Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier

Ein neuer Cybersecurity-Bericht beim Verfassungsschutz, der gemeinsam von FBI, CISA und NSA verfasst wurde, beleuchtet die Aktivitäten der russischen militärischen Cyber-Einheit 29155, die seit mindestens 2020 weltweit Angriffe auf kritische Infrastrukturen durchführt.

Diese Einheit, die dem russischen Militärgeheimdienst GRU angehört, nutzt dabei fortschrittliche Techniken für Spionage, Sabotage und gezielte Rufschädigung. Der Bericht analysiert die Taktiken, Techniken und Verfahren (TTPs), die von diesen Akteuren verwendet werden, und gibt Empfehlungen, wie Unternehmen ihre Sicherheit stärken können.

„Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier“ weiterlesen

IT-Sicherheit und Arbeitsrecht – Worauf Arbeitgeber und Arbeitnehmer achten müssen

In der heutigen digitalen Arbeitswelt spielt IT-Sicherheit die entscheidende Rolle. Arbeitgeber müssen Maßnahmen ergreifen, um die IT-Sicherheit in ihrem Betrieb zu gewährleisten, und Arbeitnehmer müssen sich bewusst sein, welche Konsequenzen drohen, wenn sie die Sicherheit des Unternehmens gefährden. Im Folgenden geht es um die wichtigsten Aspekte, die Arbeitgeber und Arbeitnehmer im Zusammenhang mit IT-Sicherheit und Arbeitsrecht beachten müssen.

„IT-Sicherheit und Arbeitsrecht – Worauf Arbeitgeber und Arbeitnehmer achten müssen“ weiterlesen

Cyberversicherung muss nach Hackerangriff bei Falschangaben nicht zahlen

Wann muss die Cyberversicherung bei fehlenden Updates nicht zahlen: Am 23. Mai 2024 entschied das Landgericht Kiel (Az. 5 O 128/21) über einen spannenden Fall im Bereich des Versicherungsrechts rund um Hackerangriff. Der Fall drehte sich um die Anfechtung eines Versicherungsvertrags aufgrund arglistiger Täuschung durch den Versicherungsnehmer:

Die Versicherung hatte wegen arglistiger Täuschung aufgrund von Falschangaben beim Abschluss der Versicherung den Vertrag im Leistungsfall angefochten – und damit der Zahlung die Grundlage entzogen. Der Versicherungsnehmer werte sich dagegen. Diese Entscheidung ist eine der wenigen zur Einstandspflicht der Cyberversicherung bei einem Hackerangriff und beleuchtet wichtige Aspekte der rechtlichen Anforderungen an die Beantwortung von Risikofragen und die Konsequenzen falscher Angaben im Antragsprozess.

„Cyberversicherung muss nach Hackerangriff bei Falschangaben nicht zahlen“ weiterlesen

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

NIS2UmsuCG: Zur Umsetzung der NIS2-Richtlinie liegt inzwischen der Referentenentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz –
NIS2UmsuCG) vor.

Es zeichnet sich ab, dass das BSI-Gesetz sich verändern wird: Ursprünglich angetreten, um die Kompetenzen und Maßnahmen des BSI zu regeln, wandelt es sich immer mehr zum Cybersicherheits-Regelungswerk. Dies war mit dem IT-Sicherheitsgesetz schon absehbar, wurde mit dem IT-Sicherheitsgesetz 2.0 aufgebohrt und wird nun auf ein vollkommen neues Level gehoben. Insbesondere die Privatwirtschaft muss sich warm anziehen.

Hinweis zum laufenden Stand des Gesetzgebungsverfahrens: Eigentlich muss die NIS2-Richtlinie bis Mitte Oktober umgesetzt sein. Es gibt aber erst seit Mai 2024 überhaupt Referentenentwürfe, was bereits Zweifel daran weckt, ob das rechtzeitig was wird. Mit Blick hierauf wurde ein Absatz dazu aufgenommen, was eine verspätete Umsetzung bedeutet. Der Artikel wurde auf den Stand des zweiten Referentenentwurfs (Bearbeitungsstand: 24.06.2024) gebracht.

„NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ weiterlesen

Cybersicherheit in kleinen Unternehmen

Cybersicherheit ist längst im Fokus der Unternehmen: Zu lange wurde die IT-Sicherheit im Kontext der Digitalisierung, sei es aus Kostengründen, sei es aus Unwissenheit, vernachlässigt. Während nun größere Unternehmen „aufrüsten“, in Infrastruktur und Schulung investieren, scheuen kleine und kleinste Unternehmen die Kosten. Es entsteht eine gefährliche Schieflage und fernab der juristischen Debatte möchte ich hier einen Einblick geben in – aus hiesiger Sicht sehr einfache – Maßnahmen zum Schutz des eigenen Betriebes.

Unsere Kanzlei hat dabei vorgesorgt, wir sollten zeitweilig bei einem längeren Stromausfall für Sie nahtlos weiter tätig sein können (siehe unten). Wir haben zudem inzwischen einen Notsorgeplan, um unsere Erreichbarkeit sicher zu stellen, wenn elektronische Kommunikationsmittel nicht verfügbar sind.

„Cybersicherheit in kleinen Unternehmen“ weiterlesen

Cybercrime: Wie Unternehmen mit Ransomware erpresst werden

Die Polizei Aachen hat eine recht beachtliche Pressemitteilung zum Umgang mit Cybercrime für Unternehmen herausgegeben, die auch hier aufgenommen wird. Man kann nicht genug betonen, wie wichtig es ist, hier nicht zu blauäugig zu sein – Mitarbeiter sind ein erhebliches Einfallstor für Angreifer, etwa über Fake-Support-Anrufe und natürlich mit den modernen Bestell-Maschen.

„Cybercrime: Wie Unternehmen mit Ransomware erpresst werden“ weiterlesen

LG Köln zur Filesharing-Abmahnung: Portsperrung reicht doch nicht

Das LG Köln (28 O 421/10) hat sich wieder einmal mit einem Streit um eine Filesharing-Abmahnung beschäftigt. Und wieder einmal ging es für den Abgemahnten ganz Übel aus. Das übliche in Kürze: Der Anschlussinhaber – es wurde nicht geklärt, wer Täter war – wurde zur Übernahme der Anwaltskosten verurteilt. Im Kern ging es um über 600 Euro, getauscht wurde ein Software-Spiel. Und die Deckelung auf 100 Euro greift ohnehin nicht, kennt man ja auch. Das LG Köln dazu:

Bei der Einstellung eines Computerspiels kann angesichts des erheblichen Aufwandes, der bei der Programmierung und Vermarktung eines Computerspiels betrieben wird und der Gefahr der Nachahmung […] nicht von einer qualitativen Unerheblichkeit gesprochen werden.

Beeindruckend, dass jetzt schon nicht mehr auf die (un)erheblichkeit der handlung des Filesharers, sondern verklausuliert auf das (vom §101 UrhG bekannte) gewerbliche Ausmaß abgestellt wird.

Interessant ist die Entscheidung für mich aber unter einem anderen Blickwinkel. Das Landgericht beackert natürlich, aus Köln gewohnt, warum der Anschlussinhaber voll für den Rechtsbruch einsteht. Die Frage ist hier, welche Prüfpflichten der Anschlussinhaber hat – insoweit ja nichts neues. Gerichte, speziell im Raum Köln, verlangen dabei immer eine „Firewall“ und verweisen auf „Portsperren“. Nun lag beim LG Köln die Besonderheit vor, dass eine Portsperre eingerichtet war, lediglich Port 80 war nutzbar. Dazu meint das LG Köln nun:

Der Vortrag des Beklagten, es sei lediglich Port 80 des Modems freigegeben gewesen, führt ebenfalls zu keinem anderen Ergebnis, da der Beklagte nicht hinreichend dargelegt hat, dass diese Freigabe lediglich durch ihn zu ändern gewesen wäre.

Nachdem man also über Jahre hinweg von Portsperren fabuliert hat und nun jemanden vor sich sitzen hat, der eine solche Portsperre eingerichtet hat, soll das dann auch nicht mehr reichen. Am Rande sei bemerkt, dass kurz vorher wieder etwas von „Firewalls“ zu lesen ist. Ich bin gespannt, wann die Richter in Köln endlich einmal erklärt bekommen, dass Firewalls, bei denen man Tauschbörsenprogramme „sperrt“ (viele Produkte habe hier entsprechende Auswahlflächen) im Regelfall auch nur bestimmte Ports sperren. Man landet also wieder bei obiger Argumentation. Und letztlich ist der gesamte Ansatz nonsens, da man bei P2P-Software problemlos auswählen kann, welcher Port genutzt wird – und den Port 80 (den nutzt man übrigens für das HTT-Protokoll, also zum Abrufen von Webseiten) kann man da problemlos auswählen.

Das LG Köln hat nun endgültig klar gemacht: Es gibt, zumindest innerhalb von Familien, keinen Schutz der gerichtlich anerkannt wird. Natürlich, die Argumentation des LG Köln ist noch nicht ausgeschöpft: Man könnte noch vortragen, dass die Konfiguration (etwa des Routers) mit einem individuellen Passwort gesichert war, dass nur einer Person bekannt war. Ich wette aber, man wird im Zuge der sekundären Darlegungslast verlangen, dass diese Person vor Gericht darlegt, dass das Passwort sicher ausgewählt und aufbewahrt. Und selbst wenn das eintritt, wird spätestens dann dem LG Köln einfallen, dass eine Portsperre ohnehin nutzlos ist. So oder so: Nach einer Filesharing-Abmahnung trifft es den Anschlussinhaber vor dem LG Köln hart.

Unsicherheiten beim Personalausweis?

Man muss wohl schon ein wenig kritisch sein, wenn zur Zeit beispielsweise zu lesen ist:

„ARD-Sendung „Plusminus“ deckt Sicherheitslücken beim neuen Personalausweis auf – Minister de Maizière sieht keinen Handlungsbedarf“

Ein Sicherheitsdefizit beim Personalausweis? Wer die Hintergründe kennt, dürfte verwundert sein und Heise.de berichtet zu Recht von „Sicherheitsdefiziten bei Lesegeräten“, was keine Wortklauberei sondern eine Richtigstellung ist – zumal noch die Einschränkung vorgenommen wird, dass sich die Kritik bisher wohl alleine in Richtung der Lesegeräte der Klasse 1 richtet.

Das Problem ist dabei nicht neu und kein spezifisches: Wer den Personalausweis mit den digitalen Funktionen in einer technischen Umgebung nutzt, ist immer nur so „sicher“, wie auch die technische Umgebung „sicher“ ist. Und wenn man beispielsweise den Personalausweis in ein Peripheriegerät (Leser) steckt und über ein anderes Peripheriegerät (Tastatur) einen Pin-Code eingibt, wobei die Daten in einem zentralen Gerät (Computer) verarbeitet werden, bieten sich viele Kommunikationswege, die abgegriffen werden können. Beispielsweise mit einem „Keyboard-Sniffer“, der schlicht sämtliche Tastatur-Eingaben abfängt.

Für den Anwender bedeutet das, dass dieser immer vorsichtig sein muss – sowohl in „fremden Umgebungen“ (Internetcafe) als auch in der häuslichen Infrastruktur. Nicht ohne Grund schreibt das neue Personalausweisgesetz zwingend vor, dass man den heimischen Rechner „sichern“ muss, sprich: Zumindest aktuelle Virenscanner und eine Software-Firewall im Einsatz haben muss (Ich hatte hier berichtet).

Was heißt das nun: Panik? Nein, keinesfalls. Aber das Risiko ist zumindest bei unerfahrenen bzw. allzu blauäugigen Nutzern schon sehr groß. So wie heute allzu viele unwissende Eltern Filesharing-Abmahnungen für die Dummheiten der Kinder erhalten und man plötzlich lernt, dass auch ein DSL-Anschluss eine gewisse digitale Bildung benötigt, so wird auch die digitale Funktion im Personalausweis zwingend verlangen, dass man sich mit grundlegenden digitalen Fragen einfach auskennen muss. Andernfalls sollte man von Anfang an die digitale Funktion nicht freischalten.

Anmerkung: Ich sehe hier schon einige erhebliche (soziale) Probleme, zumal mit der digitalen Funktion ja zukünftig unmittelbare Vertragsschlüsse möglich sein sollen. Die „Oma“, die ihren Pin auf dem Ausweis kopiert habe ich da genauso vor Augen, wie den übermütigen Teenie, der im Internetcafe allzu leichtfertig seinen Ausweis in fremde Lesegeräte steckt. Wahrscheinlich wird hier, so wie aktuell beim Filesharing, erst einmal sehr viel Lehrgeld fliessen müssen. Wobei ich mich auch frage, wo die staatlichen Informationsbroschüren zum Thema „sichere Umgebung“ bleiben – der Hinweis auf das BSI alleine ist m.E. nicht ausreichend.

Link zum Thema:

Filesharing-Abmahnung: Streitwert weiter unter Druck

Im Nachgang der Entscheidung des BGH zum Thema „Filesharing-Abmahnung“ (Dazu nur hier), hatte das OLG Frankfurt a.M. (11 O 52/07) als Vorinstanz nochmals zu entscheiden, in welcher Höhe der Abgemahnte die Kosten des gegnerischen Anwalts zu tragen hat. Dabei wurde auf einen Streitwert von 2.500 Euro erkannt.

Nunmehr liegt mit einer aktuellen Entscheidung des AG Düsseldorf (57 C 15740/09) aus dem April 2011 eine der ersten Entscheidungen vor, in denen sich konkret auf das OLG Frankfurt a.M. bezogen wird: Das AG Düsseldorf stellt fest, dass zumindest in den Fällen, in denen eine Tonaufnahme getauscht wird, grundsätzlich von einem Streitwert in Höhe von 2.500 Euro auszugehen sei. Das ist durchaus ein brauchbares Argument, um in Verhandlungen mit dem Gegner einzusteigen. Durchaus bietet sich hier für Abgemahnte Potential, die Abmahnung „etwas günstiger“ erledigen zu können.

Im Übrigen bietet die Entscheidung aus Düsseldorf wenig interessantes oder neues: Eine Kostendeckelung wird mit einem Satz verneint, Schadensersatz bei einem reinen Störer aber ebenso. Eine Sache aber ist mir dennoch einen speziellen Hinweis wert, denn nicht nur ich werde rätseln, was damit gemeint ist:

So wäre die Einrichtung einer wirksamen Firewall möglich und zumutbar gewesen, durch die die Nutzung einer Filesharing-Software verhindert werden kann, oder auch andere technische Möglichkeiten wie die Nutzung bestimmter Modems.

Was bitte schön sind „Bestimmte Modems“?

Zum Thema: