Cybersicherheit, ein wichtiges Thema

von | Nov 9, 2022

Cybersicherheit

Seit mehreren Jahren nehmen die Cyberangriffe in Frankreich zu. Es wird geschätzt, dass die Cyberbedrohungen bis 2020 um +400 % zunehmen werden. Dies ist ein Risiko, das bereits vor einigen Jahren von der ANSI (Agence Nationale de la Sécurité des Systèmes d'Information) angesprochen wurde, die eine Zunahme der Bedrohung in den nächsten Jahren vorhersagte.

Während Cyberangriffe ursprünglich eher auf Unternehmen abzielten, betreffen sie zunehmend auch medizinische Einrichtungen und Gebietskörperschaften. Wie ist diese Explosion von Cyberangriffen zu erklären? Was ist Cybersicherheit und welche Rolle spielt sie?

Was ist Cybersicherheit?

Das Hauptziel der Cybersicherheit ist der Schutz von Computersystemen, Netzwerken und Programmen vor digitalen Angriffen. Häufig zielen diese Angriffe darauf ab, Zugang zu sensiblen Informationen zu erlangen, um diese zu verändern oder zu zerstören oder sie zu nutzen, um - meist finanziell - davon zu profitieren.

Cybersicherheit, auch bekannt als Computersicherheit oder Sicherheit von Informationssystemen, wird in mehrere Kategorien unterteilt:
Sicherheit von Netzwerken,
Sicherheit von Anwendungen,
Sicherheit der Informationen,
Betriebliche Sicherheit.

Die am weitesten verbreiteten Cyberangriffe zielen darauf ab, Informationen zu sammeln, um sie auf unterschiedliche Weise wiederzuverwenden. Es gibt verschiedene Arten von Cyberbedrohungen wie: Viren, Trojaner, Spyware, Ransomware, Adware und Botnet. In den letzten Jahren wurden jedoch drei neue Cyberbedrohungen entdeckt, die immer häufiger eingesetzt werden:
Die Dridex Malware. Es handelt sich um einen Banking-Trojaner, der Systeme über Phishing-E-Mails infiziert. Durch das Erlangen von Login-Daten, Bankdaten oder persönlichen Daten können Cyberkriminelle unlautere Transaktionen durchführen.
Betrügereien im Bereich der Gefühle. Diese Betrügereien zielen darauf ab, Betrügereien in Chatrooms, Anwendungen oder Dating-Seiten einzurichten. Die Hacker nutzen die Verwundbarkeit der Opfer aus, um persönliche Daten zu erlangen, die sie dann für kriminelle Zwecke verwenden.
Die Emotet-Malware. Dieses Trojanische Pferd ermöglicht Datendiebstahl unter Ausnutzung eines unsicheren Passworts.

Recht und Cybersicherheit, einen Anwalt für IT-Recht in Paris konsultieren

Das Recht der Cybersicherheit betrifft alle Risiken und vorsätzlichen Bedrohungen, die von Menschen ausgehen und die das Vermögen eines Unternehmens schädigen können. Angesichts dieses immer größer werdenden Phänomens kann ein Unternehmen regelmäßig einen Anwalt hinzuziehen, um sich vor Cyberangriffen zu schützen und um seine Interessen in einem Fall zu verteidigen, in dem es Opfer oder Beschuldigter sein könnte.

Das französische und europäische Recht setzt einen klaren und präzisen Rechtsrahmen, der die Einführung strenger Sicherheitsmaßnahmen erfordert. Jedes Unternehmen ist verpflichtet, seinen Verpflichtungen nachzukommen und riskiert dabei schwere Strafen. Wenn ein Cyberangriff möglich wurde, weil das Unternehmen seine Sicherheits- und Vertraulichkeitsverpflichtungen nicht eingehalten hat, kann das Unternehmen von der CNIL (Commission Nationale de l'Informatique et des Libertés) mit hohen Geldstrafen belegt werden.

Um diese Vorschriften zum Schutz personenbezogener Daten einzuhalten, können sich Unternehmen von einem Anwalt für Cybersicherheit begleiten lassen. Der spezialisierte Anwalt kann seinen Mandanten bei der Erstellung eines Vertragsdokuments und bei den Formalitäten begleiten, die für die Einhaltung der gesetzlichen Verpflichtungen unerlässlich sind. Der Anwalt für Computer- und Netzsicherheit berät über Schutz- und Sicherheitslösungen, die einzurichten sind. Er kann die Rechte seines Mandanten im Falle eines Rechtsstreits verteidigen.

Cybersicherheit: Warum ist sie notwendig?

Die Umsetzung von Maßnahmen, die eine effektive Bekämpfung von Cyberbedrohungen ermöglichen, wird heute immer schwieriger. Die digitale Entwicklung schreitet stetig voran und Hacker sind über diese Veränderungen gut informiert und wissen, wie sie immer innovativer werden können.

Unternehmen müssen in der Lage sein, das Risiko der Cybersicherheit zu erkennen. Durch eine spezifische Überwachung der Cyberbedrohungen, mit denen sie konfrontiert werden können, können die Manager die Cyberbedrohungen vorhersehen und darauf reagieren.

Für ein Unternehmen kann das Opfer eines Cyberangriffs den Verlust sensibler Daten, einen erheblichen finanziellen Verlust durch Diebstahl und die Wiederherstellung gestohlener Daten, Reputationsschäden und in einigen Fällen sogar die Schließung eines Unternehmens bedeuten.

Ein Unternehmen muss daher sicherstellen, dass Online-Einkäufe sicher sind, um die Gesetze einzuhalten und um Vertrauen bei seinen Kunden aufzubauen.

Was sind die Grundprinzipien der Cybersicherheit?

Die Cybersicherheit hat fünf Hauptziele: Integrität, Verfügbarkeit, Vertraulichkeit, Nichtabstreitbarkeit und Authentifizierung. Kein Computersystem ist unfehlbar, auch wenn verschiedene Präventionsmaßnahmen ergriffen werden. Um eine Cyberbedrohung zu erkennen, muss der eigene IT-Schutz sorgfältig überwacht werden. Um IT-Risiken vorzubeugen, sollten Sie sicherstellen, dass :
Die Risiken angemessen analysieren,
Definieren Sie eine Sicherheitsrichtlinie,
Implementierung einer Präventionslösung,
Häufige Bewertung von Schutzlösungen,
Ständige Aktualisierung des Schutzsystems entsprechend den sich ändernden Bedingungen.
Risiken.

Cybersicherheitsvorschriften: Welche Regeln gelten für Unternehmen?

Unternehmen sind verpflichtet, einige Regeln zum Schutz und zur Sicherheit von Computern einzuhalten, die im französischen Recht festgelegt sind. Andernfalls können sie haftbar gemacht werden und es können erhebliche Strafen verhängt werden.

Jedes Unternehmen ist verpflichtet, seine Daten so gut wie möglich zu schützen. Es hat das Recht, alle nützlichen Lösungen zu nutzen, um sich vor Cyberangriffen zu schützen. Als Arbeitgeber müssen Sie auch in der Lage sein, Ihre Mitarbeiter in Bezug auf ihre persönlichen Daten zu schützen. Ein Unternehmen kann die Kompetenzen im Bereich der Cybersicherheit internalisieren, indem es eine Abteilung für Informationssysteme (ISD) einrichtet. Durch die Beauftragung eines externen Experten mit Audits kann das Unternehmen auch sicherstellen, dass die Prozesse, die für eine optimale und effektive Cybersicherheit eingesetzt werden, überwacht und analysiert werden.

Der Schutz von Daten ist eines der Hauptziele bei der Einführung von Lösungen zum Schutz vor Cyberangriffen. Daher muss jedes Unternehmen sicherstellen, dass es Schutzmaßnahmen einsetzt, die die Vertraulichkeit und Integrität der Daten gewährleisten. Um einen wirksamen Schutz zu gewährleisten, muss ein Unternehmen daher sicherstellen, dass es :
Methoden zur Verschlüsselung von Daten und Verbindungen,
Starke Authentifizierungsmaßnahmen zur Erkennung von Robotern,
Maßnahmen, die den Zugriff auf die Daten unter allen Umständen durch gesicherte Backups gewährleisten,
Das Unternehmen muss in der Lage sein, seinen Schutz jederzeit zu verbessern, um mit Schwachstellen und digitalen Entwicklungen Schritt zu halten.

Jedes Unternehmen muss in der Lage sein, die Regeln der GDPR (General Data Protection Regulation) einzuhalten. Die DSGVO definiert eine Verletzung personenbezogener Daten als "eine Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Offenlegung von oder zum unberechtigten Zugriff auf personenbezogene Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet werden". Aus diesem Grund muss ein Unternehmen die Daten, die es in seinem System hat, schützen. Durch die Erhöhung des Sicherheitsniveaus, um die verschiedenen Anforderungen der DSGVO zu erfüllen, vermeidet das Unternehmen Vorfälle, die seinen Werten schaden und das Vertrauen seiner Kunden verlieren könnten.

Ein Anstieg der Cyberangriffe um +400 % in den letzten 2 Jahren: Wie ist dies zu erklären?

Seit 2020 ist in Frankreich eine Explosion von Cyberangriffen zu beobachten. Fast die Hälfte der französischen Unternehmen gibt an, dass die Angriffe in den letzten zwei Jahren erheblich zugenommen haben. In der Tat berichtete die GIP ACYMA (Groupement d'Intérêt ACYMA) in ihrem letzten Tätigkeitsbericht, dass die Zahl der Angriffe auf die Sicherheit von Unternehmen in den letzten Jahren stark zugenommen hat.
(Public Action Against Cybermalveillance), berichtet über einen deutlichen Anstieg der Online-Hilfeanfragen.

Die ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen) verzeichnete einen Anstieg von +37 % an Einbrüchen in Computersysteme, was etwas mehr als 1.000 Einbrüchen im Jahr 2021 entspricht. 69% der Cyberangriffe betrafen Unternehmen, 11% Krankenhäuser und 20 % lokale und regionale Gebietskörperschaften.

Während mehr als jedes zweite Unternehmen im Jahr 2021 Opfer von Cyberkriminalität wurde, investiert weniger als jedes zweite Unternehmen einen finanziellen Anteil seines Budgets in seine Cybersicherheit. In der Tat reservieren nur wenige Unternehmen einen Teil ihres Budgets für den Erwerb von Werkzeugen und Lösungen zur Sicherung von Netzwerken. Die Mitarbeiter sind nicht immer ausreichend über die Gefahren im Zusammenhang mit Computern und potenziellen Cyberangriffen informiert. Es wird geschätzt, dass etwa 85% der Verletzungen privater Daten auf menschliches Versagen zurückzuführen sind, was hauptsächlich das Öffnen einer betrügerischen E-Mail betrifft.

Nach der Gesundheitskrise der Covid-19-Pandemie bringen viele Unternehmen die Zunahme von Cyberangriffen, denen sie ausgesetzt sind, mit der zunehmenden Telearbeit ihrer Mitarbeiter in Verbindung. Während am Arbeitsplatz bestimmte Sicherheitslösungen des Unternehmens das Risiko von Cyberangriffen begrenzten, konnten Unternehmen bei der Telearbeit nicht immer für die Sicherheit ihrer Daten sorgen.

Der Anwalt für Computerrecht

Was ist die NIS 2-Richtlinie?

Es handelt sich um eine Richtlinie, die auf die Stärkung und Homogenisierung des europäischen Systems zur Abwehr von Cyberangriffen abzielt und die NIS-Richtlinie 2016 / 1148 ersetzen soll. Stand des Adoptionsverfahrens hier

Datentransfer: Die notwendige Bewertung ausländischer Gesetze?

von | Jul 9, 2021

Aktualisiert am 2. November 2022

 

Der Europäische Datenschutzausschuss (EDSB) gibt den Rahmen für die Einhaltung der DSGVO bei der Übermittlung von Daten außerhalb der Europäischen Union vor.

Empfehlungen 01/2020 über Maßnahmen, die
zusätzliche Transferwerkzeuge, um die Einhaltung der Bestimmungen zu gewährleisten
das EU-Niveau des Schutzes von personenbezogenen Daten
Version 2.0
Verabschiedet am 18. Juni 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Es war zu erwarten, dass dieser Rahmen die vertraglichen Formalitäten für Unternehmen (Binding Corporate Rules oder Standardvertragsklauseln) in Bezug auf die Übermittlung von Daten außerhalb der Europäischen Union erleichtern würde.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Es sei denn, Sie fallen unter die in Artikel 49 der DSGVO vorgesehenen Ausnahmen.

Nur ein allgemeiner Antrag auf Zugang zu Daten könnte prinzipiell in Frage gestellt werden.

In Bezug auf die Datenübermittlung in die USA gibt es nach den EuGH-Urteilen Schrems I vom 6. Oktober 2015 (C-362/14) (Ungültigkeitserklärung von Safe Harbour) und Schrems II vom 16. Juli 2020 (C-311/18) (Ungültigkeitserklärung von Privacy Shield) immer noch keine Angemessenheitsentscheidung der Europäischen Kommission. Die US-Gesetzgebung spiegelt in der Tat ein Konzept der Privatsphäre wider, das sich auf den Schutz des US-Bürgers konzentriert und Ausländer nicht einschließt, was nicht dem universalistischen Konzept der Europäischen Union entspricht.

Der 4. Zusatzartikel der Verfassung der Vereinigten Staaten sieht in der Tat vor: "Das Recht der Bürger, in ihrer Person, ihrer Wohnung, ihren Papieren und ihrem Eigentum gegen unbegründete Durchsuchungen und Beschlagnahmen gesichert zu sein, darf nicht verletzt werden, und es darf kein Haftbefehl ausgestellt werden, es sei denn auf eine ernsthafte Vermutung hin, die durch einen Eid oder eine feierliche Erklärung bekräftigt wird und den Ort, der durchsucht werden soll, und die zu beschlagnahmenden Personen oder Sachen genau beschreibt."

Trotz der Bemühungen um eine Annäherung (vgl. Joe Bidens jüngste Exekutivanordnung vom 7. Oktober 2022, die zwar den Einsatz eines Exekutivbeauftragten und sogar eines unabhängigen Gerichts vorsieht, dessen Stellungnahmen jedoch nicht bindend sind), sieht das US-Recht immer noch die Massenüberwachung und das Fehlen wirksamer Rechtsmittel in Bezug auf die Rechte von Personen, die von einer Datenverarbeitung betroffen sind, vor.

Es ist daher in erster Linie Aufgabe des Datenexporteurs, in einer gefährlichen Bewertungsübung die ausländische Gesetzgebung zu überprüfen. Der Ausschuss führt in Anhang III seiner Empfehlungen eine Liste von Datenquellen an.

Die neuen Standardvertragsklauseln ("STV") (von der Europäischen Kommission am 4. Juni 2021 angenommen und am 7. Juni 2021 veröffentlicht, die am 27. Juni 2021 in Kraft treten, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) entbinden nicht von dieser Übung.

Die vorläufige Entscheidung von Doctolib kann Hinweise darauf geben, wie ein Datentransfer gesichert werden kann: Lokalisierung und Verschlüsselung in Frankreich, Verpflichtung der europäischen Tochtergesellschaft, die "allgemeine" Anfrage aus dem Ausland anzufechten, wenig sensible Daten, kurze Dauer der Datenspeicherung: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Wenden Sie sich an einen Anwalt für IT-Recht

Datenübertragung in eine ausländische Cloud: die Doctolib-Entscheidung

von | Mai 12, 2021

EK, Ref.ord., 12. März 2021, Doctolib, Beschw. Nr. 450163 - Vorläufige Entscheidung über eine einstweilige Verfügung

In seiner Doctolib-Entscheidung erkannte der Staatsrat die Unvereinbarkeit des US-Rechts mit dem Schutz personenbezogener Daten in der Europäischen Union an.

In Bezug auf die USA erklärte das Urteil Schrems II (EuGH 16. Juli 2020, Rs. C-311/18) den Privacy Shield, der einem Angemessenheitsbeschluss entspricht, für ungültig, der es Unternehmen, die sich ihm unterwerfen, erlaubte, personenbezogene Daten in die USA zu exportieren. Das US-Recht erlaubt öffentlichen Behörden den Zugang zu personenbezogenen Daten, ohne den betroffenen Personen wirksame Rechtsbehelfe zu gewähren.

Doctolib, das einen Online-Service für die Vereinbarung von Arztterminen anbietet, hostet seine Daten auf den Servern einer Tochtergesellschaft von Amazon Web Services (AWS), einer Gesellschaft nach US-amerikanischem Recht. Im Rahmen der Impfkampagne gegen Covid-19 wurde Doctolib vom Ministerium für Solidarität und Gesundheit beauftragt, die Terminvereinbarungen für diese Kampagne zu verwalten.

Der Richter für einstweilige Verfügungen des Staatsrats wurde mit einem Antrag auf Aussetzung dieser Partnerschaft befasst, da sie gegen die Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 (DSGVO) verstoßen würde.

Der Richter weist dies zurück:

Die Firma AWS Sarl, eine luxemburgische Tochtergesellschaft von AWS Inc. zertifiziert als "Hoster von Gesundheitsdaten". (CSP, Art. L. 1111-8). Die Daten werden in Zentren in Frankreich gespeichert. und Deutschland und eine mögliche Datenübertragung in die USA ist aus technischen Gründen nicht im Vertrag vorgesehen. Da AWS Sarl eine Tochtergesellschaft einer US-Gesellschaft ist, kann sie nach Ansicht der Kläger Gegenstand eines Antrags auf Zugang durch die US-Behörden sein.

Die fraglichen Daten. - Der Staatsrat stellte fest, dass "die strittigen Daten die Daten zur Identifizierung von Personen und die Daten zur Identifizierung von Personen umfassen". Daten zu Terminen Die Personen müssen lediglich ihre Eignung durch eine eidesstattliche Erklärung nachweisen.

Dauer der Speicherung. - Die Daten " spätestens nach einer Frist von drei Monaten gelöscht werden Jede betroffene Person, die auf der Plattform ein Konto für die Impfung eingerichtet hat, kann dieses direkt online löschen.

Antrag auf Zugang durch die US-Behörden. - Um ihre Beziehungen zu sichern, sieht der Vertrag Folgendes vorAWS muss "alle allgemeinen Forderungen oder Forderungen, die nicht den EU-Rechtsvorschriften entsprechen", anfechten. ". Diese Maßnahme wird von einem "System zur Sicherung der bei AWS gehosteten Daten durch eine Verschlüsselungsverfahren, das sich auf einen vertrauenswürdigen Dritten in Frankreich stützt um zu verhindern, dass die Daten von Dritten gelesen werden können".

> Das von den Parteien auf diese Weise eingerichtete Schutzniveau "kann nicht als offensichtlich unzureichend im Hinblick auf das Risiko einer Verletzung der DSGVO angesehen werden".

 

Die Bedeutung der Entscheidung ist relativ, da es sich um eine einstweilige Verfügung handelt, die das "offensichtlich rechtswidrige" Verhalten sanktioniert und daher korrigiert werden könnte. Fortsetzung folgt.

 
V.auch
CNIL, Beschluss Nr. 2020-044 vom 20. April 2020 und Pressemitteilung vom 14. Oktober 2020
EK, Ref.ord., 13. Okt. 2020, Nr. 444937
 
 
de_DE_formalGerman
de_DE_formalGerman fr_FRFrench en_GBEnglish es_ESSpanish pt_PTPortuguese it_ITItalian