Rechtliche Rahmenfaktoren der Netzwerksicherheit Daniel Spichale, 24.01.2008 Rechtliche Rahmenfaktoren der Netzwerksicherheit
Inhalt Datenschutz Datenschutzrechtliche Anforderungen Risikofrüherkennung Haftung Rechtliche Aspekte bei WLAN Netzwerken Quellen
Datenschutz Vertraulichkeit und Unversehrtheit von Daten sowie der Technik Bundesdatenschutzgesetz (BDSG) BDSG §9 Satz 1: Alle Datenverarbeitenden Stellen haben durch geeignete technische und organisatorische Maßnahmen die Gewährleistung der Datenschutzrechtlichen Anforderungen sicherzustellen
Datenschutzrechtliche Anforderungen Zugangskontrolle: Unbefugte dürfen keinen Zugriff auf Computer haben, auf denen personenbezogene Daten verarbeitet werden. Beispiel: Server gehören in einen abgeschlossenen Raum Zugriffskontrolle: Benutzer haben nur Zugriff auf jene Daten auf die sie Zugriff haben dürfen Beispiel: Authentifizierung, NTFS-Berechtigungen
Datenschutzrechtliche Anforderungen Datenträgerkontrolle: Verwendung beweglicher Datenträger beschränken Beispiel: Sanctuary Device Control, Devicepro Datenschutzbeauftragter: Unternehmen, die mindestens 10 mit Personendatenverarbeitung betraute Personen beschäftigen
Risikofrüherkennung KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich): Vorstand einer AG und Geschäftsführung einer GmbH ist verpflichtet, geeignete Maßnahmen zur frühzeitigen Erkennung von Entwicklungen zu treffen, die den Fortbestand der Gesellschaft konkret gefährden Risikoanalyse Sicherheitskonzept Praktische Durchführung und Einhaltung
Haftung § 7 Abs. 1 Bundesdatenschutzgesetz (BDSG): Das Unternehmen haftet unbegrenzt für alle Schäden, die es Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zufügt. Bußgelder von bis zu 250.000€ Freiheitsstrafen von bis zu 2 Jahren gegen die Verantwortlichen (die haftende/n Person/en)
Rechtliche Aspekte bei WLAN Netzwerken „schwarzsurfen“ in einem ungesicherten WLAN ist nicht strafbar Betreiber des WLANS = Dienstanbieter §9 Teledienstgesetz: Diensteanbieter sind grundsätzlich nicht für die Inhalte verantwortlich, die sie für ihre Kunden durch die Netze leiten. Das Knacken einer Verschlüsselung (auch WEP) oder das Ausspähen personenbezogener Daten ist nach § 202a STGB strafbar: Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, macht sich strafbar.
Quellen www.it-recht-kanzlei.de http://dejure.org/gesetze/StGB http://www.gesetze-im-internet.de/bdsg_1990/