Informationssicherheit

Die konkreten Schutzmaßnahmen richten sich dabei nach der allgemein gefassten ISO/IEC 27000-Reihe sowie den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Geboten. Die Bezeichnung Informationssicherheit setzt sich aus mehreren Feldern zusammen. Sie besteht aus der IT-Sicherheit, dem Datenschutz, sowie der Sicherung von Daten. Durch diesen Fachartikel soll Ihnen die Relevanz von Informationssicherheit verdeutlicht werden. Ferner werden Ihnen in den folgenden Abschnitten Formen konkreter Gefährdungen, Schutzmaßnahmen und rechtliche Aspekte näher gebracht.

IT-Sicherheit
IT-Sicherheit umfasst alle sogenannten soziotechnischen Systeme. Als soziotechnisch werden Strukturen bezeichnet, in denen verschiedenen Menschen mithilfe einer Technologie interagieren und gemeinsam einen wirtschaftlichen Erfolg herbeiführen. Die Sozialkomponente besteht in einem Unternehmen aus den Mitarbeitern. Die technologische Komponente ist sehr weitreichend. So zählen hierzu einfache Maschinen, die an einer beliebigen Produktionskette teilhaben. Damit sind aber auch Kommunikationsgeräte aller Art gemeint. IT-Sicherheit bezieht sich vornehmlich auf Computer. Sie schützt Rechner vor Unbefugten und gewährleistet die Aufrechterhaltung der Mensch-Maschinen-Interaktion. IT-Systeme umfassen sämtliche digital ablaufenden Prozesse, analoge Prozesse sind von der Definition ausgeschlossen.

Das Kürzel „IT“ steht für Informationstechnik. Durch ein Konglomerat verschiedener Subsysteme und technologischer Komponenten wird die notwendige Infrastruktur geschaffen, um miteinander kommunizieren zu können. Alternativ werden mitunter die Bezeichnungen EIT für elektronische Informationstechnik und EDV für elektronische Datenverarbeitung gebraucht. Da die Grenzen zwischen den Bezeichnung Information und Daten fließend sind und die Begriffe im alltäglichen Sprachgebrauch verschmelzen, wurden diese unter Informationstechnik zusammengefasst.

Angriffe, Effekte und Auswirkungen in Zahlen
Nach einer Studie des nordrhein-westfälischen Landesamtes für Verfassungsschutz (LfV) kam es im Jahr 2014 im Durchschnitt alle drei Minuten zu Hacker-Angriffen. Alleine in NRW wurden bereites 370.000 Unternehmen im Jahr 2014 attackiert. Dabei sind Schäden entstanden, die sich auf etwa 50 Mrd. Euro beziffern lassen. Allein Russland und China sollen dabei an 50% aller Angriffe beteiligt gewesen sein. So verwendet der russische Geheimdienst hochprofessionalisierte Technologien, denen im Zweifel nicht einmal die umfangreichen Sicherheitsmaßnahmen von Großkonzernen standhalten können, um Industriespionage zu betreiben. Dass Nachrichtendienste für einen Hauptteil der Wirtschaftsspionage verantwortlich sind, ist sogar im russischen Gesetz vorgeschrieben: demnach soll die Wirtschaft von Geheimdiensten gefördert werden. Während im Jahr 2013 lediglich 27% aller deutschen Unternehmen von Hacking betroffen waren, lag die Zahl 2015 bei ca. 40%. Ein Drittel aller Delikte entfiel auf bargeldlose Zahlungssysteme. Insgesamt waren 55% aller Finanzdienstleister von Angriffen betroffen.

Nicht nur die großen, international agierenden Konzerne sind den Gefährdungen durch Computer- und Cyberkriminalität ausgesetzt. Einer Umfrage der Beratungsgesellschaft PricewaterhouseCoopers (PwC) zufolge, unterschätzen grade die mittelständischen Unternehmen die Problematik. So wurde 2014 durchschnittlich jedes zehnte mittelständische Unternehmen attackiert. Die Schadenssumme lag im Schnitt bei 80.000 Euro. Vereinzelt entstanden wirtschaftliche Schäden in Höhe einer halben Million Euro, im Jahr davor wurde die Schadenssumme bei den meisten Fällen noch auf 10.000 Euro beziffert. Vor allem die Branchen Transport und Logistik, sowie Technologie, Medien und Telekommunikation haben in Sachen Informationssicherheit erheblichen Nachholbedarf. Zur Zeit fehlt es noch an Gefahrenbewusstsein. Durch einen sensibleren Umgang der Geschäftsführung und Mitarbeiter mit Daten, könnte der wirtschaftliche Schaden schon erheblich reduziert werden.

2. Wirtschaftliche Interessen
Durch die Angriffe wollen Kriminelle der Konkurrenz entweder Schaden zufügen und/oder sich selbst bereichern. Die Folgen der Hacker-Angriffe lauten: Einnahmeverluste, Datendiebstahl, Know-how-Diebstahl, Produktionsausfälle, Gefährdung von Umwelt, Menschen und Maschinen. Organisierte Täterbanden versuchen vor allem an geistiges Eigentum zu gelangen. Industriespionage verursacht weitaus nachhaltigere Schäden als das Stehlen von Geldbeträgen. Zusätzlich bestehen Reputationsrisiken. Der Begriff Reputation meint das Ansehen beziehungsweise Image eines Unternehmens. Werden Schadensfälle größerer Unternehmen medienwirksam bekannt, verliert der Konzern an Glaubwürdigkeit. Im Jahr 2015 kam es zu einem spektakulären Fall, in welchem Millionen Nutzerdaten von Sony Playstation und einer Partnervermittlung-Agentur an die Öffentlichkeit drangen. Dies führt zu immensen Vertrauensschaden und Verunsicherung bei den Nutzern, was ein Kundenverhältnis verschlechtert oder gar beenden kann. Ein negatives Image ruft eine niedrigere Ertragslage hervor, zudem kommt es zu einer Verschlechterung der Vermögensverhältnisse und zu Wertminderungs-Effekten.

Das Interesse an Informationssicherheit ergibt sich nicht bloß aus Gefahren wie Wirtschaftsspionage, Finanzstraftaten und Marktmanipulation. Darüber hinaus führen Opportunitätskosten und die Beseitigung des Schadens zu erheblichen Kosten.

III. Formen der Bedrohung

Internetkriminalität ist nicht mit Computerkriminalität gleichzusetzen. Während cyberkriminelle Straftaten mit den Techniken des Internets ausgeübt werden oder diese im Internet selbst geschehen, bezeichnet Computerkriminalität prinzipiell alle Delikte, bei denen Informations- und Kommunikationstechnik missbraucht wird.

1. Internetkriminalität
Innerhalb der Internetkriminalität muss zwischen Onlinesicherheit und Internetsicherheit unterschieden werden. Onlinesicherheit soll vor kriminellen Handlungen im und durch das Internet schützen. Internetkriminalität umfasst darüber hinausgehend auch den Schutz der Infrastruktur selbst. Dies beinhaltet nicht nur digitale Gefahren, sondern auch mechanische Bedrohungen. Da Internetsicherheit eher im entfernteren Sinne mit Internetkriminalität zu tun hat, geht es in diesem Abschnitt vorwiegend um Onlinesicherheit.

Die Erscheinungsformen internetkriminellen Handelns lauten: Betrug, Spionage von Daten, Verstöße gegen das Urheberrecht, Identitätsdiebstahl, Cyber-Terrorismus und auch Volksverhetzung sowie das Verbreiten pornographischer Inhalte. Der Begriff deckt also eine große Bandbreite ab. Es ist wichtig die einzelnen Delikte in Kategorien einzuordnen, um anhand dessen die korrekte Maßnahme zur Verbesserung der Sicherheit zu treffen.

Cyberkriminalität Typ 1: kommt aus Opferperspektive nur einmal vor.
Ein Beispiele für Typ 1 wäre das einmalige Herunterladen eines Trojaners. Auf diesem Trojaner könnte etwa ein Tastenaufzeichner, sogenannter Keystroke Logger, enthalten sein, durch den der Täter Passwörter ausspionieren kann. Grundsätzlich werden Diebstahl, die Manipulation von Daten oder Diensten durch Hacker oder Viren, Identitätsdiebstahl sowie Bank- oder E-Commerce-Betrug dem Typ 1 zugerechnet.

Cyberkriminalität Typ 2: kommt häufig vor, Kommunikation zwischen Opfer und Täter.
Delikte des Typus 2 besitzen die Eigenschaft, dass der Täter nicht eine einmalige Handlung ausübt, sondern in einem gewissen Zeitraum kontinuierlich mit dem Opfer in Kontakt steht. Beispielsweise, wenn er versucht eine Beziehung in einem Chatroom aufzubauen und diese Beziehung dann für kriminelle Machenschaften ausnutzt (Social Engineering). Darüber hinaus zählen auch Foren, in denen sich Täterbanden gemeinsam besprechen und austauschen zum Typ 2 cyberkriminellen Handelns.

2. Computerkriminalität
Eine einheitlich Definition für Computerkriminalität existiert bislang nicht. Die Polizei unterscheidet zwischen Computerkriminalität im engeren und im weiteren Sinne. Demnach ist Computerkriminalität im engeren Sinne das Begehen von Straftaten mithilfe von Informations- und Kommunikationstechnik. Im weiteren Sinne sind Handlungen gefasst, die zwar keine Straftat darstellen aber rechtswidrig sind. Der Unterschied zwischen Straftat und Rechtswidrigkeit besteht in der Schuld. Handelt der Täter ohne Unrechtsbewusstsein oder im Irrtum, ist sein Verhalten zwar rechtswidrig, aber stellt keine Straftat dar. Nach dem herrschenden dreistufigen Deliktsaufbau schließt die Vollendung einer Straftat den vorsätzlich begangen Tatbestand, die Rechtswidrigkeit und das Element der Schuld voraus.

In Zeiten zunehmender Digitalisierung haben Computerkriminelle Eingang in ein breites Spektrum verschiedener Kriminalitätsformen gefunden. Dazu zählen politischer Extremismus, Wirtschaftskriminalität, organisierte Kriminalität und das Drogen-Milieu. Ein „Klassiker“ von Wirtschaftskriminalität ist das Ausspähen von Bankautomaten. Der Täter nutzt personenbezogene Kennwörter und Konten, um sich auf Kosten Anderer zu bereichern. Statistisch betrachtet nimmt Computerkriminalität kontinuierlich zu, wobei Delikte an Geldautomaten die stärkste Wachstumsrate verzeichnen. Beliebt sind die sogenannten Skimming- und Cash-Tapping-Methoden. Skimming ist eine Form der Spionage, wobei die Kriminellen das Tastatur-Eingabefeld so präparieren, dass die PIN-Eingabe durch eine zweite Tastatur aufgezeichnet wird. Dieses zweite Eingabefeld liegt über dem originalen EPP und ist für den Kunden im Regelfall nicht sichtbar.

Beim Cash-Tapping wird die Geldausgabe so präpariert, dass das abgebuchte Geld nicht aus dem Automaten gelangen kann und am Ausgabeschacht hängen bleibt. Ein doppelter Schlitz verhindert de Herausgabe der Scheine, sodass der Betrag in dem Schlitz kleben bleibt. Die Kriminellen warten solange, bis der verwirrte Kunde den Automaten verlässt und entnehmen dann den Schlitz samt Bargeld. Neben dem Betrug an Geldautomaten haben urheberrechtswidrig hergestellte Kopien von Daten aller Art (Video- und Bildsequenzen, Musikstücke, Geheimdokumente, etc…) einen beträchtlichen Anteil am durch Computerkriminalitätentstehenden Schaden.

Datenschutzbeauftragter
Der Datenschutzbeauftragte (DSB) berät ein Unternehmen bei Maßnahmen, die zur Wahrung des Datenschutzes erforderlich sind. Er überwacht die Einhaltung der Datenschutzgrundverordnung (DSGVO) und weiterer nationaler Sonderregelungen. Darüber hinaus sensibilisiert und schult er Mitarbeiter. Der DSB fungiert in seiner unabhängigen Stellung als Bindeglied zwischen Unternehmen und Aufsichtsbehörden. So kann die Position von einer internen oder externen Arbeitskraft belegt werden. Einstellungskriterien sind Fachwissen und Unbefangenheit; der DSB darf sich nicht in Zielkonflikte verwickeln oder der Selbstkontrolle unterliegen. Zielkonflikte können insbesondere dann entstehen, wenn der Datenschutzbeauftragte noch einer anderen Tätigkeit nachgeht. Dies wird vor allem bei Mitarbeitern angenommen, die gleichzeitig in der Personalabteilung oder Geschäftsführung tätig sind. Ein Datenschutzbeauftragter ist beruflich qualifiziert, wenn er über Kenntnisse des Datenschutzes und der Datenschutzpraxis verfügt. Ferner ist eine stetige Weiterbildung in den Bereichen IT und Datenschutzrecht unumgänglich.

Wann ein Betrieb einen Datenschutzbeauftragten einberufen muss, wird von der europaweit geltenden DSGVO geregelt. Das Einheitsgesetz trat am 25. Mai 2018 in Kraft. Dadurch werden die datenschutzrechtlichen Gesetze unter den einzelnen Mitgliedsstaaten angeglichen beziehungsweise harmonisiert. So soll ein freier und reibungsloser EU-Binnenmarkt gestärkt werden. Gemäß Art. 37 EU-DSGVO ist ein Datenschutzbeauftragter nötig, wenn das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf:

„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen(Auskunfteien oder Adresshändler), oder

c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Als Kerntätigkeit sind hier jene Tätigkeiten gemeint, welche essentiell für die Erreichung eines unternehmerischen Ziels sind. Zum Beispiel: das Verarbeiten von Gesundheitsdaten in einem Krankenhaus. Bis zum Inkrafttreten der EU-DSGVO regelt das BDSG, wann ein Datenschutzbeauftragter eingestellt werden muss. Dies ist der Fall, wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der nicht-automatisierten Verarbeitung greift die Vorschrift erst ab 20 Mitarbeitern.

Gesetze zur IT-Sicherheit, Standards in Deutschland
Die gesetzlichen Eckpfeiler zur Informationssicherheit bilden folgende Normierungen:
– das Bundesdatenschutzgesetz (BDSG),
– IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme,
– KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich,
– GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
– (und ferner auch das KWG: Kreditwesengesetz).

Das BDSG regelt in Verbindung mit den Regelungen der Länder den Umgang mit personenbezogenen Daten (siehe Punkt V.1.). Das Gesetz bezweckt den Schutz des Einzelnen. Der Staatsbürger soll vor Eingriffen in seine Privatsphäre durch Behörden oder Unternehmen geschützt werden.

Das IT-Sicherheitsgesetz (kurz IT-SG) ist am 25.07.2015 in Kraft getreten und schützt die Betreiber „kritischer Infrastrukturen“. Die Sicherheit von Daten und IT-Systemen soll durch die Erarbeitung von Sicherheitsstandards gewährleistet werden, welche alle zwei Jahre einer Überarbeitung unterliegen. Das IT-SG ist in Artikeln aufgebaut. Ein Artikelgesetz besitzt die Eigenschaft, dass verschiedene Fachbereiche, die eigentlich keinen Bezug zueinander haben, zusammengefasst werden und ein bestimmtes Ziel abbilden.

Das KonTraG ist ein Artikelgesetz, welches aus Gesetzen wie das GmbHG , das AktG oder das HGB besteht. Dadurch werden Grundsätze der Unternehmensführung verbessert.

Das GoBD stellt Vorgaben für Dokumentationsprozesse und der Protokollführung innerhalb eines Betriebs. Dieses Gesetz ist also an Unternehmen, die Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten haben gerichtet. Es definiert allgemeine Sorgfaltspflichten. Unter Sorgfalt ist hierbei die Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit von der Dokumentation zu verstehen.