Mindestlohngesetz MiLoG
Bremen, den 15. Oktober 2014
Gliederung
1. Einführung
2. Persönlicher Geltungsbereich
3. Höhe des Mindestlohns
4. Fälligkeit, Verjährung
5. Ausfallhaftung des Auftraggebers
6. Sanktionen
7. Sonstige unternehmerische Pflichten
©FIDES Treuhand GmbH & Co. KG
Seite 2
1. Einführung
• Zweck des Gesetzes
• Inkrafttreten zum 1. Januar 2015
• Übergangsvorschriften
• Tarifverträge bis zum 31. Dezember 2017
• Anpassung für Zeitungszusteller bis zum 1. Januar 2017
• Bedeutung für alle Unternehmen wegen Auftraggeberhaftung
©FIDES Treuhand GmbH & Co. KG
Seite 3
1. Einführung
§ 13 MiLoG
Haftung des Auftraggebers
§ 14 des Arbeitnehmer-Entsendegesetzes findet entsprechende Anwendung.
©FIDES Treuhand GmbH & Co. KG
Seite 4
1. Einführung
§ 14 AEntG
Haftung des Auftraggebers
Ein Unternehmer, der einen anderen Unternehmer mit der Erbringung von Werk- oder Dienstleistungen
beauftragt, haftet für die Verpflichtungen dieses Unternehmers, eines Nachunternehmers oder eines
von dem Unternehmer oder einem Nachunternehmer beauftragten Verleihers zur Zahlung des
Mindestentgelts an Arbeitnehmer oder Arbeitnehmerinnen oder zur Zahlung von Beiträgen an eine
gemeinsame Einrichtung der Tarifvertragsparteien nach § 8 wie ein Bürge, der auf die Einrede der
Vorausklage verzichtet hat.
©FIDES Treuhand GmbH & Co. KG
Seite 5
1. Einführung
§ 21 Abs. 2 MiLoG
Ordnungswidrig handelt, wer Werk- oder Dienstleistungen in erheblichem Umfang ausführen lässt,
indem er als Unternehmer einen anderen Unternehmer beauftragt, von dem er weiß oder fahrlässig
nicht weiß, dass dieser bei Erfüllung dieses Auftrages
1.
entgegen § 20 das dort genannte Arbeitsentgelt nicht oder nicht rechtzeitig zahlt oder
2.
einen Nachunternehmer einsetzt oder zulässt, dass ein Nachunternehmer tätig wird, der
entgegen § 20 das dort genannte Arbeitsentgelt nicht oder nicht rechtzeitig zahlt.
©FIDES Treuhand GmbH & Co. KG
Seite 6
2. Persönlicher Geltungsbereich
• Der gesetzliche Mindestlohn gilt für alle Arbeitnehmer; auch für
• geringfügig Beschäftigte
• ausländische Arbeitnehmer
• Praktikanten, wenn nicht ausdrücklich ausgenommen
• Ausnahmen:
• "echte" Praktikanten bis zur Dauer von drei Monaten, wenn Berufspraktikum vorgeschrieben
• Personen unter 18 Jahren ohne abgeschlossene Berufsausbildung
• Auszubildende
• ehrenamtlich Tätige
• Langzeitarbeitslose für die ersten sechs Monate der Beschäftigung
©FIDES Treuhand GmbH & Co. KG
Seite 7
3. Höhe des Mindestlohns
• EUR 8,50 pro Stunde
• Bei Festgehalt Umrechnung auf tatsächlich geleistete Stunden
• Andere Gehaltsbestandteile sind berücksichtigungsfähig, wenn sie nach ihrer Zweckbestimmung als
Gegenleistung für die normale Arbeitsleistung dienen ("Äquivalenzprinzip")
• Nicht berücksichtigungsfähig:
• Zulagen für quantitative oder qualitative Mehrarbeit
• Zuschläge für Arbeiten zu besonderen Tageszeiten oder an Sonn- und Feiertagen
• Zuschläge für Arbeiten unter besonders beschwerlichen, belastenden oder gefährlichen
Umständen
• vermögenswirksame Leistungen
• jährliche Sonderzahlungen
©FIDES Treuhand GmbH & Co. KG
Seite 8
4. Fälligkeit, Verjährung
• Späteste Fälligkeit am letzten Bankarbeitstag des Folgemonates
• Einstellung von Stunden auf Arbeitszeitkonten zulässig, wenn Ausgleich innerhalb von zwölf
Monaten
• Ausschlussfristen gelten nicht
• Verjährungsfrist drei Jahre
©FIDES Treuhand GmbH & Co. KG
Seite 9
5. Auftraggeberhaftung
• § 13 MiLoG verweist auf § 14 AEntG
• Haftung möglicherweise nur im Verhältnis Generalunternehmer/Subunternehmer
• Verschuldensunabhängige Haftung, keine Entlastungsmöglichkeit
• Haftung nur für Nettoentgelt
©FIDES Treuhand GmbH & Co. KG
Seite 10
6. Sanktionen
• Bußgeld bis EUR 500.000,00, wenn fahrlässig
• Mindestlohn nicht oder nicht bei Fälligkeit gezahlt wird
• beauftragte Werk- und Dienstleistungsunternehmer Mindestlohn nicht oder nicht rechtzeitig
zahlen
• Bußgeld bis EUR 30.000,00 bei sonstigen Verstößen
•
• Ausschluss von öffentlichen Ausschreibungen
• Verfall
©FIDES Treuhand GmbH & Co. KG
Seite 11
7. Sonstige unternehmerische Pflichten
• Meldepflicht bei Einsatz ausländischer Arbeitnehmer
• Dokumentationspflicht über tägliche Arbeitszeit für alle
• Beschäftigten in den in § 2 a SchwarzArbG genannten Wirtschaftsbereichen
• geringfügig Beschäftigten in allen Branchen; Ausnahme: Privathaushalte
• Aufbewahrungspflicht für zwei Jahre
©FIDES Treuhand GmbH & Co. KG
Seite 12
Auf den
Punkt
FIDES Treuhand GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Dr. Johannes Dälken
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Dr. Christian Merz
Rechtsanwalt
Fachanwalt für Arbeitsrecht
[email protected]
Birkenstraße 37
28195 Bremen
Tel. +49 (421) 3013-0
Fax +49 (421) 3013-100
www.fides-treuhand.de
©FIDES Treuhand GmbH & Co. KG
Aktuelle steuerliche Entwicklungen
Bremen, 15. Oktober 2014
Inhalt
A. Neue Rechtsprechung zur Abgeltungsteuer
B. Kroatien-Anpassungsgesetz
C. Update Erbschaftsteuer
© FIDES Treuhand GmbH & Co. KG
Seite 2
A. Neue Rechtsprechung zur Abgeltungsteuer
1. Hintergrund
• Gesonderter Steuersatz (25 %) für Einkünfte aus Kapitalvermögen in § 32d EStG
• Keine Werbungskosten (nur Sparer-Pauschbetrag von 801 EUR / 1.602 EUR)
• Ausnahmen
– Gläubiger und Schuldner nahe stehende Personen
– Darlehen an Kapitalgesellschaft durch Gesellschafter oder diesem nahe stehende Person, wenn
Beteiligung des Gesellschafters >= 10 %
• Frage: Was ist eine nahestehende Person?
© FIDES Treuhand GmbH & Co. KG
Seite 3
A. Neue Rechtsprechung zur Abgeltungsteuer
2. Abgeltungsteuersatz bei Darlehen zwischen Angehörigen (BFH v. 29.04.2014)
V
(Vater)
Zinsertrag 100:
Steuersatz 25 %
Steuerbelastung: 25
Darlehen
S
(Sohn)
Einkünfte
V+V
• Finanzverwaltung: Angehörige sind
nahestehende Personen
• BFH:
Zinsaufwand 100:
Steuersatz z.B. 42 %
Steuerentlastung: 42
Ein lediglich aus der Familienangehörigkeit
abgeleitetes persönliches Interesse begründet
kein Nahestehen
Näheverhältnis nur, wenn auf eine der
Vertragsparteien ein beherrschender oder ein
außerhalb der Geschäftsbeziehung begründeter Einfluss ausgeübt werden kann oder ein
eigenes wirtschaftliches Interesse an der
Erzielung der Einkünfte des anderen besteht
Besteuerung der Kapitalerträge bei V mit
Abgeltungsteuersatz
Werbungskostenabzug bei S
© FIDES Treuhand GmbH & Co. KG
Seite 4
A. Neue Rechtsprechung zur Abgeltungsteuer
3. Abgeltungsteuersatz bei Darlehen an GmbH durch Angehörige der Anteilseigner
(BFH v. 14.05.2014)
T
(Tochter)
≥ 10%
X-GmbH
• Finanzverwaltung: Angehörige sind
nahestehende Personen
M
(Mutter)
• BFH:
Darlehen
Ein lediglich aus der Familienangehörigkeit
abgeleitetes persönliches Interesse begründet
kein Nahestehen
Näheverhältnis nur, wenn auf eine der
Vertragsparteien ein beherrschender oder ein
außerhalb der Geschäftsbeziehung begründeter Einfluss ausgeübt werden kann oder ein
eigenes wirtschaftliches Interesse an der
Erzielung der Einkünfte des anderen besteht
Besteuerung der Kapitalerträge bei M
mit Abgeltungsteuersatz
© FIDES Treuhand GmbH & Co. KG
Seite 5
A. Neue Rechtsprechung zur Abgeltungsteuer
4. Aber: Kein Abgeltungsteuersatz bei Gesellschafterdarlehen (BFH v. 29.04.2014)
• BFH:
X
Kein Abgeltungsteuersatz aufgrund des
eindeutigen Gesetzeswortlauts
≥ 10%
Darlehen
Keine Verletzung des
Gleichheitsgrundsatzes
Auch 10 %-Grenze verfassungsrechtlich
unbedenklich
X-GmbH
© FIDES Treuhand GmbH & Co. KG
Besteuerung der Kapitalerträge bei
X mit individuellem Steuersatz
Seite 6
Inhalt
A. Neue Rechtsprechung zur Abgeltungsteuer
B. Kroatien-Anpassungsgesetz
C. Update Erbschaftsteuer
© FIDES Treuhand GmbH & Co. KG
Seite 7
B. Kroatien-Anpassungsgesetz
1. Grunderwerbsteuer: Konzernklausel (1)
•
§ 6a GrEStG begünstigt bestimmte Grundstücksübertragungen zwischen herrschenden
und abhängigen Unternehmen (95 %-Beteiligung)
•
Voraussetzung: Fünfjährige Vor- und Nachfrist hinsichtlich des Abhängigkeitsverhältnisses
Bisher:
Neu:
Keine Steuererhebung für einen nach § 1
Abs. 1 Nr. 3 Satz 1, Absatz 2, 2a, 3 oder
Absatz 3a steuerbaren Rechtsvorgang
aufgrund einer Umwandlung im Sinne des
§ 1 Abs. 1 Nr. 1 bis 3 des Umwandlungsgesetzes, bei Einbringungen sowie bei
anderen Erwerbsvorgängen auf gesellschaftsrechtlicher Grundlage.
Keine Steuererhebung für einen nach § 1
Abs. 1 Nr. 3 Satz 1, Absatz 2, 2a, 3 oder
Absatz 3a steuerbaren Rechtsvorgang
aufgrund einer Umwandlung im Sinne des
§ 1 Abs. 1 Nr. 1 bis 3 des Umwandlungsgesetzes, einer Einbringung oder eines
anderen Erwerbsvorgangs auf gesellschaftsrechtlicher Grundlage.
Übertragungen einzelner Grundstücke auf Kapitalgesellschaften, die außerhalb des
Umwandlungsgesetzes erfolgen, werden nicht erfasst
© FIDES Treuhand GmbH & Co. KG
Seite 8
B. Kroatien-Anpassungsgesetz
1. Grunderwerbsteuer: Konzernklausel (2)
M-GmbH
• Keine Begünstigung nach § 6a
GrEStG
• Begünstigung evtl. über
wirtschaftliches Eigentum erreichbar
(„Einlage dem Werte nach")
T-GmbH
© FIDES Treuhand GmbH & Co. KG
Seite 9
A. Kroatien-Anpassungsgesetz
2. Umsatzsteuer
• Mindestbemessungsgrundlage (§ 10 Abs. 5 Satz 2 UStG)
– Begrenzung auf das marktübliche Entgelt
– d.h. keine Berücksichtigung der ggf. höheren Kosten
• Telekommunikations-, Rundfunk- und Fernsehleistungen sowie auf elektronischem Weg erbrachte
Leistungen an Nichtunternehmer (§ 3a Abs. 5 UStG)
– Leistungsort ist der Sitz/Wohnsitz des Leistungsempfängers
– Erklärung über das BZSt
• Reverse Charge-Verfahren – Umgekehrte Steuerschuldnerschaft
– Gesetzliche Normierung der bisherigen Auffassung der Finanzverwaltung für Bauleistungen
(§ 13b Abs. 5a UStG)
– Erfassung von Lieferungen von Edelmetallen bzw. unedlen Metallen
– Erfassung von Tablett-PCs und Spielekonsolen
© FIDES Treuhand GmbH & Co. KG
Seite 10
Inhalt
A. Neue Rechtsprechung zur Abgeltungsteuer
B. Kroatien-Anpassungsgesetz
C. Update Erbschaftsteuer
© FIDES Treuhand GmbH & Co. KG
Seite 11
C. Update Erbschaftsteuer
• BFH v. 27.09.2012: Weitgehende Verschonung des Erwerbs von Betriebsvermögen stellt
verfassungswidrige Überprivilegierung dar
• Mündliche Verhandlung beim BVerfG hat am 08.07.2014 stattgefunden
• Entscheidung des BVerfG zwischenzeitlich für Herbst 2014 erwartet
• Konkreter Termin momentan nicht bekannt
• Rahmenbedingungen werden sich voraussichtlich eher verschlechtern
• Empfehlung weiterhin: Zeitnahe Umsetzung bei ohnehin geplanten Übertragungen
© FIDES Treuhand GmbH & Co. KG
Seite 12
Der Inhalt dieser Unterlagen wurde sorgfältig erarbeitet. Für den Inhalt der
Präsentation wird jedoch keine Gewähr übernommen. Die Unterlagen sind
insbesondere nicht geeignet, eine einzelfallbezogene umfassende Beratung
zu ersetzen. Sie sind urheberrechtlich geschützt. Jede Form der Verwertung
bedarf der Genehmigung durch die FIDES Treuhand GmbH & Co. KG.
© FIDES Treuhand GmbH & Co. KG
Seite 13
Auf den
Punkt
FIDES Treuhand GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Dr. Christoph Löffler, LL.M., StB
[email protected]
Birkenstraße 37
28195 Bremen
Tel. +49 (421) 3013-0
Fax +49 (421) 3013-100
www.fides-treuhand.de
Der jüngste Entwurf des IT-Sicherheitsgesetzes:
Besteht in Ihrem Unternehmen Handlungsbedarf?
Bremen, 15.10.2014
Christian Heermeyer
Rechtsanwalt und Fachanwalt für gewerblichen
Rechtsschutz und IT-Recht
Das erste IT-Sicherheitsgesetz
• Das Bundesministerium des Innern hat im Juli 2014 einen neuen Entwurf des schon seit 2013 in der
Diskussion befindlichen IT-Sicherheitsgesetzes vorgestellt
• Das Gesetz ist Teil der Digitalen Agenda der Bundesregierung
• "Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den
Schutz vor diesen Risiken."
• Der Staat müsse deshalb "Sicherheitsgurte für die IT der kritischen Infrastrukturen" einführen
© FIDES Treuhand GmbH & Co. KG
Seite 2
1. Probleme nach dem Gesetzesentwurf
• Quer durch alle Branchen ist schon heute mehr als die Hälfte aller Unternehmen in Deutschland
vom Internet abhängig
• Deutschland ist zunehmend Ziel von Cyberangriffen, Cyberspionage und sonstigen Formen der
Cyberkriminalität. Wirtschaft, Bürger und auch der Staat selbst sind hiervon gleichermaßen betroffen
• Die Angriffe erfolgen danach zunehmend zielgerichtet, technologisch ausgereifter und komplexer
• Neue Schwachstellen werden immer schneller ausgenutzt
© FIDES Treuhand GmbH & Co. KG
Seite 3
2. Kernziele des Gesetzentwurfs
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer
Systeme in Deutschland und eine Anpassung der gestiegenen Bedrohungslage erreicht
werden:
1. Schutz der Bundesrepublik Deutschland vor dem Ausfall kritischer Infrastrukturen
2. Verbesserung der IT-Sicherheit bei Unternehmen
3. Schutz der Bürgerinnen und Bürger in einem sicheren Netz
4. Schutz der IT des Bundes
© FIDES Treuhand GmbH & Co. KG
Seite 4
3. Kernänderungen des Gesetzentwurfs
1. Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme
2. Festlegung von Sicherheitsstandards
3. Informationspflichten der Telekommunikationsanbieter ihrer Kunden über Cyberangriffe und Mittel
zu deren Behebung
4. Etablierung und Stärkung des Bundesamt für Sicherheit in der Informationstechnik (BSI) als
Aufsichtsbehörde
© FIDES Treuhand GmbH & Co. KG
Seite 5
4. Gesetzliche Änderungen
Änderung und Erweiterung von 5 Gesetzen:
1. BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik)
2. TMG (Telemediengesetz)
3. TKG (Telekommunikationsgesetz)
4. AWG (Außenwirtschaftsgesetz)
5. BKAG (Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder
in kriminalpolizeilichen Angelegenheiten)
© FIDES Treuhand GmbH & Co. KG
Seite 6
5. Änderungen im BSI-Gesetz (1)
Wer ist betroffen?
Gesetzliche Änderungen einschlägig für Betreiber kritischer Infrastrukturen
• Eine kritische Infrastruktur besteht, wenn durch Ausfall oder Beeinträchtigung nachhaltig wirkende
Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten können:
Wasser
Ernährung
Energie
Gesundheit
Finanz- und Versicherungswesen
Informationstechnik und Telekommunikation
Transport und Verkehr
• Genaue Festlegung betroffener Unternehmen erfolgt erst später durch Rechtsverordnung des BSI
unter Einbeziehung diverser Ministerien, betroffener Betreiber und Wirtschaftsverbänden (§ 10
BSIG)
• Dienstleister für Betreiber kritischer Infrastrukturen (mittelbar)
© FIDES Treuhand GmbH & Co. KG
Seite 7
5. Änderungen im BSI-Gesetz (2)
Aufgaben und Befugnisse des BSI
• BSI wird nationale Informationssicherheitsbehörde (§ 1 BSIG)
• BSI kann gewonnene Erkenntnisse Dritten, insbesondere Betroffenen, zur Verfügung stellen
• BSI kann Betreiber kritischer Infrastrukturen auf Ersuchen bei der Sicherung ihrer
Informationstechnik beraten und unterstützen
• BSI wird zentrale Meldestelle für die Sicherheit der Informationstechnik für z. B. Schadprogramme,
Sicherheitslücken, erfolgreiche und abgewehrte Angriffe sowie technische Defekte (§ 8b BSIG)
• BSI kann sich unter Datenschutzgesichtspunkten bei Warnungen der (freiwilligen) Mitwirkung Dritter
(z. B. Provider) bedienen
• BSI erhält Befugnis potentiell Gefährdete bzw. die Öffentlichkeit über bekannt gewordene
Sicherheitslücken, Schadprogramme, Datendiebstähle etc. zu informieren (§ 7 i. V. m. § 8c BSIG)
© FIDES Treuhand GmbH & Co. KG
Seite 8
5. Änderungen im BSI-Gesetz (3)
Aufgaben und Befugnisse des BSI
• BSI darf IT-Produkte, Systeme und Dienste selbst oder durch Dritte untersuchen, um den Schutz
vor Störungen zu gewährleisten und Erkenntnisse weitergeben und veröffentlichen (§ 7a BSIG)
• BSI ist verpflichtet, dem Bundesministerium des Innern über Tätigkeiten zu berichten, auf Grundlage
dessen wird jährlich ein IT-Sicherheitslagebericht veröffentlicht ( § 13 BSIG)
© FIDES Treuhand GmbH & Co. KG
Seite 9
5. Änderungen im BSI-Gesetz (4)
Auswirkungen für Unternehmen
Organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz vor
IT-Ausfällen:
• Eigenverantwortliche Festlegung von angemessenen Mindeststandards für IT-Sicherheit, ggfs. auch
branchenspezifisch (§ 8a Abs. 1 BSIG)
– Standards müssen regelmäßig dem Stand der Technik angepasst werden
– Mindeststandards sollen in Sicherheits- und Notfallkonzepte einfließen, die durch die Betreiber
umzusetzen sind
– Anforderungen lehnen sich an die Vorgaben für Telekommunikations- und Energieversorgern an
– Standards bedürfen der Anerkennung durch das BSI
• Betreiber müssen die Erfüllung der Sicherheitsstandards mindestens alle zwei Jahre nachweisen
(§ 8a Abs. 2 BSIG), hierzu müssen
– Audits durch nachweislich qualifizierte Prüfer durchgeführt,
– die Aufstellung der durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen sowie
– aufgedeckte Sicherheitsmängel dem BSI vorgelegt werden.
© FIDES Treuhand GmbH & Co. KG
Seite 10
5. Änderungen im BSI-Gesetz (5)
Auswirkungen für Unternehmen
• Unternehmen müssen eine ständig erreichbare Kontaktperson für das BSI benennen,
Kontaktpersonen können auch mit mehreren Unternehmen gemeinsam eingerichtet werden
( § 8b Abs. 3 BSIG)
• Verpflichtung zur Meldung von IT-Störungen an das BSI, um
– die Warnung weiterer potentiell Gefährdeter und
– Erstellung eines Lageberichts über die IT-Sicherheit in Deutschland zu ermöglichen
(§ 8b Abs. 4f. BSIG).
• Anonyme Meldung nur bei Gefährdung von Systemen, nicht bei Eintritt einer Störung
• Pflichten bestehen auch dann, wenn Unternehmen ihre IT durch Dienstleister betreiben lassen
© FIDES Treuhand GmbH & Co. KG
Seite 11
5. Änderungen im BSI-Gesetz (6)
Erforderliche Maßnahmen bei betroffenen Unternehmen
• Erarbeitung von Sicherheitsstandards
• Identifikation kritischer Cyber-Assets
• Vorkehrungen zur Angriffsprävention und -erkennung
• Implementierung eines Betriebskontinuitätsmanagements
• Durchführung und Dokumentation von Audits, Prüfungen und Zertifizierungen zum Nachweis
ausreichender Schutzmaßnahmen durch eine fachkundige Person
• Festlegung einer Kontaktperson (ggf. externe Stelle zum Zwecke der Anonymisierung)
• Organisatorische und vertraglichen Regelungen, falls IT durch Dienstleister betrieben wird
© FIDES Treuhand GmbH & Co. KG
Seite 12
6. Änderungen im Telemediengesetz (1)
Wer ist betroffen?
• Telemediendienste (alle, nicht auf Betreiber kritische Infrastruktur beschränkt)
• z. B. Anbieter mit eigenen Inhalten (Contentprovider) und Anbieter, die fremde Informationen für
Nutzer (Hostprovider) speichern
© FIDES Treuhand GmbH & Co. KG
Seite 13
6. Änderungen im Telemediengesetz (2)
Zusätzliche Probleme bei Telemedien
• Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die
bestehenden Anbieterpflichten für Telemediendiensteanbieter um technische Schutzmaßnahmen
zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte ergänzt.
• Ein Zugriff von anderen als den hierzu Berechtigten ist zu verhindern, um Angreifern eine
Kompromittierung des Systems unmöglich zu machen. Hiermit soll insbesondere einer der
Hauptverbreitungswege von Schadsoftware, das unbemerkte Herunterladen allein durch das
Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Webseite eingedämmt werden.
• Auch die Erledigung von Geschäften, die die Grundbedürfnisse der Menschen betreffen, wird
zunehmend ins Netz verlagert. Da es hierbei häufig zur Verarbeitung teils auch sensibler
personenbezogener Daten und zu finanziellen Transaktionen kommt, gewinnen sichere
Authentifizierungsverfahren zunehmend an Bedeutung.
© FIDES Treuhand GmbH & Co. KG
Seite 14
6. Änderungen im Telemediengesetz (3)
Auswirkungen für Unternehmen
• Unternehmen müssen durch die erforderlichen technischen und organisatorischen Vorkehrungen
sicherstellen, dass ein Zugriff auf die Telekommunikations- und Datenverarbeitungssysteme nur für
Berechtigte möglich ist.
• Bei personalisierten Telemediendiensten ist den Nutzern die Anwendung eines sicheren und dem
Schutzbedarf angemessenen Authentifizierungsverfahrens anzubieten.
• Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder
Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen
Einrichtungen erheben und verwenden.
© FIDES Treuhand GmbH & Co. KG
Seite 15
7. Kosten lt. Gesetzentwurf
Für Betreiber:
• Laut Kostenschätzung des Gesetzentwurfs entstehen für die Wirtschaft keine Kosten für die
Einrichtung, sofern bereits ausreichende Sicherheitsstandards und Meldewege etabliert sind
• Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen durch die Durchführung der
vorgesehenen Sicherheitsaudits
Für Verwaltung:
• Behördenübergreifend wird mit 275 neu zu schaffenden Stellen und zusätzlichen Personal- und
Sachkosten in Höhe von EUR 25 Mio. gerechnet
Für Bürgerinnen und Bürger:
• Keine zusätzlichen Kosten erwartet
© FIDES Treuhand GmbH & Co. KG
Seite 16
8. Sanktionen und Strafen
• Im Telekommunikationsbereich Untersagung der Tätigkeit oder Abschaltung einzelner Einrichtungen
auf Anordnung der Bundesnetzagentur möglich.
• Der Gesetzentwurf enthält im Übrigen keine Informationen über mögliche Ordnungsgelder oder
Strafmaßnahmen bei Pflichtverletzungen.
• Denkbar sind Schadensersatzansprüche Dritter gegen das Unternehmen, der Gesellschafter gegen
die Geschäftsführung sowie Wettbewerbsverstöße
© FIDES Treuhand GmbH & Co. KG
Seite 17
Auf den
Punkt
FIDES Treuhand GmbH & Co. KG
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Christian Heermeyer RA
Fachanwalt für IT-Recht und
Gewerblichen Rechtschutz
[email protected]
Birkenstraße 37
28195 Bremen
Tel. +49 (421) 3013-0
Fax +49 (421) 3013-100
www.fides-treuhand.de
© FIDES Treuhand GmbH & Co. KG
Seite 18
Cybercrime - Strategien zur Risikoerkennung
und Abwehr
Bremen, 15.10.2014
Stefan Decker
© FIDES IT Consultants
Vorstellung FIDES Gruppe
IT-Strategie
IT-Due Diligence
IT-Projektmanagement
IT-Infrastruktur
IT-Sicherheit
IT-Forensik
Datenschutz
Controlling
Handelsrecht und Wirtschaftsrecht
Gesellschaftsrecht
Wirtschaftsprüfung
IT-Audit
Steuer- und Rechtsberatung
Corporate Finance
IT-Vertragsrecht
Unternehmensnachfolge
Öffentliches Recht
Stiftungs- und Gemeinnützigkeitsrecht
Rechnungs- und Personalwesen
Insolvenzprüfungen
© FIDES IT Consultants
2
Was ist Cybercrime? (1)
•
Cybercrime sind „alle Straftaten, die unter Ausnutzung von
Informations- und Kommunikationstechnik oder gegen diese begangen
werden.“
•
Beispiele für Cybercrime:
•
Computerbetrug
•
Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
•
Fälschung von Daten
•
Datenveränderung, Computersabotage
•
Ausspähen und Abfangen von Daten
•
Phishing
•
DDoS (Distributed Denial of Service)-Attacken
•
Digitale Erpressung
•
Delikte, bei denen die EDV zur Planung, Vorbereitung oder
Ausführung eingesetzt wird
•
Herstellen, Überlassen, Verbreiten, Verschaffen von „HackerTools“
enge Definition
weite Definition
(vgl. Bundeskriminalamt: Cybercrime – Bundeslagebild 2012)
© FIDES IT Consultants
3
Was ist Cybercrime? (2)
Ist die freiwillige (?) Weitergabe von Daten „Cybercrime“?
Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu
haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen,
aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden
und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass
dies vernünftigerweise erforderlich oder angemessen ist, […]
(Auszug aus den Nutzungsbedingungen der Apple iCloud)
© FIDES IT Consultants
4
Ist Cybercrime ein Problem?
Laut einer Studie des Ponemon Institute mit über 2.000 befragten Personen in KMUs
•
sehen 58 % Cyberkriminalität nicht als bedeutendes Risiko für ihr Unternehmen.
•
geben 42 % an, in den letzten 12 Monaten Opfer einer Attacke gewesen zu sein.
•
33 % wissen nicht, ob sie Opfer einer Attacke geworden sind.
Quelle: http://sophos.files.wordpress.com/2013/11/2013-ponemon-institute-midmarket-trends-sophos.pdf
© FIDES IT Consultants
5
Ausgewählte Bedrohungsszenarien
Staatliche Akteure
•
•
Wirtschaftsspionage
Sabotage
Kriminelle Hacker
•
•
•
UNTERNEHMEN
Wettbewerber
•
•
•
© FIDES IT Consultants
Wirtschaftsspionage
Sabotage
Kundendatendiebstahl
DDoS
Website Defacing
Kundendatendiebstahl
Mitarbeiter
•
•
•
•
Datendiebstahl
Social Engineering
Spear Phishing
Viren, Malware, maliziöse Apps etc.
6
TOP 6 Sicherheitslücken
•
Ungeschützter Betrieb eines öffentlichen Webservers im internen Netz
•
Aus dem Internet erreichbarer Fernzugriff auf einen internen Rechner mit ElectronicBanking System mit schwacher Verschlüsselung und Trivialpasswörtern
•
Leicht zu erratende Trivialpasswörter für hochprivilegierte Benutzer mit 7x24
Zugriffsmöglichkeiten aus dem Internet ohne adäquate Sperre bei Falscheingabe und
ohne IT-Monitoring
•
Überbrückung der eigentlich sicheren Firewall durch Server oder einzelne PC von
Mitarbeitern, mit ungeschütztem lokalen Internetzugang
•
Einsatz einer Firewall mit veraltetem und unsicherem Betriebssystem (Firmware)
•
Direkter (VPN-)Zugriff von Smartphones und Tablets auf interne Mailsysteme
© FIDES IT Consultants
7
Firewall – ein Praxisbeispiel
© FIDES IT Consultants
8
Bedrohungsanalyse
Schritt 1
•
Welche „Daten“ sind bedroht ?
•
Wer bedroht die „Daten“ ?
•
Was ist die Bedrohung ?
Schritt 2
•
Wer hat Zugang zu den Daten und warum ?
•
Wie werden die Daten geschützt ?
•
Wie werden die technischen Komponenten geschützt ?
© FIDES IT Consultants
9
Ausgewählte Maßnahmen zur Risikoabwehr
1.
2.
3.
Technisch
•
Firewalls
•
Virenscanner
•
Verschlüsselung
•
…
Organisatorisch
•
Passwortkonventionen
•
Berechtigungskonzepte
•
Vorschriften zur Internetnutzung
•
…
„Sicherheit ist kein
Zustand, sondern ein
Prozess.“
„Awareness“
•
Schulung von Organen und Mitarbeitern
•
Regelmäßige Überwachung der
Wirksamkeit der Maßnahmen
•
…
© FIDES IT Consultants
10
Diskussion / Fragen
?
?
?
?
?
?
© FIDES IT Consultants
11
Vielen Dank für
Ihre Aufmerksamkeit
Stefan Decker
[email protected]
T
+49 421 3013 402
M
+49 174 9280 402
F
+49 421 3013 449
Birkenstr. 37
28195 Bremen
Am Kaiserkai 60
20457 Hamburg
www.fides-it-consultants.de
© FIDES IT Consultants
Penetration Testing
Die Vorsorgeuntersuchung für Ihre IT-Sicherheit
Bremen, 15.10.2014
Tim Kohnen
Agenda
1.
2.
3.
4.
5.
Überblick zu Forensischen Leistungen
Was ist Penetration Testing?
Was erreicht Penetration Testing?
Wie funktioniert Penetration Testing? (Fallbeispiel)
Technische Stolpersteine
© FIDES IT Consultants
2
1. Überblick zu Forensischen Leistungen
Forensische Leistungen
1. Sachverhaltsaufklärung
a. Sicherstellung von Daten
b. Analyse und Auswertung von Daten
c. Beratung in Streitverfahren
2. Prävention wirtschaftskrimineller Handlungen
a. Risikoregister und –bewertung, Schutzbedarfsfeststellung
b. Prüfung konzeptioneller IT-Sicherheit
c. Data Loss Prevention
d. Penetration Testing
© FIDES IT Consultants
3
2. Was ist Penetration Testing?
-
Eine Öffnung von IT-Systemen nach außen ist heute faktisch nicht mehr zu
umgehen:
-
E-Mail
Datenaustausch mit Kunden und Lieferanten (bspw. EDI)
Online-Shop
Mobile Devices (Smartphones)
-
Die Anbindung eines Unternehmensnetzwerks erfolgt in der Regel mindestens
mittels einer Firewall, die das interne Netzwerk von eingehenden Verbindungen
abschottet und auch ausgehende Datenverbindungen überwachen sollte.
-
Typischerweise sind jedoch Ausnahmen in der Firewall definiert, die den Zugriff
auf interne Server oder Netzwerkgeräte (bspw. Webserver, Mailserver) sowie
den Ausgang von Daten (bspw. E-Mail) erlauben.
© FIDES IT Consultants
4
2. Was ist Penetration Testing?
-
Prüfung der Sicherheit eines Netzwerks oder Systems
- aus dem Internet
- aus dem internen Netzwerk
- über andere Zugangswege (Modems)
mit den Mitteln eines „Hackers“
- Aufdecken von unvollständigen, fehlerhaften oder veralteten Konfigurationen
von Sicherheitskomponenten durch aktives Testen
- Prüfung der Möglichkeiten über zwischenmenschliche Kontakte oder Aktivitäten
technische Sicherungsvorkehrungen zu überbrücken (sog. „Social
Engineering“)
- Verwendung von kommerziellen und frei verfügbaren sog. „Hacking-Tools“
© FIDES IT Consultants
5
3. Was erreicht Penetration Testing?
-
Aufdecken der Risikoexposition eines Unternehmens hinsichtlich
elektronischem Vandalismus und Industriespionage durch
- Identifikation von technischen und organisatorischen Schwachstellen
- Aufdeckung von unvollständigen, fehlerhaften oder veralteten Einstellungen
an Sicherheitskomponenten
-
Aufdeckung von tatsächlich vorhandenen Möglichkeiten, die für Einbrüche
genutzt werden können oder bereits genutzt wurden
-
Sensibilisierung der Mitarbeiter für die sicherheitstechnische Auswirkung von
Änderungen an IT-Systemen
-
Verbesserung des Sicherheitsniveaus nach Abstellung identifizierter
Schwachstellen
© FIDES IT Consultants
6
4. Wie funktioniert Penetration Testing?
-
Ermittlung von technisch vorhandenen Einstiegsmöglichkeiten (sog. „Port
Scanning“ auf erreichbare, offene Netzwerkanschlüsse an Systemen des
Unternehmens)
- aus dem Internet
- aus dem internen Netzwerk gegen zentrale Systeme
Beispiel:
Portscan auf zwei Systeme:
Offene Ports und verwendete
Serverprogramme werden (mit
hoher Wahrscheinlichkeit)
erkannt. Dies ermöglicht gezielt,
(bekannte) Schwachstellen in
verwendeter Software für einen
„Einbruchversuch“ zu nutzen.
© FIDES IT Consultants
7
4. Wie funktioniert Penetration Testing? – Beispiel: Ergebnis Portscan
Scan aus dem internen Netzwerk
-
Aus dem internen Netzwerk konnten zum Zeitpunkt des Scans erreichbare IP-Adressen
in folgenden Netzen identifiziert werden:
Netzwerk
192.168.1.0/24
192.168.5.0/24
192.168.20.0/24
192.168.21.0/24
192.168.23.0/24
192.168.100.0/24
© FIDES IT Consultants
Anzahl erreichbarer Systeme
126 Adressen
1 Adresse
121 Adressen
50 Adressen
5 Adressen
46 Adressen
8
4. Wie funktioniert Penetration Testing?
-
Prüfung identifizierter Systeme auf vorhandene Schwachstellen (Vulnerability
Scanner)
Beispiel:
Vulnerability Scan mit OpenVAS:
Der Ergebnisreport weist die
Schwere von Feststellungen bei
erreichbaren Services aus. Ursache
ist hier beispielsweise ein veralteter,
unsicherer Softwarestand.
© FIDES IT Consultants
9
4. Wie funktioniert Penetration Testing? – Beispiel: Schwachstellen
Schwachstellenanalyse aus dem internen Netzwerk
Netz
IP‘s/Hosts1)
Scan Ergebnis
Hohes Risiko
Scan Ergebnis
Mittleres Risiko
Scan Ergebnis
Geringes Risiko
Scan Ergebnis
Nur protokolliert
192.168.001.000/24
106
138
277
736
4.543
192.168.005.000/24
1
2
2
2
0
192.168.020.000/24
136
8
310
442
1.907
192.168.021.000/24
50
61
84
86
1.316
192.168.023.000/24
5
0
9
18
139
192.168.100.000/24
46
71
86
148
1.192
Summe
344
280
768
1.432
9.097
1) Anzahl
IP‘s/Hosts, die zum Zeitpunkt des Scans im Netz erreichbar waren.
© FIDES IT Consultants
10
4. Wie funktioniert Penetration Testing? – Beispiel: Risikobewertung
Ergebnisse mit potentiell hohem Risiko
Anzahl IP‘s
ID
Kurzbeschreibung der Sicherheitslücke
(in der zum Zeitpunkt des Scans eingesetzten Version/Konfiguration)
5
103239
SSH-Login mit Default-Passwort möglich
5
103847
ESXi-Version veraltet und angreifbar für DoS-Attacken
5
103864
ESXi-Version veraltet
1
103871
vCenter-Version veraltet und angreifbar
23
11157
Unbekannter Port geöffnet, möglicherweise Trojaner
1
100399
NTP anfällig für DoS-Angriff
1
100514
Apache-Version veraltet
2
103658
libupnp veraltet
8
103936
Heartbleed-Bug
2
901203
Apache HTTPD anfällig für DoS-Angriff
2
902818
Windows-Update fehlt
57
10264
SNMP community name erratbar
9
11213
HTTP-Server erlaubt Trace and Track
1
11227
SOAP-Zugriff auf Oracle-DB-Server ist erlaubt
8
103859
ILO veraltet
© FIDES IT Consultants
Relevanz
11
4. Wie funktioniert Penetration Testing? – Beispiel: Auffälligkeiten
Auffälligkeiten
Im Rahmen der Auswertung der Scanergebnisse haben wir folgende Auffälligkeiten
aufgedeckt. Diese Auffälligkeiten stellen nicht direkt ein Risiko dar, sind in der Umgebung von
[FIRMA] aber unerwartet.
Anzahl IP‘s
ID
Kurzbeschreibung der Auffälligkeiten
(in der zum Zeitpunkt des Scans eingesetzten Version/Konfiguration)
30
80100
Laufende TFTP-Server
11
100072
Mailserver auf Druckern aktiv
26
10092
Laufende FTP-Server
2
10674
SQL-Server auf unbekannten Rechnern
45
10342
Laufende VNC-Server
1
10722, 12105
LDAP-Server läuft auf dem vcenter-Server
3
11154
Unbekannte Ports geöffnet
5
20301
ESX-Server im Client-Netz
1
100517
Laufender Informix-Server
4
900518
Laufender FileZilla-Server
11
10263
Laufende SMTP-Server
© FIDES IT Consultants
Relevanz
12
4. Wie funktioniert Penetration Testing?
-
Testen identifizierter Schwachstellen zum Nachweis des tatsächlich
vorhandenen Risikos (Exploiting)
Beispiel:
Öffnen einer
Kommandozeile auf
einem „angegriffenen“
System und Zugriff auf
dessen Desktop
© FIDES IT Consultants
13
4. Wie funktioniert Penetration Testing? - Fallbeispiel
-
Nachfolgend zeigen wir am Beispiel eines vergleichsweise einfachen,
exemplarischen Firmennetzwerks, an welcher Stelle Penetration-Tests
aufsetzen können und wie, ggf. auch über Umwege, Zugriff auf ein Zielobjekt
(z.B. vertrauliche Konstruktionszeichnungen auf einem Fileserver) erlangt
werden kann.
-
Der Penetration-Tester als „Angreifer“ ermittelt zunächst, welche Dienste
grundsätzlich aus dem öffentlichen Internet zu erreichen sind.
© FIDES IT Consultants
14
4. Wie funktioniert Penetration Testing? - Fallbeispiel
© FIDES IT Consultants
4. Wie funktioniert Penetration Testing? - Fallbeispiel
-
In diesem Beispiel wurde ein Webserver und ein Mailserver als „erreichbar“
identifiziert.
-
Die auf einem aus dem Internet (legitimer Weise) erreichbaren Server
betriebene Software kann Sicherheitslücken aufweisen. Die Ursache dafür
können zum Beispiel in fehlerhafter Konfiguration oder nicht eingespielten
Updates liegen.
-
Solche Sicherheitslücken nutzt der „Angreifer“ aus, um bspw.
- administrative Berechtigungen zu erlangen und mit diesen jeglichen
Datenverkehr mitlesen oder kopieren zu können
- eigene Spionage- oder Störprogramme einzuschleusen
- auf andere Server und das interne Netzwerk zuzugreifen
- illegale Dateien für den Zugriff durch Externe bereitzustellen oder SpamE-Mails aus dem Netz des Unternehmens massenhaft zu versenden.
© FIDES IT Consultants
16
4. Wie funktioniert Penetration Testing? - Fallbeispiel
© FIDES IT Consultants
4. Wie funktioniert Penetration Testing? - Fallbeispiel
-
In diesem Beispiel hat der „Angreifer“ eine Schwachstelle in dem eingesetzten
Apache Webserver ausgenutzt, um Administrationsrechte (sog. root-Rechte)
auf das Betriebssystem des Webservers zu erlangen.
-
Der Webserver wurde nicht in einer sog. DMZ (Demilitarisierten Zone)
betrieben, sondern im internen Netzwerk des Unternehmens.
-
Der „Angreifer“ konnte daher vom Webserver aus mit den hoch privilegierten
Rechten des Administrators ohne Weiteres auf vertrauliche Daten auf dem
Fileserver zugreifen, diese entwenden und am originären Speicherort im
Unternehmen zusätzlich manipulieren.
© FIDES IT Consultants
18
4. Wie funktioniert Penetration Testing? - Fallbeispiel
-
Für den Zugriff im Rahmen eines Penetrationstests sind zwei Ansätze zu
unterscheiden:
1. Aus dem Internet
2. Aus dem internen Netzwerk
-
Der Zugriff aus dem Internet simuliert die Attacke eines externen Angreifers.
-
Der Zugriff aus dem internen Netzwerk simuliert die Situation, nachdem es
einem Angreifer gelungen ist, die Firewall zu überwinden oder einen Angriff,
der von einem Mitarbeiter, Dienstleister oder Gast herrührt.
-
Ein Angriff von innen muss nicht zwangsläufig bewusst und kriminell motiviert
erfolgen: ein schlecht geschütztes, “infiziertes“, mitgebrachtes (privates)
Notebook oder ein eingeschleuster USB-Stick (vgl. „Social Engineering“)
genügen.
© FIDES IT Consultants
19
4. Wie funktioniert Penetration Testing? - Fallbeispiel
Penetrationtest aus dem Internet
© FIDES IT Consultants
4. Wie funktioniert Penetration Testing? - Fallbeispiel
Penetrationtest aus dem internen Netz
© FIDES IT Consultants
4. Wie funktioniert Penetration Testing?
Die Top 6 Fehlerquellen, die in der Praxis zu Schäden durch unberechtigten
Zugriff auf IT-Systeme geführt haben:
-
-
-
Ungeschützter Betrieb eines öffentlichen Webservers im internen Netz
Aus dem Internet erreichbarer Fernzugriff auf einen internen Rechner mit
Electronic-Banking-System mit schwacher Verschlüsselung und
Trivialpasswörtern
Leicht zu erratende Trivialpasswörter für hochprivilegierte Benutzer mit 7x24
Zugriffsmöglichkeit aus dem Internet ohne adäquate Sperre bei Falscheingabe
und ohne IT-Monitoring
Überbrückung der eigentlich sicheren Firewall durch Server oder einzelne PC
von Mitarbeitern, mit ungeschütztem lokalen Internetzugang
Einsatz einer Firewall mit veraltetem und unsicherem Betriebssystem
(Firmware)
Direkter (VPN-)Zugriff von Smartphones und Tablets auf interne Mailsysteme
© FIDES IT Consultants
22
4. Wie funktioniert Penetration Testing?
Mögliche Empfehlungen zur Abstellung der Top 6 Fehlerquellen:
-
-
Reduzierung der Komplexität der IT
Regelmäßige Prüfung und Update der vorhandenen Firewall
Härtungskonzepte für exponierte Systeme, z.B.
- Deinstallation nicht benötigter Komponenten
- Anpassung der Betriebssystemeinstellungen
- kontinuierliches Monitoring der wichtigsten Einstellungen
Sofortige Entfernung sämtlicher nicht mehr benötigter Berechtigungen
Organisatorische und technische Umsetzung von sicheren Mindeststandards für
Passwörter
Einführung von zertifikatsbasierten Zugangs- und Verschlüsselungsverfahren
Einsatz automatisierter Erkennungsverfahren für Angriffsversuche (bspw.
denyhosts und Intrusion Detection Systeme)
© FIDES IT Consultants
23
4. Wie funktioniert Penetration Testing?
Mögliche Empfehlungen zur Abstellung der Top 6 Fehlerquellen
(Fortsetzung):
-
Wirksame Verschleierung der IT-Architektur und der verwendeten (Sicherheits-)
Verfahren für Außenstehende (bspw. durch Konfiguration von Serversoftware)
Einführung eines Netzzugangskontrollsystems (engl. Network Access Control
System, sog. NAC) zur Verhinderung von Bypässen und dem Anschluss
unsicherer Systeme im internen Netz
© FIDES IT Consultants
24
5. Technische Stolpersteine
Bereits vorhandene Sicherheitssysteme in einem Unternehmen sollen im Rahmen
eines Penetrationstests auf Ihre Wirksamkeit überprüft werden.
Daher gilt, dass
-
IDS-Systeme
DMZ
Applikationsproxys
Network Access Controls
Sicherheitsmaßnahmen des Providers bei Auslagerung von IT-Diensten
so auszugestalten sind, dass im Rahmen von Penetrationstests (und damit auch
für unberechtigte Dritte) ein Eindringen in das Unternehmensnetz verhindert wird.
Um sicherstellen zu können, dass auch eine zweite Barriere halten würde (bspw.
bei Ausfall der Firewall/Zero-Day-Exploit) ist es gelegentlich erforderlich, den
Penentrationstest „hinter“ der ersten oder der zweiten Barriere zu starten.
© FIDES IT Consultants
25
Vielen Dank für
Ihre Aufmerksamkeit
Tim Kohnen
[email protected]
T
+49 421 3013 404
M
+49 174 9280 404
F
+49 421 3013 449
Birkenstr. 37
28195 Bremen
Am Kaiserkai 60
20457 Hamburg
www.fides-it-consultants.de
© FIDES IT Consultants
© Copyright 2024 ExpyDoc
