„IT-Sicher­heit in der Jus­tiz – Neue Gefah­ren für die Gerich­te?“

Ver­an­stal­tungs­be­richt Lena Lef­fer, Karin Potel in der Jur­PC Web-Dok. 133/2019 vom 23.10.2019

1. Teil: 14.00 bis 15.30 Uhr

Begrü­ßung und Mode­ra­ti­on

Prof. Dr. Chris­toph Sor­ge
Inha­ber der Pro­fes­sur für Rechts­in­for­ma­tik

E‑Akte gehackt? – Die Bedeu­tung von IT-Sicher­heit in der Jus­tiz

Ste­fan Hes­sel, Diplom Jurist
Wis­sen­schaft­li­cher Mit­ar­bei­ter und Dok­to­rand bei der Pro­fes­sur für Rechts­in­for­ma­tik sowie Geschäfts­füh­rer der Defen­do GbR Hes­sel & Reb­mann (www.defendo.it)

Die digi­ta­le Revo­lu­ti­on hat längst nicht nur unse­re Gesell­schaft, son­dern auch den Staat und damit die Jus­tiz ergrif­fen. Neben der Ein­füh­rung des elek­tro­ni­schen Rechts­ver­kehrs kom­men auf die Jus­tiz mit zuneh­men­der Ten­denz auch inter­ne Digi­ta­li­sie­rungs­pro­jek­te – etwa E‑Akte und struk­tu­rier­ter Par­tei­vor­trag – zu. Doch ohne die aus­rei­chen­de Berück­sich­ti­gung von IT-Sicher­heit droht die durch die Digi­ta­li­sie­rung erhoff­te Ver­bes­se­rung und Ver­ein­fa­chung der Ver­fah­rens­ab­läu­fe sowie die Schaf­fung eines bür­ger­freund­li­chen Zugangs zur Jus­tiz zu einer Büch­se der Pan­do­ra vol­ler mög­li­cher Cyber­an­grif­fe zu wer­den.

Vor die­sem Hin­ter­grund nimmt der Vor­trag Sie mit auf eine Rei­se durch ver­schie­de­ne Bedro­hungs­sze­na­ri­en, die sich aus der Digi­ta­li­sie­rung der Jus­tiz erge­ben kön­nen und geht abschlie­ßend der Fra­ge nach, ob die bis­he­ri­gen Bemü­hun­gen zum Schutz der Jus­tiz vor Cyber­an­grif­fen aus­rei­chen.

Aktu­el­le Angriffs­for­men und was uns noch erwar­tet

Hol­ger Jun­ker
Refe­rats­lei­ter im Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) im Bereich Detek­ti­on von Angrif­fen auf Regie­rungs­net­ze mit dem Schwer­punkt Fall­be­ar­bei­tung und Signa­tur­er­stel­lung

Die Tak­ti­ken, Werk­zeu­ge und Vor­ge­hens­wei­sen der Angrei­fer im Cyber-Raum unter­lie­gen einem ste­ti­gen Wan­del und zugleich einer zuneh­men­den Pro­fes­sio­na­li­sie­rung. Doch wie genau sehen die aktu­el­len Angrif­fe aus, bei denen sowohl tech­ni­sche Neue­run­gen als auch bewähr­te mani­pu­la­ti­ve Vor­ge­hens­wei­sen zur Anwen­dung kom­men? Wel­che Wei­ter­ent­wick­lun­gen wer­den uns schon bald vor neue Her­aus­for­de­run­gen in der Detek­ti­on bzw. Abwehr von Cyber­an­grif­fen stel­len? Wie müs­sen wir orga­ni­sa­to­ri­sche und tech­ni­sche Maß­nah­men gestal­ten, um mit die­ser Ent­wick­lung Schritt zu hal­ten? Wie kann der Mensch als ver­meint­lich schwächs­tes Glied in der Sicher­heits­ket­te sei­nen Bei­trag dazu leis­ten, ein hin­rei­chen­des Sicher­heits­ni­veau zu erzie­len? Las­sen Sie uns gemein­sam einen Blick auf die aktu­el­le Sicher­heits­la­ge wer­fen und zugleich in die Glas­ku­gel schau­en.

Mög­lich­kei­ten und Gren­zen von Hard­ware-Sicher­heit

Ste­pha­nie Vogel­ge­sang
Rese­ar­cher am CISPA − Helm­holtz Cen­ter for Infor­ma­ti­on Secu­ri­ty

Sicher­heits­lü­cken in Soft­ware­pro­duk­ten sind in aller Mun­de. Doch was, wenn auch die bes­te Soft­ware chan­cen­los ist, weil die Elek­tro­nik des Gerä­tes bereits eine Sicher­heits­lü­cke ent­hält? Von Hard­ware-Key­log­gern über „böse“ Peri­phe­rie­ge­rä­te bis hin zu mani­pu­lier­ten Fern­seh­ge­rä­ten wird ein Über­blick über das umfang­rei­che Gebiet der Hard­ware-Sicher­heit gege­ben. Anhand von inter­ak­ti­ven Bei­spie­len wer­den die Gren­zen bestehen­der Schutz­maß­nah­men auf­ge­zeigt und über den Kom­pro­miss zwi­schen Sicher­heit und Benutz­bar­keit dis­ku­tiert.

15.30 bis 15.45 Uhr: Pau­se

2. Teil: 15.45 bis 17.00 Uhr: 

„Sie haben ein iPho­ne gewon­nen!“ – Sicher­heit von Web­sei­ten und Web­brow­sern

Fre­de­rik Möl­lers, M.Sc
Exe­cu­ti­ve bei Micha­el Backes Cyber­se­cu­ri­ty

Das Web fei­ert gera­de sei­nen 30. Geburts­tag. Und seit fast 20 Jah­ren stellt die Orga­ni­sa­ti­on OWASP eine Top-10-Lis­te der wich­tigs­ten Sicher­heits­lü­cken im Web zusam­men. Wie in allen Berei­chen der IT-Sicher­heit lie­fern sich Angrei­fer und Ver­tei­di­ger fak­tisch seit Beginn ein Katz-und-Maus-Spiel im Ver­such, immer neue Lücken zu fin­den bzw. zu schlie­ßen.
In die­sem Vor­trag wer­den gemein­sam eini­ge der aktu­el­len The­men im Bereich der Web-Sicher­heit betrach­tet. Kann man Pass­wort­ma­na­ger beden­ken­los ver­wen­den (Ant­wort: Kann man nicht)? Wie wer­den Web­sei­ten eigent­lich „gehackt“? Was kann ich als Nut­zer tun und was als Betrei­ber? Die­se und wei­te­re Fra­gen wer­den wir ver­su­chen, mit anschau­li­chen Bei­spie­len zu beant­wor­ten.

Dru­cker, Fax und Büro­ge­rä­te als Schwach­stel­le

Hol­ger Jun­ker
Refe­rats­lei­ter im Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) im Bereich Detek­ti­on von Angrif­fen auf Regie­rungs­net­ze mit dem Schwer­punkt Fall­be­ar­bei­tung und Signa­tur­er­stel­lung

Dru­cker, Fax­ge­rät oder Mul­ti­funk­ti­ons­ge­rä­te gehö­ren fest zum Büro­all­tag. Gera­de das Fax­ge­rät ist trotz fort­schrei­ten­der Digi­ta­li­sie­rung der Arbeits­welt immer noch ein Relikt, wel­ches de fac­to in jedem Unter­neh­men zu fin­den ist. Dies bringt nicht nur unnö­ti­ge und stö­ren­de Medi­en­brü­che, son­dern birgt auch ein mas­si­ves Sicher­heits­ri­si­ko nicht nur für die Daten, die auf dem Gerät ver­ar­bei­tet wer­den, son­dern für gan­ze Unter­neh­mens­net­ze. Dies ist umso kri­ti­scher, wenn gleich­zei­tig Feh­ler in der Gestal­tung des Unter­neh­mens­net­zes oder der flan­kie­ren­den Sicher­heits­me­cha­nis­men gemacht wer­den. So wird ein Dru­cker oder Fax­ge­rät schnell zur Schalt­zen­tra­le für einen Angrei­fer, wenn er erst ein­mal einen Ein­falls­vek­tor in das inter­ne Netz gefun­den hat. Wie Sie auch mor­gen noch sicher dru­cken und scan­nen kön­nen, erfah­ren Sie in die­sem Vor­trag.

Kom­mu­ni­ka­ti­on von IT-Sicher­heit und Daten­schutz – Vor­fäl­le ver­mei­den, Aus­wir­kun­gen mini­mie­ren

Andre­as Reb­mann
Wis­sen­schaft­li­cher Mit­ar­bei­ter bei der Pro­fes­sur für Rechts­in­for­ma­tik sowie Geschäfts­füh­rer der Defen­do GbR – Hes­sel & Reb­mann

Nicht erst seit Ein­füh­rung der Daten­schutz­grund­ver­ord­nung sind Mel­de­pflich­ten bei IT-Sicher­heits­vor­fäl­len gere­gelt. Doch auch dar­über hin­aus gibt es gute Grün­de, sicher­heits­re­le­van­te Vor­fäl­le nach Außen und Innen zu kom­mu­ni­zie­ren. Eine gute Kom­mu­ni­ka­ti­on kann das Aus­maß eines Sicher­heits­vor­falls beschrän­ken und einen Repu­ta­ti­ons­ver­lust ver­mei­den. Dar­auf, dass IT-Sicher­heits­vor­fäl­le unent­deckt blei­ben, kann und soll­te sich nie­mand ver­las­sen.

Oft­mals über­se­hen wer­den hier­bei die Mög­lich­kei­ten, den eige­nen Mit­ar­bei­tern die Not­wen­dig­keit und Sinn­haf­tig­keit von Daten­schutz und IT-Sicher­heit zu ver­mit­teln, bevor etwas pas­siert, damit dies­be­züg­li­che Maß­nah­men nicht nur als lei­di­ge Pflicht­auf­ga­ben ver­stan­den wer­den, son­dern als wich­ti­ger Teil der eige­nen Arbeit. Der Vor­trag zeigt Bei­spie­le von gelun­ge­ner Kom­mu­ni­ka­ti­on von IT-Sicher­heit und gibt Tipps, wie sich die­se erfolg­reich umset­zen lässt.