Dienstag, 27. September 2016

Darknet – das böse Internet

Gibt es außer dem Internet, das wir täglich nutzen, wirklich noch ein zweites, dunkles Internet, das Darknet? Oder ist das nur eine von den vielen Verschwörungstheorien, die derzeit im Umlauf sind?

Werkzeuge für gute und schlechte Absichten


Dass man fast alle Dinge auf der Welt für gute und für schlechte Taten benutzen kann, ist jedem klar. Dafür gibt es viele Beispiele. So kann man ein Auto benutzen, um Freunde zu besuchen oder in den Urlaub zu fahren. 

Und ein Notarztfahrzeug ist eigentlich ausschließlich dazu da, Menschen zu retten. Das ändert aber nichts daran, dass man sogar damit einen Menschen absichtlich töten kann, ohne jeden Grund und einfach so.

Mit dem Internet ist es im Ausgangspunkt nicht anders. Man kann hier Freundschaften pflegen, Informationen besorgen und beispielsweise Urlaubsziele aussuchen. Aber natürlich lassen sich auch mit dem Instrument „Internet“ Straftaten begehen.

yourIT Datenschutz - Darknet
yourIT Datenschutz - Darknet

Das „Tatmittel Internet“


Deutlich wird das etwa in den polizeilichen Kriminalstatistiken. Hier gibt es einen eigenen Bereich mit der Überschrift „Tatmittel Internet“. Niemand wird überrascht sein, dass dort Betrügereien auftauchen, die Kriminelle mithilfe des Internets begehen. 

Ein aktuelles Beispiel: Auf einer Webseite wird so getan, als hätte jemand eine Ferienwohnung anzubieten. Sobald er genügend Vorauszahlungen eingesammelt hat, ist die Webseite verschwunden. 

Die Ferienwohnung hat es natürlich in Wirklichkeit nie gegeben. Sogar die Bilder von der angeblichen Wohnung waren von anderen Webseiten gestohlen, das heißt von dort illegal kopiert.

Wirklich übel: das „echte Darknet“


Ärgerlich, manchmal auch schlimm für die Betrogenen. Aber solche Dinge hat es ohne das Internet auch früher schon gegeben. Das Internet macht solche Straftaten manchmal nur viel leichter. 

Das Darknet, also das ausschließlich dunkle Internet, muss aber etwas anderes sein, das ahnt man bei solchen Beispielen sofort. Und so ist es auch. Tatsächlich gibt es Bereiche im Internet, die ausschließlich kriminellen Zwecken dienen und mit denen ein Normalbürger nie zu tun hat. 

Dort geht es nur um Waffenhandel, Rauschgift und Schlimmeres. Über einen solchen Bereich des Internets haben sich zum Beispiel auch islamistische Attentäter Waffen besorgt.

Kein Zugang über normale Suchmaschinen


Wer sich nicht genau vorstellen kann, wie so etwas funktioniert, sollte einmal kurz darüber nachdenken, wie er eine Seite im Netz findet. Dazu ist eine Suchmaschine nötig, beispielsweise Google. Viele glauben, dass solche Suchmaschinen alles finden, was es im Netz gibt. 

So einfach ist es jedoch nicht. Eine Suchmaschine findet nur die Seiten, an die sie andocken kann. Und natürlich lässt sich eine Seite auch so programmieren und einrichten, dass dies nicht gelingt. Dann finden sie jedenfalls die gängigen Suchmaschinen nicht.

Zugangscodes und anonymisierte Kommunikation


Hier bietet sich dann ein Anknüpfungspunkt für kriminelle Aktivitäten. Eine Webseite wird so eingerichtet, dass sie nur jemand findet, der die genaue Adresse kennt und das macht die ganze Sache noch ein Stück perfekter der einen Zugangscode eingeben kann, nach dem die Seite fragt.

Die Adresse und den Zugangscode müssen die Beteiligten auf irgendeinem Weg vorher untereinander austauschen. Dafür bieten sich spezielle Seiten in sozialen Netzwerken an. Sie sind ebenfalls so ausgestaltet, dass man nicht „einfach so“ hineinkommt, sondern erst, wenn man auf Anfrage zugelassen wird.

Zusätzlich ist es denkbar, dass die Kommunikation über ein Netzwerk erfolgt, das Verbindungsdaten anonymisiert. Besonders das Netzwerk Tor wird in diesem Zusammenhang oft genannt.
Bedenken sollte man dabei, dass es für viele Menschen auf der Welt äußerst wichtig ist, nur über Netzwerke zu kommunizieren, in denen sie anonym bleiben können. 

Man denke etwa an Oppositionelle in Diktaturen. Solche Netzwerke sind also nicht automatisch böse oder gar kriminell. Sie lassen sich aber leicht in kriminelle Aktivitäten „einbauen“.

Unter Beobachtung des Bundeskriminalamts


All dies zeigt, dass man in das Darknet nicht einfach so durch Zufall hineingerät. Wer dort anzutreffen ist, will ganz bewusst dort sein und braucht einige Kenntnisse über die Funktionsweise des Internets.


Niemand muss also befürchten, beim Surfen versehentlich in den dunklen Teil des Internets hineinzugeraten. Ernst zu nehmen ist er aber trotzdem. Aus gutem Grund spielt das Darknet eine große Rolle im Bundeslagebild Cybercrime, das das Bundeskriminalamt (BKA) jedes Jahr veröffentlicht.

Montag, 26. September 2016

Download von Schadsoftware am Arbeitsplatz - Finger weg von der Privatnutzung

Ein Arbeitnehmer surft an seinem Arbeitsplatz immer wieder privat im Internet. Nur in den Pausen natürlich. Er weiß genau, dass die Unternehmensleitung privates Surfen verboten hat. Aber auch die Vorgesetzten wissen Bescheid. Und bisher hat keiner etwas dagegen gesagt. Eines Tages läuft es aber ziemlich schlecht: Der Mitarbeiter lädt sich eine Software herunter und speichert sie auf dem Dienst-PC. Dabei fängt er sich aggressive Schadsoftware ein. Der PC liegt lahm. Bekommt er jetzt Ärger?


Ein (Datenschutz-) Verstoß mit Folgen


Es war zwar offiziell verboten, aber im Alltag störte es niemanden, auch keinen Vorgesetzten. Und das übrigens ausgerechnet in einem Sachverständigenbüro für Kriminaltechnik. Deshalb nutzte ein Mitarbeiter in den Pausen das Internet immer wieder privat.

Eines Tages installierte er eine Software auf seinem Dienst-PC, mit der man Tondateien verkleinern kann. Für seine Arbeit braucht er diese Software nicht. Leider fing er sich beim Herunterladen einen ganzen Rattenschwanz an Schadsoftware ein. Der PC lag still. Ein Fachmann musste ihn wieder in Gang bringen. Das kostete den Arbeitgeber 865 Euro.

Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg
Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg

Schadensersatz und fristlose Kündigung


Dieses Geld will der Arbeitgeber jetzt von seinem Arbeitnehmer zurück. Außerdem hat er ihm fristlos gekündigt. Begründung: Verstoß gegen das Verbot, das Internet am Arbeitsplatz privat zu nutzen!

Der Arbeitnehmer wehrt sich


Der Arbeitnehmer fühlte sich im falschen Film. Kann es sein, dass die Unternehmensleitung Verstöße gegen dieses Verbot erst toleriert – wenn dann aber mal etwas passiert, gleich grob wird? Das wollte er nicht glauben. Deshalb klagte er gegen die Kündigung. Außerdem weigerte er sich, die 865 Euro zu zahlen. Schließlich – so dachte er sich – muss man für Fehler am Arbeitsplatz doch im Normalfall überhaupt nicht haften. Auch wenn es einen Schaden gibt.

Fiasko bei Gericht


Mit dieser Haltung hatte er beim Landesarbeitsgericht Mainz allerdings gleich doppelt Pech: Erstens bestätigte das Gericht die fristlose Kündigung. Zweitens verurteilte es ihn dazu, die 865 Euro zu zahlen. Für beides nennt das Gericht gute Gründe.

Fristlose Kündigung bestätigt


Was die fristlose Kündigung angeht, spielt es aus der Sicht des Gerichts kaum eine Rolle, dass die Unternehmensleitung privates Surfen tolerierte. Im konkreten Fall hilft das dem Kläger nichts. Was der Kläger getan hat, war nämlich nicht einfach „ein bisschen surfen“. Vielmehr hat er für rein private Zwecke Software heruntergeladen und installiert. Das ist viel gefährlicher als reines Surfen.

Außerdem hatte der Virenscanner beim Installieren einen Warnhinweis gegeben. Den hatte der Kläger jedoch einfach weggeklickt. Das war aus der Sicht des Gerichts besonders leichtfertig. Und schließlich hatte die Unternehmensleitung den Kläger im Laufe des letzten Jahres auch noch dreimal im Datenschutz schulen lassen. Er hätte also wissen müssen, was Sache ist.

Abmahnung entbehrlich


Insgesamt kommt das Gericht deshalb zu der Auffassung, dass sich der Arbeitgeber auf den Kläger nicht mehr verlassen kann. Aus rein privaten Interessen war dem Kläger die Sicherheit des EDV-Systems letztlich egal. Weil das schwer wiegt, musste der Arbeitgeber ihn vor einer Kündigung nicht erst abmahnen.

Dem Kläger hätte auch ohne Abmahnung klar sein müssen, dass der Arbeitgeber ein solches Verhalten auf keinen Fall toleriert. Deshalb konnte der Arbeitgeber sofort fristlos kündigen, und das Gericht erklärte diese Kündigung für wirksam.

Schadensersatzpflicht des Arbeitnehmers


Das nächste Fiasko erlebte der Kläger bei der Frage des Schadensersatzes. 865 Euro sind für den Kläger viel Geld. Sein Monatslohn betrug nämlich nur 2800 Euro brutto. Dennoch sieht das Gericht keinen Grund, schonend mit dem Kläger umzugehen. Er muss die 865 Euro zahlen.

Den Betrag an sich hält das Gericht für angemessen. Dabei argumentiert es vereinfacht gesagt so, dass ein Fachmann, der Schadsoftware beseitigt, eben nicht billig ist. Außerdem ist eine solche Arbeit relativ aufwendig.

Keinerlei Haftungserleichterung


Über irgendeine Haftungserleichterung verliert das Gericht in seiner Entscheidung kein Wort. Das lässt sich leicht erklären. Der Kläger hat den Schaden nämlich gar nicht während der Arbeit angerichtet. Die Software hat er vielmehr für rein private Zwecke während der Pause heruntergeladen. Und das hat mit der Arbeit natürlich nichts zu tun.

Wer das Urteil selbst lesen will, findet es mit dem Aktenzeichen 5 Sa 10/15 im Internet sofort.

Die wichtigste Lehre aus dem Urteil lautet: Bloß weil ein Arbeitgeber nichts unternimmt, wenn Mitarbeiter gegen ein Verbot verstoßen, ist noch lange nicht alles Mögliche erlaubt! Wenn er zum Beispiel privates Surfen duldet, nimmt er privates Herunterladen von Software nicht zwangsläufig in Kauf.

Der Schaden hätte weitaus höher ausfallen können


Unserer Meinung nach hat der Arbeitnehmer sogar noch Glück im Unglück gehabt. Stellen Sie sich vor, der Virus hätte nicht nur den eigenen Rechner lahmgelegt, sondern - wie es bei Erpressungstrojanern wie Locky & Co. derzeit leider üblich ist - das gesamte Unternehmensnetzwerk und evtl. sogar noch Netzwerke von Kunden und Lieferanten. Dann wäre die zu ersetzende Rechnung der IT-Spezialisten für die Behebung des Schadens schnell weitaus höher ausgefallen. Und dazu käme unter Umständen noch Betriebsausfall, etc.

Fazit: Finger weg von der Privatnutzung von Internet und E-Mail am Arbeitsplatz


Wenn Sie kein Risiko eingehen möchten, Ihren Arbeitsplatz zu verlieren und zusätzlich auf hohen Rechnungen sitzen zu bleiben, sollten Sie als Arbeitnehmer die Finger lassen von der Privatnutzung von Internet und E-Mail am Arbeitsplatz. Alles andere wäre grob fahrlässig.

Nachtrag vom 18.03.2017: Kommentar unseres IT-Rechtsanwalts zum Thema Privatnutzung

"Hallo Thomas,

Es gibt in der Tat Urteile, die der Meinung sind, dass es ausreicht, in einer Dienstanweisung der Privatnutzung zu untersagen. Danach könne der Arbeitgeber darauf vertrauen, dass der Arbeitnehmer sich daran hält. Deshalb könne auch niemals eine betriebliche Übung entstehen mit der Folge, dass der Arbeitnehmer trotzdem wieder das Recht zu Privatnutzung hat.

Nach anderer Auffassung kann eine tatsächliche Handhabung im Betrieb (betriebliche Übung) aber auch schriftliche Vereinbarungen im Arbeitsvertrag oder einer Dienstanweisung wieder aufheben. Danach würde eine solche schriftliche Dienstanweisung nicht alleine ausreichen. Weitere Voraussetzung wäre dann aber, dass der Arbeitgeber davon weiß, dass privat genutzt wird und dieses duldet. Insoweit wären regelmäßige Kontrollen – und notwendigerweise auch daraus folgende Sanktionen (Ermahnung, Abmahnung, Kündigung) – nach wie vor geboten, um ganz sicher zu sein, kommuniziert zu haben, dass man Privatnutzung nicht duldet.

Schließlich sind die Kontrollen aber auch noch aus einem anderen Grund notwendig:


Neben den arbeitsrechtlichen Problemen der betrieblichen Übung und einer daraus folgenden Berechtigung der Arbeitnehmer zur Privatnutzung bringt die Privatnutzung von E-Mail und Internet ja auch noch andere Risiken für das Unternehmen, zum Beispiel eine vervielfachte Gefahr, Schadsoftware ins Unternehmen zu holen. Da die Geschäftsführung verpflichtet ist, alle vorhersehbaren Risiken zu erkennen und möglichst zu vermeiden, muss das Unternehmen daher auch, damit die Geschäftsführung nicht haftet, dass private E-Mailen entweder ganz verbieten oder technisch im Unternehmen so einrichten, dass Schadsoftware nicht ins Unternehmen gelangen kann. Das soll wohl möglich sein, indem man die Benutzung von Freemail-Accounts zulässt.

Das Problem verschärft sich noch, wenn solche Schadsoftware möglicherweise an Dritte, Kunden oder Lieferanten, weitergegeben wird. Dann entsteht ein Schaden nicht nur im Unternehmen selbst sondern auch noch bei Dritten. Und für all das haftet die Geschäftsführung.

Die GoBD stellt Anforderungen an die Unversehrtheit der Daten


Schließlich gibt es eine ganze Reihe anderer Gesetze, die eine ordnungsgemäße EDV und eine Unversehrtheit der Daten verlangt, zum Beispiel die GoBD usw. All diese gesetzlichen Anforderungen sind gefährdet, wenn man die IT-Sicherheit durch vermehrten E-Mail-Verkehr und Internetnutzung gefährdet.

Wir raten daher ebenfalls immer dazu, Kontrollen einzuführen. Bezeichnenderweise erlaubt selbst § 88 Abs. 3 TKG, das Fernmeldegeheimnis, die Durchführung von Kontrollen und Einsichtnahme in Telekommunikationsnachrichten, wenn dies notwendig ist, um die Sicherheit von Systemen aufrechtzuerhalten. Bedenkt man, dass eine anderweitige Kenntnisnahme solcher Nachrichten strafbar ist gemäß § § 88 TKG, 206 StGB, zeigt dies, wie hoch das Gesetz die IT- Sicherheit stellt.

Wir halten es daher für falsch, die Einhaltung eines Verbotes von privatem Emailen und privater Internetnutzung nicht regelmäßig zu kontrollieren. Der Bundesgerichtshof verlangt vom Geschäftsführer ausdrücklich, dass er Schutzmechanismen einführt und deren Einhaltung regelmäßig kontrolliert."

Soweit unser Rechtsanwalt. Es kann also nicht schaden, trotz des oben genannten Urteils das Verbot der Privatnutzung von Internet und E-Mail regelmäßig zu kontrollieren. Immerhin verlangt auch die EU-DSGVO in Artikel 39 (1) b) vom Datenschutzbeauftragten die Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Mittwoch, 7. September 2016

Online-Konferenzen: Vorsicht, ungebetene Gäste!

Virtuelle Meetings im Internet sparen Zeit und Geld. An der Sicherheit sollten Unternehmen aber nicht sparen. Doch genau das passiert gegenwärtig bei vielen Online-Konferenzen.


Schreibtisch statt Stau


Regelmäßige Kommunikation ist wichtig, im Projektteam genauso wie mit Kunden. Die Treffen und persönlichen Gespräche kosten allerdings Zeit – Zeit, die kaum jemand hat. Hinzu kommt, dass viele Teams und erst recht die Kunden weit verstreut sind, sodass lange Reisezeiten die Folge sind.

Da klingt es mehr als verlockend, möglichst viele Konferenzen und Schulungen virtuell über das Internet durchzuführen. Technische Lösungen dafür gibt es reichlich. Viele sind sogar kostenlos.

yourIT: Online Meeting
yourIT: Online Meeting

Lösungen für Online-Konferenzen gibt es viele


Sicherlich wurden Sie schon zu einem Online-Meeting mit Kunden oder Teammitgliedern eingeladen. Dabei werden Sie festgestellt haben, dass der eine Kunde die Online-Konferenzlösung A, der andere die Lösung B bevorzugt.

Schnell hat man eine ganze Reihe von Erweiterungen für den Webbrowser installiert, die in der Regel neben Webcam, Mikrofon und guter Internetverbindung die einzige Voraussetzung für das Online-Meeting sind.

Die Zugangsdaten für die Online-Konferenz erhalten Sie meist per E-Mail – als unverschlüsselte Mail wohlgemerkt. Oder Sie müssen sich registrieren, wobei Sie mitunter ohne ersichtlichen Grund eine Reihe von personenbezogenen Daten angeben müssen.

Verschiedene Lösungen machen es einfacher, komfortabler: Sie bekommen einen Link per Mail, den Sie zur vereinbarten Zeit anklicken, und schon kann es mit dem virtuellen persönlichen Austausch losgehen. Losgehen kann nun aber auch eine Online-Attacke oder ein Spionageversuch!

Wer lädt (wirklich) ein, wer nimmt (heimlich) teil?


Da der Link als Einladung zur Online-Konferenz in aller Regel als ungeschützte E-Mail verteilt wird, ist weder sichergestellt, dass der angegebene Absender stimmt, noch besteht Gewissheit, dass der Link zur Teilnahme nicht in die Hände unbefugter Dritter gelangt.

Das Datenschutzproblem ist offensichtlich: Es ist nicht gewährleistet, dass die Identitäten der Teilnehmer stimmen. Vertrauliche Videokonferenzen, die einfach über das ungeschützte Versenden eines Links eingeleitet werden, sind zweifellos ein Datenrisiko.

Achten Sie auf die Online-Sicherheit


Wenn Sie in Zukunft zu einer Online-Konferenz eingeladen werden oder selbst eine veranstalten, denken Sie nicht nur an den einfachen Zugang und den hohen Komfort. Vergessen Sie nicht die nötige Datensicherheit. Dazu gehören die folgenden Standardmaßnahmen:

  • Verschlüsselung der Datenübertragung 
  • Malware-Schutz (Risiko durch infizierte Dokumente, Plug-ins und Links)
  • Zugangsschutz über Benutzername und Passwort (keine direkte Teilnahme über Link)
  • Kontrolle der Teilnehmerliste 
  • kontrollierter, bewusster Einsatz von Mikrofon und Webcam
  • Beschränkung der Freigabe von (Desktop-)Inhalten