Cyber Security - aus Sicht der Wirtschaft

Cyber Security aus Sicht der Wirtschaft
Rechtsanwalt Markus Lennartz
Dienstbesprechung LKA NRW – Prävention Cybercrime
Düsseldorf, 16. September 2015
Unsere Standorte
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
2
Überblick
1.
Zahlen Daten Fakten – Vom Festnetz zu digitalen Geschäftsmodellen
2.
Gefährdungssituation aus Sicht der Wirtschaft (Großunternehmen, Mittelstand und
Kleinunternehmen)
3.
BITKOM-Studie zur Sicherheitslage in Deutschland
4.
Anknüpfungspunkte für ein verändertes präventives Verhalten in der Wirtschaft
a.
Das neue IT-Sicherheitsgesetz (IT-SiG)
b.
Security Breach Notification, § 42a BDSG
c.
Anknüpfungspunkt Compliance und Managerhaftung
5. Ausblick
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
3
1. Zahlen Daten Fakten –
Einige Pressemeldungen
„Der Bundestag nimmt sein internes Datennetz aufgrund eines
Hackerangriffs vorübergehend vom Netz.“
Meldungen vom 16.06. und vom 22.08.2015
“Cyberangriff auf Keksfabrik“
„Wenn Hacker den Hochofen übernehmen“
Onlinemeldung vom 19.08.2015 aus Kanada
Handelsblatt vom 18.12.2014
„IS-Hacker legen Sendergruppe TV5 Monde lahm“
Focus online vom 9.04.2015
„Hacker-Attacken zielen immer häufiger auf Fabriken“
Die WELT vom 26.02.2015
„Jeep gehackt. Wie sicher sind die neuen Autos vor CyberAngriffen?“
BILD vom 22.07.2015
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
4
1. Zahlen Daten Fakten
■ Problematik berührt uns nicht erst seit Snowden
■ Angriffsfläche für Cyber-Attacken steigt proportional zur fortschreitenden
Digitalisierung
■ Weltweit im Jahr 2013 insgesamt 42,8 Millionen Hacker-Angriffe; folglich
117.260 pro Tag – Tendenz steigend
■ Schaden von 3,4 Milliarden € durch Internetkriminalität bei deutschen
Privatpersonen. 51 Mrd. € Schaden für die Wirtschaft p.a.
■ Neue Gefahrenfelder: Machine to Machine (M2M), Industrie 4.0,
Digitale Geschäftsmodelle
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
5
2. Gefährdungssituation aus Sicht der Wirtschaft - Großunternehmen
Großunternehmen und börsennotierte Gesellschaften (DAX / MDAX) haben bereits Erfahrungen,
kennen die Gefährdung und haben Gegenmaßnahmen ergriffen oder adressieren das Thema
auch öffentlich.
 Technische Maßnahmen (CERTs, Honey Pots…)
 Organisatorische Maßnahmen (Einrichtung von IT-Sicherheitsabteilungen)
 Personelle Maßnahmen (Schulungen, Kommunikation)
 Zertifizierungen
Darüber hinaus Dialog mit den Sicherheitsbehörden.
Separate Veranstaltungen wie z.B. der Sicherheitsgipfel der Deutschen Telekom
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
6
2. Gefährdungssituation aus Sicht der Wirtschaft - Mittelstand
Nur wenig Wahrnehmung betreffend Gefährdungssituation oder aktives
Sicherheitsmanagement
 Technische Maßnahmen – reduzieren sich auf den Schutz von Komponenten
 Organisatorische Maßnahmen – oft nicht vorhanden
 Personelle Maßnahmen (Schulungen, Kommunikation) – nicht oder kaum gegeben
 Zertifizierungen - nein
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
7
3. BITKOM-Studie
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
8
3. BITKOM-Studie
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
9
4.a. Das neue IT-Sicherheitsgesetz (IT-SiG) –
Hilfe bei der Prävention?
 Änderung bestehender Gesetze u.a. TKG, AtG, BSI-Gesetz, TMG, EnWG
 Sinn und Zweck: Schutz der Öffentlichen Sicherheit, Datenschutz
 Richtet sich an „KRITIS“-Betreiber, Genehmigungsinhaber nach dem AtG,
Telemediendiensteanbieter, Betreiber öffentlicher Kommunikationsnetze oder öffentlich
zugänglicher Telekommunikationsdienste.
 Fragen der Definition von „KRITIS“ bleiben.
 Sanktionswirkung fraglich, insbesondere für KRITIS-Betreiber nicht definiert.
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
10
4.a. Änderungen für Telemedienanbieter durch IT-SiG
Pflichten des § 13 Abs. 7 TMG-E
 Ziel: Verhinderung sog. Drive-by-Downloads
 Adressat: geschäftsmäßige Telemedienanbieter (kommerzielle Content- und Hostprovider)
 Planmäßige und dauerhafte Tätigkeit, in der Regel Dienste gegen Entgelt
Bsp.: werbefinanzierte Webseite, App-Anbieter, etc.
 Ausnahme nur für Private und Idealvereine, nicht für Kleinstunternehmen
 Pflicht zur Sicherung der technischen Einrichtungen gegen
 unerlaubten Zugriff auf technische Einrichtungen
 Verletzungen des Schutzes personenbezogener Daten
kumulativ
 Störungen
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
11
4.a. Änderungen für Telemedienanbieter durch IT-SiG
 Pflicht zum Einsatz von TOVs = technische und organisatorische Vorkehrungen
 Im IT-SiG nicht näher definiert, Verhältnis zu § 9 BDSG unklar
 Zumutbarkeitsschwelle
 technisch möglich und wirtschaftlich zumutbar
 Kosten in angemessenem Verhältnis zum angestrebten Schutzzweck
 Sicherheitstechniken
 Anerkannte Verschlüsselungsverfahren
 mindestens regelmäßige Sicherheitsupdates
 Technische Richtlinien des BSI
Sonderfall: Personalisierte Telemedien (z.B. Online-Shops)
 Sichere Authentifizierungsmaßnahmen
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
12
4.a. Änderungen für Telemedienanbieter durch IT-SiG
- Zwischenfazit
Sanktion
Bußgeld i.H.v. EURO 50.000
 Bei Verstoß gegen Pflicht zum Einsatz der erforderlichen Schutzmaßnahmen
 Bei Maßnahmen, die nicht dem Stand der Technik entsprechen
 Vorsatz und Fahrlässigkeit
 Keine Umsetzungsfrist!
Zwischenfazit
Das IT-SiG wird aufgrund des engen Adressatenkreises über diesen hinaus keinen
Anstieg der IT-Sicherheitsstandards und –Maßnahmen im Mittelstand sowie im Bereich
kleiner Unternehmen bewirken.
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
13
4.b. Security Breach Notification nach § 42a BDSG
Hilfe bei der Prävention?
Datenschutzrechtliche Informationspflicht bei Datenpanne, Hackerangriff, etc.
 besonders sensible Daten, u.a. zu Bank- und Kreditkartenkonten
 Hohe Wahrscheinlichkeit für unrechtmäßige Kenntniserlangung durch Dritte
 Z.B. durch Auswertung der Log-Files
 Drohende schwerwiegende Beeinträchtigung der Rechte und schutzwürdigen Interessen des
Betroffenen
 Z.B. bei Kreditkarten, Identitätsklau
 Unverzügliche Mitteilung an Datenschutz-Aufsichtsbehörde und Betroffene, sobald
angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind („Responsible
Disclosure“) und/oder die Strafverfolgung nicht mehr gefährdet wird
Ausnahme: Unterrichtung der Öffentlichkeit, wenn Einzelunterrichtung aller Betroffener
unverhältnismäßig.
Verstoß gegen die Mitteilungspflicht ist bußgeldbewehrt mit bis zu 300.000 €.
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
14
4.c. Anknüpfungspunkt Compliance und
Managerhaftung
 Compliance = Pflicht der Unternehmensleitung, die Einhaltung der Gesetze durch das
Unternehmen (und ggf. der Tochtergesellschaften) sicherzustellen
 Risikomanagement: Pflicht für Kapitalgesellschaften folgt aus §§ 317, 322 Abs. 6 i.V.m. § 289
Abs. 2 und 5 HGB sowie für die Aktiengesellschaft aus § 91 Abs. 2 AktG. Inhaltliche
Ausgestaltung jedoch nicht detailliert geregelt.
 Keine unmittelbare umfassende gesetzliche Pflicht nach h.M. im juristischen Schrifttum
 hergeleitet aus § 91 Abs. 2 oder aus §§ 76, 93 AktG, ggf. KWG
 Missachtung führt zu zivilrechtlichem und strafrechtlichem Haftungsrisiko
 Pflichtverletzung / Verletzung der Sorgfaltspflicht / Strafnormen/ OWi
 Organmitglieder haften persönlich, unbeschränkt und mit dem gesamten Vermögen
 Gesamtschuldnerische Haftung des Vorstands/Aufsichtsrats bei AktG, Genossenschaft und
GF der GmbH („Härte der Organhaftung“)
 Kenntnis der Anforderungen an einzelnes Organmitglied bzgl. Kontrollpflichten unabdingbar
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
15
4.c. Anknüpfungspunkt Compliance und
Managerhaftung
Urteil LG München I v. 10.12.2013 – Der Neubürger-Fall
 Pflichtverletzung des ehem. Vorstandsmitglieds wg. unzureichender Compliance-Organisation
 Leitungsverantwortung + Legalitätspflicht = Compliance-Organisation
 Schadensprävention und Risikokontrolle
 Prävention: Gesetzesverstöße verhindern
 Detektion: Regelwidriges Verhalten aufdecken
 Reaktion: Ahndung eines Verstoßes in der „gebotenen Schnelligkeit“
 Kontinuierliche Evaluation des Compliance-Systems, Nachbesserung struktureller Mängel
 Keine Delegation auf einzelnes Ressort der GL noch auf nachgelagerter Unternehmensebene
 Ausnahme: Vorbereitung und Ausführung der Kontrollhandlungen
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
16
4.c. Anknüpfungspunkt Compliance und
Managerhaftung
Wichtigster Schritt: Analyse der Compliance-Risiken
 Bereits Nichtberücksichtigung erkennbarer Risiken führt zu Pflichtverletzung
 Umfassendes Self-Assessment
 Identifizierung der für Compliance-Fragen besonders sensiblen Unternehmensbereiche
 Schaffung angemessener Strukturen zur Risikominimierung
 Effektive Aufdeckung
 materielle Sichtweise entscheidend
 Prüfungsstandard IDW PS 980 nicht ausreichend, da rein prozedural
 Effektive Kontroll-, Berichts- und Eskalationsmechanismen bis zur GL
 „Nur hinschauen exkulpiert, Wegschauen führt zur Haftung“
 Turnusmäßige und anlassbezogene Berichterstattung
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
17
4.c. Anknüpfungspunkt Compliance und
Managerhaftung
 Compliance Standards ISO 19600 und ISO 37001
 Grober Leitfaden
 IT-Sicherheit
 BSI-Grundschutz als Ausgangspunkt
 für alle Unternehmen
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
18
Markus Lennartz

Markus Lennartz
Goetheplatz 5-7
 Zugelassen als Rechtsanwalt seit 2000
 Seit 2015 Rechtsanwalt bei Heuking Kühn Lüer Wojtek, Frankfurt am Main
 2011 – 2014 Vice President Global Accounts, International Business bei der
T-Systems International GmbH
 2007 – 2010 Aufbau und Leitung der Service Akademie der Deutschen Telekom
 2004 – 2010 Leiter Corporate Office Deutsche Telekom AG
 2001 – 2004 Leiter Aufsichtsratsbüro Deutsche Telekom AG
 1999 - 2001 Beteiligungsmanagement Deutsche Telekom AG
 Studium der Rechts- und Wirtschaftswissenschaften an der Universität Osnabrück

Kompetenzen






60313 Frankfurt am Main
T +49 69 975 61-351
F +49 69 975 61-490
[email protected]
www.heuking.de
Werdegang

Recht der Informationstechnologie (IT)
Vertragsrecht
Infrastrukturprojekte
Vergaberecht
Gesellschaftsrecht
M&A
Mitgliedschaften
 International Bar Association (IBA)

Sprachen
 Deutsch
 Englisch
 Französisch
25.09.2015 • Heuking Kühn Lüer Wojtek •
Unsere Standorte
25.09.2015 • Heuking Kühn Lüer Wojtek • Dienstbesprechung LKA NRW
20

Download Report