Juristische Aspekte der IT-Sicherheit
24.06.2008
Rechtsanwältin Kathrin Berger
[email protected]
NELL-BREUNING-ALLEE 6
TELEFON: +49(0)681 /9 26 75-0
D-66115 SAARBRÜCKEN
TELFAX: +49(0)681 /9 26 75-80
WWW.JURE.DE
Bedrohungsszenarien
• Viren, Würmer, Trojaner -> ungenügende Sicherung
• Illegale Internetnutzung durch Mitarbeiter -> z.B. illegale Seiten
• Urheberrechtsverletzungen
• (Ungewollte) Preisgabe von geschützten Informationen
• Datenverlust durch fehlende Datensicherung
Was ist IT-Sicherheit im rechtlichen Sinn ?
„Sicherheit in der Informationstechnik (...) bedeutet die
Einhaltung bestimmter Sicherheitsstandards, die die
Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von
Informationen betreffen, durch Sicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten
2. bei der Anwendung von informationstechnischen Systemen oder
Komponenten
(§ 2 Abs. 2 Gesetz über die Errichtung des Bundesamtes für
Sicherheit in der Informationstechnik (BSIG))
Grundwerte der IT-Sicherheit
Vertraulichkeit
Schutz vertraulicher Informationen vor unbefugtem Zugang
Verfügbarkeit
Funktionalitäten und Informationen stehen zur Verfügung, wenn sie
benötigt werden
Integrität
Keine unerlaubte Veränderung der Daten während und nach ihrer
Verarbeitung möglich
Authentizität
Aussteller ist zu erkennen und nachzuvollziehen
Säulen der IT-Sicherheit
Technik: sichere Hard- und Software, ständige Anpassung
Organisation: Vereinbarungen, Vorgaben für Mitarbeiter
Recht: Kontrolle muss im rechtlich zulässigen Rahmen bleiben
Staatliche Vorgaben
 Bundesdatenschutzgesetz, Telekommunikationsgesetz
 Standards und Empfehlungen -> nicht konkret, Maßnahmen und
Empfehlungen z.B: im Grundschutzhandbuch des Bundesamtes für
Sicherheit ni der Informationstechnik (www.bsi.de/gshb)
 Verhaltenspflichten (z.B. Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich – „KontraG“; Verwaltungsrichtlinien)
 Sanktionen (Haftungsverteilung, Ordnungswidrigkeiten, Strafrecht)
Wer haftet ?
Amtshaftung
Ausübung eines öffentlichen Amtes + Amtspflichtverletzung
Körperschaft haftet, in deren Diensten der
pflichtwidrig handelnde Amtsträger steht
Vorsatz / grobe Fahrlässigkeit
Rückriff möglich
Grundsätze der Haftung
Grundsätzlich: Haftung für Vorsatz und leichte sowie grobe Fahrlässigkeit
gem. § 8 BDSG haften öffentliche Stellen bei automatisierter
Datenverarbeitung für entsprechende Verstöße verschuldensunabhängig
Bei Delegation an Dienstleister: Verpflichtung zur sorgfältigen Auswahl und
Beaufsichtigung
ggf. muss beim mangelnder eigener Fachkunde ein externer Berater für die
Auswahl und Aufsicht herangezogen werden
interne Beauftragte müssen mit ausreichenden sachlichen und personellen
Kapazitäten ausgestattet sein, bei externen Beauftragten muss sich die
Amtsleitung von solchen Kapazitäten sorgfältig überzeugen
Beauftragter muss mit allen notwendigen Informationen versorgt werden
Aufgabenbereiche
 Strategische Aufgaben
- Zuständigkeit: Amtsleiter
- Anordnung geeigneter Maßnahmen
 Konzeptionelle Aufgaben
- Zuständigkeit: ggf. auch Mitarbeiter, wenn entsprechend
beauftragt und verantwortlich
- Sicherheitskonzept
 Operative Aufgaben
- Zuständigkeit: Mitarbeiter, wenn entsprechend beauftragt und
verantwortlich
- Ordnungsgemäße Abwicklung der Vorgaben (Einsatz von
Spam-/Viren-Filtern, Backups, Lizenzen Software)
Beispiele
- Mitarbeiter besucht rechtswidrige Internetseiten und lädt dort
indizierte Dateien herunter
- Mitarbeiter beteiligt sich über Bürorechner an P2P-Tauschbörsen
und begeht Urheberrechtsverletzung
- Der mit der IT-Sicherheit beauftragte Mitarbeiter hat vergessen,
eine Firewall einzurichten, daraufhin greift ein Hacker auf
vertrauliche Daten zu und verbreitet diese weiter
Beispiele
Die Rathaus-Sekretärin wird damit betraut, die tägliche
Datensicherung auf einer Kassette vorzunehmen. Sie hält dies
nicht für notwendig und sichert nur ab und zu die Daten, da ja
„nie etwas passiert“.
Vor der jährlichen Wartung des Servers erkundigt sich der
Techniker, ob eine Sicherung der Daten durchgeführt wurde. Dies
wird von der Sekretärin bejaht. Bei der Wartung werden sämtliche
Daten zerstört, die Wiederherstellung ist sehr teuer.
Wer haftet für den Schaden?
Vielen Dank für Ihre Aufmerksamkeit !
Rechtsanwältin Kathrin Berger
STOPP PICK & KOLLEGEN
[email protected]

Juristische Aspekte der IT-Sicherheit 24.06.2008 - eGo-Saar