Der Vortrag analysiert welche Bedrohungen für die IT-Sicherheit durch die Digitalisierung der Justiz entstehen. Er unterscheidet dabei zwischen zufälligen und zielgerichteten Angriffen. Darüber hinaus arbeitet der Vortrag heraus, dass die Justiz nicht nur die DSGVO, sondern auch aufgrund des Justizgewährungsanspruchs zur Gewährleistung von IT-Sicherheit verpflichtet ist. Sodann untersucht der Vortrag anhand eines Einzelfallbeispiels, wie gut die
deutsche Justiz vor Angriffen geschützt ist, bevor abschließend Lösungsansätze für die Verbesserung der IT-Sicherheit in der Justiz unterbreitet werden.
Am 27.3.2017 durfte ich im Rahmen einer gemeinsamen Veranstaltung der Sparkasse OÖ und der Jungen Wirtschaft Wels zum Thema 'Cybercrime und Datenklau' einen Vortrag halten. Hier finden Sie nun die Folien zum Vortrag, welche sich auf die strafrechtlichen und datenschutzrechtlichen Aspekte konzentrieren.
Das Überwachungspaket der BundesregierungWerner Reiter
Talk beim 13. Netzpolitischen Abend am 2. Februar 2017 gemeinsam mit Alexander Czadilek, Policy Analyst bei epicenter.works
https://www.überwachungspaket.at
Wenn Maschinen sprechen - Erfolgsfaktoren für M2M - Chancen und Risikenm2m_blog
M2M-Kommunikation ist in aller Munde und entwickelt sich von Jahr zu Jahr schneller.
Ein wesentlicher Erfolgsfaktor für M2M ist die Akzeptanz der Nutzer. Und die kann nur duch Vertrauensbildung erarbeitet werden. Vertrauen durch Sicherheit und Datenschutz. Dies sind immer wieder vernachlässigte essentielle Erfolgsfaktoren für M2M-Projekte.
Wer in seimem M2M-Projekt Sicherheit und Datenschutz vernchlässigt hat die besten Aussichten auf eine veritable Bauchladung. Beispiele dafür gibt es leider genug...
Internetkriminalität - eine Wachstumsbranche. 700.000 Straftaten jedes Jahr in Deutschland, über 46 Mrd. EUR Schaden. Cyber Versicherungen schützen ihr Unternehmen vor den finanziellen Folgen.
Es vergeht kaum ein Tag, an dem wir in den Medien nicht mit Berichten über Cyber Angriffe, Datendiebstahl und Kriminalität im Netz konfrontiert sind, sowie mit Fragen, wie wir die Cyber Sicherheit in Österreich gewährleisten können.
Der vorliegende Internet-Sicherheitsbericht von CERT.at und GovCERT Austria gibt Ihnen einen Überblick über die in 2016 gesetzten Aktivitäten.
Am 27.3.2017 durfte ich im Rahmen einer gemeinsamen Veranstaltung der Sparkasse OÖ und der Jungen Wirtschaft Wels zum Thema 'Cybercrime und Datenklau' einen Vortrag halten. Hier finden Sie nun die Folien zum Vortrag, welche sich auf die strafrechtlichen und datenschutzrechtlichen Aspekte konzentrieren.
Das Überwachungspaket der BundesregierungWerner Reiter
Talk beim 13. Netzpolitischen Abend am 2. Februar 2017 gemeinsam mit Alexander Czadilek, Policy Analyst bei epicenter.works
https://www.überwachungspaket.at
Wenn Maschinen sprechen - Erfolgsfaktoren für M2M - Chancen und Risikenm2m_blog
M2M-Kommunikation ist in aller Munde und entwickelt sich von Jahr zu Jahr schneller.
Ein wesentlicher Erfolgsfaktor für M2M ist die Akzeptanz der Nutzer. Und die kann nur duch Vertrauensbildung erarbeitet werden. Vertrauen durch Sicherheit und Datenschutz. Dies sind immer wieder vernachlässigte essentielle Erfolgsfaktoren für M2M-Projekte.
Wer in seimem M2M-Projekt Sicherheit und Datenschutz vernchlässigt hat die besten Aussichten auf eine veritable Bauchladung. Beispiele dafür gibt es leider genug...
Internetkriminalität - eine Wachstumsbranche. 700.000 Straftaten jedes Jahr in Deutschland, über 46 Mrd. EUR Schaden. Cyber Versicherungen schützen ihr Unternehmen vor den finanziellen Folgen.
Es vergeht kaum ein Tag, an dem wir in den Medien nicht mit Berichten über Cyber Angriffe, Datendiebstahl und Kriminalität im Netz konfrontiert sind, sowie mit Fragen, wie wir die Cyber Sicherheit in Österreich gewährleisten können.
Der vorliegende Internet-Sicherheitsbericht von CERT.at und GovCERT Austria gibt Ihnen einen Überblick über die in 2016 gesetzten Aktivitäten.
Datenschutzkonform kommunizieren und archivierenFabioMarti
Privat haben Messenger-Dienste wie WhatsApp der E-Mail längst den Rang abgelaufen. Im Unternehmensumfeld geht diese Wandlung langsamer voran. Um trotzdem die Vorteile des Instant Messagings zu genießen nutzen Mitarbeiter oft entgegen der Firmenrichtlinien ihre privaten Kommunikationsdienste für geschäftliche Zwecke, und bringen ihren Arbeitgeber so nicht nur rechtlich in eine prekäre Lage. Getrieben von dieser Schatten-IT und zusätzlich gefordert von neuen Compliance-Themen wie der DSGVO, suchen viele Unternehmen nach Lösungen.
Der Vortrag beleuchtet einige der häufigsten Stolperfallen und zeigt Wege auf, wie die digitale Kommunikation modernisiert werden kann ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen.
Internetkriminalität in Deutschland - Status und TrendsVogel IT-Medien
Mit der zunehmenden Digitalisierung und Verlagerung von Angeboten ins Internet wächst die Bandbreite der Angriffsmöglichkeiten. Für Unternehmen ist eine individuelle Risikoeinschätzung notwendig.
Die folgende Studie zielt darauf ab durch Auswertung unterschiedlicher Datenquellen ein verfeinertes und aussagekräftiges Bild über Status und Trends der Computer- und Internetkriminalität zu liefern. Entscheidungtsträger erhalten so Implikationen für die Risikoabwägung und darauf basierende Strategieentscheidungen im Unternehmen.
Werner Panhauser (Helvetia Versicherungen)Praxistage
Cyber Versicherung - Die „Feuerversicherung“ des 21. Jahrhunderts? Was ist versicherbar und was geschieht im Schadensfall? Werner Panhauser (Helvetia Versicherungen)
Mail-Security-Spezialisten von Net at Work starten unter dem Projektnamen Heimdall neuen KI- und Big-Data-basierten Service. Mit übergreifender Schwarmintelligenz werden Angriffe schneller und sicherer erkannt. Fokus auf den deutschsprachigen Raum macht das Projekt einzigartig.
Digital Marketing - Akademischer Handelsmanager 2017Michael Lanzinger
Vergangene Woche war ich erneut am WiFi in Linz im Einsatz, diesmal für den Bereich Akademischer Handelsmanager.
Neben Informationen zu Pflichten für Website-Betreiber finden sich in den Folien auch Hinweise zum aktuellen und kommenden Datenschutzrecht
Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren.
Video auf youtube:
https://youtu.be/Sfs-plMfB1s
Blogbeitrag:
https://cbrell.de/blog/informationssicherheitsmanagement/
Prof. Dr. Claus Brell
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Weitere ähnliche Inhalte
Ähnlich wie IRIS 2020 - Hessel/Rebmann: IT-Sicherheit in der Justiz – Wege aus einer drohenden Krise
Datenschutzkonform kommunizieren und archivierenFabioMarti
Privat haben Messenger-Dienste wie WhatsApp der E-Mail längst den Rang abgelaufen. Im Unternehmensumfeld geht diese Wandlung langsamer voran. Um trotzdem die Vorteile des Instant Messagings zu genießen nutzen Mitarbeiter oft entgegen der Firmenrichtlinien ihre privaten Kommunikationsdienste für geschäftliche Zwecke, und bringen ihren Arbeitgeber so nicht nur rechtlich in eine prekäre Lage. Getrieben von dieser Schatten-IT und zusätzlich gefordert von neuen Compliance-Themen wie der DSGVO, suchen viele Unternehmen nach Lösungen.
Der Vortrag beleuchtet einige der häufigsten Stolperfallen und zeigt Wege auf, wie die digitale Kommunikation modernisiert werden kann ohne Kompromisse bei Sicherheit und Compliance eingehen zu müssen.
Internetkriminalität in Deutschland - Status und TrendsVogel IT-Medien
Mit der zunehmenden Digitalisierung und Verlagerung von Angeboten ins Internet wächst die Bandbreite der Angriffsmöglichkeiten. Für Unternehmen ist eine individuelle Risikoeinschätzung notwendig.
Die folgende Studie zielt darauf ab durch Auswertung unterschiedlicher Datenquellen ein verfeinertes und aussagekräftiges Bild über Status und Trends der Computer- und Internetkriminalität zu liefern. Entscheidungtsträger erhalten so Implikationen für die Risikoabwägung und darauf basierende Strategieentscheidungen im Unternehmen.
Werner Panhauser (Helvetia Versicherungen)Praxistage
Cyber Versicherung - Die „Feuerversicherung“ des 21. Jahrhunderts? Was ist versicherbar und was geschieht im Schadensfall? Werner Panhauser (Helvetia Versicherungen)
Mail-Security-Spezialisten von Net at Work starten unter dem Projektnamen Heimdall neuen KI- und Big-Data-basierten Service. Mit übergreifender Schwarmintelligenz werden Angriffe schneller und sicherer erkannt. Fokus auf den deutschsprachigen Raum macht das Projekt einzigartig.
Digital Marketing - Akademischer Handelsmanager 2017Michael Lanzinger
Vergangene Woche war ich erneut am WiFi in Linz im Einsatz, diesmal für den Bereich Akademischer Handelsmanager.
Neben Informationen zu Pflichten für Website-Betreiber finden sich in den Folien auch Hinweise zum aktuellen und kommenden Datenschutzrecht
Einführung Informationssicherheit - und warum es mehr lohnt, in Menschen und Sicherheitsprozesse als in Virenscanner zu investieren.
Video auf youtube:
https://youtu.be/Sfs-plMfB1s
Blogbeitrag:
https://cbrell.de/blog/informationssicherheitsmanagement/
Prof. Dr. Claus Brell
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Ähnlich wie IRIS 2020 - Hessel/Rebmann: IT-Sicherheit in der Justiz – Wege aus einer drohenden Krise (8)
Was tun bei einer Datenpanne? Das verlangt die DSGVO
IRIS 2020 - Hessel/Rebmann: IT-Sicherheit in der Justiz – Wege aus einer drohenden Krise
1. IT-Sicherheit in der Justiz – Wege aus einer
drohenden Krise
Ass. iur. Stefan Hessel
Associate im Team Datenschutz & Cybersecurity bei reuschlaw Legal Consultants in Saarbrücken &
Geschäftsführer der Defendo GbR – Hessel, Rebmann & Vogelgesang
Andreas Rebmann, M.A.
Wissenschaftlicher Mitarbeiter, Professur für Rechtsinformatik, Universität des Saarlandes &
Geschäftsführer der Defendo GbR – Hessel, Rebmann & Vogelgesang
2. 28.02.2020 Hessel / Rebmann – IRIS 2020 2
Digitalisierung der Justiz
●
Elektronische Kommunikation
●
E-Akte
●
Strukturierter Parteivortrag
●
Legal Tech
➔
Umfassende Verlagerung von
(analogen) Prozessen in die digitale
Welt
3. 28.02.2020 Hessel / Rebmann – IRIS 2020 3
Veränderte Ausgangslage
●
Steigende Menge digital verfügbarer
Daten
‒ Zentralisierte Infrastrukturen
‒ Durchsuchbarkeit
‒ Kopierbarkeit
●
Globale Erreichbarkeit über das Internet
‒ Kommunikationsvorgänge
‒ Zugriff auf Daten
4. 28.02.2020 Hessel / Rebmann – IRIS 2020 4
Neue Bedrohungen
●
Justiz als Beifang von Cybercrime-Kampagnen
(z.B. Ransomware, Emotet, etc.)
●
Beispiel: Angriff auf das Kammergericht
Berlin Herbst 2019
5. 28.02.2020 Hessel / Rebmann – IRIS 2020 5
Neue Bedrohungen
●
Zunahme zielgerichteter Angriffe
●
Veränderung des Kosten-Nutzen-Risikos
(„Es gibt mehr zu holen“)
●
Geringere Hemmschwelle bei
Cybercrime
●
Größere Tätergruppe (weltweite
Angriffe)
6. 28.02.2020 Hessel / Rebmann – IRIS 2020 6
Terrorismus
Sprengstoffanschlag gegen die JVA Weiterstadt durch die RAF am 27. März 1993 (Quelle: t-
online.de)
7. 28.02.2020 Hessel / Rebmann – IRIS 2020 7
„Cyber-Jihad“
●
Islamistische Terrorgruppen verfügen über
entsprechendes Know-how
‒ April 2015: Hack des Sender TV 5 Monde
‒ Juni 2017: Behördenwebseiten in Ohio und
Maryland
●
Mögliche Anlässe für Angriffe auf die deutsche
Justiz
‒ Verfahren gegen Gefährder, Rückkehrer oder
sonstige Anhänger der islamistischen Szene
8. 28.02.2020 Hessel / Rebmann – IRIS 2020 8
„Texas Prison Hack“
●
Kevin Mitnick: Die Kunst des
Einbruchs
●
Zwei Häftlinge mit Interesse für
Computer
●
Nicht inventarisierte Computerteile
i.V.m. Social Engineering
●
Verlegung von Ethernet und
Telefonkabeln im Gefängnis
●
Internetzugriff über den Rechner
des Anstaltsleiters und die Modem-
Einwahldaten eines Wärters
9. 28.02.2020 Hessel / Rebmann – IRIS 2020 9
Digitale Gefangenenbefreiung
●
April 2015: Mittels
illegalem Mobiltelefon
Webseite und E-
Mailadresse aus der
Zelle heraus eingerichtet
●
E-Mail des Court Service
mit Anordnung den
Gefangenen auf Kaution
freizulassen
●
Freilassung nach 3 Tagen Neil Moore, Quelle: Metropolitan Police
●
Variante: IT-Angriff mit dem Ziel die Freilassung von
Gefangenen zu erreichen
10. 28.02.2020 Hessel / Rebmann – IRIS 2020 10
Der Anruf des „Haftrichters“
Quelle: Wall Street Journal, 30.08.2019
Quelle: Vice, 09.03.2018
11. 28.02.2020 Hessel / Rebmann – IRIS 2020 11
Entwendung von Akten(teilen)
●
Wirtschaftliche Motivation:
‒ Erlangung von Informationen i.S.v. § 16
GeschGehG oder vergleichbaren Informationen
→ z.B. Wirtschaftsspionage, Insidergeschäfte,
etc.
‒ Erlangung von sonstigen Informationen → z.B.
Boulevardpresse
●
Politische Motivation:
‒ August 2018: „Chemnitz-Leak“: Innentäter
veröffentlicht Haftbefehl
12. 28.02.2020 Hessel / Rebmann – IRIS 2020 12
Angriffsmethoden
●
Alles denkbar von
Dumpster Diving bis
zu hochtechnisierten
Angriffen mit
Schadsoftware
●
Es ist mit einem
weitreichenden
Einsatz gegen die
Justiz zu rechnen!
One man’s trash is the enemy’s treasure (Quelle:
(U.S. Air Force photo by Staff Sgt. Nesha Humes)
14. 28.02.2020 Hessel / Rebmann – IRIS 2020 14
Anmerkung zur Schadenshöhe
●
Vielzahl von Risiken ist
inakzeptabel → hoher Schaden
●
Vertrauen in die Sicherheit der
Justiz ist essentiell für den
Rechtsstaat
●
Selbst kleine Vorfälle können
dieses Vertrauen erschüttern
16. 28.02.2020 Hessel / Rebmann – IRIS 2020 16
IT-Sicherheit als justizielle Verantwortung
●
DSGVO für die Justiz voll anwendbar
‒ Allerdings eigene Aufsicht
●
Zugleich verfassungsrechtliche
Verpflichtung durch
Justizgewährungsanspruch als
institutionelle Garantie
(Mindestmaß an IT-Sicherheit)
17. 28.02.2020 Hessel / Rebmann – IRIS 2020 17
Aktueller Stand
●
Bisher: Starke Fokussierung auf Sicherheit von
Anwendungen (z.B. e-Akte-Lösung)
●
Zur Bewältigung des entstehenden Risikos jedoch
umfassende IT-Sicherheitskultur unter Berücksichtigung
der Gewährleistung von Funktionsabläufen notwendig
●
Defizit vor allem bei:
‒ „Begleitprozessen“ (z.B. Schulung des Personals bzgl.
Grundregeln der IT-Sicherheit, Verschlüsselung von
Dienstgeräten, etc.)
‒ Vermeintlich analogen Prozessen (z.B. Absicherung von
Gebäudeeingängen, Auskünfte am Telefon, etc.)
‒ Ausbildungsbereich (z.B. Referendare)
18. 28.02.2020 Hessel / Rebmann – IRIS 2020 18
Lösungswege
●
Grundverständnis schaffen
●
IT-Sicherheit als Prozess begreifen (ISMS)
●
Kommunikation von IT-Sicherheit
●
Gesetzliche Regelung:
‒ IT-Sicherheitsgesetz für die Justiz
‒ Überprüfung bzw. Aufgabe der
datenschutzrechtlichen Selbstkontrolle?