Hoeren-Skript zum IT- und Internet-Recht aktualisiert

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat seine im April 2011 zuletzt erschienenes Skripten zum IT- und Internet-Recht in überarbeiteter Fassung vorgelegt.

„Skript“ ist dabei stark untertrieben. Tatsächlich sind die beiden Hoeren-Skripte jeweils mehrere Hundert Seiten umfassende gewichtige IT-rechtliche Fachlektüre. Wohl dem, der ein Tablet oder einen e-Book-Reader damit bestücken kann.

Da speziell das Recht im Internet sich ähnlich dynamisch entwickelt wie das Netz selbst, waren erneut an etlichen Stellen Aktualisierungen nötig. Hoeren hat dazu Themen wie Social Media, Domainrecht, etliche Detailfragen aus dem Urheberrecht, das DE-Mail-Gesetz Verbraucherschutz bei Online-Geschäften, das Datenschutzrecht oder Fragen zu EDV-Verträgen überarbeitet oder neu mit aufgenommen. Aktualisiert wurden auch Kommentierungen aktueller Rechtsprechung, neuer relevanter Urteile sowie zahlreiche Literaturhinweise.

Hoeren weist bereits im Vorwort seines Buches darauf hin, „dass das Internet eine Dynamik hat, die die klassischen Buchverleger überfordert“. Eine gedruckte Ausgabe der beiden Skripte wäre daher wahrscheinlich bereits zum Zeitpunkt ihres Erscheinens veraltet. Eine digitale Publikation dagegen ermöglicht rasche Fortschreibungs- und Aktualisierungszyklen.

Auch die neue Fassung steht auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Uni Münster kostenlos zum Download bereit.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

Neues Hoeren-Skript zum Internet-Recht erschienen

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat sein im Februar 2010 zuletzt erschienenes Skript zum Internet-Recht in überarbeiteter Fassung vorgelegt.

Da speziell das Recht im Internet sich ähnlich dynamisch entwickelt wie das Netz selbst, waren an etlichen Stellen Aktualisierungen nötig. Hoeren hat dazu Themen wie Internetzensur, Vorratsdatenspeicherung, das Thema De-Mail, die Verlängerung von urheberrechtlichen Schutzfristen für Leistungsschutzberechtigte, den Verbraucherschutz im Internet (z.B. neue Musterwiderrufsbelehrung für den Onlinehandel, Abofallen und Internetbetrug) sowie die Diskussion um ein zusätzliches Leistungsschutzrecht für Verleger überarbeitet oder neu aufgenommen. Aktualisiert wurden auch Bezüge zur BGH-Rechtsprechung und neuer relevanter Urteile.

Ebenfalls wurden mehrere Gesetzesvorhaben der laufenden Legislaturperiode, beispielsweise die Novellierungen zum Bundesdatenschutzgesetz, zur Internetzensur oder dem Arbeitnehmerdatenschutz integriert.

Auch die neue Fassung steht auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Uni Münster kostenlos zum Download bereit (PDF, 3,8 MB).

Wie halten es Kommunen mit dem Datenschutz?

Das fragte sich vor einiger Zeit wohl auch der Thüringer Landesdatenschutzbeauftragte Harald Stauch und lies stichprobenartig 40 Kommunen seines Zuständigkeitsbereiches überprüfen. Die Ergebnisse sind geeignet, seinen kürzlich vorgelegten achten Tätigkeitsbericht zu einem für die Ratshäuser ziemlich blamablen Dokument zu machen.

Stauch ließ in den Jahren 2008 und 2009 den Grunddatenschutz in den Kommunen überprüfen. Also die Erfüllung grundlegender datenschutzrechtlicher Standards wie die Bestellung eines behördeninternen Datenschutzbeauftragten, die Erstellung eines Verfahrensverzeichnisses, die rechtskonforme Regelung und Umsetzung der Verarbeitung personenbezogener Daten durch Dritte (Auftragsdatenverarbeitung) sowie die Erstellung und Umsetzung eines IT-Sicherheitskonzeptes einschließlich entsprechender Dienstvereinbarungen und Anordnungen.

Die Umsetzung solcher Dinge erfordert Sachkenntnisse, ist aber nicht schwieriger als die Umsetzung anderer (z.B. verwaltungsrechtlicher) Aufgaben der Kommunen.

Hinzu kamen spezielle punktuelle Kontrollen, etwa zum Thema elektronische Ausweise, zum Postlauf innerhalb der Behörden sowie zum Umgang mit Sozialdaten für die ein höheres Schutzniveau gilt.

An Mängelfreiheit litt keine der Kommunen, so der Datenschutzbeauftragte in seinem Bericht. Daher nennt Stauch die Kommunen mit echten Mängeln in seinem Bericht auf Seite 31 auch namentlich. Die Beseitigung der beanstandeten Mängel gestaltete sich bisweilen zäh, was Stauch auf fehlende Sachkunde in den Kommunen sowie auf die so erforderlich werdende kosten- und zeitintensive Inanspruchnahme externer Sachverständiger zurückführt, seltener auf den fehlenden Willen in den Kommunalverwaltungen.

Das Hauptproblem jedoch war, dass in vielen Gemeinden Datenschutzbeauftragte und Sicherheitskonzepte fehlten. Die Möglichkeit für kleinere Kommunen, gemeinsam einen Datenschutzbeauftragten zu bestellen und sich so dessen Expertise zu teilen, wurde kaum genutzt. Daher waren es auch meist die kleineren Kommunen und weniger Städte und Landkreise mir personell ausdifferenzierten Verwaltungen, die bei der Datenschutzrevision patzten.

Ursache war nicht ein einzelnes Problem sondern eine Vielzahl meist organisatorischer Defizite in den Rathäusern. Strauch führt in seinem Bericht u.a. Folgendes auf:

Mangelnde Aktivitäten der Kommunalaufsichtsbehörden im Bereich des Datenschutzrechts, fehlender Blick der kommunalen Leitungsebene für den Datenschutz, relativ schwache rechtliche Stellung des behördlichen Datenschutzbeauftragten und Überlastung mit anderen Aufgaben, für die Belange des Datenschutzes unzureichende Personal- und Finanzausstattung der Kommunen, mangelndes datenschutzrechtliches  Problembewusstsein, fehlende (Rechts-) Kenntnisse und wenig ausgeprägte Motivation, (Wissens-) Lücken zu schließen.

Die Zahl der noch unkontrollierten Kommunen und damit die Dunkelziffer datenschutzrechtlicher Verstöße ist mit Sicherheit hoch, so der Thüringer Datenschutzbeauftragte.

Die Aufgaben der Kommunen sind vielfältig. Daher finden sich in Stauchs Datenschutzbericht auch Verstöße aus allen Bereichen kommunaler Tätigkeit: Kommunalverwaltung, Personal, Polizei- und Meldewesen, Umsetzen verfassungsschutzrechtlicher Vorgaben, kommunales Finanzwesen, Justiz, Gesundheits- und Sozialdatenschutz, Wirtschaft, Arbeit, Bau und Verkehr, Bildung, Wissenschaft, Forschung, IT-Infrastruktur.

Einen besonders dicken Bock hatte die Stadtverwaltung Leinefelde-Worbis geschossen, als sie versuchte einen Mitarbeiter verhaltensbedingt zu kündigen. Und zwar mit der Begründung, dass er sich in der Vergangenheit bei verschiedenen Behörden u. a. auch beim Landesdatenschutzbeauftragten über seinen Dienstherrn beschwert hatte. Stauch beanstandete dies. Behörden dürfen Mitarbeiter, die sich beim Landesdatenschutzbeauftragten wegen der Verletzung datenschutzrechtlicher Vorschriften beschweren, nicht benachteiligen und schon gar nicht deswegen kündigen.

Schließlich sah die Stadtverwaltung Leinefelde-Worbis ein, dass eine solche Verfahrensweise nicht rechtens ist und wies ihre Mitarbeiter an, das künftig zu beachten. Ob die rechtlich unzulässige Kündigung zurückgezogen wurde, ist dem Datenschutzbericht jedoch nicht zu entnehmen.

Stauch forderte die Landesregierung dazu auf, das Thüringer Datenschutzgesetz zu modernisieren. Denn das ist mit ein Problem der Landes- und Kommunalbehörden: Hier gilt nicht das (noch relativ aktuelle) Bundesdatenschutzgesetz sondern spezielle Landesdatenschutzgesetze. Manche davon seit den 90er Jahren unverändert.

Zwei neue Hoeren-Skripte zum IT-Vertrags- und Internetrecht

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat sein bekanntes Skript (mit  gut 520 Seiten eher ein dickes Buch) in neuer Fassung vorgelegt. Das Hoeren-Skript gilt inzwischen als ein einführendes Standardwerk zum deutschen Internet-Recht, das den Leser in Themen wie Domainrecht, Urheberrecht, Online-Marketing, Datenschutz, Haftungsfragen im Internet oder internationales Online-Recht einführt.

Und Prof. Hoeren hat nachgelegt! Denn jetzt gibt es zusätzlich auch noch ein Skript zum IT-Recht, das u.a. Themen wie Rechtsschutz für EDV-Produkte, IT-Vertragsrecht, Softwareentwicklung und -überlassung, -vermietung oder -leasing, Softwarewartungs- und Pflegeverträge sowie etliche weitere, meist vertrags- und lizenzrechtliche Fragen rund um die IT behandelt.

Zusammen sind das in etwa 1.000 Seiten IT-rechtliches Know-how zum Nulltarif!

Hoeren-Skript Internet-Recht (PDF, 3,1 MB)

Hoeren-Skript IT-Recht (PDF, 2,2 MB)

Die „schmutzigen“ Geschäftsgeheimnisse mancher IT-Sicherheitsfirmen

Vor einiger Zeit berichtete das Manager-Magazin über „die geheimen Tricks der Security-Anbieter“ und nahm dabei die Geschäftspraktiken der etablierten Anbieter von IT-Sicherheitsprodukten kritisch unter die Lupe. Denn gerade Unternehmen, die die steigenden Kosten der reinen Aufrechterhaltung eines definierten Sicherheitsniveaus ihrer IT-Infrastruktur im Auge behalten, fragen sich zunehmend „Wofür bezahlen wir da eigentlich – Warum muss es überhaupt Schadsoftware geben, für deren Abwehr wir da Schutzgeld löhnen?“.

Ein Stück weit ist diese Frage naiv. Schließlich kosten uns als Steuerzahler auch Polizei und Rechtspflege nur deshalb Geld, weil es Menschen gibt, welche einen eher lockeren Umgang mit Recht und Gesetz pflegen. Oder weil rechtliche Probleme so verwickelt sein können, dass die daraus resultierenden Konflikte vor einem Gericht landen. Aber es steckt auch ein wahres Element darin. Viele IT-Sicherheitsrisiken müssten eigentlich gar nicht sein. Und dann würden sich auch die Kosten ihrer Abwehr erübrigen.

Joshua Corman, Chefstratege für IT-Sicherheit bei IBM, hat acht „schmutzige“ Geheimnisse der IT-Sicherheitsdienstleister identifiziert und in einem Interview mit der US-Fachblatt CSO thematisiert. Die acht Kritikpunkte lassen sich wie folgt zusammenfassen:

These 1: Anbieter wollen nur Geld verdienen
Aus Sicht eines Softwarehauses, das z.B. Antivirenprogramme entwickelt, ist es nicht erforderlich, der Bedrohung einen Schritt voraus zu sein. Es reicht, wenn man dem Kunden eine Nasenlänge voraus ist. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht von Corman die Ursache aller weiteren Übel. Er rät dazu, die Studien, Expertisen und Marketing-Aussagen der Anbieter mit einer gehörigen Portion Skepsis zu lesen.

These 2: Antiviren-Tools nicht zertifiziert
Antiviren-Produkte sind inzwischen recht gut darin, Viren, Trojaner und andere Formen von sich selbst replizierenden Programmcode zu entdecken und unschädlich zu machen. Doch die Formen von Bedrohungen – Rootkits, Bots, Dropper etc. – werden vielfältiger. Und zahlreiche Angriffsarten, wie etwa Social Engineering, Code-Injection oder Phishing zielen auf ganz andere Art und Weise auf die wertvollen Datenschätze der Unternehmen ab. Gegen sie sind viele Antivirenprodukte kaum oder gar nicht wirksam. Zudem gibt es bis heute keinen Standard, gegen den man ein Antivirenprodukt zertifizieren könnte, um generische Aussagen über seine Qualität machen zu können. Entweder man glaubt der Marketing-Abteilung des Herstellers oder nicht.

These 3: Es gibt keine Netzwerksicherheit
Absolute Netzwerksicherheit gibt es nicht. Aber auch bei der relativen Sicherheit eines Firmennetzwerkes hängt sehr viel davon ab, wie es zu Beginn konzeptionell geplant und strukturiert wird. Gerade bei Netzwerken, die zur Realisierung einer mehrstufigen Sicherheitsstrategie eine demilitarisierte Zone (DMZ) enthalten, wird gerne einiges falsch gemacht, so dass deren Perimetersicherheit deutlich schwächer ausfällt als geplant.

Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen. Ein Schelm, wer dabei an die umfangreiche Netzwerk-Produktpalette von IBM denkt…

These 4: Risiko-Management bedroht Anbieter
Viele Risiken lassen sich durch ein ganzheitliches Risikomanagement im Unternehmen in den Griff bekommen. Risiken  kann man dabei grundsätzlich mit Hilfe von sechs Vorgehensweisen begegnen: Vermeidung, Verminderung, Abwälzung auf andere, Eigenfinanzierung, Notfallpläne und Nichtstun. Diese systematische Herangehensweise an Risiken im Bereich der IT-Sicherheit ist dabei jedoch nicht unbedingt im Interesse der Anbieter. Denn sie bieten oft nur ein bestimmtes Produkt (Virenschild, Firewall, Spamfilter …) für ein bestimmtes Problemfeld an. Eine Integration solcher Produkte in eine übergeordnete Strategie erfordert jedoch Know-how, über das viele Unternehmen nicht verfügen und das sie bei den Produkteanbietern auch nicht extern einkaufen können.

These 5: Nur so stark wie das schwächste Glied
Ist die IT-Sicherheit im Unternehmen jedoch eher fragmentarisch und unsystematisch aus diversen Kaufprodukten zusammengesetzt (IT-Fachleute sprechen gerne auch von „historisch gewachsen“), so nimmt die Wahrscheinlichkeit von ausnutzbaren Lücken darin rapide zu. Was den fachlichen Rat nahelegt, die Sicherheit der eigenen IT-Infrastruktur regelmäßig, z.B. durch dynamische Sicherheitstests prüfen zu lassen und die Verbesserungsvorschläge in den Prüfergebnissen zeitnah umzusetzen.

Eine oftmals größere und zudem gern unterschätzte Gefahr geht zudem von unzureichenden Systemkonfigurationen, etwa bei Zugriffsberechtigungen, sowie von Beschäftigten aus. Beispiel: Das beste Passwort zum Schutz des Geheimarchivs ist sinnlos, wenn es als Post-it-Notiz unter der Tastatur klebt. Doch genau in diesen Bereichen versagen die meisten Anbieter. Schließlich verkaufen sie Produkte und bieten keine umfänglichen Beratungsleistungen an.

These 6: Die Compliance-Lüge
Von Land zu Land unterschiedliche regulatorische Vorgaben führen oftmals dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu zählen in Deutschland das Bundesdatenschutzgesetz, das Telekommunikationsgesetz, Auflagen der Sozialversicherungsträger aber auch Auswirkungen von Branchenregulierungen wie EuroSOX oder als Folge von Wirtschaftsskandalen verschärfte Sorgfalts- und Kontrollpflichten des Gesellschaftsrechts.

Oft machen Hersteller von IT-Sicherheitsprodukten es sich einfach und bieten Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken und dem Kunden das Nachdenken über komplizierte juristische Zusammenhänge abnehmen sollen. Fragt man dann aber etwas detaillierter nach, gehen den (oft nur oberflächlich geschulten und in juristischen Feinheiten ungeübten) Produktberatern rasch die Argumente aus.

In Wirklichkeit versagen die Lösungen oft, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken. Die Probleme hat dann der Kunde. Für Softwareprodukte gibt es keine „Straßenverkehrszulassung“ wie für Autos, welche diese erfüllen müssen, bevor sie in den Handel kommen.

These 7: Botnetze werden ausgeblendet
Eine nicht mehr ganz neue aber nichtsdestotrotz bedeutende Gefahr für Unternehmen sind Botnetze. IN ihnen werden große Zahlen (meist privater) PCs zu einer Art Superrechner zusammengeschaltet und von einem zentralen Rechner („Command & Control-Server) aus gesteuert. Botnetze lassen sich in der Internet-Schattenwirtschaft mieten wie Autos und man kann mit ihnen z.B. Werbemails (Spam), Mailbetrugsversuche (Phishing), schadsoftwareverseuchte Mailanhänge in Millionenstückzahl verschicken oder auch Überlastungsangriffe auf kommerzielle Websites der Konkurrenz (DDos-Attacken) starten.

Dagegen helfen Fertigprodukte der Softwareanbieter für sich betrachtet praktisch gar nicht, überlegte, fachlich fundierte und ordentlich umgesetzte Sicherheitsstrategien in den Unternehmen jedoch durchaus.

These 8: Do it yourself ist keine Lösung
Der Einsatz von Sicherheitstechnologie ohne Überlegung und Strategie bedeutet oftmals teures Chaos. Masse und Vielfalt der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Firmen, sich umfassend darüber zu informieren und deren sinnvolle Verwendbarkeit einordnen zu können. Und Produkteanbieter können vielleicht ihr Produkt vor Ort installieren, konfigurieren und den lokalen EDV-Beauftragten einweisen. Sie können jedoch keine produktübergreifende Beratung zur richtigen generellen Vorgehensweise bei der IT-Sicherheit im Unternehmen bieten (und wollen das auch gar nicht).

Weil man sich aber irgendwie gegen Angriffe schützen muss, wird dann im Do-it-Yourself-Verfahren irgendeine Lösung aufgespielt und diese anschließend sich selbst überlassen.

Es ist ein Stück weit ähnlich wie bei der (kostenlosen) Produktberatung in einer Bank. Da erfährt man auch nur was die Bank anbietet und welche Eigenschaften die Finanzprodukte haben. Eine vernünftige, produktübergreifende Vermögensberatung kann  der Bankangestellte nicht bieten. Das ist Job eines Vermögensberaters, der statt Verkaufsprovisionen Beraterhonorare abrechnet.

Und so macht sich ein weiterer Teilnehmer des IT-Sicherheitsmarktes zunehmend bemerkbar: Der kompetente, in IT-Sicherheits-, Datenschutz- und Compliancefragen bewanderte, unternehmensstrategisch denkende IT-Sicherheitsberater. Wahlweise als Angestellter oder als externer Berater.

Mit CobiT Sicherheit und Softwarequalität verbessern

Heute kam ich von einem zweitägigen Fortbildungsseminar zum Thema CobiT zurück. CobiT (Control Objectives for Information and Related Technology) ist ein internationaler Standard zur Organisation von Prozessen in der Unternehmens-IT und damit zur Umsetzung von IT-Governance im Unternehmen. CobiT gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben) und ermöglicht es IT-Prozesse bausteinartig aus Good-Practice-Komponenten zusammenzustellen. Dabei können auch andere Organisationsmodelle wie z.B. ITIL oder ISO 20.000, Standards zur IT-Sicherheit wie ISO 27.000 und IT-Grundschutz sowie Qualitätsmanagementsysteme nach ISO 9.000 angebunden oder integriert werden.

CobiT ermöglicht es demnach Aspekte der Sicherheit und der Qualität direkt in IT-Organisationen zu integrieren und somit das Professionalitätsniveau (nicht nur aber auch) bei diesen Themen im Unternehmen anzuheben.

Dafür spricht auch, dass der CobiT-Standard auf die ISACA, ein internationaler Berufsverband von IT-Prüfern und IT-Sicherheitsmanagern zurückgeht und von einer Tochterorganisation dieses Verbandes, dem IT-Governance Institut weiterentwickelt wird.

CobiT enthält auch ein vereinfachtes, an CMMI angelehntes Reifegradmodell, um die Prozessreife vorhandener oder neu implementierter Abläufe messen und beurteilen zu können („Health Check“). Überhaupt spielt die Herstellung von Messbarkeit und Transparenz eine tragende Rolle im CobiT-Standard. Und so wird auch häufiger empfohlen CobiT im Zusammenhang mit einem Balanced Scorecard-basiertem Managementsystem (BSC) einzusetzen, um so CobiT-Kennzahlen direkt aus den Unternehmenszielen der vier BSC-Perspektiven  herleiten und zum Bestandteil der Zielvereinbarungen von verantwortlichen Führungskräften machen zu können.

Letztlich lassen sich so Abläufe etablieren, die hinsichtlich ihrer Reife und ihrer Ergebnisse direkt Gegenstand von Prüfungen durch IT-Revisoren und Wirtschaftsprüfer werden können (Handreichungen wie der IT-Assurance Guide befassen sich damit schwerpunktmäßig). Und mit denen sich die Professionalität des Unternehmens dokumentieren und vermarkten  lässt.

Somit ist CobiT nicht nur ein Thema für das Management beim Nachdenken über die IT-Governance sondern auch für die Sicherheitsbeauftragten und Qualitätsexperten in der betrieblichen IT. Denn gute IT-Governance lebt (auch) von der Bereitstellung sicherer und einwandfrei funktionierender Produkte und Services. Aber auch die „informationstechnischen Tugendwächter“ (vulgo: Compliance-Experten) sollten sich mit CobiT beschäftigen, da die rechtskonforme und ordnungsgemäße Erbringung von IT-Leistungen ebenfalls eine Basisanforderung für das IT-Servicemanagement darstellt.

Einen ersten Einblick in die Gesamtsystematik der CobiT-Prozesse liefert der Prozessleitfaden „CobiT 4.0 deutsch“, den man auf der Homepage des ISACA German Chapter e.V. findet. Wobei der aktuellste Stand von CobiT inzwischen bei Version 4.1 steht und auf der ISACA-Homepage in englischer Fassung zu finden ist.

IT-Recht 2010 – was demnächst auf Unternehmen zukommt

Die diesjährige CeBit brachte neben Trendthemen wie Green IT, Cloud Computing oder neue mobile Endgeräte auch zahlreiche IT-rechtliche Dinge zutage, die auf die Unternehmen zurollen bzw. diese schon seit einiger Zeit beschäftigen.

Bei rechtlichen Themen geht es im Grunde fast immer darum Interessensgegensätze neu auszutarieren und die Verteilung von Risiken zu regeln. Und genau diese Dinge stehen als Folge treibender Technologie sowie ökonomischer Exzesse der Vergangenheit (Beispiel: die zahlreichen Datenskandale der letzten Jahre in der Wirtschaft) aktuell mal wieder zur Klärung an. Die wichtigsten zehn IT-rechtlichen Baustellen des Jahres dürften sich bei folgenden Fragestellungen finden lassen:

Richtlinien für private Nutzung von Internet und E-Mail
Als Folge neuer Konzepte der Unternehmensführung lösen sich die Grenzen zwischen Arbeit und Freizeit zunehmend auf. Viele Arbeitgeber streben die Entgrenzung zwischen Dienst und Privat bewusst an, um sich zusätzliche Arbeitszeit und Leistungsbereitschaft ihrer Beschäftigten ohne  entsprechende Zeiterfassung und Entgeltpflicht aneignen zu können (Beispiel: indirekte Steuerung mit Vertrauensarbeitszeit). Als Folge dieser Entwicklung wird aber die Erledigung privater Angelegenheiten in der Arbeitszeit immer natürlicher (Fachleute sprechen von sozialaqädatem Verhalten). Zudem werden immer größere Bereiche des Lebens online organisiert (z.B. über soziale Netzwerke). Arbeitnehmer nutzen daher immer selbstverständlicher die betriebliche IT-Infrastruktur auch für private Angelegenheiten.

Dabei stecken in Themen wie der privaten Internet- und E-Mail-Nutzung zahlreiche rechtlich alles andere als triviale Detailfragen. Einerseits kann man vom Arbeitgeber nicht verlangen, dass er sein Eigentum den Beschäftigten zur privaten Nutzung überlässt (umgekehrt geht das schon – z.B. als Dienstfahrten mit dem Privat-PKW und unbezahlte Überstunden). Andererseits darf er auch nicht so ohne weiteres an private Daten heran (und sei es nur zur Systemüberwachung), wenn er die Privatnutzung nicht explizit ausschließt.

Ein Problem ganz eigener Art sind mögliche Imageschäden für die Firma, wenn ein Beschäftigter z.B. bei Hantieren mit Pornografie im Dienst erwischt wird. Zwar ist das Image der meisten Unternehmen in Deutschland längst nicht so prächtig, als dass es ein einzelner Beschäftigter nennenswert beeinträchtigen könnte. Aber z.B. für eine Stadtverwaltung kann es mehr als unangenehme politische Folgen haben, wenn Bürger und Stadträte wissen wollen, warum sowas überhaupt möglich war.

Auslagerung der Verarbeitung personenbezogener Daten (Auftragsdatenverarbeitung)
Die Datenschutzverschärfungen 2009 brachten auch deutliche Nachbesserungen bei der Regulierung der Auftragsdatenverarbeitung mit sich. Unternehmen müssen nun ihre entsprechenden Verträge mit Dienstleistern auf Konformität mit den aktuellen Regelungen des BDSG (insbes. § 11) prüfen. Zudem sind sie verpflichtet, ihre Dienstleister auch regelmäßig zu prüfen, anstatt sich nur auf die Aktenlage zu verlassen.

Datenlecks vermeiden, Publizitätspflicht im Datenschutzgesetz
Geht trotzdem etwas schief und sickern personenbezogene Daten durch Datenlecks, gestohlene Datenträger und Geräte oder gezielte Hackerangriffe nach draußen, wird es unangenehm und teuer für die Unternehmen. Denn sie müssen den Vorfall nicht nur der datenschutzrechtlichen Aufsichtsbehörde melden. Sondern im Falle der schwerwiegenden Beeinträchtigung der Rechte und Interessen der Betroffenen auch publik machen. Notfalls in Form halbseitiger Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen.

Datenschutz nachschärfen, personenbezogene Daten sichern
Das hat zur Folge, dass sämtliche Konzepte und Maßnahmen im Bereich der IT-Sicherheit und des Datenschutzes zu prüfen und ggf. dem aktuellen Stand der Technik anzupassen sind. So ist z.B. sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass zu unterschiedlichen Zwecken erhobene Daten getrennt und ausschließlich zweckbezogen verarbeitet werden können. In der Vergangenheit allzu laxe Handhabung solcher Fragen verbunden mit allgemeiner Investitionsunwilligkeit in der IT führen daher nun zu teilweise beträchtlichem Aufholbedarf in den Unternehmen.

Systematisches Archivieren und Löschen von Dokumenten
Die revisionssichere Langzeitarchivierung ist spätestens mit der GdPdU und der elektronischen Steuerprüfung sowie der stärkeren rechtlichen Überwachung des Einhaltens von handelsrechtlichen Aufbewahrungsfristen in den Unternehmen angekommen. Neu hinzugekommen ist allerdings das Thema e-Discovery, also die Pflicht unternehmensinterne Informationen im Zuge staatsanwaltlicher Ermittlungen im Rahmen von IT-forensischen Beweissicherungspflichten innerhalb kurzer Fristen herausgeben zu müssen. Insbesondere die weit reichenden und oftmals sehr kurzfristig geltend gemachten Offenlegungspflichten gegenüber der US-Justiz konfligieren dabei mit den Datenschutzauflagen der EU oder dem deutschen Datenschutzgesetz. Umgekehrt fordern inzwischen zunehmend Gesetze oder Verfahrensvorschriften auch eine zeitnahe Löschung von nicht mehr erforderlichen Daten. Daher sollten Unternehmen neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Datenbeständen aufstellen und umsetzen.

SLAs und Outsourcing-Verträge an neue Technologieentwicklungen anpassen
Der allfällige technologische Wandel im IT-Bereich sowie sich ausbreitende neue Managementkonzepte machen eine regelmäßige Überprüfung von Outsourcing-Verträgen und SLAs notwendig. Leistungsbeschreibungen, Metriken und Kennzahlen sollten den technischen Besonderheiten neuer Technologien Rechnung tragen. Dabei werden Unterschiede über den Leistungsinhalt von den Beteiligten allerdings oftmals erst nach Vertragsschluss im Tagesgeschäft bemerkt und werden dann zum Konfliktherd. Vertragsinhalte und deren technische Umsetzung müssen daher einerseits detailliert und vollständig, andererseits aber auch mit genügend Flexibilität zur Handhabung beschrieben werden, um Missverständnisse und rechtliche Auseinandersetzungen zu vermeiden.

Risikoverlagerung in IT-Verträgen prüfen
Dabei wird von größeren „Partnern“ gerne mal versucht, den kleineren Partner vertraglich über den Tisch zu ziehen, in dem Risiken unangemessen verteilt und Margen abgeschöpft werden. Im Automobilbau ist dieser Umgang mit Lieferanten seit langem Standard seitens der Konzerne und hat im Krisenjahr 2009 bereits zu zahlreichen Insolvenzen geführt. Umgekehrt zeigen Abmahnbetrug und Abzockerklauseln in Lizenzverträgen, dass das Gaunertum auch in IT-Firmen heimisch ist. Und man daher speziell bei Verträgen zum Cloud Computing oder für Mietsoftware (Software as a Service) sehr genau und mit juristischen Sachverstand ins Kleingedruckte der Outsourcing-Dienstleister sehen sollte.

Lizenzrechtliche Lage, Pflege und Support bei Virtualisierung von Softwareprodukten prüfen
Wer im Unternehmen Applikationen virtualisieren will, stößt rasch auf zwei Probleme. Einerseits den ungeregelten Wildwuchs bei Lizenzbedingungen, in dem Aussagen zur Virtualisierung jedoch meist fehlen und daher nachverhandelt werden müssen, bevor man die Software virtualisiert (davon kann es abhängen, ob sich das Virtualisierungsprojekt wirtschaftlich überhaupt lohnt). Und andererseits die Frage nach Herstellersupport bei Problemen. Viele Softwareanbieter schließen Support für den Betrieb ihrer Produkte in einer virtuellen Umgebung explizit aus, da es ihnen noch an einschlägigen Erfahrungen mangelt oder dem technische Probleme in der Software entgegenstehen. Zumal zielen Virtualisierungsprojekte meist darauf ab, Einsparungen bei Software- und Lizenzkosten durch Mehrfachnutzung und bessere Ressourcenauslastung im Serverpark zu erzeugen. Daran haben Softwarehersteller naturgemäß kaum Interesse.

Cloud-Computing I: Vertragliche Regelungen zu Verfügbarkeitsrisiken prüfen
Insbesondere Mittelständler und neu gegründete Firmen können durch den Einsatz von Cloud Computing rasch skalierbare IT-Infrastruktur beshaffen, ohne größere Investitionen tätigen zu müssen. Allerdings birgt die Anwendung von Cloud Computing rechtliche Risiken ganz eigener Art, da es hier noch keine allgemeinen Leistungsstandards gibt.

Daher ist es entscheidend, dass die Vertragsgrundlagen sorgfältige Beschreibungen aller relevanten Leistungen enthält. Zudem bedeutet der Einsatz von Cloud Computing zur Unterstützung kritische Geschäftsprozesse auch kritische Abhängigkeiten vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung.

Cloud-Computing II: Compliancefragen regeln
Unternehmen können vieles auf Zuarbeiter, Dienstleister und Lieferanten delegieren. Und in vielen Fällen macht das auch Sinn, da erfahrene Experten ihr Geschäft i.A. besser, schneller und fehlerfreier abwickeln können, als ein Unternehmen, das sich nur nebenbei damit befasst, aber eigentlich ganz andere Kernkompetenzen hat. Nicht jeder gute Fliesenleger ist auch ein guter Personaler, Informatiker, Rechtsanwalt und Bilanzexperte.

Allerdings lässt sich die Letztverantwortung nicht wegdelegieren. Bauen die Zulieferer Mist, ist der Auftraggeber geschädigten Dritten gegenüber dafür verantwortlich. Die gesetzliche Verantwortung (Organisationspflicht) bleibt im Rahmen von Sorgfaltspflichten bei der Unternehmensführung (§ 91 II, 93 AktG, § 43 GmbHG), die den Lieferanten ausgewählt, geprüft und für tauglich befunden hat. Nur stur nach dem Preis zu schielen, kann daher übel ausgehen.

Speziell beim Cloud Computing wird man sich bei der Vertragsgestaltung daher auch Gedanken über kundenseitige Prüf- und Überwachungsrechte (Auftragsdatenverarbeitung – s.o.) sowie Geheimhaltungspflichten und die Einhaltung rechtlicher Auflagen (Compliance) machen müssen. Sowie über Haftungsfragen und Schadensersatz im Falle von Problemen bei diesen Themen.

Es gibt also mehr als genug zu tun für die verantwortlichen Entscheider und ihre Stäbe in den Unternehmen. Zumal die meisten genannten Problemfelder Unternehmen jeglicher Größe betreffen. Sich also Mittelständler und Kleinunternehmer nicht zurücklehnen können, in der Annahme, das wäre nur was für Konzerne. Diese Annahme kann in ungünstigen Fälle rasch für Ärger und Kosten in beträchtlichem Umfang sorgen.

Zudem werden bei vielen der genannten Themen auch die Mitbestimmungsrechte von Betriebsräten tangiert, was es ratsam erscheinen lässt, sie frühzeitig in die anstehenden Entscheidungsfindungsprozesse einzubinden.

Saure Milch im Kaffee – Wie Hacker Microsofts Forensik-Tool auskontern

Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.

Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht,  die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren  von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen  „verschlossen“ herunterzufahren.

„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.

Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige  interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.

Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm  verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.

Update vom 20.12.2009:
Inzwischen stellte sich heraus, dass DECAF ein von den Entwicklern gezielt geplanter PR-Gag war, mit dem das Ziel verfolgt wurde, Aufmerksamkeit für das Thema IT-Sicherheit und IT-Forensik speziell in Unternehmen und Behörden zu erzeugen. Sowie für die Notwendigkeit hierfür in die Ausbildung kompetenter Experten zu investieren.

IT-Sicherheit in Unternehmen durch Cloud-Computing verbessern

Cloud Computing, also das Auslagern von IT-Dienstleistungen auf Provider und Rechenzentren, kann aus der Perspektive des Datenschutzes eine recht heikle Angelegenheit werden. Denn die rechtliche Verantwortlichkeit für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken können nicht mit in die Cloud wegdelegiert werden.

Andererseits kann Cloud Computing gerade kleineren und mittelständischen Unternehmen dabei helfen, professionelle Abläufe im IT-Betrieb sowie hohe Standards bei IT-Sicherheit und Datenschutz einzukaufen anstatt sie selbst erst aufbauen zu müssen.

Zu diesem Schluss kommt eine Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die kürzlich veröffentlicht wurde (PDF, 2 MB). „Die Weitergabe der eigenen Daten in fremde Hände bedeutet für Unternehmen natürlich ein Risiko. Neben offensichtlichen Gefahren wie Datenschutz-Intransparenz, Datenverlust und unvollständiger Datenlöschung kann die fehlende Kompatibilität von Lösungen zu Problemen bei der Migration zu einem anderen Anbieter führen“, erläutert ENISA-Researcher Daniele Catteddu. Daher rät man den am Cloud Computing interessierten Unternehmen, sich in Frage kommende Anbieter genau anzusehen. Dafür sollte im Unternehmen eine geschäftsspezifische Risikoanalyse gemacht werden, wozu die ENISA in ihrer Untersuchung konkrete Handlungsanleitungen gibt.

Besonders attraktiv ist Cloud Computing dabei für neu gegründete Unternehmen, deren Alternative ansonsten darin bestünde, ihre IT auf der grünen Wiese komplett neu aufzubauen. Schließlich lassen sich viele Cloud-Leistungen modular buchen, kurzfristig erweitern und nutzungsabhängig abrechnen.

Auch der Netzwerksicherheitsdienstleister RSA kam zu der Erkenntnis, dass Cloud Computing das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in KMU deutlich steigern kann. In der November-Ausgabe des „RSA Security Brief“ ist ein Leitfaden enthalten, worauf ein Unternehmen technisch, rechtlich und organisatorisch bei der Auswahl eines Cloud-Dienstleisters sowie der Einführung von Cloud Computing achten sollte. Und mit welchen technischen Ansätzen sich wertvolle Unternehmensdaten schützen und rechtliche Datenschutzanforderungen erfüllen lassen.