25.01.2013 Aufrufe

Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz

Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz

Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz

MEHR ANZEIGEN
WENIGER ANZEIGEN

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

http://www.datenschutz-forum.ch<br />

Mittwoch, 25. Januar 2006,<br />

Schaden Service <strong>Schweiz</strong> AG, Baslerstrasse 52, 8066 Zürich<br />

<strong>Spyware</strong> <strong>–</strong> <strong>und</strong> <strong>deren</strong><br />

<strong>rechtliche</strong> <strong>Aspekte</strong><br />

Fallbeispiel zur Einleitung<br />

Prof. Dr. P. Heinzmann,<br />

HSR Hochschule für Technik Rapperswil & cnlab AG<br />

Technische Gr<strong>und</strong>lagen<br />

PD Dr. Hannes P. Lubich,<br />

Principal Consultant, Computer Associates AG<br />

Rechtliche <strong>Aspekte</strong><br />

Dr. iur. Jürg Schneider, Walder Wyss & Partner<br />

Diskussion, Apéro (gestiftet von Schaden Service <strong>Schweiz</strong> AG)<br />

Angriffe auf IT-Systeme werden zunehmend zielgerichtet <strong>und</strong> mit klaren<br />

kommerziellen Absichten durchgeführt. Die Verteilung <strong>und</strong> Nutzung von so<br />

genannt "bösartigem Code" ("Malicious Mobile Code") spielt in diesem<br />

Zusammenhang eine wichtige Rolle. Je nach Situation spricht man von Viren,<br />

Würmern, Trojanern, AdWare, Bots, <strong>Spyware</strong>, Sniffer etc.<br />

Im Rahmen dieser Veranstaltung wird gezeigt, wie Malicious Mobile Code mit<br />

kriminellen Absichten genutzt wird <strong>und</strong> wie sich solche Programme auf<br />

Computern einnisten. Sie erfahren, wie man sich gegen die Eindringlinge<br />

technisch schützen kann. Ausserdem gehen wir der Frage nach, welche<br />

Gesetze in Zusammenhang mit Malicious Mobile Code zu beachten sind,<br />

wobei auch straf<strong>rechtliche</strong> <strong>Aspekte</strong>, Haftungsfragen <strong>und</strong> Auskunftspflichten<br />

gegenüber Untersuchungsbehörden zu Sprache kommen.<br />

1


http://www.datenschutz-forum.ch<br />

<strong>Spyware</strong> Hype?<br />

• May 30, 2005<br />

<strong>–</strong> Two Britain created a custom piece of spyware<br />

<strong>–</strong> Israeli Police arrested top executives of Israel's<br />

leading companies who ordered up the spyware for<br />

espionage to gather confidential information about<br />

such things as upcoming bids<br />

• August 31, 2005<br />

<strong>–</strong> study of most prevalent spyware programs<br />

<strong>–</strong> about 15 percent of spyware is used for outright<br />

criminal activity (Aladdin Knowledge Systems)<br />

Es gibt noch keine allgemein akzeptierte Definition zum Begriff “<strong>Spyware</strong>”. Die<br />

Meinungen darüber, wie man <strong>Spyware</strong> definieren sollte, gehen auseinander.<br />

Dies zeigt auch die heftige Diskussion, welche nach der Veröffentlichung der<br />

“Anti-<strong>Spyware</strong> Coalation” zu “ASC Definitions and Supporting Documents” im<br />

Juli 2005 ausgebrochen ist. Die ASC “definiert” <strong>Spyware</strong> wie folgt:<br />

<strong>Spyware</strong> and Other Potentially Unwanted Technologies<br />

(http://www.antispywarecoalition.org/documents/definitions.htm)<br />

•Technologies deployed without appropriate user consent and/or implemented<br />

in ways that impair user control over:<br />

•Material changes that affect their user experience, privacy, or system<br />

security;<br />

•Use of their system resources, including what programs are installed on their<br />

computers; and/or<br />

•Collection, use, and distribution of their personal or other sensitive<br />

information.<br />

Betrachtet man den Oberbegriff “Malicious Code” so liest man immer wieder,<br />

dass dieser enorme Verbreitung findet <strong>–</strong> <strong>und</strong> zwar nicht nur mit<br />

Profilierungsabsichten, sondern vor allem auch mit klaren kommerziellen<br />

Zielen.<br />

2


http://www.datenschutz-forum.ch<br />

Überwachungssoftware<br />

• Mitarbeiterüberwachung bei der<br />

Varengold Wertpapierhandelsbank<br />

• Spector and eBlaster (USD 99.95)<br />

www.spectorsoft.com<br />

<strong>–</strong> Keystroke Recording<br />

<strong>–</strong> Web Site Recording<br />

<strong>–</strong> Program Activity Recording Features<br />

<strong>–</strong> Peer to Peer (P2P) Recording Features<br />

<strong>–</strong> Snapshot Recording Features<br />

<strong>–</strong> Keyword Detection Features<br />

<strong>–</strong> 2002 mehr als 7000 Lizenzen verkauft<br />

Bei der Hamburger Firma Varengold Wertpapierhandelsbank heißt der große,<br />

alles sehende Überwacher nicht "Big Brother", sondern "graue Eminenz". So<br />

nennen die Vorstandsmitglieder den unscheinbaren PC, der die Aktivitäten<br />

aller Mitarbeiter an <strong>deren</strong> Computern aufzeichnet. Varengold-Vorstand Yasin<br />

Qureshi kann beispielsweise jederzeit kontrollieren, welche Webseiten sein<br />

Mitarbeiter Sven Meyer besucht. Qureshi sieht, welche Programme Meyer<br />

ausführt, wann er morgens den Computer hochgefahren hat <strong>und</strong> wie lange er<br />

Pausen am Rechner macht.<br />

"Spector" heißt die Überwachungssoftware, die das Ausspionieren möglich<br />

macht. Sven Meyer, Prokurist bei Varengold, einer Firma für den<br />

elektronischen Handel mit Aktien-Derivaten, hat der Installation auf seinem<br />

PC zugestimmt - wie die an<strong>deren</strong> Mitarbeiter auch. "Am Anfang fühlte ich<br />

mich auf den Schlips getreten. Ich hatte viele Überst<strong>und</strong>en <strong>und</strong> fand die<br />

Einführung dieser Stasi-Software kleinlich", sagt Meyer. Ein paar Tage nach<br />

der Installation bat ihn sein Chef Qureshi zu sich <strong>und</strong> spielte Meyers<br />

gesamten Arbeitstag wie einen Videofilm vor. Programme, Tastenanschläge,<br />

Passwörter <strong>und</strong> "Screenshots" des Bildschirms waren dokumentiert. Und<br />

auch jede Menge Privates war zu sehen: Online-Überweisungen; Web-Seiten,<br />

die nichts mit dem Geschäft von Varengold zu tun haben; E-Mails an die<br />

Fre<strong>und</strong>in.<br />

3


http://www.datenschutz-forum.ch<br />

PD Dr. Hannes P. Lubich<br />

Principal Consultant, Computer Associates AG<br />

1982 - 1986 Studium Informatik, Technischen Universität<br />

Berlin<br />

1984 - 1986 Telematic Services AG (TELES) in Berlin,<br />

Dokumentation <strong>und</strong> Test von Hard- <strong>und</strong><br />

Softwaresystemen<br />

1986 - 1989 Institut für technische Informatik <strong>und</strong><br />

Kommunikationssnetze der ETH Zürich, Promotion im<br />

Bereich computergestützter verteilter Gruppenarbeit<br />

1989 - 1994 Oberassistent <strong>und</strong> Forschungsgruppenleiter<br />

am Institut für technische Informatik <strong>und</strong><br />

Kommunikationssnetze, ETH Zürich, Habilitation an der<br />

Abteilung Elektrotechnik<br />

1994 - 1996 <strong>Schweiz</strong>er Forschungsnetz SWITCH. Leiter<br />

der Ausbildung <strong>und</strong> IT-Sicherheitsbeauftragter<br />

1996 - 2003 stellvertretender Direktor Bank Julius Bär &<br />

Co. AG, Leiter Stabstelle Informatik-Sicherheit <strong>und</strong><br />

Qualitätssicherung<br />

Seit Mitte 2003 IT Security Strategist bei Computer<br />

Associates für Zentraleuropa<br />

4


http://www.datenschutz-forum.ch<br />

Wirtschaftsspionage?<br />

Hacker-Angriff auf Konkurrenz: Basler Zeitung;<br />

07.09.2004 Strafuntersuchung gegen Datasport-<br />

Geschäftsleitungsmitglied<br />

Ein Geschäftsleitungsmitglied der Zollikofer Firma Datasport wird<br />

angeklagt. Er hat einen Hacker-Angriff auf einen Thurgauer<br />

Konkurrenten im Sport-Daten-Geschäft gestanden. Heinz Dubach,<br />

Vizestatthalter des Bezirks Weinfelden hat bestätigt, dass gegen eine<br />

Privatperson, die in der Geschäftsleitung der Firma Datasport sitzt,<br />

eine Strafuntersuchung läuft. Der Manager habe den Hackerangriff auf<br />

die Thurgauer Firma gestanden. Es seien weitere Firmen betroffen,<br />

sagte Dubach.<br />

Aufgeflogen ist die Attacke, weil Hanno Maier, Mitinhaber von Bibchip<br />

bei der Thurgauer Polizei Anzeige erstattet hatte. «Der Hacker hat E-<br />

Mails gelöscht, in denen K<strong>und</strong>en auf Offerten von uns reagiert haben»,<br />

sagte Maier. Wie gross der Schaden bei seiner Firma ist, konnte Maier<br />

noch nicht sagen. Eine Klage auf Schadenersatz werde noch geprüft<br />

5


http://www.datenschutz-forum.ch<br />

Strafuntersuchung gegen<br />

Geschäftsleitungsmitglied<br />

• Basler Zeitung<br />

17.09.2004<br />

<strong>–</strong> Hacker-Angriff auf<br />

Konkurrenz<br />

<strong>–</strong> Datasport-Bibchip<br />

Fall<br />

SF Spezial 30.11.2004<br />

Wirtschaftsspionage? <strong>Das</strong>s diese Art von Spionage vorkommt, zeigt das<br />

Beispiel, in dem jemand den Computer eines Konkurrenten ausspionieren<br />

wollte. Dieser Fall ist mittlerweile zu einem Gerichtsfall geworden.<br />

http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/450k/sfspezial_20041130.rm?s<br />

tart=0:11:41.835&end=0:19:28.112<br />

6


http://www.datenschutz-forum.ch<br />

Dr. iur. Jürg Schneider<br />

Managing Associate, Walder Wyss & Partner<br />

1988 - 1992 Studium der Rechtswissenschaften an der<br />

Universität Neuenburg (lic. iur. 1992)<br />

1992 <strong>–</strong> 1994 Praktikum in Anwaltskanzlei in Neuenburg<br />

sowie im Rechtsdienst des Kantons<br />

Neuenburg (Anwaltspatent 1995)<br />

1995 <strong>–</strong> 1999 Assistent an der Universität Neuenburg<br />

(Dr. iur. 1999)<br />

2001 Professor Walther Hug Preis<br />

Seit 2000 Anwalt bei Walder Wyss & Partner in<br />

Zürich, Managing Associate in der<br />

Information Technology, Intellectual<br />

Property and Competition Group<br />

Jürg Schneider ist Mandatsleiter in der Gruppe Informationstechnologie,<br />

Immaterialgüterrechte <strong>und</strong> Wettbewerb. Er berät sowohl ITAnwender als auch IT-Dienstleister<br />

<strong>und</strong> Softwareherstellerzu allen Rechtsfragen r<strong>und</strong> um Informationstechnologie mit<br />

Schwergewicht auf der Gestaltung, Überprüfung <strong>und</strong> Verhandlung von Softwarelizenz- <strong>und</strong><br />

Softwarewartungsverträgen für geschäftskritische Applikationen. Er befasst sich vertieft mit<br />

Informationssicherheit, <strong>Datenschutz</strong> sowie <strong>rechtliche</strong>n <strong>Aspekte</strong>n des E-Commerce. Geboren<br />

1969, studierte Jürg Schneider an derUniversität Neuenburg (lic. iur.1992, Dr.iur. 1999). Er<br />

arbeitete als Praktikant im Rechtsdienst des Kantons Neuenburg, als Substitut in einer<br />

Anwaltskanzlei in Neuenburg sowie als Assistent an der Universität Neuenburg. Jürg<br />

Schneider spricht Deutsch, Französisch<strong>und</strong> Englisch. Er ist im Anwaltsregister des Kantons<br />

Zürich eingetragen.<br />

Weiterführende Puglikationen:<br />

• “Haften Manager bei Lücken in der Informationssicherheit?” (Can managers be held liable<br />

for shortcomings in information security?), in: “IT Business”, 2005.<br />

• “Internet Service Provider im Spannungsfeld zwischen Fernmeldegeheimnis <strong>und</strong><br />

Mitwirkungspflichten bei der Überwachung des E-Mail-Verkehrs über das Internet” (Internet<br />

service provider between secrecy of telecommunications and surveillance of e-mail traffic over<br />

the Internet), in: “AktuelleJuristische Praxis (AJP)”, Lachen 2005,Nr. 2.<br />

• “Rechtliche Gr<strong>und</strong>lagen der Informationssicherheit” (Legal framework of informationsecurity),<br />

in: “Information Security <strong>–</strong> Was Manager wissen müssen”, Rheinfelden2003 / 2004 [Co-Autor].<br />

• “Le capital social initial de la société àresponsabilité limitée <strong>–</strong> Etude du droit suisse en<br />

vigueur et de l’avant-projet de révision du droit de la société à responsabilité limitée d'avril<br />

1999” (The Initial Capital Stock of the Limited Liability Company), Zürich 2000.<br />

7


http://www.datenschutz-forum.ch<br />

Nächste Veranstaltung:<br />

Mittwoch, 5. April 2006, Bern<br />

16.00 GV<br />

17.00 Veranstaltung<br />

“Öffentlichkeitsgesetz”<br />

8

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!