IT-Sicherheit im Recht und in der Praxis
Neue Herausforderungen für Anwaltschaft und Gesellschaft.
Das DAV-Forum zum IT-Sicherheitsrecht bot zahlreiche Erkenntnisgewinne und Warnungen für die Zukunft. Das Thema IT-Sicherheit sei wohl für viele noch mit dem Gefühl, „darum müsste man sich mal kümmern“, verbunden. So begann Edith Kindermann, Präsidentin des Deutschen Anwaltsvereins, ihre Begrüßung zum DAVForum „IT-Sicherheitsrecht – neue Herausforderungen für Anwaltschaft und Gesellschaft“ am Donnerstagmorgen des 7. Dezember.
Samuel Hartmann | Student der Rechtswissenschaften an der Humboldt-Universität (9. Semester) und Studentischer Mitarbeiter bei HK2 Rechtsanwälte
In Anbetracht aktueller Entwicklungen sei eines aber klar, führte Kindermann fort: „Jeder von Ihnen wird irgendwann erwischt werden – sind Sie darauf vorbereitet?“. Diese rhetorische Frage erwies sich zugleich als der Sound, der sich durch die gesamte Veranstaltung zog. Steven Müller vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erörterte als erster Referent, wie es um die IT-Sicherheit in Deutschland tatsächlich bestellt sei. Ransomware-Attacken seien die aktuell größte Bedrohung für Deutschlands Cyberraum, so Müller, der den BSI-Lagebericht 2023 vorstellte. Besonders gefährlich: Das Anbieten von „Ransomware as a Service“. Im Rahmen einer arbeitsteilig organisierten Cyberangriffsindustrie werden Ransomware-Attacken zu einem für fast alle erhältlichen Massengeschäft. Cyberangriffe würden nun auch vermehrt kleinere und mittelständische Unternehmen betreffen, so Müller. 26 % der betroffenen Unternehmen beurteilten den durch Cyberangriffe erlittenen Schaden als „existenzgefährdend oder sehr schwer“. Alarmierende Zahlen eines auch sonst beunruhigenden Berichts.
WIE KANN DER GEFAHR BEGEGNET WERDEN? DIE PRAKTISCHE UND RECHTLICHE PERSPEKTIVE AUF IT-SICHERHEIT
Tomaz Lawicki von Capgemini machte in seinem darauffolgenden Vortrag deutlich: Einen wirksamen Schutz könne es nur geben, wenn Sicherheitsmaßnahmen nach dem „Stand der Technik“ getroffen werden. Lawicki konturierte diesen nebulösen Begriff direkt. Es sei stets die „am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung der gesetzlichen IT-Sicherheitsziele“ nötig. Die Umsetzung dessen erfordere aber eine interdisziplinäre Anstrengung. Die Geschäftsführung habe nun verstärkt den Fokus auf die IT-Sicherheit zu setzen, das Sicherheitsverhalten von Anwender*innen müsse geschärft werden. IT-Dienstleistungsunternehmen müssten den Stand der Technik stets verbindlich zusichern. Dafür richtete Lawicki an Jurist*innen eine besondere Bitte: Der Stand der Technik müsse immer vertraglich festgelegt werden.
Dies betonte auch Karsten U. Bartels, Partner bei HK2 Rechtsanwälte und Vorsitzender der davit, der die rechtlichen Vorgaben zur IT-Sicherheit und deren vertragliche Implementierung behandelte. „Hat die Anwaltschaft bei der IT-Sicherheit geschlafen?“, fragte Bartels zu Beginn seines Vortrags. Es gebe bereits jetzt zu wenig Anwält*innen für IT-Sicherheitsrecht und in Zukunft seien in Anbetracht der stetig wachsenden Bedeutung des Rechtsgebiets noch größere Engpässe zu befürchten. Vorschriften des IT-Sicherheitsrechts sind aktuell in verschiedenen Regelungswerken enthalten. Insbesondere das IT-Sicherheitsgesetz 2.0 stellt hierbei essenzielle Vorgaben auf, adressiert jedoch primär Betreiber kritischer Einrichtungen. Das kommende Jahr wird nun einschneidende Veränderungen in der Architektur des ITSicherheitsrechts mit sich bringen, maßgeblich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Das Gesetz wird unter anderem den Anwendungsbereich des BSIG neu strukturieren und erweitern, sodass statt zuvor rund 1600 nunmehr 29.000 Unternehmen IT-sicherheitsrechtlich verpflichtet sein werden. Auch den Einrichtungen der Bundesverwaltung werden neue Pflichten auferlegt. Vom Adressatenkreis ausgenommen werden wohl Kommunen und Bildungseinrichtungen – laut Bartels „ein katastrophales Zeichen“ für die IT-Sicherheit in Deutschland.
Rechtsanwältin Diana Nadeborn (Tsambikakis & Partner Rechtsanwälte) legte das Problem der Strafbarkeit von IT-Sicherheitsforschenden dar. Was unterscheide diese vom „Hacker“? Die Abgrenzung sei gar nicht so einfach, aber gerade in Hinblick auf eine Strafbarkeit nach § 202a StGB, dem „Ausspähen von Daten“, relevant. Nadeborn untersuchte das Tatbestandsmerkmal „Überwinden einer Zugangssicherung“ anhand sogenannter Penetrationstests. Hierbei wird versucht, gezielt in die ITSysteme von Unternehmen einzudringen, um potenzielle Sicherheitslücken aufzudecken. Wenn IT-Sicherheitsforschende dies ohne Einwilligung des jeweiligen Unternehmens vornehmen, um sich für einen Auftrag des Unternehmens zu bewerben, steht eine Strafbarkeit nach § 202a StGB im Raum. Im konkreten Beispiel nahm das LG Aachen an, das Dekompilieren einer Software stelle bereits das „Überwinden einer Zugangssicherung“ dar. Vom AG Jülich wurde dies noch abgelehnt – der Selbstschutz müsse auch eine gewisse Komplexität aufweisen. Die juristisch umstrittene Frage ist auch rechtspolitisch brisant: Das Aufspüren von IT-Sicherheitslücken ohne jede Schädigungsabsicht wäre wünschenswert, um das IT-Sicherheitsniveau in Deutschland zu fördern, betonte Nadeborn. Den Reformbedarf hat auch der Gesetzgeber erkannt: Im kommenden Jahr soll es einen Entwurf zur Änderung des § 202a StGB geben. Ein Umdenken in Deutschland sei absolut notwendig, denn „die IT-Sicherheitsforscher sind unsere Freunde“, schloss Nadeborn ab.
WAS HEISST ES, OPFER EINES CYBERANGRIFFS ZU WERDEN? IT-SICHERHEIT IN DER ANWALTSKANZLEI
Besondere Einblicke gewährte im Anschluss Dr. Thomas Jelitte von Kapellmann Rechtsanwälte. Er zeigte auf, was es eigentlich bedeutet, Opfer einer Ransomware-Attacke zu werden, wie dies Kapellmann im Februar 2023 widerfahren ist. Was ist im Ernstfall ad hoc zu tun? Zunächst sei es das Wichtigste, Ruhe zu bewahren. Dann wurde der Notfallplan initiiert. Es wurde Kontakt zu Spezialisten hergestellt, der IT-Leiter übernahm die Kommunikation mit dem Angreifer via Chat im Darknet. Angestellte und Mandant*innen wurden von dem Vorfall informiert und die Polizei eingeschaltet. Allmählich konnte auf die ITSysteme zugegriffen werden, vom Angreifer verschlüsselte Daten entschlüsselt und wiederhergestellt werden. „Normalität“ sei nach drei Wochen zurückgekehrt. Zum Ende gab Jelitte den Teilnehmer*innen wertvolle Schlussfolgerungen mit: Es gebe keine Garantie für die Nichtwiederholung, warnte er, „IT-Sicherheit ist ein ständiger Wettlauf gegen Cyberangreifer“. Eine Cyberversicherung abzuschließen sei ratsam, ein Notfallplan unentbehrlich. „Jede Art von Bequemlichkeit ist gefährlich“, mahnte Jelitte zum Abschluss seines spannenden Berichts, der alle Zuhörer*innen dazu bewegt haben dürfte, sich nochmal Gedanken über die eigene IT-Sicherheit zu machen.
„IT-Sicherheit ist ein ständiger Wettlauf gegen Cyberangreifer“
Passenderweise stellte Dr. Judith Nink von Kremer Rechtsanwälte im letzten Vortrag des Abends Best Practices für die IT-Sicherheit in der Anwaltskanzlei dar. Nink zeigte auf, welche technischen und organisatorischen Maßnahmen Kanzleien zur Verfügung stehen. Während im Bereich der präventiven technischen Maßnahmen Backup- Server und schnellstmöglich einzuspielende Patches neben zahlreichen weiteren „Puzzleteilen“ besonders hervorgehoben wurden, seien Detektionsmaßnahmen ebenfalls vorzunehmen, bestenfalls müsse eine vollständige Überwachung des Datenverkehrs stattfinden. Schließlich erörterte Nink die organisatorischen Maßnahmen, bei denen es unabhängig von Kanzleigröße häufig mangeln würde: Vor allem müssen Schulungen zum Training und zur Sensibilisierung der Mitarbeiter*innen erfolgen und Simulationen das Verhalten im Ernstfall testen. Nink stellte zum Abschluss klar: Eine Cyberattacke wird nie vollständig vermieden werden können. Nichtsdestotrotz sei es unerlässlich, die für die eigene Kanzlei passenden Maßnahmen zu implementieren, um die Angriffshürden so hoch wie möglich zu setzen. Jährliche Gesamtausgaben für die IT-Sicherheit in Höhe von 7,8 Mrd. Euro seien in Anbetracht von Gesamtschäden im Umfang von ca. 203 Mrd. Euro noch viel zu wenig, appellierte Nink.
„IT-Sicherheit muss als gute Investition verstanden werden, nicht als Laster oder Bürde“
Abgerundet wurde das DAV-Forum schließlich von einem Panel, bei welchem die Referent*innen engagiert über die Takeaways der Veranstaltung diskutierten. Müller unterstrich, dass der erste Schritt eines Unternehmens sein müsse, die eigenen Geschäftsprozesse und Programme zu untersuchen, bevor in einem zweiten Schritt zielgerichtete Maßnahmen zum Aufbau der IT-Sicherheitsinfrastruktur ergriffen werden können. Wenngleich hierbei das Hinzuziehen externer Dienstleister meistens notwendig sei, müsse man die eigene Fortbildung im Unternehmen voranbringen, warnte Nadeborn, um die Prozesse selbst nachvollziehen zu können. IT-Dienstleister und Anwält*innen müssten endlich lernen, offen miteinander zu kommunizieren, fügte Lawicki hinzu. Zuletzt äußerte Bartels einen Wunsch: Die Veranstaltung müsse ein Startschuss sein, das IT-Sicherheitsrecht müsse in der Anwaltschaft mehr Anklang finden. Nink stimmte Bartels zu und zog als Fazit: „IT-Sicherheit muss als gute Investition verstanden werden, nicht als Last oder Bürde“. Es ist zu hoffen, dass sich dieser Aufruf durchsetzen wird, damit wir alle ein IT-sicheres Jahr 2024 haben werden.