ISSS Zürcher Tagung 2010 zum Thema Data Leakage Prevention

ISSS Zürcher Tagung 2010 zum Thema Data Leakage Prevention

28. Juni 2010 - Spektakuläre Fälle von Datenpreisgabe an ausländische Stellen, wie z.B. die Weitergabe von Daten der LGT Vaduz mit anschliessendem Schadenersatzansprüchen betroffener Personen gegen den Dateninhaber oder der Datendiebstahl bei HSBC Genf sowie Berichte über einen möglicher Datenverlust bei der CS, unterstreichen die wachsende Bedeutung des Themas Data Leakage Prevention (DLP). An der DLP-Fachtagung der Information Security Society Switzerland (ISSS) in Zürich nahmen denn auch 117 Personen teil.
Artikel erschienen in IT Magazine 2010/07
USB Sticks: Klein, praktisch und ein (potentielles) Datenleck. (Quelle: Vogel.de)

DLP dient dazu, die Risiken der Preisgabe von Daten an Unberechtigte durch verstärkte Kontrolle über die Nutzung der Daten zu kontrollieren. Mindestens soll sichergestellt werden, dass die Daten bei unbefugtem Zugriff, Verlieren oder Entwendung von Datenträgern, unsorgfältiger Entsorgung etc. nicht verwertet werden können.


Die ISSS Zürcher Tagung 2010 war wie jedes Jahr in zwei Teile unterteilt. Der erste Teil beschäftigte sich mit den Aspekten von Recht und Compliance der DLP und ging auf die Sanktionen gegen die Täter, Empfänger und Nutzer entwendeter Daten sowie auf die Verantwortung und Haftung von Unternehmen und Verwaltungsstellen bei ungenügenden Massnahmen zur DLP ein. In sehr spannenden Vorträgen legten die Referenten David Rosenthal, Konsulent für Informations- und Kommunikationsrecht, Kanzlei Homburger, Zürich, Karin Koç, juristische Beraterin in datenschutzrechtlichen Fragen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), und Jürgen Wagner, Rechtsanwalt und Fachanwalt für Handels- und Gesellschaftsrecht, Wagner & Joos Rechtsanwälte, Konstanz/Zürich/Vaduz, ihre Erfahrungen aus der Praxis dar.


David Rosenthal zeigt auf, dass es sich beim vielzitierten Datenklau aus rechtlicher Sicht meistens nicht um Datendiebstahl handelt. Einer der Hauptgründe hierfür ist das gemäss dem Artikel 143 StGB erforderliche Tatbestandsmerkmal des unbefugten Zugriffs auf besonders gesicherte Daten. Diese Bestimmung erfasst meist nur externe Angreifer, da die Mitarbeitenden über eine Zugangsberechtigung zu den Daten verfügen. Da die Datendiebe aber meist etwas mit den gestohlenen Daten anfangen wollen, bietet sich trotzdem die Gelegenheit, rechtlich einzugreifen. Rosenthal stellte die wichtigsten strafrechtlichen und zivilrechtlichen Ansatzpunkte kurz vor, beispielsweise den Tatbestand der Bekanntgabe «entwendeter» Geheimnisse an Dritte oder der Persönlichkeits- oder Vertragsverletzung.

USB Sticks: Klein, praktisch und ein (potentielles) Datenleck. (Quelle: Vogel.de)
Keynote von Sandy Porter zu „The Future of Data Leakage Prevention“. (Quelle: Vogel.de)
Das Thema DLP stösst auf breites Interesse. (Quelle: Vogel.de)


«Datenklau» oft verwirrend

Mit der Frage «Vertrauen ist gut, Kontrolle ist besser?» stellte Karin Koç die Teilnehmenden vor die nächste Herausforderung. Gleich zu Beginn betonte sie, dass aus Gründen des Persönlichkeitsschutzes die Überwachung der Mitarbeitenden immer die letzte aller möglichen Massnahmen sein sollte. Sie zeigte auf, welche rechtlichen Grundlagen und Voraussetzungen erfüllt sein müssen, damit eine Überwachung der eigenen Mitarbeitenden rechtmässig erfolgen kann.


Jürgen Wagner bezog sich in seinem Referat im Speziellen auf die LGT Treuhand, welcher im Jahre 2002 Kundendaten gestohlen worden sind. Auch aus seiner Sicht ist die Begriffsbezeichnung «Datenklau» verwirrend oder gar zu harmlos formuliert. In Fällen wie dem vorliegenden gehe es vielmehr um Straftaten wie Betrug.

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER