtsbehelfe gegen großflächige Einzelhandelsbetriebe

TW Insurance Day Management von Cyber-Risiken

(Planungs-)Rechtliche Anforderungen an Refurbishment-Projekte im Einzelhandel

Forum Real Estate Energetisches Bauen und Revitalisierung von Bestandsimmobilien

Bauplanungsrechtliche Einzelhandelssteuerung

Forum Real Estate Investment in Spezialimmobilien

Praxistest LEP

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Verkaufsoffene Sonntage in NRW

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Die Enterprise Mobility-Strategie Mobile Endgeräte rechts- und datenschutzkonform einsetzen

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Der Schutz von Patientendaten

Cloud Computing Security

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Über den Wolken? Ausgewählte rechtliche Fallstricke und Lösungsansätze des Cloud Computing

Produkt- und Patienteninformationen via Apps Probleme des Datenschutzes, Werbe- und Medizinprodukterechts

Ausgewählte Rechtsfragen der IT-Security

eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Andrea Hermanni. Köln, 11. Juni 2015

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Cloud Computing - und Datenschutz

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Rechtliche Aspekte der IT-Security.

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Das Rechtliche beim Risikomanagement

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Cloud Computing und Datenschutz

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

BSI Technische Richtlinie

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Rechtliche Absicherung von Administratoren

Das Rechtliche beim Risikomanagement

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Die anstehende Reform des AÜG

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Datenverarbeitung im Auftrag

Unsichere Produkte und die rechtlichen Konsequenzen

Aktuelle Herausforderungen im Datenschutz

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

Öffentliche IT im Wandel

ITIL & IT-Sicherheit. Michael Storz CN8

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Datenschutz-Management

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

BYOD Bring Your Own Device

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Die Europäische Grundrechtscharta - Fallstricke und Chancen für das deutsche Arbeitsrecht

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

IT-Security. Existentielle Bedrohungslage und Gegenstrategien für den Mittelstand

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

IT-Recht. GSK. Der Unterschied.

1. bvh-datenschutztag 2013

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Aktuelle Herausforderungen in der Immobilienbewertung

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

IT Sicherheit und Datenschutz Mittelstandsgerechte Lösungen

Gewährleistung und SoftwaremieteVortrag im Rahmen der Veranstaltung IT-Recht - Grundlagen für Informatiker

BYOD & Arbeitsrecht. IT Law Camp 2013 Oliver Zöll Bird & Bird LLP Frankfurt, 20. April 2013

Sicherheitsaspekte der kommunalen Arbeit

Rechtssicher in die Cloud so geht s!

Externe Datensicherung in der Cloud - Chance oder Risiko?

IT-Compliance, IT-Sicherheit und Datenschutz

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

D i e n s t e D r i t t e r a u f We b s i t e s

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

Cloud Computing für den Mittelstand rechtliche Risiken erkennen und vermeiden

Social Media Monitoring Rechtliche Fallstricke und Lösungsansätze

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutz der große Bruder der IT-Sicherheit

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

IT-Trend-Befragung Xing Community IT Connection

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

Sicheres Mobile Device Management. Christian Rückert, Business Development Manager Netlution GmbH

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Tag des Datenschutzes

Deutscher Städtetag 29. Forum Kommunikation und Netze,

Transkript:

Cyber Security und Know-how Schutz rechtliche Grundlagen RA Jan Feuerhake, LL.M. (Melbourne) Sieb & Meyer AG, Lüneburg, 10. März 2015

Agenda 01 > Rechtlicher Schutz von Know-how 02 > IT-Systeme als Angriffsweg 03 > Definition IT-Sicherheit 04 > IT-Compliance als unternehmerische Pflicht 05 > Partnerunternehmen, Zulieferer 06 > Prävention bei den eigenen Mitarbeitern 07 > Implementierung von Betriebsrichtlinien 08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) 09 > Einrichtung eines IT-Risikomanagementsystems 10 > Sonderproblem: Mobile Device 11 > Sonderproblem: Social Media 12 > Rechtliche Reaktionsmöglichkeiten im Ernstfall 2

01 > Rechtlicher Schutz von Know-how >Vertraglich durch KnowHow-Schutzklausel oder Geheimhaltungsvereinbarung >Durch angemeldete Schutzrechte Produktpatente und Verfahrenspatente Gebrauchsmuster Marken und Designs Jährliche Kosten, länderspezifisch > Ohne Anmeldung Urheberrechtlicher Schutz (Entwürfe, Pläne, Software, Datenbanken) Wettbewerbsrecht Schutz von Betriebsund Geschäftsgeschäftsgeheimnissen 3

02 > IT-Systeme als Angriffsweg > Insolvenz eines Anbieters für Cloudhosting nach Erpressungsversuch Im Juni 2014 verschafften sich Täter Zugang zu einem Adminpaneldes britischen Unternehmens Code Spaces,dessen Kerngeschäft in der Bereitstellung von Cloudspeicher für Entwickler besteht. Nach einem erfolglosen Erpressungsversuch löschten die Angreifer wahllos Kundeninhalte aus der Cloud, für die kein Backup existierte. Zuvor hatte es ähnliche, erfolglose Erpressungsversuche nach DDoSAttacken auf die Anbieter Evernote und Feedly gegeben. www.theregister.co.uk/2014/06/18/code_spaces_destroyed/ > Phishing Mails an leitende Mitarbeiter eines Stahlwerks in Deutschland Mittels gefälschter Emails und einem maßgeschneiderten Vorwand (sog. Spear Phishing) konnten Angreifer in das Steuerungssystem eines Hochofens eindringen, so dass das Unternehmen die Kontrolle über den Hochofen verlor. Folge waren massive Schäden an der Anlage. BSI Lagebericht 2014, Punkt 3.3.1 > Angriffe auf Steuerungssysteme europäischer Energieunternehmen Der Angriff im Juli 2014 erfolge in 2 Stufen: Zunächst griffen Täter die Hersteller von industrieller Steuerungssoftware an und infizierten Downloadpakete. So infizierten deren Kunden bei der Installation ihre Systeme mit Schadsoftware, so dass die Täter gezielt Daten über das Produktionsnetz sammeln konnten. http://www.welt.de/wirtschaft/article129674310/hacker-infizieren-schaltzentralen-der-stromnetze.html 4

03 > Definition IT-Sicherheit Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponenten oder Prozessen oder 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen. ( 2 Abs. 2 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) IT-Security Datenschutz > Verfügbarkeit: Schutz des Zugang zu Daten / IT-Systemen, > Unversehrtheit: Schutz vor inhaltlicher Manipulation, > Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme, > Zurechenbarkeit: Schutz vor gefälschter Identität / Herkunft, > Informationelle Selbstbestimmung: Schutz von personenbezogenen Daten, > Qualitätsprüfung: reglm. Überprüfung der sachgerechten Umsetzung der Sicherheitsmaßnahmen. > IT-Sicherheit bedeutet Schutz von Know-how 5

04 > IT-Compliance als unternehmerische Pflicht Corporate Compliance im System der Managementpflichten > Kein reiner Befehlsempfänger der Gesellschafter > Informiert sich und Gesellschafter über die rechtlichen Rahmenbedingungen > Informiert Gesellschafter hinsichtlich der (wirtschaftlichen/ rechtlichen) Auswirkungen von Weisungen Pflichten des Geschäftsführers / Vorstands > Achtet auf Einhaltung rechtlicher Bestimmungen und interner Regeln (Organisation/ Corporate Compliance) > Verfolgt Geschäftschancen der Gesellschaft > Achtet auf Profitabilität und Nachhaltigkeit 6

05 > Partnerunternehmen, Zulieferer > Vertraulichkeitsvereinbarungen Sensibilisierung für kritische Daten > Vereinbarung von Vertragsstrafen / pauschaliertem Schadensersatz Erspart spätere Rechts-und Gutachterkosten bei der Ermittlung von konkreten Schäden Wirkungsvolle Abschreckung > Kontrollrechte Hinreichende IT-Security Nachweis von Wettbewerbsverstößen nach dem UWG Bei Verfahrenspatenten ansonsten kaum Möglichkeit der Rechtsdurchsetzung 7

06 > Prävention bei den eigenen Mitarbeitern Vertraulichkeitsvereinbarungen Implementierung von Betriebsrichtlinien >Sensibilisierung der Mitarbeiter > Hinweis auf gesetzl. Haftung >Konkretisierung von Aufgaben & Pflichtenzum Datenschutz 8

07 > Implementierung von Betriebsrichtlinien Betriebsrichtlinien zur Festlegung der Nutzungserlaubnis: > Kategorisierung von Mitarbeitern Individualisierung der erforderlichen Zugriffsrechte > Kategorisierung von Daten zur Festlegung kritischer Datensätze Beschränkung auf Virtualisierung / Private Cloud bei kritischen Daten Richtlinien zur physischen Speicherung von sonstigen Daten auf Endgeräten > Gestattung bzw. Verbot der Privatnutzung Fernmeldegeheimnis / ggf. Standortdatenerhebung zu beachten Strikte Trennung zwischen privaten und betrieblichen Datensätzen Social Media 9

07 > Implementierung von Betriebsrichtlinien > Remote-Zugriffsrechte bei mobilen Endgeräten rechtlich absichern Trennung bei gestatteter Privatnutzung beachten Remote-Wipe bei Verlust > Regelung über Haftungsfragen Bei Datenverlust / Offenlegung von Daten ggü. Dritten Haftungsbeschränkung für Mitarbeiter (innerbetrieblicher Schadensausgleich) > Regelungen über Umgang mit Hardware Festlegung von Sorgfaltspflichten (Stereotypes Beispiel: Handy wird in Bar liegen gelassen) 10

08 > Lösungsansatz: Auftragsdatenverarbeitung (ADV) >Datenschutzrechtliche Absicherung von Outsourcing bei personenbezogenen Daten, Anforderungen des 11 BDSG >Beispiel: Nutzung externer IT-Ressourcen wie Cloud Computing, SaaS, Datenhosting / Servermiete Daten oft gemischt technologie- und personenbezogen 1. Gesetzliche Anforderungen zum Schutz von personenbez. Daten 2. Gefahr des Fremdzugriffs auf sensible technische Daten, Know-how >Lösung: Verträge zur ADV vor Beginn der Datenverarbeitung können auch technische Aspekte mitregeln Einhaltung der gesetzlichen Pflichten als Unternehmer Vermeidung von Haftungsrisiken Grundlage für eventuelle spätere Schadensersatzansprüche 11

09 > Einrichtung eines IT-Risikomanagementsystems Bestandsaufnahme > Wo wird IT eingesetzt? > Welche IT wird eingesetzt? > Risikoanalyse Risikomanagementsystem > Festlegung der zu ergreifenden Sicherheitsmaßnahmen > Berücksichtigung der wichtigen operativen Risiken > Technische Maßnahmen > Organisatorische Maßnahmen > Berücksichtigung IT-immanenter rechtlicher Risiken Lizenzmanagement Datenschutz Outsourcing > Sorgfalts- und Leistungsnachweis, somit Reduzierung des Haftungsrisikos durch ISO 27001 Zertifizierung möglich 12

10 > Sonderproblem: Mobile Device > Erhöhtes Sicherheitsrisiko durch leichteren Zugriff unbefugter Dritter > Dadurch erhöhte Anforderungen an zu ergreifende Sicherheitsmaßnahmen Verschlüsselung, Zugangssperren (Passwörter usw.) Remote-Zugriff, Remote-Wipe Virtualisierungstechnologie / Private Cloud zur Minimierung der auf den Endgeräten gespeicherten Daten Trusted Computing Modules usw. > Outsourcing von Push- oder Cloud-Diensten Zumeist Auftragsdatenverarbeitung gemäß 11 BDSG 11 Abs. 2 Satz 4 BDSG: Auftraggeber muss sich über Einhaltung der technischen und organisatorischen Maßnahmen beim Auftragnehmer vergewissern Angemessenes Schutzniveau bei Drittlandsübermittlungen zu beachten 13

11 > Sonderproblem: Social Media > Gefahr: Verletzung von Betriebs- und Geschäftsgeheimnissen Beispiel Twitter Vorabinformation über offiziellen Twitter- Account Beispiel Facebook/Youtube Bilder/Videos mit internen Betriebsabläufen oder sonstigen, geheimen oder geschützten Gegenständen/Prozessen 14

12 > Reaktion / Schadensbegrenzung im Ernstfall > Gewerblicher Rechtsschutz / Vorgehen gegen Konkurrenten Nachträgliche Patentanmeldung Unterlassungsansprüche Faktisch begrenzte Möglichkeit der Rechtsdurchsetzung im Ausland Bei Hackerangriffen: Patentschutz ist länderbezogen und damit teuer und nur unter hohem Aufwand flächendeckend möglich, wenn Herkunftsland nicht bekannt (oft aus Asien) > Regress bei Verschulden von Mitarbeitern IdRrechtlich nicht erfolgversprechend, da reduzierter Haftungsmaßstab: in Fällen externer Täuschung (Phishing usw.) evtl. nur leichte Fahrlässigkeit (innerbetr. Schadensausgleich) Wirtschaftlich oft sinnlos, da hohe Beträge 15

Vielen Dank für Ihre Aufmerksamkeit. Jan Feuerhake, LL.M. (Melbourne) Rechtsanwalt, Hamburg Kontakt T: +49 (0)40 368030 E: j.feuerhake@taylorwessing.com Taylor Wessing Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg www.taylorwessing.com 16

Unsere Standorte Beijing * Unit 2307&08, West Tower, Twin Towers B-12 Jianguomenwai Avenue Chaoyang District Beijing 100022 T. +86 (10)6567 5886 Berlin Ebertstraße 15 10117 Berlin T. +49 (0)30 88 56 36 0 Bratislava TaylorWessing e n w c Panenská 6 81103 Bratislava T. +421(0)2 5263 2804 Brünn * TaylorWessing e n w c Dominikánské námĕstí 4/5 602 00 Brünn T. +420 543 420 401 Brüssel Trône House 4 Rue du Trône 1000 Brüssel T. +32 (0)2 289 6060 Budapest TaylorWessing e n w c Dorottya u. 1. III. em. 1051 Budapest T. +36 (0)1 327 04 07 Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0)1223 446400 Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box 33675 Dubai, United Arab Emirates T. +971 (0)4 309 1000 Düsseldorf Benrather Straße 15 40213 Düsseldorf T. +49 (0)211 83 87 0 Frankfurt Senckenberganlage 20-22 60325 Frankfurt a.m. T. +49 (0)69 971 30 0 Hamburg Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg T. +49 (0)4 0 36 80 30 Jakarta RHTLaw Taylor Wessing LLP Wisma 46 Kota BNI, 32nd & 41st Floor. Jl. Jend. Sudirman Kav. 1. Jakarta 10220 T. +62 (0) 21 5701837 Kiew TaylorWessing e n w c Illinsky Business Center vul. Illinska 8 04070 Kiew T. +38 (0)44 369 32 44 Klagenfurt * TaylorWessing e n w c Alter Platz 1 9020 Klagenfurt T. +43 (0)463 51 52 27 London 5 New Street Square London EC4A 3TW T. +44 (0)20 7300 7000 München Isartorplatz 8 80331 München T. +49 (0)89 2 10 38 0 Paris 42 avenue Montaigne 75008 Paris T. +33 (0)1 72 74 03 33 Prag TaylorWessing e n w c U Prasné brány 1 CZ-110 00 Prag 1 T. +420 224 81 92 16 Shanghai * Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai 200040 T. +86 (0)21 6247 7247 Singapur RHTLaw Taylor Wessing LLP Six Battery Road #09-01, #10-01 Singapur 049909 T. +65 6381 6868 Wien TaylorWessing e n w c Schwarzenbergplatz 7 1030 Wien T. +43 (0)1 716 55 Warschau TaylorWessing e n w c ul. Mokotowska 1 00-640 Warschau T. +48 (0)22 584 97 40 * Repräsentanzen 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback