Ri 02/2020: Gewaagt digital.

Ri 02/2020: Navigation

Ri 02/2020: Beitrag

Emotet war kein Pharao.

Eine Rezension des Werks Kipker, Cybersecurity, Rechtshandbuch

Claudia Otto

A. Das Buch

Das Rechtshandbuch Cybersecurity, herausgegeben von Dennis-Kenji Kipker ist in 1. Auflage im Sommer 2020 im Verlag C.H. Beck oHG erschienen. Zum Preis von 119,00 EUR bietet es der Leserin und dem Leser auf 557 Seiten eine Zusammenstellung von Beiträgen, welche sich mit der Querschnittsmaterie namens IT-Sicherheitsrecht befassen.

Die Titelwahl „Cybersecurity“ entlockt zunächst ein Lächeln, denn „Cybersecurity“ ist vielmehr ein Modebegriff, gar ein Buzzwort und hat, wie alles mit dem Zusatz „Cyber-“, unter Umständen einen leichten Hang zur Karikatur seiner selbst.[1] Doch der Gedanke haftet nicht lang, denn das Buch richtet sich gemäß Vorwort, in exakt dieser Reihenfolge, an Gerichte, Zertifizierungsstellen für IT-Sicherheit und Datenschutz, Unternehmensberatungen, CIOs/CISOs, (externe) IT-Sicherheits- und Datenschutzbeauftragte, Unternehmensjuristen, (Fach)anwälte im IT-Recht und öffentliche wie private Forschungseinrichtungen. Das Buch erscheint an der Spitze einer Welle von Sicherheitsvorfällen, wie das Vorwort vom Februar 2020 im ersten (und etwas überbeanspruchten) Satz erkennen lässt: „Cybersecurity“ ist in aller Munde.

Besser wäre es, Sicherheit wäre Bestandteil oder Eigenschaft aller (IT-)Systeme, entsprechend dem unverkennbaren Sicherheitsbedürfnis in der mit der Datenschutzgrundverordnung (DSGVO) langsam vertraut gewordenen Gesellschaft. Auch wenn nicht explizit formuliert, so ist doch auf den ersten Blick erkennbar, dass dieses Buch die Erfüllung dieses Bedürfnisses fördern soll. Der ansprechende Titel „Cybersecurity“ ist gerade deshalb klug gewählt.

B. 3 Perspektiven auf das Rechtshandbuch Cybersecurity

Das Buch wird aus dreierlei Perspektiven gelesen und rezensiert:

Zunächst aus der Perspektive des beratenden Rechtsanwalts[2], der sich, spezialisiert auf die Vereinbarkeit von Technologie und Recht, seit 2016 durchweg auch mit den Fragen der Informationssicherheit befasst.[3]

Des Weiteren wird das Buch aus der wissenschaftlichen Perspektive gelesen, in der Rolle des Herausgebers einer Fachzeitschrift, die sich seit ihrer Gründung in 2017 auch mit den Fragen der Sicherheit neuer Technologien befasst.[4]

Nicht zuletzt wird das Buch aktuell auch aus der Perspektive des General Counsels eines Unternehmens im Gesundheitsbereich gelesen.

Gerade aus letztgenannter Perspektive sind zwei erhebliche Pluspunkte des Buchs schon am Anfang hervorzuheben: Ein General Counsel, ein Vorstandsmitglied, ein CISO und so ziemlich jeder vielbeschäftigte Mensch in der heutigen vernetzten Welt hat nicht viel Zeit und auch nicht die nötige Konzentrationsspanne, lange tiefgreifende Beiträge durchzuarbeiten. Für diese Personen haben der Herausgeber und die Autoren stets mitgedacht: Sie haben allen Kapiteln eine abschließende sog. Schnellübersicht beigefügt. Daneben ist das Glossar ab Seite 559 mit Lob herauszustellen. Zwar sind die Begriffserklärungen nicht durchweg subsumtionstauglich, dennoch erfüllen sie ihren Zweck der Klärung für diejenigen, die einen Einstieg in die Materie suchen.

I. Erster Eindruck nach Querlese angeregt durch das Vorwort

Ein Rechtshandbuch mit (staatlichen) Gerichten als priorisierte Adressaten verwundert ein wenig, da diese eher nicht die typischen IT-Security-Practicioners sind und deutsche Rechtsprechung zum Thema Cybersecurity fast vollständig fehlt. In aufjauchzender Weise möchte man daher den mahnenden Zeigefinger vermuten in Anspielung auf den erfolgreichen Emotet-Angriff auf das Kammergericht (KG) Berlin im September 2019 und den anhaltenden Notbetrieb bis 2020.[5] Doch wie geht dieser Eindruck zusammen mit dem „einseitigen Diktat der Cyber-Sicherheit durch Staat und Gesetz“, wie es im Vorwort verdeutlicht wird? Ist der Staat nicht selbst verpflichtet, für sichere Gerichte und v.a. sichere Gerichts-IT zu sorgen? Wir erleben im Sommer 2020 noch Richter, die virtuelle Verhandlungstermine über ihre privaten Rechner abhalten müssen und KG-Richter, die hierin (noch immer) keine (datenschutzrechtlichen und damit auch die Datensicherheit betreffenden) Probleme erkennen können.[6] Man möchte das Buch daher als überfälliges (IT) Operation Manual für staatliche Einrichtungen, insbesondere Gerichte, sehen. Sie benötigen in der Tat „die umfassende Darstellung des IT-Sicherheitsrechts und seiner technischen Grundlagen“, die auf dem Einband bei Neuerwerb versprochen wird.

Unterstrichen wird der Eindruck eines (IT) Operation Manual für staatliche Einrichtungen durch das (ausgesprochen gut gelungene) Kapitel 13 über Gefahrenabwehr und Sanktionierung. Hier wird, soweit ersichtlich, einmalig und ausschließlich auf das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) verwiesen: Sachlich richtig dargestellt als Abwehrrecht gegenüber dem Staat und begründet mit dem Urteil des Bundesverfassungsgerichts zum Verfassungsschutzgesetz des Landes Nordrhein-Westfalen[7]. Dass dieses IT-Grundrecht jedoch auch zwischen Privaten eine wesentliche Rolle im Rahmen der sog. Cybersecurity spielen kann (z.B. im Rahmen der deliktischen Produzentenhaftung des Herstellers), das scheint von keinem (weiteren) Autoren gesehen worden zu sein. Soweit ersichtlich, wurde leider auch das Urteil des Bundesverfassungsgerichts zum BKA-Gesetz[8] nicht behandelt.

Ob ein Richter dieses Buch in die Hand nehmen wird, bevor er eine virtuelle mündliche Verhandlung mit den Parteien, Parteivertretern und z.B. Zeugen (über seinen privaten Rechner) ansetzt, ist fraglich. Dafür ist das Buch dann doch zu wenig Praxisleitfaden für den beruflichen Alltag. Und will es auch nicht sein, wie Kapitel 11 (Prozessuale Durchsetzung) mit gerade einmal 12 Seiten Grundlagenwissen zeigt.

II. Zweiter Eindruck nach einem Blick auf die Struktur und Inhaltsgewichtung

Der Aufbau des Buchs ist als auffällig gut strukturiert und durchdacht hervorzuheben: Das Buch beginnt

  • mit Kapitel 1 zu allgemeinen Begrifflichkeiten und Zusammenhängen (Kipker) und führt fort mit
  • Kapitel 2 zu den technischen Grundlagen der Informationssicherheit (Sohr/Kemmerich),
  • Kapitel 3 zum Stand der Technik (Fischer/Ekrot/Müller),
  • Kapitel 4 zu branchenübergreifenden Vorgaben (von dem Bussche),
  • Kapitel 5 zu Datenschutz (Voskamp),
  • Kapitel 6 zu Corporate Governance und Compliance (Schmidt/Tannen),
  • Kapitel 7 zu IT-Vertragsrecht (Wiegand),
  • Kapitel 8 zum zivilen Haftungsrecht (Lapp),
  • Kapitel 9 zu Urheber- und Lauterkeitsrecht, Know-How-Schutz (Barudi),
  • Kapitel 10 zu Arbeitsrecht und IT-Sicherheit (Däubler),
  • Kapitel 11 zu prozessualer Durchsetzung (Lapp),
  • Kapitel 12 zu kritischen Infrastrukturen (Beucher/Ehlen/Fromageau),
  • Kapitel 13 zu Gefahrenabwehr und Sanktionen (Brodowski),
  • Kapitel 14 zu Nachrichtendiensten (Warg),
  • Kapitel 15 zu IT-Sicherheitsforschung (Böken),
  • Kapitel 16 zum internationalen (Rechts-)Rahmen (Fischer/Kipker/Voskamp) und
  • Kapitel 17 zu völkerrechtlichen Aspekten, Cyberwarfare (Keber).

Darüber hinaus hat der Herausgeber ein gutes Gleichgewicht hinsichtlich des Umfangs der einzelnen Beiträge geschaffen. Ca. 30 Seiten umfassen die meisten Kapitel. Die in der Seitenzahl erheblich darüber oder darunter liegenden Beiträge halten sich die Waage.

Die umfangreichen und soliden „technischen“ Grundlagen in Kapitel 2 sind – für ein Rechtshandbuch verständlicherweise – auf 56 Seiten knapp, beispiel- und übersichtsartig gehalten. Sie bilden dennoch das Schwergewicht neben Kapitel 12 mit 45 Seiten zu Kritischen Infrastrukturen und Kapitel 14 zu den Nachrichtendiensten (43 Seiten). Die Ausführungen in Kapitel 3 zu Stand der Technik und ISO-Vorgaben sind jedoch für den Praktiker zu kurz zusammengefasst auf 16 Seiten. Da freut es stets, wenn konkrete Bezüge in den jeweiligen Kapiteln vorgenommen werden. Das Kapitel 5 zum mit Datensicherheit eng verzahnten Datenschutz muss sich (leider) an der Oberfläche der Grundlagen halten, bietet jedoch eine hohe inhaltliche Qualität. Das Kapitel 8 zum zivilen Haftungsrecht ist gleichermaßen kanpp und kann ebenfalls nur eine (sehr gute) Übersicht über die breite Materie bieten. Kapitel 10 zu Arbeitsrecht und IT-Sicherheit ist nicht zuletzt empfehlenswert, richtet sich allerdings eher an die Akteure im Bereich Kritischer Infrastrukturen.

III.  Dritter Eindruck nach inhaltlicher Bewertung der Schwerpunkte

1. Kritische Infrastrukturen

Nach etwas längerem Befassen mit dem Buch hat sich der Eindruck verfestigt, es legt seinen inhaltlichen Schwerpunkt auf die IT-Sicherheit Kritischer Infrastrukturen. Seinen Kern hat es in Kapitel 12. In diesem Kapitel findet der Leser auf 45 Seiten eine runde Darstellung der Regelungen zu Kritischen Infrastrukturen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und in damit verwandten Vorschriften. Das Kapitel ist sehr sauber gearbeitet und sehr schön strukturiert. Es holt jeden Leser sehr gut ab. Vor allem juristische Einsteiger finden hier eine hervorragende Orientierung für die weitere Bearbeitung. Allerdings darf kein Tiefgang oder gar eine Lösung für konkrete Rechtsprobleme erwartet werden; dafür ist die Sach- und Rechtsmaterie viel zu komplex.

2. Nachrichtendienste

Das 14. und Schwerpunktkapitel zu Nachrichtendiensten sowie den sie regelnden Verfassungsschutzgesetzen irritiert vor dem Hintergrund der Zielgruppenbestimmung im Vorwort. So weist der Autor des Kapitels 14 auch darauf hin,

„für Cyberthemen sind sie [die Nachrichtendienste] dann zuständig, wenn geheimdienstliche Aktivitäten einen Bezug zu Deutschland haben oder von inländischen Extremisten Bedrohungen für deutsche IT-Strukturen ausgehen (dann BfV, LfV) bzw. Cyberbedrohungen aus dem Ausland für die Bundesrepublik von außen- oder sicherheitspolitischer Bedeutung sind (dann BND (…)).“

Der Beitrag ist dennoch (oder gerade deshalb) sehr spannend zu lesen, v.a. weil er sehr gut geschrieben ist. Eine vergleichbare Einführung in das „Recht der Nachrichtendienste“ ist hier nicht bekannt. Jedoch zeigt sich auch an dieser Stelle, das Buch hat seinen Schwerpunkt bei den Kritischen Infrastrukturen, weil ihre Betroffenheit zugleich als nationale Betroffenheit verstanden werden kann und muss. Schließlich ist nicht nur eine kleine Personengruppe, sondern gleich eine ganze Gesellschaft von ihrem Funktionieren abhängig.

Das Kapitel hat dennoch eine wichtige Relevanz auch für Nicht-KRITIS-Unternehmen und deren Berater. Sie wird im Buch leider nur nicht deutlich, weil ein entsprechend praxisnahes Kapitel fehlt:

Das Bundesamt für Verfassungsschutz (BfV) und die Verfassungsschutzbehörden der Bundesländer haben den Auftrag, Informationen über Bestrebungen zu sammeln und auszuwerten, die gegen die freiheitliche demokratische Grundordnung gerichtet sind. Ein Teil davon ist auch der präventive Wirtschaftsschutz: In dessen Rahmen informieren die Verfassungsschutzbehörden, aber auch beteiligte Sicherheitsbehörden wie das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Verbänden über Analysen aus ihren Tätigkeitsgebieten. Diese Informationen sollen dazu beitragen, dass Wirtschaft und Wissenschaft sich eigenverantwortlich und effektiv gegen Ausforschungen (insbesondere Wirtschaftsspionage), Sabotage und Bedrohungen schützen können. Informationen zur 2016 gestarteten Initiative Wirtschaftsschutz, die durch das Bundesministerium des Innern für Bau und Heimat koordiniert wird, finden sich auf der Website wirtschaftsschutz.info. Nutzer dieses Angebots werden (z.B. per Mail) direkt informiert, wenn eine das Unternehmen potentiell betreffende Bedrohung identifiziert worden ist.

IV. Vierter Eindruck: Die letzten drei Kapitel dienen v.a. dem Exkurs

Das 15. Kapitel zum Thema IT-Sicherheitsforschung hätte, vor dem Hintergrund der breiten Zielgruppenbestimmung, mit anderem Titel entsprechend breiter ausgerichtet werden können. Gerade Unternehmen (nicht nur Betreiber Kritischer Infrastrukturen) sind durch das Buch (z.B. Kapitel 5, Rn 22) angehalten, ihre IT- und OT-Sicherheit (regelmäßig) auf tatsächliche Sicherheit überprüfen zu lassen. Für sog. Penetration Testing und andere (Analyse-)Dienstleistungen zwecks Evaluierung der Unternehmenssicherheit gibt es geschäftliche Angebote – sie beschränken sich nicht auf den wissenschaftlichen Forschungsbereich. Wonach bestimmt sich die Angebotsqualität? Woran erkennt man, dass der Anbieter den konkreten Bedarf befriedigen kann? Welches Vorgehen, welche Maßnahmen sind sinnvoll, welche Testumgebungen am sichersten? Welche konkreten vertraglichen Regelungen sollten getroffen werden? Kapitel 8 enthält hierzu leider keine Informationen.

Junge sog. White Hats, oder auch ethische Hacker, gilt es nicht zu vergessen, die nicht wissenschaftlich forschen, sondern schlichtweg aktiv auf der Suche nach (bezahlter) Arbeit sind. Wie geht man als regelmäßig strafrechtlich wenig erfahrener General Counsel mit dieser unaufgeforderten Hilfeleistung oder out-of-the-blue kommenden Hilfeangeboten um? Ist ein „gut gemeinter“ Pen-Test strafrechtlich relevant und sollte er zur Anzeige gebracht werden? Was bedeutet das Ergebnis für die (persönliche Haftung der) Unternehmensleitung oder für die Karriere des CI(S)O? Welche Pflichten leiten sich von einem ungewollten „erfolgreichen” Pen-Test für das Unternehmen ab? Wo ist die Grenze zwischen notwendiger und Überreaktion, die mehr Schaden als Nutzen bringt? Wo ist die Grenze zwischen vorsätzlichem Wegschauen und fahrlässigem Verkennen der Bedeutung eines aufgedrängten Pen-Tests? Die knappen Ausführungen in Kapitel 15 (und Kapitel 8, welches einige Probleme erkennt aber nicht behandelt,) sind hier leider nur bedingt hilfreich.

Kapitel 16 richtet sich eher an staatliche Stellen und deren Mitarbeiter, allerdings nicht die im Vorwort identifizierten Zielgruppen. Unternehmensjuristen finden allerdings keine nützlichen Ansätze, worauf sie z.B. mit Tochtergesellschaften in den USA, China oder Russland konkret achten müssen.

Kapitel 17 richtet sich ausschließlich an eine kleine Auswahl staatlicher Stellen, v.a. militärische Einrichtungen. Gerichte, Datenschutzbeauftragte, Unternehmen und ihre Mitarbeiter nehmen nicht aktiv an kriegerischen Auseinandersetzungen teil und entscheiden auch nicht, ob eine Bedrohung oder ein Bruch des Friedens oder eine Angriffshandlung vorliegt. Ein staatliches Selbstverteidigungsrecht ist kein individuelles Selbstverteidigungsrecht. Das Kapitel hat für die Zielgruppen des Buches wenig bis keine praktische Bedeutung.

Wissenswert sind diese Kapitelinhalte aber ohne Ausnahme.

C. Fazit: Erwartungen an ein Rechtshandbuch sind voll erfüllt

Herausgeber Kipker hat mit dem Rechtshandbuch Cybersecurity in erkennbar gut abgestimmter Zusammenarbeit mit seinen Autoren ein wirklich solides Grundlagenwerk mit konstant hoher Beitragsqualität verfasst. Vor allem wurde die Buchgestaltung vorbildhaft vom Leser her gedacht. Auf die Vorzüge der Schnellübersichten und des Glossars wurde bereits eingangs hingewiesen.

Für den thematisch versierten (IT-Fach- und) Rechtsanwalt ist das Buch ein guter „Refresher“ und hilfreiches Nachschlagewerk, wenn der Kopf einmal wieder „buggt“. Für den Herausgeber einer Recht-und-Tech-Publikation mit Interesse an neuen kniffeligen Rechtsfragen spielt das Buch eher eine nachrangige Rolle, allerdings in Bezug auf IT-Sec-Autorenbeiträge als “Erstkorrektor on the shelf” eine wichtige Referenzsammlung. Das Einband-Versprechen der „umfassenden Darstellung des IT-Sicherheitsrechts und seiner technischen Grundlagen“ ist zwar nicht erfüllt, doch ein umfassendes Rechtshandbuch kann für 119,00 EUR (vom General Counsel oder CISO) auch nicht erwartet werden.

Das Buch entfaltet seinen vollen Nutzen bei Angehörigen von Betreibern Kritischer Infrastrukturen sowie staatlichen Stellen, wobei Gerichte nach dem eingangs erwähnten Emotet-Befall der IT des KG Berlin definitiv mitgezählt gehören, aber nur als Dienstherr oder Gerichtsverwaltung verstanden werden können. Richtern und Geschäftsstellenmitarbeitern nutzt dieses Buch eher wenig bis nicht. Sie dürfen vielmehr eine verfügbare sichere IT-Infrastruktur und die im Rahmen eines ganzheitlichen IT-Sicherheitskonzepts notwendigen regelmäßigen Schulungen wie z.B. Awareness-Trainings erwarten. (Angehende) Mitarbeiter und Berater von Betreibern Kritischer Infrastrukturen können mithilfe des Rechtshandbuchs Cybersecurity die wesentlichen rechtlichen Grundlagen ihrer Arbeit schnell erarbeiten und nachschlagen. Alle anderen Adressaten dieses Buchs finden hier eine hilfreiche überblickartige Darstellung der Rechtsverflechtungen hinter der sog. Cybersecurity.

Das Buch verdient seinen Titel „Rechtshandbuch“. Es ist inhaltlich sauber ausgearbeitet und für Praktiker gestaltet. Seinen Preis ist das Buch daher in jeder Hinsicht wert. Im Ergebnis leistet Kipker‘s Rechtshandbuch Cybersecurity einen wertvollen Beitrag zur Aufklärung und Lenkung der Aufmerksamkeit auf die Risiken der vernetzten Gesellschaft. Es verdient (s)eine vollmundige Empfehlung und geht hoffentlich überall dort “viral”, wo IT-Sicherheit erwartet werden darf. 

V

V


[1]  Netzpolitik.org, L. Neumann, „Cyber, Cyber! Die Hymne zur Digitalen Agenda“ vom 29. August 2014, https://netzpolitik.org/2014/cyber-cyber-die-hymne-zur-digitalen-agenda/ (zuletzt abgerufen am 1. August 2020).

[2]  Offenkundig meint das generische Maskulinum nicht nur das männliche Geschlecht. Auch im Folgenden wird zugunsten des Leseflusses auf eine Geschlechterdifferenzierung verzichtet.

[3]  Kanzlei COT Legal, Frankfurt am Main, gegründet im Oktober 2016.

[4] Recht innovativ (Ri), gegründet im April 2017, https://rechtinnovativ.online; https://www.springerprofessional.de/recht-innovativ/17292626.

[5]  Der Forensics Report von IT-Systems, vorgestellt am 24. Januar 2020, Vorläufiger forensischer Abschlussbericht zur Untersuchung des Incidents beim Berliner Kammergericht – Cyber Defence Center (CDC) and Cyber Emergency Response Team (CERT) T-Systems International GmbH, 23. November 2019, abrufbar unter http://tp-presseagentur.de/wp-content/uploads/2020/01/PM-11-2020-T-Systems-Forensik_Bericht_Public_V1.pdf (zuletzt abgerufen am 8. August 2020).

[6]  Dr. Elzer, Rahmenbedingungen einer gerichtlichen Webkonferenz, 12. Juni 2020, https://rsw.beck.de/aktuell/daily/magazin/detail/rahmenbedingungen-einer-gerichtlichen-webkonferenz (zuletzt abgerufen am 1. August 2020).

[7]  BVerfG, Urteil des Ersten Senats vom 27. Februar 2008, 1 BvR 370/07, Rn. 1-333.

https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html (zuletzt abgerufen am 1. August 2020).

[8]  BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966/09 -, Rn. 1-29,

https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2016/04/rs20160420_1bvr096609.html (zuletzt abgerufen am 1. August 2020).

Titelbild: © Claudia Otto