Das Blog rund um Sicherheitsfragen in Wirtschaft und öffentlicher Verwaltung. Sicherheitsstrategie, Risiko- und Bedrohungsanalyse, Spionageabwehr, IT-Sicherheit, Physikalische Sicherheit und vieles mehr.http://www.sicherheitsblog.info/blog/sicherheit.nsf/de-deMi, 19 Nov 2008 20:49:31 +0200 Wed, 19 Nov 2008 20:49:31 +0010Heinz Ich habe geerbt! http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-11-09-001?opendocument&comments#19.11.2008204931RCNR9H.htm Sat, 8 Nov 2008 12:29:19 +0010jojo Ho, ho, ho und ’ne Buddel voll Rum http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-03-07-001?opendocument&comments#08.11.2008122919RCNFGV.htm Fri, 31 Oct 2008 09:23:05 +0010Michael Ritter Value Chain Information Security #4: Die Rechtslage
Auch in bin kein Jurist, kann Ihnen aber meine Sichtweise schildern.

Zunächst ist an dieser Stelle die Unterscheidung zwischen Zivil- und Strafrecht wichtig. Mangelnde Sorgfalt im Umgang mit Daten kann nach BDSG u.a. Schadensersatzansprüche begründen. In den meisten Fällen ist dies aber kaum relevant, da für einen Schadensersatz ein quantifizierbarer Schaden nachgewiesen werden muss. Auch wenn der ganze Ort den letzten Kontoauszug kennt, heißt das noch nicht, dass ein Schaden im rechtlichen Sinne entstanden ist.

Strafrechtlich ist das Fehlen gebotener Sorgfalt wenig relevant, da eine Straftat i.d.R. Vorsatz erfordert. Das BDSG setzt sogar Schädigungs- oder Bereicherungsabsicht voraus (§44). Damit bleiben lediglich die Bußgeldvorschriften nach §43 BDSG, über die auch fahrlässiges Handeln eine Ordnungswidrigkeit auslöst.

In diesem Zusammenhang ist die liegen gelassene Unterlage sicherlich fahrlässig. Auch den für Dritte zugänglichen bzw. sichtbaren Bildschirm würde ich als fahrlässig bezeichnen. An dieser Stelle kommt jedoch das nächste "aber": das BDSG gilt wie oben geschildert nur für personenbezogene Daten. Das UWG stellt sehr viel strengere Anforderungen an die Strafbarkeit, Fahrlässigkeit ist nicht erfasst. Und genau dort ist das Scheunentor zu finden, da die meisten Verratshandlungen als Fahrlässigkeit umgedeutet werden können.

Eine andere Rechtsquelle ist die Sorgfaltspflicht des Kaufmanns. Diese ist aber juristisch äußerst schwammig, Verstöße sind kaum mit Sanktionen belegbar.

Was Verschlüsselung angeht, so sind die mir bekannten Urteile recht unspezifisch. Die Frage ist stets, welcher Tatbestand behandelt wird. So wird beim (strafbaren) Eindringen in Computersysteme die Überwindung "wirkungsvoller" Sicherheitsmaßnahmen gefordert. Die Interpretationen der Gerichte gehen dabei gelegentlich ins Absurde.

Im Zweifelsfall wird vor Gericht vermutlich ein Sachverständiger hinzugezogen. Dieser wird meistens anerkannte Branchenstandards vertreten, z.B. PGP/GnuPG oder S/MIME. Einige Gerichte ziehen als Grundlage die IT-Grundschutzkataloge des BSI hinzu. In diesen wird ebenfalls überwiegend auf PGP/GnuPG und S/MIME abgestellt.

Wirkliche Entscheidungssicherheit gibt es hier nicht, da in der Rechtsprechung am Ende immer Menschen individuelle Entscheidungen treffen. Die Verwendung von kennwortgeschützten Excel-Dateien mit vierstelligem Kennwort wird aber (hoffentlich) jeder Sachverständige als fahrlässig einstufen.

Abschließend stimme ich Ihnen zu, dass Firmen grundsätzlich aus Eigeninteresse wirkungsvolle Sicherheit gewährleisten sollen. Aus meiner doch recht umfangreichen Erfahrung kann ich aber sagen, dass auch heute noch fast alle sensiblen Daten im Mailverkehr unverschlüsselt sind. Zu tief sitzt die Illusion, dass bei E-Mails "ja sowieso nichts passiert". Hier ist dringender Handlungsbedarf vorhanden.]]>
Auch in bin kein Jurist, kann Ihnen aber meine Sichtweise schildern.

Zunächst ist an dieser Stelle die Unterscheidung zwischen Zivil- und Strafrecht wichtig. Mangelnde Sorgfalt im Umgang mit Daten kann nach BDSG u.a. Schadensersatzansprüche begründen. In den meisten Fällen ist dies aber kaum relevant, da für einen Schadensersatz ein quantifizierbarer Schaden nachgewiesen werden muss. Auch wenn der ganze Ort den letzten Kontoauszug kennt, heißt das noch nicht, dass ein Schaden im rechtlichen Sinne entstanden ist.

Strafrechtlich ist das Fehlen gebotener Sorgfalt wenig relevant, da eine Straftat i.d.R. Vorsatz erfordert. Das BDSG setzt sogar Schädigungs- oder Bereicherungsabsicht voraus (§44). Damit bleiben lediglich die Bußgeldvorschriften nach §43 BDSG, über die auch fahrlässiges Handeln eine Ordnungswidrigkeit auslöst.

In diesem Zusammenhang ist die liegen gelassene Unterlage sicherlich fahrlässig. Auch den für Dritte zugänglichen bzw. sichtbaren Bildschirm würde ich als fahrlässig bezeichnen. An dieser Stelle kommt jedoch das nächste "aber": das BDSG gilt wie oben geschildert nur für personenbezogene Daten. Das UWG stellt sehr viel strengere Anforderungen an die Strafbarkeit, Fahrlässigkeit ist nicht erfasst. Und genau dort ist das Scheunentor zu finden, da die meisten Verratshandlungen als Fahrlässigkeit umgedeutet werden können.

Eine andere Rechtsquelle ist die Sorgfaltspflicht des Kaufmanns. Diese ist aber juristisch äußerst schwammig, Verstöße sind kaum mit Sanktionen belegbar.

Was Verschlüsselung angeht, so sind die mir bekannten Urteile recht unspezifisch. Die Frage ist stets, welcher Tatbestand behandelt wird. So wird beim (strafbaren) Eindringen in Computersysteme die Überwindung "wirkungsvoller" Sicherheitsmaßnahmen gefordert. Die Interpretationen der Gerichte gehen dabei gelegentlich ins Absurde.

Im Zweifelsfall wird vor Gericht vermutlich ein Sachverständiger hinzugezogen. Dieser wird meistens anerkannte Branchenstandards vertreten, z.B. PGP/GnuPG oder S/MIME. Einige Gerichte ziehen als Grundlage die IT-Grundschutzkataloge des BSI hinzu. In diesen wird ebenfalls überwiegend auf PGP/GnuPG und S/MIME abgestellt.

Wirkliche Entscheidungssicherheit gibt es hier nicht, da in der Rechtsprechung am Ende immer Menschen individuelle Entscheidungen treffen. Die Verwendung von kennwortgeschützten Excel-Dateien mit vierstelligem Kennwort wird aber (hoffentlich) jeder Sachverständige als fahrlässig einstufen.

Abschließend stimme ich Ihnen zu, dass Firmen grundsätzlich aus Eigeninteresse wirkungsvolle Sicherheit gewährleisten sollen. Aus meiner doch recht umfangreichen Erfahrung kann ich aber sagen, dass auch heute noch fast alle sensiblen Daten im Mailverkehr unverschlüsselt sind. Zu tief sitzt die Illusion, dass bei E-Mails "ja sowieso nichts passiert". Hier ist dringender Handlungsbedarf vorhanden.]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-10-05-001?opendocument&comments#31.10.2008092305MRIBUJ.htm Thu, 30 Oct 2008 10:45:06 +0010Dr. Ernst Roemer Value Chain Information Security #4: Die Rechtslage
Ich meine mich zu erinnern,

dass die notwendige Sorgfalt nicht walten lässt, wer z.B. seinen Monitor auf dessen Bildschirm sich gerade sensible Daten befinden und der dem allgemeinen Publikumsverkehr zugägnlich ist, nicht sperrt; oder

dass derjenige, der interne Berichte in der Öffentlichkeit z.B. im Kaffee auf dem Tisch liegen lässt und dort vergisst, ebenfalls nicht die notwendige Sorgfalt zur Wahrung des Geheimnisses walten lässt.

Ich stimme Ihnen zu, dass dies aus §17 und §18 UWG nicht explizit hervorgeht. Nun bin ich kein Jurist, die Rechtsgrundlage für meine Erinnerung hätte ich trotzdem gern gewusst.

Und dann treibt mich noch eine ganz spezielle Frage in Bezug auf email-Verkehr. Mal unberücksicht der Tatsache, dass ein Betrieb ein vitales Interesse haben sollte seine Daten vor dem Zugriff Dritter zu schützen, gibt es inzwischen in der Rechtsprechung anerkannte Ansichten (nicht in Bezug auf BDSG und SigG) dazu? Und wenn ja, gibt es zum Beispiel im Falle von Verschlüsselungen bereits Urteile oder Gutachten welche Qualität der Verschlüsselung mindestens anzuwenden ist? Nach meinerm Dafürhalten ist eine Verschlüsselung deren Entschlüsselung mit Hilfe von im Internet leicht aufzufindenden Tools auch dem IT-Anfänger möglich sind, nicht ausreichend und damit im obigen Sinne "mangelnde Sorgfalt".

Für die Berücksichtigung dieser Fragen in dieser Serie bedanke ich mich schon im Voraus.]]>
Ich meine mich zu erinnern,

dass die notwendige Sorgfalt nicht walten lässt, wer z.B. seinen Monitor auf dessen Bildschirm sich gerade sensible Daten befinden und der dem allgemeinen Publikumsverkehr zugägnlich ist, nicht sperrt; oder

dass derjenige, der interne Berichte in der Öffentlichkeit z.B. im Kaffee auf dem Tisch liegen lässt und dort vergisst, ebenfalls nicht die notwendige Sorgfalt zur Wahrung des Geheimnisses walten lässt.

Ich stimme Ihnen zu, dass dies aus §17 und §18 UWG nicht explizit hervorgeht. Nun bin ich kein Jurist, die Rechtsgrundlage für meine Erinnerung hätte ich trotzdem gern gewusst.

Und dann treibt mich noch eine ganz spezielle Frage in Bezug auf email-Verkehr. Mal unberücksicht der Tatsache, dass ein Betrieb ein vitales Interesse haben sollte seine Daten vor dem Zugriff Dritter zu schützen, gibt es inzwischen in der Rechtsprechung anerkannte Ansichten (nicht in Bezug auf BDSG und SigG) dazu? Und wenn ja, gibt es zum Beispiel im Falle von Verschlüsselungen bereits Urteile oder Gutachten welche Qualität der Verschlüsselung mindestens anzuwenden ist? Nach meinerm Dafürhalten ist eine Verschlüsselung deren Entschlüsselung mit Hilfe von im Internet leicht aufzufindenden Tools auch dem IT-Anfänger möglich sind, nicht ausreichend und damit im obigen Sinne "mangelnde Sorgfalt".

Für die Berücksichtigung dieser Fragen in dieser Serie bedanke ich mich schon im Voraus.]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-10-05-001?opendocument&comments#30.10.2008104506RCNDFR.htm Tue, 14 Oct 2008 23:31:10 +0020CK Social Engineering - Bankraub vom Feinsten
Aber das war 1994 oder 1995 und auch "nur" ein Sack mit ca. 1.500 DM in Münzen. Wie schwer so ein Sack ist,

kann man sich ja leich vorstellen.]]>
Aber das war 1994 oder 1995 und auch "nur" ein Sack mit ca. 1.500 DM in Münzen. Wie schwer so ein Sack ist,

kann man sich ja leich vorstellen.]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-04-14-001?opendocument&comments#14.10.2008233110RCNT92.htm Sun, 12 Oct 2008 20:16:48 +0020Mr Who 1,4 Millionen E-Mail-Adressen im Internet zum Download [ Update ] http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-01-001?opendocument&comments#12.10.2008201648RCNPFK.htm Sun, 12 Oct 2008 18:58:56 +0020Michael Ritter 1,4 Millionen E-Mail-Adressen im Internet zum Download [ Update ]
Das beginnt beim SMS-Betrug und geht bis hin zu ausgewachsenem Warenbetrug oder Phishing. Leider gibt es nämlich immer noch viele Firmen, die noch nichts von Kundenkennwörtern gehört haben und sich bei der Auftragsabwicklung auf solche Daten als "Authentifizierung" verlassen (darunter auch mindestens eine große Kreditkartenfirma).

Dahinter steckt für mich aber noch eine andere Problematik: Informationelle Selbstbestimmung. Wem ich meine Mailadresse oder meine Handynummer gebe, das entscheide ich doch am besten selbst. Selbst der BGH sieht dies so. Firmen, die solche in gutem Glauben gemachten Angaben achtlos ins Internet stellen, handeln schlicht rechtswidrig.]]>
Das beginnt beim SMS-Betrug und geht bis hin zu ausgewachsenem Warenbetrug oder Phishing. Leider gibt es nämlich immer noch viele Firmen, die noch nichts von Kundenkennwörtern gehört haben und sich bei der Auftragsabwicklung auf solche Daten als "Authentifizierung" verlassen (darunter auch mindestens eine große Kreditkartenfirma).

Dahinter steckt für mich aber noch eine andere Problematik: Informationelle Selbstbestimmung. Wem ich meine Mailadresse oder meine Handynummer gebe, das entscheide ich doch am besten selbst. Selbst der BGH sieht dies so. Firmen, die solche in gutem Glauben gemachten Angaben achtlos ins Internet stellen, handeln schlicht rechtswidrig.]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-01-001?opendocument&comments#12.10.2008185856MRIMWV.htm Sun, 12 Oct 2008 17:12:54 +0020Mr Who 1,4 Millionen E-Mail-Adressen im Internet zum Download [ Update ]
Mr Who]]>
Mr Who]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-01-001?opendocument&comments#12.10.2008171254RCNKUM.htm Thu, 9 Oct 2008 19:13:27 +0020M.P. Datenschutz a’la afterbuy.de http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-08-10-002?opendocument&comments#09.10.2008191327RCNN7Y.htm Thu, 9 Oct 2008 06:27:37 +0020Michael Ritter 1,4 Millionen E-Mail-Adressen im Internet zum Download [ Update ]
In Sachen Link: die Adresse des Haupttreffers steht in Halbzoll-Lettern auf dem Schirm... ;) Die anderen habe ich bewußt nicht verlinkt, damit die "verlorenen" Dateien nicht noch mehr (Google-)Polularität gewinnen. Ich möchte hier auf ein Problem hinweisen, es aber möglichst nicht noch verschlimmern. Seit Veröffentlichung dieses Beitrags ist meine Seite ohnehin in bestimmten Kreisen ungeahnt beliebt geworden (siehe einige Kommentare - ist halt schwierig, wenn man kein Deutsch kann).

Viele Grüße

Michael]]>
In Sachen Link: die Adresse des Haupttreffers steht in Halbzoll-Lettern auf dem Schirm... ;) Die anderen habe ich bewußt nicht verlinkt, damit die "verlorenen" Dateien nicht noch mehr (Google-)Polularität gewinnen. Ich möchte hier auf ein Problem hinweisen, es aber möglichst nicht noch verschlimmern. Seit Veröffentlichung dieses Beitrags ist meine Seite ohnehin in bestimmten Kreisen ungeahnt beliebt geworden (siehe einige Kommentare - ist halt schwierig, wenn man kein Deutsch kann).

Viele Grüße

Michael]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-01-001?opendocument&comments#09.10.2008062737MRI79A.htm Wed, 8 Oct 2008 19:27:25 +0020merciful 1,4 Millionen E-Mail-Adressen im Internet zum Download [ Update ]
Übrigens Ihren Tipp ( und den Link ) hierher habe ich von der aktuellen " PC-WELT " 11-08

Kann man sich die auch Downloaden irgendwo als Datei...

Wenn man sie doch eh so finden kann ?

:-)

Danke !

Liebe Grüße @all]]>
Übrigens Ihren Tipp ( und den Link ) hierher habe ich von der aktuellen " PC-WELT " 11-08

Kann man sich die auch Downloaden irgendwo als Datei...

Wenn man sie doch eh so finden kann ?

:-)

Danke !

Liebe Grüße @all]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-01-001?opendocument&comments#08.10.2008192725RCNNGP.htm Fri, 3 Oct 2008 22:26:17 +0020Werner Sonnen Datenschutz a’la afterbuy.de
Klar, die verscherbeln diese für viel Geld an die Telefon-Mafia.

Ich werde auf jedenfall bei keinem Verkäufer mehr kaufen der Afterbay als Kaufabwicklung benutzt.

Eine Anzeige bei der Behörde für Datenschutz ist schon längst überfällig.

Leute lasst Euch nicht von Ebay und Co. zum gläsernern Bürger machen !!!!]]>
Klar, die verscherbeln diese für viel Geld an die Telefon-Mafia.

Ich werde auf jedenfall bei keinem Verkäufer mehr kaufen der Afterbay als Kaufabwicklung benutzt.

Eine Anzeige bei der Behörde für Datenschutz ist schon längst überfällig.

Leute lasst Euch nicht von Ebay und Co. zum gläsernern Bürger machen !!!!]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-08-10-002?opendocument&comments#03.10.2008222617RCNRYG.htm Thu, 2 Oct 2008 10:05:49 +0020mirko Jetzt sind es 2,1 Millionen E-Mailadressen http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-12-001?opendocument&comments#02.10.2008100549RCNBHP.htm Wed, 1 Oct 2008 21:11:01 +0020Uwe RFID-Chip mit Schalter - die Lösung? http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2009-09-10-002?opendocument&comments#01.10.2008211101RCNQHF.htm Wed, 1 Oct 2008 21:08:11 +0020Uwe Datendiebstahl bei der britischen Luftwaffe http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-08.27-001?opendocument&comments#01.10.2008210811RCNQFN.htm Mon, 29 Sep 2008 15:40:29 +0020Claus Der Mann, der die Welt gerettet hat - zum 25. Jahrestag des Stanislav Petrov Vorfalls http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-26-001?opendocument&comments#29.09.2008154029RCNJ2U.htm Thu, 18 Sep 2008 07:35:24 +0020MoniWi Smack? 404-Fehler und depressive Webserver
sorry for my bad english. I just want to say that i like this Blog.

Best

Moni]]>
sorry for my bad english. I just want to say that i like this Blog.

Best

Moni]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-09-03-001?opendocument&comments#09182008073524AMRCN8KP.htm Thu, 11 Sep 2008 14:46:38 +0020allo RFID-Chip mit Schalter - die Lösung? http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2009-09-10-002?opendocument&comments#09112008024638PMRCNGZ7.htm Wed, 10 Sep 2008 14:14:04 +0020Michael Ritter eBay-Auktion mit Bonus: eine Million Kontodaten in Großbritannien versteigert
Hilft das nicht, dann wird es beträchtlich komplizierter und aufwändiger: es reicht vom Auslesen von Einzelsektoren über die Reparatur der Steuerhardware bis hin zur Analyse der Festplattenoberfläche (hier wird es ziemlich unbezahlbar). Wenn es entsprechend wichtig ist, dann können Sie die Festplatte auch einem Datenrettungsunternehmen geben.

Ich hoffe, das hilft Ihnen ein wenig weiter.]]>
Hilft das nicht, dann wird es beträchtlich komplizierter und aufwändiger: es reicht vom Auslesen von Einzelsektoren über die Reparatur der Steuerhardware bis hin zur Analyse der Festplattenoberfläche (hier wird es ziemlich unbezahlbar). Wenn es entsprechend wichtig ist, dann können Sie die Festplatte auch einem Datenrettungsunternehmen geben.

Ich hoffe, das hilft Ihnen ein wenig weiter.]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-08-27-001?opendocument&comments#10.09.2008141404MRIGCP.htm Tue, 9 Sep 2008 18:40:52 +0020Heiner Stöckel eBay-Auktion mit Bonus: eine Million Kontodaten in Großbritannien versteigert
Ich habe genau das Problem! (nicht wie lösche ich meine Festplatte) sondern wie komme ich an Daten von defekten IT, HiFi und Videogeräten heran, die defekt oder deren Festplatte angeschlagen ist. Dein Tip ist gut, aber ich horte meinen Elektronicschrott als Altersvorsorge.

Wie komme ich also an die Daten hardwärmässig (naturlich über USB!) und softwarem.) heran? Die benutzen selbstververständlich alle unterschiedliche Systeme und Programme.

Muß ich mir jetzt den Bundestrajaner oder -Perser herunterladen?

MfG

Heiner]]>
Ich habe genau das Problem! (nicht wie lösche ich meine Festplatte) sondern wie komme ich an Daten von defekten IT, HiFi und Videogeräten heran, die defekt oder deren Festplatte angeschlagen ist. Dein Tip ist gut, aber ich horte meinen Elektronicschrott als Altersvorsorge.

Wie komme ich also an die Daten hardwärmässig (naturlich über USB!) und softwarem.) heran? Die benutzen selbstververständlich alle unterschiedliche Systeme und Programme.

Muß ich mir jetzt den Bundestrajaner oder -Perser herunterladen?

MfG

Heiner]]> http://www.sicherheitsblog.info/blog/sicherheit.nsf/dx/2008-08-27-001?opendocument&comments#09.09.2008184052RCNMKL.htm