1.
Einleitung ^
Im letzten Jahrzehnt ist ein signifikanter Anstieg von Gefahren durch Cyber-Attacken1 zu verzeichnen.2 Dies ist nicht zuletzt darauf zurückzuführen, dass autonom agierende Systeme im Zeitalter der Digitalisierung neue Dimensionen von Netzwerken entstehen lassen. Der Informationsaustausch findet also nicht mehr ausschließlich zwischenmenschlich – via Internet – statt, sondern Gegenstände kommunizieren auch untereinander. Ausgehend vom Wortsinn ist Charakteristikum und gleichermaßen gemeinsamer Nenner von Cyberattacken der gezielte Angriff auf größere, für eine spezifische Infrastruktur wichtige Computernetzwerke von außen3 – unabhängig vom Verursachertypus. Die Angriffe können mannigfaltig ausgestaltet sein und reichen von Schädigungen, die die Betriebsfähigkeit beeinträchtigen hin zu digitalen Erpressungen; sie beinhalten Unternehmensspionage genauso wie die Beschaffung von Zugangsdaten.4
2.
Rechtliche Fragestellungen ^
Spiegelbildlich zur Bandbreite der tatsächlichen Erscheinungsformen von Cyberattacken gibt es generell eine Vielzahl diskussionswürdiger, rechtlicher Aspekte, die in diesem Rahmen nur überblicksartig dargestellt werden können. Im öffentlichen Recht wird beispielsweise diskutiert, ob und inwieweit neuartige Formen der Kriegsführung, zu denen auch Cyberattacken zählen sollen, einen völkerrechtlich relevanten «bewaffneten Angriff» (Art. 51 UN-Charta) darstellen.7 Im Strafrecht verschärft sich der Blick auf Cyber-Kriminalität8, den e-crime-Täter9 und das Tatmittel Internet.10 Zivilrechtlich interessieren vornehmlich Haftungsszenarien, Zuordnungsfragen und damit einhergehende Versicherungskonzepte.11 Im Weiteren soll vorwiegend das nationale Sicherheitskonzept als solches und das IT-SicherheitsG im Besonderen Beachtung finden. Ausgehend von der Prämisse, dass die größtmögliche Sicherheit vor Cyberattacken präventiv12 – im eigenen Unternehmen, in eigener Verantwortung – ansetzen soll, gilt es zu fragen, wie greifbar die formulierten Vorgaben für den Rechtsanwender sind.
3.
Nationales Sicherheitskonzept ^
4.
Stand der Technik ^
Im Rahmen des sog. Kalkar-Beschlusses des Bundesverfassungsgerichts von 197820 wurden die drei sicherheitsrechtlich belangvollen Standards erläutert und grundsätzlich in Beziehung gesetzt. Das Fundament bilden die «allgemein anerkannten Regeln der Technik», die sich für den Anwender in der bloßen Ermittlung der vorherrschenden Meinung im technischen Praktikerumfeld erschöpfen. Auf höchster Stufe ist der «Stand von Wissenschaft und Technik» angesiedelt, der im Produkthaftungskontext als Theorie-Praxis-Beziehung verstanden wird.21 Dazwischen oszilliert der «Stand der Technik», bei dem das Hauptaugenmerk auf das technisch Machbare und praktisch Bewährte gerichtet ist, wobei die Ermittlung der technischen Notwendigkeit, Angemessenheit und Vermeidbarkeit zum Aufgabenspektrum des Anwenders zählt.
5.
Fazit ^
Der steigenden Bedrohung durch Online-Kriminalität und Cyber-Attacken26 will der Gesetzgeber mit einer neuen Risikokultur begegnen.27 Für Unternehmen, respektive Betreiber kritischer Anlagen, bedeutet dies wiederum ein Umdenken in Sachen Risikomanagement und Compliance; sie stehen vor der Herausforderung, die neuen Vorgaben basierend auf dem IT-SiG in die Praxis umzusetzen.28 Im Kern geht es dabei um die Einhaltung von Mindeststandards und die Beachtung des «Standes der Technik». Die Regelungen sind im Ergebnis zu begrüßen, da sie gleichermaßen einen prophylaktischen Schutzwall gegen Angriffe von außen darstellen und aus Unternehmensperspektive auf Organisationsebene haftungsmindernd wirken können. Zu bemängeln bleibt die mangelnde Griffigkeit, so dass es nicht verwundern würde, wenn alsbald der Ruf nach einer Spezifizierung laut wird und ggf. Nachjustierungen vorgenommen werden.
6.
Literatur ^
BKA, Polizeiliche Kriminalstatistik 2015, S. 8–9.
Bräutigam, Peter/Klindt, Thomas, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, S. 113.
Erichsen, Sven, Cyber-Risiken und Cyber-Versicherung, CCZ 2015, S. 247–248.
Gitter, Rotraud/Meißner, Alexander/Spauschus, Philipp, Das neue IT-Sicherheitsgesetz, ZD 2015, S. 512.
Michaelis, Patrick, Der «Stand der Technik» im Kontext regulatorischer Anforderungen, DuD 2016, S. 458.
MMR-Aktuell, 2016, 376372.
Müller, Stefan, in: Ensthaler, Jürgen/Gesmann-Nuissl, Dagmar/Müller, Stefan (Hrsg.), Technikrecht – Rechtliche Grundlagen des Technologiemanagements, Springer, Berlin-Heidelberg 2012, S. 29.
Reindl-Krauskopf, Susanne, Cyber-Kriminalität, ZaöRV 2014, S. 563, 564.
Schmidt-Radefeldt, Roman, in: Epping, Volker/Hilgruber, Christien (Hrsg.), Beck'scher Online-Kommentar GG, Stand 1. September 2015, Art. 115a, Rn. 4.
Wyl, Christian de/Weise, Michael/Bartsch, Alexander, Neue Sicherheitsanforderungen für Netzbetreiber, N&R 2015, S. 23.
- 1 Zu den Begriffen «Cybercrime» und «Internetkriminalität» vgl. auch Mehrbrey/Schreibauer 2016, S. 75 m.w.N.
- 2 MMR-Aktuell, 2016, 376372.
- 3 http://www.duden.de/rechtschreibung/Cyberattacke (alle Hyperlinks wurden am 3. bzw. 6. Januar 2017 zuletzt aufgerufen).
- 4 Hierzu mehr bei Mehrbrey/Schreibauer 2016, S. 75.
- 5 https://beck-online.beck.de/Dokument?vpath=bibdata%2Freddok%2Fbecklink%2F2002253.htm&pos=1&hlwords=on.
- 6 Bräutigam/Klindt 2015, S. 1137.
- 7 Vgl. Schmidt-Radefeldt 2015, Art. 115a, Rn. 4.
- 8 Zur Begrifflichkeit siehe Reindl-Krauskopf 2014, S. 563, 564.
- 9 Zur Begrifflichkeit siehe Erichsen 2015, S. 247–248.
- 10 Im Jahr 2015 wurden 244.528 Fälle erfasst, die unter Nutzung des Tatmittels Internet begangen wurden; überwiegend handelte es sich hierbei um Betrugsdelikte (z.B. Bitcoins). Computerkriminalität ist im Jahr 2015 um 5,2% gesunken, vgl. BKA 2015, S. 8–9.
- 11 Exemplarisch Mehrbrey/Schreibauer 2016, S. 75 ff.
- 12 Und nicht erst mit der Ermittlung/Ahndung von Straftaten und der Geltendmachung zivilrechtlicher Ansprüche.
- 13 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5.
- 14 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), vom 17. Juli 2015, BGBl. 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015 vgl. https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/it-sicherheitsgesetz.pdf?__blob=publicationFile.
- 15 Gitter/Meißner/Spauschus 2015, S. 512.
- 16 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5.
- 17 Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV), BGBl. Jahrgang 2016 Teil I Nr. 20, ausgegeben zu Bonn am 2. Mai 2016, vgl. https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%255B@attr_id=%27bgbl116s0958.pdf%27%255D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl116s0958.pdf%27%5D__1485792922045.
- 18 https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/kritis-vo-kabinett.pdf?__blob=publicationFile.
- 19 Michaelis 2016, S. 458.
- 20 BVerfGE 49, 89, 135 ff. – Kalkar I.
- 21 Vertiefend: Müller 2012, S. 29.
- 22 Anders z.B. § 3 Abs. 1 S. 1 PatG oder § 3 Abs. 6 BimSchG.
- 23 BT-Drucks. 18/4096, S. 26.
- 24 Michaelis 2016, S. 459.
- 25 Gesetz zum Schutz von schädlichen Umwelteinwirkungen durch Luftverunreinigungen, Geräusche, Erschütterungen und ähnliche Vorgänge (Bundes-Immissionsschutzgesetz – BImSchG) in der Fassung der Bekanntmachung vom 17. Mai 2013 (BGBl. I S. 1274), das durch Artikel 1 des Gesetzes vom 30. November 2016 (BGBl. I S. 2749) geändert worden ist, vgl. https://www.gesetze-im-internet.de/bundesrecht/bimschg/gesamt.pdf.
- 26 https://beck-online.beck.de/Dokument?vpath=bibdata%2Freddok%2Fbecklink%2F2002253.htm&pos=1&hlwords=on.
- 27 http://www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf.
- 28 Für Netzbetreiber und Versorger vgl. Wyl/Weise/Bartsch 2015, S. 23.