“IT-Sicherheit in der Justiz — Neue Gefahren für die Gerichte?”

Ver­anstal­tungs­bericht Lena Lef­fer, Karin Potel in der Jur­PC Web-Dok. 133/2019 vom 23.10.2019

1. Teil: 14.00 bis 15.30 Uhr

Begrüßung und Moderation

Prof. Dr. Christoph Sorge
Inhab­er der Pro­fes­sur für Rechtsinformatik

E‑Akte gehackt? – Die Bedeu­tung von IT-Sicher­heit in der Justiz

Ste­fan Hes­sel, Diplom Jurist
Wis­senschaftlich­er Mitar­beit­er und Dok­torand bei der Pro­fes­sur für Rechtsin­for­matik sowie Geschäfts­führer der Defen­do GbR  Hes­sel & Reb­mann (www.defendo.it)

Die dig­i­tale Rev­o­lu­tion hat längst nicht nur unsere Gesellschaft, son­dern auch den Staat und damit die Jus­tiz ergrif­f­en. Neben der Ein­führung des elek­tro­n­is­chen Rechtsverkehrs kom­men auf die Jus­tiz mit zunehmender Ten­denz auch interne Dig­i­tal­isierung­spro­jek­te – etwa E‑Akte und struk­turi­ert­er Parteivor­trag – zu. Doch ohne die aus­re­ichende Berück­sich­ti­gung von IT-Sicher­heit dro­ht die durch die Dig­i­tal­isierung erhoffte Verbesserung und Vere­in­fachung der Ver­fahrens­abläufe sowie die Schaf­fung eines bürg­er­fre­undlichen Zugangs zur Jus­tiz zu ein­er Büchse der Pan­do­ra voller möglich­er Cyberan­griffe zu werden.

Vor diesem Hin­ter­grund nimmt der Vor­trag Sie mit auf eine Reise durch ver­schiedene Bedro­hungsszenar­ien, die sich aus der Dig­i­tal­isierung der Jus­tiz ergeben kön­nen und geht abschließend der Frage nach, ob die bish­eri­gen Bemühun­gen zum Schutz der Jus­tiz vor Cyberan­grif­f­en ausreichen.

Aktuelle Angriffs­for­men und was uns noch erwartet

Hol­ger Junker
Refer­at­sleit­er im Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) im Bere­ich Detek­tion von Angrif­f­en auf Regierungsnet­ze mit dem Schw­er­punkt Fall­bear­beitung und Signaturerstellung

Die Tak­tiken, Werkzeuge und Vorge­hensweisen der Angreifer im Cyber-Raum unter­liegen einem steti­gen Wan­del und zugle­ich ein­er zunehmenden Pro­fes­sion­al­isierung. Doch wie genau sehen die aktuellen Angriffe aus, bei denen sowohl tech­nis­che Neuerun­gen als auch bewährte manip­u­la­tive Vorge­hensweisen zur Anwen­dung kom­men? Welche Weit­er­en­twick­lun­gen wer­den uns schon bald vor neue Her­aus­forderun­gen in der Detek­tion bzw. Abwehr von Cyberan­grif­f­en stellen? Wie müssen wir organ­isatorische und tech­nis­che Maß­nah­men gestal­ten, um mit dieser Entwick­lung Schritt zu hal­ten? Wie kann der Men­sch als ver­meintlich schwäch­stes Glied in der Sicher­heits­kette seinen Beitrag dazu leis­ten, ein hin­re­ichen­des Sicher­heit­sniveau zu erzie­len? Lassen Sie uns gemein­sam einen Blick auf die aktuelle Sicher­heit­slage wer­fen und zugle­ich in die Glaskugel schauen.

Möglichkeit­en und Gren­zen von Hardware-Sicherheit

Stephanie Vogelge­sang
Researcher am CISPA − Helmholtz Cen­ter for Infor­ma­tion Security

Sicher­heit­slück­en in Soft­ware­pro­duk­ten sind in aller Munde. Doch was, wenn auch die beste Soft­ware chan­cen­los ist, weil die Elek­tron­ik des Gerätes bere­its eine Sicher­heit­slücke enthält? Von Hard­ware-Key­log­gern über “böse” Periph­eriegeräte bis hin zu manip­ulierten Fernse­hgeräten wird ein Überblick über das umfan­gre­iche Gebi­et der Hard­ware-Sicher­heit gegeben. Anhand von inter­ak­tiv­en Beispie­len wer­den die Gren­zen beste­hen­der Schutz­maß­nah­men aufgezeigt  und  über den Kom­pro­miss zwis­chen Sicher­heit und Benutzbarkeit diskutiert.

15.30 bis 15.45 Uhr: Pause

2. Teil: 15.45 bis 17.00 Uhr: 

„Sie haben ein iPhone gewon­nen!“ — Sicher­heit von Web­seit­en und Webbrowsern

Fred­erik Möllers, M.Sc
Exec­u­tive bei Michael Back­es Cybersecurity

Das Web feiert ger­ade seinen 30. Geburt­stag. Und seit fast 20 Jahren stellt die Organ­i­sa­tion OWASP eine Top-10-Liste der wichtig­sten Sicher­heit­slück­en im Web zusam­men. Wie in allen Bere­ichen der IT-Sicher­heit liefern sich Angreifer und Vertei­di­ger fak­tisch seit Beginn ein Katz-und-Maus-Spiel im Ver­such, immer neue Lück­en zu find­en bzw. zu schließen.
In diesem Vor­trag wer­den gemein­sam einige der aktuellen The­men im Bere­ich der Web-Sicher­heit betra­chtet. Kann man Pass­wort­man­ag­er bedenken­los ver­wen­den (Antwort: Kann man nicht)? Wie wer­den Web­seit­en eigentlich „gehackt“? Was kann ich als Nutzer tun und was als Betreiber? Diese und weit­ere Fra­gen wer­den wir ver­suchen, mit anschaulichen Beispie­len zu beantworten.

Druck­er, Fax und Bürogeräte als Schwachstelle

Hol­ger Junker
Refer­at­sleit­er im Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) im Bere­ich Detek­tion von Angrif­f­en auf Regierungsnet­ze mit dem Schw­er­punkt Fall­bear­beitung und Signaturerstellung

Druck­er, Faxgerät oder Mul­ti­funk­tion­s­geräte gehören fest zum Büroall­t­ag. Ger­ade das Faxgerät ist trotz fortschre­i­t­en­der Dig­i­tal­isierung der Arbeitswelt immer noch ein Relikt, welch­es de fac­to in jedem Unternehmen zu find­en ist. Dies bringt nicht nur unnötige und störende Medi­en­brüche, son­dern birgt auch ein mas­sives Sicher­heit­srisiko nicht nur für die Dat­en, die auf dem Gerät ver­ar­beit­et wer­den, son­dern für ganze Unternehmen­snet­ze. Dies ist umso kri­tis­ch­er, wenn gle­ichzeit­ig Fehler in der Gestal­tung des Unternehmen­snet­zes oder der flankieren­den Sicher­heitsmech­a­nis­men gemacht wer­den. So wird ein Druck­er oder Faxgerät schnell zur Schaltzen­trale für einen Angreifer, wenn er erst ein­mal einen Ein­fallsvek­tor in das interne Netz gefun­den hat. Wie Sie auch mor­gen noch sich­er druck­en und scan­nen kön­nen, erfahren Sie in diesem Vortrag.

Kom­mu­nika­tion von IT-Sicher­heit und Daten­schutz – Vor­fälle ver­mei­den, Auswirkun­gen minimieren

Andreas Reb­mann
Wis­senschaftlich­er Mitar­beit­er bei der Pro­fes­sur für Rechtsin­for­matik sowie Geschäfts­führer der Defen­do GbR – Hes­sel & Rebmann

Nicht erst seit Ein­führung der Daten­schutz­grund­verord­nung sind Meldepflicht­en bei IT-Sicher­heitsvor­fällen geregelt. Doch auch darüber hin­aus gibt es gute Gründe, sicher­heit­srel­e­vante Vor­fälle nach Außen und Innen zu kom­mu­nizieren. Eine gute Kom­mu­nika­tion kann das Aus­maß eines Sicher­heitsvor­falls beschränken und einen Rep­u­ta­tionsver­lust ver­mei­den. Darauf, dass IT-Sicher­heitsvor­fälle unent­deckt bleiben, kann und sollte sich nie­mand verlassen.

Oft­mals überse­hen wer­den hier­bei die Möglichkeit­en, den eige­nen Mitar­beit­ern die Notwendigkeit und Sinnhaftigkeit von Daten­schutz und IT-Sicher­heit zu ver­mit­teln, bevor etwas passiert, damit dies­bezügliche Maß­nah­men nicht nur als lei­di­ge Pflich­tauf­gaben ver­standen wer­den, son­dern als wichtiger Teil der eige­nen Arbeit. Der Vor­trag zeigt Beispiele von gelun­gener Kom­mu­nika­tion von IT-Sicher­heit und gibt Tipps, wie sich diese erfol­gre­ich umset­zen lässt.