Tagungsbericht IRIS 2018 Teil 2
Tagungsbericht IRIS 2018 Teil 2
Dies ist die Fortsetzung des Beitrags Tagungsbericht IRIS 2018 Teil 1
Darstellung von Gesetzen im digitalen Umfeld
Felix Gantner untersuchte Umkehrungen der Sentenz »Code is Law«, nämlich »Law is Code« im Sinne von »Gesetz entspricht Code« oder »Gesetz und Code sind austauschbar«. »Code is Law« sei die Beschreibung einer Realität, in der sich viele schriftliche Äußerungen derartig vollziehen müssen, dass sie in den vorgegebenen codierten Kontext passen: Da Code das eigentliche Regulierungsmittel im Cyberspace darstelle und dieser quasi allgegenwärtig sei, sei es nachvollziehbar, wenn man zu der Ansicht komme, dass Code gesetzesähnliche Wirkungen habe. Rechtstexte seien hingegen besondere, kontextsensitive, oft mehrdeutig oder unklar formulierte Formen von Programmcode. Rechtsnormen seien im Gegensatz zu Naturgesetzen ein soziales Phänomen, in Sprache ausgedrückt, nicht in Mathematik. Sie seien zeitlich begrenzt und veränderbar und sie enthielten Begriffe anstelle von Variablen. Daher seien Rechtstexte sehr selten 1:1 als Programmcode umsetzbar. Insbesondere auch für Umsetzungen mit einer Blockchain, die nach häufig gehörten Aussagen automatisch rechtsrelevanten Output erzeuge, sei es dennoch falsch, von einer Austauschbarkeit von Programmcode und Gesetzen auszugehen. Ihr Erfolg gründe sich auf »proof of work, stake and authority« (Beweis von geleisteter Arbeit, Inhaberschaft und Autorität). Der Beleg der Inhaberschaft gelinge aber nur, weil die Interessen großer Stakeholder mit denen anderer Inhaber oft korrelierten und bewusste Kompromittierungen des in die Blockchain gesetzten Vertrauens für alle Beteiligten kontraproduktiv wären. Bei klarer Interessendivergenz hingegen würde die auf Vertrauen basierende Blockchain nicht mehr funktionieren.
Beate Glück vom Hauptverband der österreichischen Sozialversicherungsträger und Martin Zach vom Bundesarbeitsministerium stellten zeitliche Grenzen der Konsolidierung von Rechtsvorschriften dar, aus dem Blickwinkel der SozDok, einer umfassenden Dokumentation der Gesetze und Verwaltungsvorschriften des österreichischen Sozialversicherungsrechts. Da Rechtsdatenbanken das Inkrafttreten einer Version eines Paragrafen datumsmäßig exakt bestimmen müssen, ändere sich der traditionelle Konsolidierungsbegriff. Die außerhalb eines exakten Zeitrahmens liegenden Gesetzesausgaben in Buchform würden immer mehr durch elektronisch hergestellte Produkte ergänzt, die weit exakter als die traditionelle Konsolidierung den Rechtsakt der Novellierung in zeitlicher Hinsicht fixierten. Anfang und Ende von Versionen eines Paragrafen in einer Rechtsdatenbank seien aber differenzierter zu sehen, als sie derzeit von diesen dokumentiert würden. Rechtstechnische Anmerkungen zum Gesetzestext lösten das Dilemma nur zum Teil. Als Beispiel dienten unter anderem Übergangsbestimmungen. Der Gesetzgeber könne damit die frühere Rechtslage für bestimmte Fälle und/oder für einen gewissen Zeitraum weiterhin vorsehen. So sei § 57a des ASVG zum 1.1.2016 außer Kraft getreten. Auf Lehrverhältnisse, die vor diesem Tag begonnen haben, sei er gemäß der Schlussbestimmung des § 690 Absatz 3 ASVG aber dennoch anzuwenden. Das Bestehen von Übergangsbestimmungen werde aber nicht durch die Suchoptionen der Datenbanken RIS oder SozDok abgedeckt. Es gebe lediglich redaktionelle Anmerkungen zum Gesetzestext im RIS in der Rubrik »Beachte« und in der SozDok in der Dokumenteninformation. Für eine gute Visualisierung solcher Tatbestände müssten die Datenbanken prinzipiell mit tiefer gehenden Metadaten ausgestattet werden. Eine Verfeinerung des Metadatums »Inkrafttreten«, eine nachhaltige Visualisierung der Zusammenhänge zwischen materieller Änderung und deren Wirksamkeit und ein situativer Zugang bei der Suche könne vielleicht Abhilfe schaffen. Auch die Darstellung von Versionen zu Paragrafen, die unter einer – noch nicht eingetretenen – Bedingung erlassen wurden, mit »In Kraft ab 01.01.9000« wurde thematisiert.
Ermittlung von Preisträgern
Der mit der Tagung verbundene und inzwischen traditionelle LexisNexis Best Paper Award 2018 zeichnete von einer Jury begutachtete Einreichungen zur IRIS-Tagung aus. Den ersten Preis erhielten Aljoscha Dietrich, Dominik Leibenger und Christoph Sorge mit »Sicherheit und Datenschutz im Smart Grid – rechtliche Anforderungen und technische Lösungen«. Der zweite Preis ging an Wouter van Haaften, Tom van Engers und Robert Meijer mit »A Normative Systems Perspective on Autonomous Systems: The Future of Driving« und der dritte an Laura Drechsler mit »Data as Counter-performance: A New Way Forward or a Step Back for the Fundamental Right of Data Protection?«. Das österreichische Bundesrechenzentrum verteilte kleine Abdeckungen für Webcams als ironische Datenschutzprophylaxe.
Orientierung an Worst-Case-Szenarien
Christoph Sorge von der Universität Saarbrücken übernahm einen zentralen Plenarvortrag mit dem offenen Titel »Zum Verhältnis von IT-Sicherheit und Recht«. In diesem ging er auf IT-Sicherheits-praxis, -forschung und -fragestellungen ein und bezeichnete Juristen, die für solche Fragestellungen ins Boot geholt werden, scherzhaft als Bedenkenträger und Spaßbremsen. Die Risiken für den praxisgerechten Grundrechtsschutz schätzte er wie folgt ein: Frage an den Juristen als IT-Sicherheitsbeauftragten: »Sind wir zu paranoid?« – Antwort: »Nein, wir sind wahrscheinlich gar nicht paranoid genug.« Es sei die Aufgabe eines IT-Sicherheitsbeauftragten, stets das Schlimmste zu befürchten, ein sogenanntes »Sicherheits-Mindset« im Sinne von Bruce Schneider zu haben.
Eingangsbeispiel war das deutsche besondere elektronische Anwaltspostfach »beA« und das am 22.12.2017 öffentlich gewordene Problem der Kompromittierung von dessen Verschlüsselung. Anlass sei die versehentliche Auslieferung eines privaten Schlüssels an alle 165 000 Nutzer und eine nachfolgende Aufforderung gewesen, das Zertifikat als root-Zertifikat zu installieren. Die Folge sei die Angreifbarkeit aller Anwaltsrechner von außen gewesen. Das Problem sei binnen 24 Stunden erkannt, den Nutzern bekannt gemacht und das beA abgeschaltet worden. Zudem seien noch folgende Probleme aufgetreten: Die Erkennbarkeit der beA-Client Security von außen sei eingetreten und eine Remote Code Execution sei möglich gewesen, und zwar aufgrund der Verwendung veralteter Software. Nach Maßstäben der IT-Sicherheit sei damit ein Totalschaden eingetreten, obwohl das beauftragte Unternehmen ATOS laut BSI die Erlaubnis zur Erstellung von Sicherheits-Audits habe. Es sei derzeit noch unbekannt, wann das beA wieder eingeschaltet wird. – Ähnlich sei 2011 eine Fallkonstellation aus den Niederlanden gewesen, in deren Folge die Firma »DigiNotar« insolvent wurde. Auch hier seien akkreditierte IT-Sicherheitsfirmen beteiligt gewesen und dem Auftraggeber habe letztlich kein Vorwurf bei der Dienstleisterauswahl gemacht werden können.
Sorge benannte als neues Hauptproblem die Gefahr, dass die Stimmen die Oberhand gewinnen könnten, welche schon immer vor der Digitalisierung gewarnt hätten und nun dafür seien, zu Schreibmaschine und Papier zurückzukehren. Dem sei entschieden entgegenzutreten. Es sei nun auch seitens der BRAK ein weiterer Schritt in Richtung Transparenz gegangen worden, indem mit der erneuten Sicherheitsüberprüfung vor Freischaltung ein bisher unbeteiligtes Unternehmen beauftragt worden sei. Zudem sei beschlossen worden, dessen Gutachten zugänglich zu machen. Transparenz wurde auch in der anschließenden Diskussionsrunde als zentral für die Schaffung von Sicherheit und Vertrauen in neue Anwendungen eingestuft. Fehlende Testphasen, Geld-, Zeit- und Kommunikationsmängel bei der Anforderungsformulierung seien laut einer Anmerkung von Pascale Berteloot hingegen Faktoren, die erfahrungsgemäß Risiken für digitale Projekte bergen. Jörn Erbguth warnte vor einer Gleichsetzung von Zertifizierung mit tatsächlicher Sicherheit.
Als positives Beispiel einer funktionierenden IT-Regulierung nannte Sorge die eIDAS-Verordnung. Dieser Regelungskomplex sei konsistent und interoperabel. Zwar sei der Ansatz nicht wirklich technologieneutral und auch wenig verallgemeinerungsfähig. Demgegenüber zeige eIDAS, dass man ausgewählte technische Bereiche legislativ so regulieren könne, dass eine funktionierende Infrastruktur entstehe. Leider würden die Vertrauensdienste noch nicht in großer Breite angeboten und genutzt.
Man solle Auguste Kerckhoffs (Militärsicherheitsexperte im 19. Jahrhundert) Prinzip der Offenheit anwenden, der gefordert hatte, dass eine Verschlüsselung nicht durch Bekanntwerden des Verfahrens unsicher werden darf. Die besten Verschlüsselungsalgorithmen seien solche, die transparent, aber dennoch ungeknackt sind, obwohl z.B. Preise auf deren Kompromittierung ausgesetzt sind. Man solle anstatt nach dem jeweils aktuellen »Stand der Technik« lieber nach der Implementierung des – häufig deutlich fortschrittlicheren – »Standes der Forschung« streben.
Herausforderungen der Cloud
Rechtliche Aspekte von Cloud Computing in der Finanz- und Versicherungswirtschaft beleuchtete ebenfalls Christoph Sorge von der Universität Saarbrücken. Insbesondere in regulierten Unternehmen wie Banken und Versicherungen könne Cloud-Computing als wichtiger Baustein von sogenannten FinTech-Anwendungen zu aufsichtsrechtlichen Herausforderungen führen. Es gehe dabei weniger um das reine Speichern von Daten in der Cloud, sondern um das Verarbeiten der Daten eigener Kunden durch externe Dienstleister auf deren Servern, insbesondere weil das Verarbeiten verschlüsselter Daten spezifische Anforderungen stelle. Als Beispiele nannte er die Netz-Infrastruktur-Sicherheits (NIS)-Richtlinie der EU, das deutsche IT-Sicherheitsgesetz und die BSI-KRITIS-Verordnung. Letztere sei anwendbar, falls mehr als 500 000 Personen potenziell betroffen sind, z.B. bei der Bargeldversorgung, beim unbaren Zahlungsverkehr oder bei der Abwicklung von Wertpapiergeschäften. Der Fokus dieser Legislatur liege auf ständiger Verfügbarkeit bei gleichzeitiger Resilienz gegen Angriffe und Missbrauchsversuche sowie auf der ständigen Erreichbarkeit verantwortlicher Personen. – Wenn nun solche Dienstleistungen teilweise ausgelagert würden, dürfe von den Standards nicht nach unten abgewichen werden. Die Überwachung und die Qualifikation des Dienstleisters müsse stets gewährleistet bleiben und das beauftragende Unternehmen bleibe verantwortlich.
Über das Aufsichtsrecht hinaus seien aber auch verbandsinterne Vorschriften über Standards sowie weitere heteronome Normen bei der Verlagerung von Kundendaten zur Verarbeitung in Clouds zu beachten: Oftmals (z.B. laut BSI-Gesetz) wirkten die Branchenvertreter selbst an der Entwicklung und Formulierung von Standards mit, zu deren Einhaltung sie dann über eine dynamische Verweisung vom Gesetzgeber verpflichtet werden. Beispiele seien die Bankenaufsichtsrechtlichen Anforderungen an die IT-Abwicklung von Rechtsgeschäften (BAIT) von der BaFin, die PSD 2-Richtline 2015/2366 der EU sowie spezielle Sicherheitsanforderungen aus der Kreditkartenindustrie selbst. Es liege in einzelnen Fällen eine störende Redundanz von Regulierungen auf den unterschiedlichen Hierarchieebenen vor (EU-Recht, nationales Gesetzesrecht, nationale aufsichtsrechtliche Vorschriften der Verwaltungsbehörde, verbandsinterne Regelungen, normative Ausformulierungen des Standes der Technik). – Es sei eine differenzierte Betrachtungsweise hinsichtlich der Bewertung von Outsourcing und Cloud-Computing in Bezug auf den Datenschutz nötig, denn die Erhöhung der Risiken durch Datentransporte und der Einbeziehung Dritter als Mitwisser könne auch durch Zugewinne an Professionalität im Umgang mit sensiblen Daten durch erfahrene zentrale Sicherheitsdienstleister ausgeglichen werden.
Cyberkriminalität in Zahlen
Eine statistische Auswertung über zehn Jahre (2006–2016) zum Stichwort »Cybercrime« hatten Edith Huber (Donau-Universität Krems), Gerald Quirchmayr (Informatik Universität Wien) und Leopold Löschl (österreichisches Bundeskriminalamt) mit einem größeren Team am Wiener Landesstrafgericht durchgeführt. In einer umfangreichen Publikation (»Die Cyberkriminellen in Wien«) wurde das Ergebnis veröffentlicht. 5 400 Akten führten zu 399 Hauptverhandlungen, wobei das häufigste Ermittlungshindernis unbekannte Täter gewesen seien. Es wurde an 118 Fällen hieraus unter anderem untersucht, ob die Taten z.B. nur aufgrund der Nutzung von Computern und/oder Internet möglich waren, ob es Muster in Methoden und Motiven gegeben hatte und welche Straftatbestände erfüllt waren. Häufig gewesen seien Kleinkriminalität wie Identitätsdiebstahl, Online-Shopping mit fremden Accounts und Datenmissbrauch. Viel seltener hingegen seien Delikte registriert worden, die spezifische IT-Kenntnisse und bewusste Schwachstellenausnutzung voraussetzten. Genauer seien dies 7,9 %, und zwar rein männliche Täter mit spezifischer Ausbildung und mit Organisationen statt Privatpersonen als Opfer. Die Motive dieser Taten beinhalteten zwar auch Bereicherungsabsichten, aber es seien stets Motive wie Rache und der Wille, Fähigkeiten unter Beweis zu stellen, beteiligt gewesen. 11,2 % der Fälle beträfen Datenmissbrauch in Firmen, ausnahmslos aus persönlichen Beweggründen. Es sei auch ausgewertet worden, welche Arten von Gegenständen bei Durchsuchungen beschlagnahmt wurden und welche Typen von Daten (Anruflisten, Malware, Fotos, Videos von Bankomaten, Textnachrichten) ausgewertet wurden, um die Ermittlungen zum Abschluss zu bringen. Es sei eine hohe Korrelation zwischen dem Einsatz spezifischer Ermittlungsmaßnahmen und der Wahrscheinlichkeit einer Verurteilung festgestellt worden. Das Nichtstattfinden von Ermittlungen könne allerdings auf einer Vielzahl von Gründen beruhen, von denen eine große Zahl »nicht möglich« laute. In anderen Fällen (Aufwandsvermeidung) plädierte Quirchmayr für eine stringentere Ermittlungsarbeit der beteiligten Stellen. Nur 15 % der angeklagten Fälle hätten nachweislich zu einem Freispruch geführt, d. h. der effektive Filter seien die Staatsanwaltschaften. Quirchmayr berichtete aus den USA eine Beobachtung des FBI, wonach inzwischen online »Crime as a service« beauftragt werden könne, ohne dass die Täter einfach greifbar wären.
Dieser Beitrag wird am 5. April 2018 fortgesetzt.