In Ausgabe 5/22 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Daten weg - wer muss informiert werden" zu den Informationspflichten von Unternehmen bei einer Datenpanne oder einem Cyberangriff.
In Ausgabe 5/22, S.60 der Zeitschrift com! professional erschien im Rahmen des Beitrags "Elementarschutz des 21. Jahrhunderts - Die Firma für den Ernstfall absichern" von Konstantin Pfliege ein Interview mit Rechtsanwalt Marcus Beckmann zum Thema IT-Sicherheit und Cyberversicherungen.
Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.
Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger.
Die Cyber-Angriffe mit Erpressungs-Software (Ransomware) oder gezielte Angriffe auf den "Faktor Mensch" (CEO-Fraud) haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.
Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Das BSI arbeitet mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen und die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen .
Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen.
Die Pressemitteilung des BMI:
"Bundesregierung stärkt Cybersicherheit
Kabinett beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Digitale binäre Daten geschützt durch das Sicherheitssystem (Quelle: Netzwerk- und Informationssystemsicherheit)
Das Kabinett hat heute den vom Bundesminister des Innern vorgelegten Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS-Richtlinie) beschlossen.
Hierzu erklärt der Bundesinnenminister Dr. Thomas de Maizière: "Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit auch in Europa. Die Bundesregierung hat nun die Voraussetzungen dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland haben wir mit dem IT-Sicherheitsgesetz, das bereits im Juli 2015 in Kraft getreten ist, schon einen einheitlichen Rechtsrahmen, bei dem Staat und betroffene Wirtschaft für mehr Cyber-Sicherheit der Kritischen Infrastrukturen in Deutschland zusammenarbeiten. Wir setzen uns dafür ein, dass der im IT-Sicherheitsgesetz verankerte kooperative Ansatz EU-weit als Vorbild für die Umsetzung der NIS-Richtlinie genutzt werden kann. Damit werden wir unserer Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht."
Mit dem Gesetzentwurf wird zudem die Umsetzung der Cybersicherheitsstrategie vorangebracht: "Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert."
Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs), eine stärkere Zusammenarbeit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Insofern besteht in Deutschland relativ geringer zusätzlicher Umsetzungsbedarf. Sie ist bis spätestens zum 9. Mai 2018 in nationales Recht umzusetzen."
LAG Köln
Urteil vom 14.05.2010 4 Sa 1257/09
Systemadministrator
Das LAG Köln hat entschieden, dass einem Systemadmnistrator jedenfalls nach vorheriger Abmahnung fristlos gekündigt werden kann, wenn dieser seine Administratorenrechte dazu nutzt, Emails zu lesen, die nicht für ihn bestimmt sind.
Aus den Entscheidungsgründen:
"a) In der Rechtsprechung wird – soweit ersichtlich – einheitlich davon ausgegangen, dass der Missbrauch von Zugangsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung gerechtfertigt (vgl. LAG München 08.07.2009 – 11 Sa 54/09 -; Arbeitsgericht Aachen 16.08.2005 – 7 Ca 5514/04 -; OVG Nordrhein-Westfalen 13.10.2006 – 1 A 4365/05. PVB). Auch das Bundesarbeitsgericht hat in der Entscheidung vom 25.11.1981 (7 AZR 463/79), in der es nur über eine ordentliche Kündigung zu urteilen hatte, ausgeführt, dass der Missbrauch einer EDV-Anlage durch einen Arbeitnehmer einen verhaltensbedingten Grund für eine ordentliche Kündigung darstellt, ohne dass es eine Abmahnung bedarf (in diesem Fall ging es nicht um einen Administrator).
[...]
Im vorliegenden Fall hat der Kläger seine Pflichten als Computer-Administrator mehrfach grob verletzt, ist sodann abgemahnt worden, und hat sie erneut grob verletzt.
[...]
4. Auch im Rahmen der Interessenabwägung gelangt die Kammer dazu, dass die außerordentliche Kündigung berechtigt war: Der Kläger hat durch das Öffnen der E-Mails in schwerer Weise das Vertrauen des Vorstandes missbraucht. Der Vorstand musste ihn als illoyalen Mitarbeiter ansehen, der das in ihn als Administrator und als Revisor gesetzte Vertrauen dazu missbrauchte, den Vorstand selbst auszuspähen. Dabei ist auch zu berücksichtigen, dass beim Vorstand viele vertrauliche Daten zusammengefasst sind, so Daten aus dem Personalbereich, aus dem Kundenbereich und aus dem Interbankenbereich." Besonders schwerwiegend ist indes, dass der Kläger durch die Abmahnung eindeutig gewarnt war und kurz Zeit später erneut seine Administratorenrechte missbrauchte. Er erwies sich daher als unbelehrbar, so dass der Vorstand jederzeit mit einer erneuten Missbrauch rechnen musste. Aus diesem Grunde war es dem Vorstand auch unter prognostischen Gesichtspunkten nicht zuzumuten, auch noch bis zum Ablauf der Kündigungsfrist mit dem Kläger zu arbeiten."
Das LG Lüneburg hat mit Urteil vom 27.09.2007 - 7 O 80/07 entschieden, dass ein Provider nicht berechtigt ist, einen Mail-Server per Blacklist zu sperren, auch wenn über diesen in großem Umfang Spam versendet wird. Das Gericht vergleicht die Situation mit einer wettbwerbswidrigen Betriebsblockade. Die Entscheidung ist abzulehnen. Duldet ein Mail-Server-Betreiber den rechtswidrigen Spam-Versand, so muss es Dritten möglich sein, dies wirksam zu unterbinden.
