Papier: 02.04.06 Risikoeinschätzung

Originalversion

1 Für die Einschätzung der Risiken ist das Wissen über die
2 relevanten Faktoren maßgeblich, die Spionage begünstigen
3 oder ihr auch entgegenstehen und schließlich der Grad und
4 das potenzielle Ausmaß von Schäden. Eine Risikoanalyse ist
5 hier nicht anders als bei anderen Technologien (zum Beispiel
6 im Industrieanlagenrecht) anhand folgender Kriterien
7 durchzuführen:
8
9  * Bedrohte Akteure (Staat, Wirtschaft, Gesellschaft),
10  * Bedrohte Rechtsgüter,
11  * Wahrscheinlichkeit und Ausmaß des Schadens sowie eine
12  * Kosten-Nutzen-Abwägung.
13
14 Rechtsgüter können hier unmittelbare und mittelbare bedroht
15 sein. Konkret sind dies:
16
17 * Finanzielle Schäden, entstanden durch entwendete
18 Passwörter, Kreditkartendaten, gehackte PayPal-Accounts
19 o.Ä.[FN: Panda/Mangla, Protecting Data from the Cyber Theft
20 – a Virulent Disease, Journal of Emerging Technologies in
21 Web Intelligence, Vol. 2 (2010), No. 2, 152.] Dies gilt erst
22 recht für Phishing-Attacken, die dazu führen, dass
23 erwünschte vereinfachte Zahlungsmethoden von Nutzerinnen und
24 Nutzern nicht mehr verwandt werden,
25
26  * Digitale Identitäten[FN: Panda/Mangla, Protecting Data
27 from the Cyber Theft – a Virulent Disease, Journal, Journal
28 of Emerging Technologies in Web Intelligence, Vol. 2 (2010),
29 No. 2, 152.] und deren Missbrauch beziehungsweise
30 „Diebstahl“,
31
32  * Verlust vertraulicher Unternehmensdaten [FN:
33 Panda/Mangla, Protecting Data from the Cyber Theft – a
34 Virulent Disease, Journal, Journal of Emerging Technologies
35 in Web Intelligence, Vol. 2 (2010), No. 2, 152.],
36
37  * Missbrauch von Netzwerkressourcen [FN: Panda/Mangla,
38 Protecting Data from the Cyber Theft – a Virulent Disease,
39 Journal, Journal of Emerging Technologies in Web
40 Intelligence, Vol. 2 (2010), No. 2, 152.],
41
42  * Ruf- und Markenschädigungen [FN: Panda/Mangla,
43 Protecting Data from the Cyber Theft – a Virulent Disease,
44 Journal, Journal of Emerging Technologies in Web
45 Intelligence, Vol. 2 (2010), No. 2, 152.],
46
47  * das Recht auf informationelle Selbstbestimmung
48 beziehungsweise auf Gewährleistung der Vertraulichkeit und
49 Integrität informationstechnischer Systeme[FN: Wie vom
50 BVerfG beschrieben in BVerfGE 120, 274 ff. –
51 Online-Durchsuchung.].
52
53 Organisierte Kriminalität kann durch Spionage erhebliche
54 Schäden anrichten. Sie kann, wenn sie den großen Profit
55 erkennt, die notwendigen Mittel aufbringen sowie
56 Vertriebswege für erlangte Informationen schaffen oder zur
57 Verfügung stellen.[FN: Gaycken, Schriftliche Stellungnahme
58 zu Expertengespräch „Sicherheit im Netz“, S.2.] Aufgrund der
59 höheren Professionalisierung ist es ebenfalls nicht
60 ausgeschlossen, dass sich die organisierte Kriminalität
61 eines Innentäters bedient, um Informationsinfrastrukturen
62 anzugreifen wodurch sie nicht auf einen Angriff über das
63 Internet angewiesen ist.[FN: Gaycken, Schriftliche
64 Stellungnahme zu Expertengespräch „Sicherheit im Netz“,
65 S.2.] Damit wären auch entkoppelte Netze und
66 Systemegefährdet. Militärisch-nachrichtendienstliche
67 Angreifer können durch Wirtschaftsspionage fremde
68 Volkswirtschaften zugunsten der eigenen Volkswirtschaft
69 schädigen.[FN: Gaycken, Schriftliche Stellungnahme zu
70 Expertengespräch „Sicherheit im Netz“, S.2.] Diese Angreifer
71 verfügen zudem über die notwendigen Mittel, großangelegte
72 Operationen vorzubereiten und durchzuführen.
73
74 Nach Aussage des BSI werden Spionage-Angriffe gegen die
75 Bundesverwaltung insbesondere durch mit Schadsoftware
76 infizierte Dokumente geführt.[FN: Könen, Schriftliche
77 Stellungnahme zu Expertengespräch „Sicherheit im Netz“,
78 Frage 1 c).] Aus den dem BSI vorliegenden Daten lässt sich
79 jedoch nicht schließen, ob es sich dabei um staatliche
80 Angreifer oder Angreifer aus dem Bereich der organisierten
81 Kriminalität handelt.[FN: Könen, Schriftliche Stellungnahme
82 zu Expertengespräch „Sicherheit im Netz“, Frage 1 c).] Um
83 sich einen präziseren Überblick zu verschaffen, fehlen
84 derzeit hinreichende Forschungserkenntnisse.

Der Text verglichen mit der Originalversion

1 Für die Einschätzung der Risiken ist das Wissen über die
2 relevanten Faktoren maßgeblich, die Spionage begünstigen
3 oder ihr auch entgegenstehen und schließlich der Grad und
4 das potenzielle Ausmaß von Schäden. Eine Risikoanalyse ist
5 hier nicht anders als bei anderen Technologien (zum Beispiel
6 im Industrieanlagenrecht) anhand folgender Kriterien
7 durchzuführen:
8
9  * Bedrohte Akteure (Staat, Wirtschaft, Gesellschaft),
10  * Bedrohte Rechtsgüter,
11  * Wahrscheinlichkeit und Ausmaß des Schadens sowie eine
12  * Kosten-Nutzen-Abwägung.
13
14 Rechtsgüter können hier unmittelbare und mittelbare bedroht
15 sein. Konkret sind dies:
16
17 * Finanzielle Schäden, entstanden durch entwendete
18 Passwörter, Kreditkartendaten, gehackte PayPal-Accounts
19 o.Ä.[FN: Panda/Mangla, Protecting Data from the Cyber Theft
20 – a Virulent Disease, Journal of Emerging Technologies in
21 Web Intelligence, Vol. 2 (2010), No. 2, 152.] Dies gilt erst
22 recht für Phishing-Attacken, die dazu führen, dass
23 erwünschte vereinfachte Zahlungsmethoden von Nutzerinnen und
24 Nutzern nicht mehr verwandt werden,
25
26  * Digitale Identitäten[FN: Panda/Mangla, Protecting Data
27 from the Cyber Theft – a Virulent Disease, Journal, Journal
28 of Emerging Technologies in Web Intelligence, Vol. 2 (2010),
29 No. 2, 152.] und deren Missbrauch beziehungsweise
30 „Diebstahl“,
31
32  * Verlust vertraulicher Unternehmensdaten [FN:
33 Panda/Mangla, Protecting Data from the Cyber Theft – a
34 Virulent Disease, Journal, Journal of Emerging Technologies
35 in Web Intelligence, Vol. 2 (2010), No. 2, 152.],
36
37  * Missbrauch von Netzwerkressourcen [FN: Panda/Mangla,
38 Protecting Data from the Cyber Theft – a Virulent Disease,
39 Journal, Journal of Emerging Technologies in Web
40 Intelligence, Vol. 2 (2010), No. 2, 152.],
41
42  * Ruf- und Markenschädigungen [FN: Panda/Mangla,
43 Protecting Data from the Cyber Theft – a Virulent Disease,
44 Journal, Journal of Emerging Technologies in Web
45 Intelligence, Vol. 2 (2010), No. 2, 152.],
46
47  * das Recht auf informationelle Selbstbestimmung
48 beziehungsweise auf Gewährleistung der Vertraulichkeit und
49 Integrität informationstechnischer Systeme[FN: Wie vom
50 BVerfG beschrieben in BVerfGE 120, 274 ff. –
51 Online-Durchsuchung.].
52
53 Organisierte Kriminalität kann durch Spionage erhebliche
54 Schäden anrichten. Sie kann, wenn sie den großen Profit
55 erkennt, die notwendigen Mittel aufbringen sowie
56 Vertriebswege für erlangte Informationen schaffen oder zur
57 Verfügung stellen.[FN: Gaycken, Schriftliche Stellungnahme
58 zu Expertengespräch „Sicherheit im Netz“, S.2.] Aufgrund der
59 höheren Professionalisierung ist es ebenfalls nicht
60 ausgeschlossen, dass sich die organisierte Kriminalität
61 eines Innentäters bedient, um Informationsinfrastrukturen
62 anzugreifen wodurch sie nicht auf einen Angriff über das
63 Internet angewiesen ist.[FN: Gaycken, Schriftliche
64 Stellungnahme zu Expertengespräch „Sicherheit im Netz“,
65 S.2.] Damit wären auch entkoppelte Netze und
66 Systemegefährdet. Militärisch-nachrichtendienstliche
67 Angreifer können durch Wirtschaftsspionage fremde
68 Volkswirtschaften zugunsten der eigenen Volkswirtschaft
69 schädigen.[FN: Gaycken, Schriftliche Stellungnahme zu
70 Expertengespräch „Sicherheit im Netz“, S.2.] Diese Angreifer
71 verfügen zudem über die notwendigen Mittel, großangelegte
72 Operationen vorzubereiten und durchzuführen.
73
74 Nach Aussage des BSI werden Spionage-Angriffe gegen die
75 Bundesverwaltung insbesondere durch mit Schadsoftware
76 infizierte Dokumente geführt.[FN: Könen, Schriftliche
77 Stellungnahme zu Expertengespräch „Sicherheit im Netz“,
78 Frage 1 c).] Aus den dem BSI vorliegenden Daten lässt sich
79 jedoch nicht schließen, ob es sich dabei um staatliche
80 Angreifer oder Angreifer aus dem Bereich der organisierten
81 Kriminalität handelt.[FN: Könen, Schriftliche Stellungnahme
82 zu Expertengespräch „Sicherheit im Netz“, Frage 1 c).] Um
83 sich einen präziseren Überblick zu verschaffen, fehlen
84 derzeit hinreichende Forschungserkenntnisse.

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.