Startseite > Security > Spyware aus Juristensicht

Spionageprogramme

Spyware aus Juristensicht

19. Oktober 2006, 22:55 Uhr | Dr. Jyn Schultze-Melling

Spyware ist für Unternehmen ein sensibles Thema. Mit großem Aufwand versuchen die Anbieter von Anti-Spyware-Lösungen mit der rasanten Entwicklung Schritt zu halten. Aber auch aus juristischer Sicht ist Spyware eine komplexe und heikle Angelegenheit.

Der Slogan "IT-Sicherheit ist Chefsache" verschafft dem Aspekt der persönlichen Haftung von
Geschäftsführern und Vorständen seit einiger Zeit einige Aufmerksamkeit, und viele
Unternehmenslenker sind sich ihrer Verantwortung inzwischen - zumindest abstrakt - bewusst. Es
fehlt aber oft noch an der konkreten Umsetzung, mit der die IT-Sicherheit als eigenständiger
Prozess und als Bestandteil des IT-Risiko-Managements im Unternehmen verankert wird. Zu diesem
Ergebnis kommt übrigens auch die EU, die sich diesbezüglich große Sorgen zu machen scheint. Vor
diesem Hintergrund wird mittelfristig eine europäische Regelung zu diesem Bereich wahrscheinlich.
Eine IT-Security-Richtlinie der EU würde das von der Kommission vermisste Zusammenspiel der
Mitgliedsstaaten beim Umgang mit IT-Sicherheit fördern.

Unternehmen, die ihre IT-Sicherheit vernachlässigen, müssen sich auf mehr als den Verlust von
Daten gefasst machen. Schadensersatzansprüche von Dritten, wenn diese beispielsweise durch Viren
oder durch Spyware Schäden erleiden, können sich gegen das Unternehmen selbst und sein Management
richten. Zudem drohen nachteilige Ratings und dadurch schlechte Bedingungen bei der zukünftigen
Kreditaufnahme, außerdem Imageverluste bei Kunden und Geschäftspartnern. Hart erarbeitete
Wettbewerbsvorteile lösen sich in Luft auf, wenn der Konkurrenz durch Industriespionage
Informationen über Produkte und Entwicklungen in die Hände fallen.

Mittelstand und Großunternehmen

Die großen Unternehmen haben das Thema IT-Sicherheit schon länger auf dem Radarschirm - Banken
und Versicherungen aufgrund der strengen Vorgaben der Finanzaufsicht im Zusammenhang mit Basel II
und Solvency II und die übrigen aufgrund der internationalen Rahmenbedingungen. Die große Fraktion
der Mittelständler in Deutschland hat das Thema IT-Sicherheit dagegen erst mit Basel II richtig
wahrgenommen. Die Sparkassen und Raiffeisenbanken, die die Einsparungspotenziale der durch Basel II
ermöglichten dynamischen Einstufung der operationellen Risiken ihrer Kunden ausnutzen wollen,
vermitteln das Thema inzwischen nachdrücklich. Der Mittelstand macht sich aber tendenziell eher
Gedanken zum Thema ROSI (Return of Security Investments) und wird sich erst nach und nach auch
seiner gesetzlichen Verpflichtungen im Bereich IT-Sicherheit bewusst.

Die damit verbundenen Herausforderungen erkennen die Unternehmen oft erst dann, wenn sie sich
wirklich darüber im Klaren sind, wie bedeutend die Sicherheit ihrer IT-Systeme ist.

Viele verzweifeln zunächst an der Unübersichtlichkeit des Markts für IT-Sicherheitslösungen, und
wissen nicht, was sie eigentlich brauchen, um ihre individuellen IT-Risiken zu minimieren. Hier
können unabhängige IT-Sicherheitsberater oder Verbände wie das Kompetenzzentrum für Sicherheit
(KoSiB) weiterhelfen. Wichtig ist dabei ein risikoorientierter und ganzheitlicher Ansatz: Gleich,
welche Lösung eingesetzt wird, sie sollte nicht nur die technischen Anforderungen erfüllen, sondern
unbedingt auch den rechtlichen und betriebswirtschaftlichen Erfordernissen Rechnung tragen.

Risiken lauern überall

Die größte Gefahr für die IT-Sicherheit sind oftmals Mitarbeiter oder Akteure mit dem Status
eines Mitarbeiters. Manchen Statistiken zufolge kommen mittlerweile über 70 Prozent aller "Angriffe"
von innen - unter anderem auch von übereifrigen Administratoren, die testen wollten, ob denn das
eigene Unternehmensnetz einen E-Mail-Wurm verkraften kann. Auch mangels nachhaltiger
Sensibilisierung der Mitarbeiter haben es Gauner leicht, an Daten zu kommen oder ganze Systeme zu
übernehmen und diese anschließend als so genannte Bots zum Versand von Spam-Mails oder für
Distributed Denial-of-Service-Attacken zu nutzen. Verantwortlich für die Aufklärung der Mitarbeiter
sollte der IT-Sicherheitsbeauftragte des Unternehmens sein - auch mithilfe externer Experten.

Ein weiteres Problem ist das fehlende oder mangelhafte User-Identification-Management (UIM).
Gekündigte Mitarbeiter haben teilweise noch lange Zugriff auf das Netz, weil niemand ihre Accounts
sperrt. Kriminelle können die Accounts von Urlaubern übernehmen, da verdächtige Handlungen, wie
eine erhöhte Anzahl erfolgloser Anmeldeversuche im Netzwerk, nicht beobachtet werden.

Bei der Umsetzung von IT-Sicherheit stellen sich auch oftmals unerwartete Hürden. Erlaubt das
Unternehmen seinen Mitarbeitern private E-Mails und nichtdienstliches Surfen im Internet, gilt es
als Telekommunikationsanbieter und unterliegt dem Fernmeldegeheimnis. Praktische Konsequenz: Der
Datenverkehr darf nur noch in engen Grenzen überwacht werden, Scanner und Sniffer sind tabu, und
Verstöße werden vom Strafrichter geahndet.

Hohe Gewinne motivieren Gauner

Die Cyber-Kriminalität ist heute Spielfeld der internationalen, organisierten Kriminalität.
Spammer verdienen jährlich mehrere Milliarden Dollar und versenden spezielle Programme, die
Verbraucher-PCs wiederum zu Spam-Versendern machen. Industrie-Spionage wird mittlerweile von den
großen Syndikaten durch den gezielten Einsatz von Trojanischen Pferden und anderer Spyware
durchgeführt.

Erpressungen erfolgen unter Zuhilfenahme von frei zugänglicher Verschlüsselungssoftware: Hacker,
die nach ihrem Einbruch die Datenbanken des Unternehmens verschlüsseln, geben den
Entschlüsselungscode nur gegen Zahlung von hohen Summen preis.

Waren früher Viren in erster Linie dazu da, Festplatten zu löschen und sich vorher möglichst
weit zu verstreuen, dienen heutige Schadprogramme dazu, möglichst lange unerkannt zu bleiben und
wertvolle Informationen zu sammeln. Diese Daten können zu Identitätsdiebstählen missbraucht oder
gar für Erpressungen eingesetzt werden. Der Diebstahl von Laptops mit gespeicherten
Sozialversicherungsnummern und Einbrüche in Kreditkarten-Clearinghouses bringen heutzutage
offensichtlich mehr ein als der so genannte Ruhm früherer Hacker-Generationen.

Aber auch die Wirtschaftsprüfer entdecken das Thema IT-Sicherheit. Die achte EU-Richtlinie, auch
Euro-SOX genannt, wird die Unternehmensprüfung umkrempeln: Waren früher so genannte Systemprüfungen
zwar obligatorisch, wurden praktisch aber sehr vernachlässigt, so werden Wirtschaftsprüfer, die
zukünftig persönlich und ohne Ausschlussmöglichkeiten für die Richtigkeit ihrer Testate haften,
wesentlich strengere Maßstäbe an die IT-Sicherheit legen.

Spyware öffnet Kriminellen die Türen

Die Gefahren durch Spyware und die dadurch verursachten Schäden steigen stark an und werden in
den nächsten Jahren eines der zentralen Themen der IT-Sicherheit werden. Wie die Einschätzung der
EU-Kommission zeigt, betrifft dieses Thema sämtliche Mitgliedsstaaten gleichermaßen.

Spyware ist die modernste und fortschrittlichste Form von Malware: Sie zielt auf das wertvolle
Gut Information. Der Einsatz von Spyware kann dabei vielerlei strafrechtliche Tatbestände erfüllen
(insbesondere Ausspähen von Daten, § 202a StGB). Der Rahmen ist aber vergleichsweise breit: Stuft
man beispielsweise die Google-Toolbar bereits als Spyware ein, was unter Fachleuten ziemlich
unbestritten ist, hat der Anwender diese in der Regel selbst und damit freiwillig installiert.
Rechtliche Ansprüche sind hier nur schwer begründbar. Ähnlich schwierig gestaltet sich die
rechtliche Einstufung von Phishing-Mails, weil hier die eigentliche Straftat erst dann stattfindet,
wenn die Daten des Empfängers missbraucht werden.

Neuland für Rechtsprechung

Anders dagegen ist es bei "echter" Spyware wie Keyloggern und Trojanischen Pferden, die sich
unbemerkt installieren und ebenso unbemerkt vertrauliche Informationen sammeln. Hier ist die
rechtliche Betrachtung recht eindeutig. Obwohl schon die EU-Datenschutz-Richtlinie RL 2002/ 58/ EG
den Begriff Spyware erwähnt, ist das Thema für Juristen relativ neu, und daher haben sich auch die
Gerichte noch nicht ausführlich mit dem Thema auseinandergesetzt.

Die größte Gefahr, die von Spyware ausgeht, sind der Verlust von sensitiven Informationen und
die damit verbundenen Auswirkungen auf das unmittelbare Geschäft wie der Verlust von
Wettbewerbsvorteilen, Imageschäden und sogar Erpressbarkeit.

Ein weiteres Risiko ist der Verlust der Kontrolle über die IT-Systeme. Den Spyware-Gaunern die
Macht über die Systeme wieder zu entreißen, die Spionagesoftware zu entfernen und sich gegen
zukünftige Angriffe zu wappnen - all das ist mit großem Aufwand verbunden. Häufig sind Systeme nach
dem erstmaligen Befall durch Spyware besonders verwundbar, denn die erlangten Informationen werden
häufig zum späteren Eindringen in die betreffenden Systeme verwendet.

Spyware verletzt aber auch die Compliance-Anforderungen des Unternehmens: Fehlfunktionen und
Performance-Einbußen führen zu erhöhtem Supportbedarf, Verzögerungen und steigenden Kosten.

Sensible Daten - sensible Gesetze?

Personenbezogene Daten unterliegen datenschutzrechtlichen Vorgaben, und dies gilt für Daten von
Kunden und Mitarbeitern. Der Verlust von Kundendaten führt zu Misstrauen, und selbst das
Abhandenkommen von Mitarbeiterdaten kann, wie die Erfahrung zeigt, zu Imageschäden führen.

Aber auch telekommunikationsrechtlich sind Unternehmen verpflichtet, dem missbräuchlichen
Abhören der Datenströme vorzubeugen. Unternehmen unterliegen dem TKG, wenn sie zum Beispiel ihren
Mitarbeitern die private Nutzung des Internets erlauben. Dabei sind insbesondere auch die
Verkehrsdaten, beispielsweise der Adressat eines VoIP-Gesprächs und Empfänger einer E-Mail,
gesetzlich geschützt.

Internationale Kriminalität

Angesichts der Besorgnis, auch auf europäischer Ebene, kann man mittelfristig davon ausgehen,
dass sich der Gesetzgeber mit dem Thema IT-Sicherheit und Spyware speziell auseinandersetzen wird.
Wann und vor allem in welcher Form dies geschieht, hängt jedoch von vielen weiteren Faktoren ab.
Auch aus den USA mehren sich die Zeichen einer entsprechenden Gesetzgebung. Mit zunehmender Anzahl
prominenter Schadensfälle wird hier aber der Handlungsdruck zunehmen.

Die Verfolgung von Spyware-Gaunern hat mit denselben Hindernissen zu kämpfen wie die
grenzüberschreitende Verfolgung von Virenschreibern: Die internationalen Strafgesetze gehen mit
Spyware unterschiedlich um. Abhilfe schafft zukünftig vielleicht die Cyber-Crime-Convention des
Europarats.

Momentan kämpfen jedoch die Strafverfolgungsbehörden in erster Linie gegen die Zeit, denn viele
Beweisdaten müssen aus datenschutzrechtlichen Gründen gelöscht werden, und oftmals kommen die
Ermittler nicht rechtzeitig, um hier einzugreifen. Die gegenwärtig viel diskutierte
Vorratsdatenhaltung betrifft hier zwar auch nur einen Teilbereich, bringt aber hoffentlich
Erleichterung.

Aufklärung und User-Management

Um aber erst gar nicht Opfer von Datendieben zu werden, müssen Unternehmen letztendlich an
mehreren Punkten ansetzen:

Die Aufklärung der Nutzer über Risiken von scheinbar harmlosen Programmen wie
zum Beispiel den diversen Toolbars ist Grundvoraussetzung für eine sichere Unternehmens-IT.

Sorgfältiges User-Management und streng überwachte Rechtevergabe auf
Dateiebene ist ein weiterer Schritt, der vor allem Systemadministratoren in die Pflicht nimmt. Dazu
gehören auch die konsequente Kontrolle der Softwareinstallationen an den Einzelplätzen und
gegebenenfalls die Entfernung von nicht autorisierten Programmen.

Da jedoch die Entwickler von Spyware immer trickreichere Varianten der Spionageprogramme
verbreiten, ist letzten Endes eine professionelle Anti-Spyware-Lösung an den Arbeitsplatzrechnern
und auf den Gateways unerlässlich. Als Fazit gilt: Regelmäßige Aktualisierungen sorgen dafür, dass
den Spionen die Türe zu den sensiblen Unternehmensdaten vor der Nase zugeschlagen wird.

KonTraG: verpflichtet das Unternehmen zur Etablierung eines internen Kontrollsystems (IKS) zur Risikofrüherkennung. AktG: verpflichtet Vorstände zur gewissenhaften Geschäftsführung unter Zugrundelegung der mutmaßlich besten Interessen des Unternehmens (§ 93 AktG). GmbHG: verpflichtet die Geschäftsführer ebenfalls zur gewissenhaften Geschäftsführung (§ 43 GmbHG) und damit zu einem verantwortungsbewussten Umgang mit der IT-Sicherheit. BDSG: verpflichtet Datenverarbeiter zum sorgfältigen Umgang mit personenbezogenen Daten. TKG: verpflichtet Unternehmen, die TK-Anbieter sind, zur Wahrung des Fernmeldegeheimnisses (§ 88 TKG). ZKDSG: Das Zugangskontrolldienste-Schutzgesetz verbietet die Entwicklung, den Besitz und den Vertrieb von HackerWerkzeugen. UrhG: § 95a Urhebergesetz verbietet die Umgehung von Kopierschutzmechanismen. StGB: Das Strafgesetzbuch kennt insbesondere die Straftatbestände der Computersabotage und des Computerbetrugs sowie des Ausspähens von Daten. BGB: Das Bürgerliche Gesetz schließlich regelt die Voraussetzungen von Schadensersatzansprüchen im Zuge mangelhafter IT-Sicherheit.

Jyn Schultze-Melling/wj

Sicherheitssuiten, hauseigene Security-Software oder spezielle Anti-Spyware-Lösungen für Unternehmen - es gibt zahlreiche unterschiedliche Versuche, den Kampf gegen Spyware erfolgreich zu führen. Einige wichtige Fragen sollten sich Unternehmen jedoch stellen, bevor sie sich für eine bestimmte Lösung entscheiden:

Hat der Hersteller eine hochwertige Expertise im Bereich "Spyware"?

Kann der Netzwerkadministrator den Schutz aller Arbeitsplatzrechner von einer zentralen Stelle aus steuern und überwachen?

Ist der Anbieter der Anti-Spyware-Lösung stets im Internet aktiv auf der Suche nach neuen Spyware-Varianten?

Sind regelmäßige Updates und Informationen über bisher unbekannte Schädlinge verfügbar?

Beanspruchen Updates und die Übertragung von Signaturen nur wenig Bandbreite im Unternehmensnetz?

Erfüllt die Anti-Spyware-Lösung alle drei Kernaufgaben: Erkennen, Löschen, Schützen?

Sind die Kosten für den Schutz vor Spyware pro Arbeitsplatz attraktiv?

Wie hoch ist die Quote der nicht oder falsch erkannten Spionageprogramme?

Daniel Mothersdale/wj

Mit der Problematik, auch bei erlaubter Privatnutzung von E-Mail und Internet die eigene IT rechtskonform und sicher zu betreiben, setzt sich in diesem Heft ausführlich Prof. Dr. Nikolaus Forgó auseinander. Lesen Sie den Beitrag auf Seite 54. Zum statistischen Überwiegen der Innentäter bei den Gefahren für die Unternehmens-IT muss die LANline nach eigenen Recherchen (LANline 2/2006, Seite 7) zwangsläufig immer ein Ceterum Censeo hinzufügen: Vorsicht mit derartigen Aussagen! Die Statistiken sind sich in diesem Punkt nämlich alles andere als einig, kommen zweitens häufig mit fragwürdigen Mitteln zum entsprechenden Ergebnis und zählen drittens oft Aktionen mit, die auf reinem Irrtum von Mitarbeitern beruhen und aufgrund ausreichender Sicherheitstechnik keinerlei Folgen haben. Dr. Johannes Wiele

Dr. Jyn Schultze-Melling ist Wirtschaftsanwalt bei der international aufgestellten Kanzlei Nörr Stiefenhofer Lutz in München und Mitglied der firmeninternen Practice Group IT. Er gehört der Deutschen Gesellschaft für Recht und Informatik (DGRI), der Arbeitsgruppe IT-Recht des Deutschen Anwaltsvereins (DAV) und der Gesellschaft für Informatik (GI) an. Darüber hinaus ist er Vorstand für den Bereich Recht im Kompetenzzentrum für Sicherheit KoSiB e.G. Daniel Mothersdale ist Marketing Director von Webroot für die Region EMEA.