Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz
Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz
Spyware – und deren rechtliche Aspekte - Das Datenschutz-Forum Schweiz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
http://www.datenschutz-forum.ch<br />
Mittwoch, 25. Januar 2006,<br />
Schaden Service <strong>Schweiz</strong> AG, Baslerstrasse 52, 8066 Zürich<br />
<strong>Spyware</strong> <strong>–</strong> <strong>und</strong> <strong>deren</strong><br />
<strong>rechtliche</strong> <strong>Aspekte</strong><br />
Fallbeispiel zur Einleitung<br />
Prof. Dr. P. Heinzmann,<br />
HSR Hochschule für Technik Rapperswil & cnlab AG<br />
Technische Gr<strong>und</strong>lagen<br />
PD Dr. Hannes P. Lubich,<br />
Principal Consultant, Computer Associates AG<br />
Rechtliche <strong>Aspekte</strong><br />
Dr. iur. Jürg Schneider, Walder Wyss & Partner<br />
Diskussion, Apéro (gestiftet von Schaden Service <strong>Schweiz</strong> AG)<br />
Angriffe auf IT-Systeme werden zunehmend zielgerichtet <strong>und</strong> mit klaren<br />
kommerziellen Absichten durchgeführt. Die Verteilung <strong>und</strong> Nutzung von so<br />
genannt "bösartigem Code" ("Malicious Mobile Code") spielt in diesem<br />
Zusammenhang eine wichtige Rolle. Je nach Situation spricht man von Viren,<br />
Würmern, Trojanern, AdWare, Bots, <strong>Spyware</strong>, Sniffer etc.<br />
Im Rahmen dieser Veranstaltung wird gezeigt, wie Malicious Mobile Code mit<br />
kriminellen Absichten genutzt wird <strong>und</strong> wie sich solche Programme auf<br />
Computern einnisten. Sie erfahren, wie man sich gegen die Eindringlinge<br />
technisch schützen kann. Ausserdem gehen wir der Frage nach, welche<br />
Gesetze in Zusammenhang mit Malicious Mobile Code zu beachten sind,<br />
wobei auch straf<strong>rechtliche</strong> <strong>Aspekte</strong>, Haftungsfragen <strong>und</strong> Auskunftspflichten<br />
gegenüber Untersuchungsbehörden zu Sprache kommen.<br />
1
http://www.datenschutz-forum.ch<br />
<strong>Spyware</strong> Hype?<br />
• May 30, 2005<br />
<strong>–</strong> Two Britain created a custom piece of spyware<br />
<strong>–</strong> Israeli Police arrested top executives of Israel's<br />
leading companies who ordered up the spyware for<br />
espionage to gather confidential information about<br />
such things as upcoming bids<br />
• August 31, 2005<br />
<strong>–</strong> study of most prevalent spyware programs<br />
<strong>–</strong> about 15 percent of spyware is used for outright<br />
criminal activity (Aladdin Knowledge Systems)<br />
Es gibt noch keine allgemein akzeptierte Definition zum Begriff “<strong>Spyware</strong>”. Die<br />
Meinungen darüber, wie man <strong>Spyware</strong> definieren sollte, gehen auseinander.<br />
Dies zeigt auch die heftige Diskussion, welche nach der Veröffentlichung der<br />
“Anti-<strong>Spyware</strong> Coalation” zu “ASC Definitions and Supporting Documents” im<br />
Juli 2005 ausgebrochen ist. Die ASC “definiert” <strong>Spyware</strong> wie folgt:<br />
<strong>Spyware</strong> and Other Potentially Unwanted Technologies<br />
(http://www.antispywarecoalition.org/documents/definitions.htm)<br />
•Technologies deployed without appropriate user consent and/or implemented<br />
in ways that impair user control over:<br />
•Material changes that affect their user experience, privacy, or system<br />
security;<br />
•Use of their system resources, including what programs are installed on their<br />
computers; and/or<br />
•Collection, use, and distribution of their personal or other sensitive<br />
information.<br />
Betrachtet man den Oberbegriff “Malicious Code” so liest man immer wieder,<br />
dass dieser enorme Verbreitung findet <strong>–</strong> <strong>und</strong> zwar nicht nur mit<br />
Profilierungsabsichten, sondern vor allem auch mit klaren kommerziellen<br />
Zielen.<br />
2
http://www.datenschutz-forum.ch<br />
Überwachungssoftware<br />
• Mitarbeiterüberwachung bei der<br />
Varengold Wertpapierhandelsbank<br />
• Spector and eBlaster (USD 99.95)<br />
www.spectorsoft.com<br />
<strong>–</strong> Keystroke Recording<br />
<strong>–</strong> Web Site Recording<br />
<strong>–</strong> Program Activity Recording Features<br />
<strong>–</strong> Peer to Peer (P2P) Recording Features<br />
<strong>–</strong> Snapshot Recording Features<br />
<strong>–</strong> Keyword Detection Features<br />
<strong>–</strong> 2002 mehr als 7000 Lizenzen verkauft<br />
Bei der Hamburger Firma Varengold Wertpapierhandelsbank heißt der große,<br />
alles sehende Überwacher nicht "Big Brother", sondern "graue Eminenz". So<br />
nennen die Vorstandsmitglieder den unscheinbaren PC, der die Aktivitäten<br />
aller Mitarbeiter an <strong>deren</strong> Computern aufzeichnet. Varengold-Vorstand Yasin<br />
Qureshi kann beispielsweise jederzeit kontrollieren, welche Webseiten sein<br />
Mitarbeiter Sven Meyer besucht. Qureshi sieht, welche Programme Meyer<br />
ausführt, wann er morgens den Computer hochgefahren hat <strong>und</strong> wie lange er<br />
Pausen am Rechner macht.<br />
"Spector" heißt die Überwachungssoftware, die das Ausspionieren möglich<br />
macht. Sven Meyer, Prokurist bei Varengold, einer Firma für den<br />
elektronischen Handel mit Aktien-Derivaten, hat der Installation auf seinem<br />
PC zugestimmt - wie die an<strong>deren</strong> Mitarbeiter auch. "Am Anfang fühlte ich<br />
mich auf den Schlips getreten. Ich hatte viele Überst<strong>und</strong>en <strong>und</strong> fand die<br />
Einführung dieser Stasi-Software kleinlich", sagt Meyer. Ein paar Tage nach<br />
der Installation bat ihn sein Chef Qureshi zu sich <strong>und</strong> spielte Meyers<br />
gesamten Arbeitstag wie einen Videofilm vor. Programme, Tastenanschläge,<br />
Passwörter <strong>und</strong> "Screenshots" des Bildschirms waren dokumentiert. Und<br />
auch jede Menge Privates war zu sehen: Online-Überweisungen; Web-Seiten,<br />
die nichts mit dem Geschäft von Varengold zu tun haben; E-Mails an die<br />
Fre<strong>und</strong>in.<br />
3
http://www.datenschutz-forum.ch<br />
PD Dr. Hannes P. Lubich<br />
Principal Consultant, Computer Associates AG<br />
1982 - 1986 Studium Informatik, Technischen Universität<br />
Berlin<br />
1984 - 1986 Telematic Services AG (TELES) in Berlin,<br />
Dokumentation <strong>und</strong> Test von Hard- <strong>und</strong><br />
Softwaresystemen<br />
1986 - 1989 Institut für technische Informatik <strong>und</strong><br />
Kommunikationssnetze der ETH Zürich, Promotion im<br />
Bereich computergestützter verteilter Gruppenarbeit<br />
1989 - 1994 Oberassistent <strong>und</strong> Forschungsgruppenleiter<br />
am Institut für technische Informatik <strong>und</strong><br />
Kommunikationssnetze, ETH Zürich, Habilitation an der<br />
Abteilung Elektrotechnik<br />
1994 - 1996 <strong>Schweiz</strong>er Forschungsnetz SWITCH. Leiter<br />
der Ausbildung <strong>und</strong> IT-Sicherheitsbeauftragter<br />
1996 - 2003 stellvertretender Direktor Bank Julius Bär &<br />
Co. AG, Leiter Stabstelle Informatik-Sicherheit <strong>und</strong><br />
Qualitätssicherung<br />
Seit Mitte 2003 IT Security Strategist bei Computer<br />
Associates für Zentraleuropa<br />
4
http://www.datenschutz-forum.ch<br />
Wirtschaftsspionage?<br />
Hacker-Angriff auf Konkurrenz: Basler Zeitung;<br />
07.09.2004 Strafuntersuchung gegen Datasport-<br />
Geschäftsleitungsmitglied<br />
Ein Geschäftsleitungsmitglied der Zollikofer Firma Datasport wird<br />
angeklagt. Er hat einen Hacker-Angriff auf einen Thurgauer<br />
Konkurrenten im Sport-Daten-Geschäft gestanden. Heinz Dubach,<br />
Vizestatthalter des Bezirks Weinfelden hat bestätigt, dass gegen eine<br />
Privatperson, die in der Geschäftsleitung der Firma Datasport sitzt,<br />
eine Strafuntersuchung läuft. Der Manager habe den Hackerangriff auf<br />
die Thurgauer Firma gestanden. Es seien weitere Firmen betroffen,<br />
sagte Dubach.<br />
Aufgeflogen ist die Attacke, weil Hanno Maier, Mitinhaber von Bibchip<br />
bei der Thurgauer Polizei Anzeige erstattet hatte. «Der Hacker hat E-<br />
Mails gelöscht, in denen K<strong>und</strong>en auf Offerten von uns reagiert haben»,<br />
sagte Maier. Wie gross der Schaden bei seiner Firma ist, konnte Maier<br />
noch nicht sagen. Eine Klage auf Schadenersatz werde noch geprüft<br />
5
http://www.datenschutz-forum.ch<br />
Strafuntersuchung gegen<br />
Geschäftsleitungsmitglied<br />
• Basler Zeitung<br />
17.09.2004<br />
<strong>–</strong> Hacker-Angriff auf<br />
Konkurrenz<br />
<strong>–</strong> Datasport-Bibchip<br />
Fall<br />
SF Spezial 30.11.2004<br />
Wirtschaftsspionage? <strong>Das</strong>s diese Art von Spionage vorkommt, zeigt das<br />
Beispiel, in dem jemand den Computer eines Konkurrenten ausspionieren<br />
wollte. Dieser Fall ist mittlerweile zu einem Gerichtsfall geworden.<br />
http://real.xobix.ch/ramgen/sfdrs/vod/sfspezial/450k/sfspezial_20041130.rm?s<br />
tart=0:11:41.835&end=0:19:28.112<br />
6
http://www.datenschutz-forum.ch<br />
Dr. iur. Jürg Schneider<br />
Managing Associate, Walder Wyss & Partner<br />
1988 - 1992 Studium der Rechtswissenschaften an der<br />
Universität Neuenburg (lic. iur. 1992)<br />
1992 <strong>–</strong> 1994 Praktikum in Anwaltskanzlei in Neuenburg<br />
sowie im Rechtsdienst des Kantons<br />
Neuenburg (Anwaltspatent 1995)<br />
1995 <strong>–</strong> 1999 Assistent an der Universität Neuenburg<br />
(Dr. iur. 1999)<br />
2001 Professor Walther Hug Preis<br />
Seit 2000 Anwalt bei Walder Wyss & Partner in<br />
Zürich, Managing Associate in der<br />
Information Technology, Intellectual<br />
Property and Competition Group<br />
Jürg Schneider ist Mandatsleiter in der Gruppe Informationstechnologie,<br />
Immaterialgüterrechte <strong>und</strong> Wettbewerb. Er berät sowohl ITAnwender als auch IT-Dienstleister<br />
<strong>und</strong> Softwareherstellerzu allen Rechtsfragen r<strong>und</strong> um Informationstechnologie mit<br />
Schwergewicht auf der Gestaltung, Überprüfung <strong>und</strong> Verhandlung von Softwarelizenz- <strong>und</strong><br />
Softwarewartungsverträgen für geschäftskritische Applikationen. Er befasst sich vertieft mit<br />
Informationssicherheit, <strong>Datenschutz</strong> sowie <strong>rechtliche</strong>n <strong>Aspekte</strong>n des E-Commerce. Geboren<br />
1969, studierte Jürg Schneider an derUniversität Neuenburg (lic. iur.1992, Dr.iur. 1999). Er<br />
arbeitete als Praktikant im Rechtsdienst des Kantons Neuenburg, als Substitut in einer<br />
Anwaltskanzlei in Neuenburg sowie als Assistent an der Universität Neuenburg. Jürg<br />
Schneider spricht Deutsch, Französisch<strong>und</strong> Englisch. Er ist im Anwaltsregister des Kantons<br />
Zürich eingetragen.<br />
Weiterführende Puglikationen:<br />
• “Haften Manager bei Lücken in der Informationssicherheit?” (Can managers be held liable<br />
for shortcomings in information security?), in: “IT Business”, 2005.<br />
• “Internet Service Provider im Spannungsfeld zwischen Fernmeldegeheimnis <strong>und</strong><br />
Mitwirkungspflichten bei der Überwachung des E-Mail-Verkehrs über das Internet” (Internet<br />
service provider between secrecy of telecommunications and surveillance of e-mail traffic over<br />
the Internet), in: “AktuelleJuristische Praxis (AJP)”, Lachen 2005,Nr. 2.<br />
• “Rechtliche Gr<strong>und</strong>lagen der Informationssicherheit” (Legal framework of informationsecurity),<br />
in: “Information Security <strong>–</strong> Was Manager wissen müssen”, Rheinfelden2003 / 2004 [Co-Autor].<br />
• “Le capital social initial de la société àresponsabilité limitée <strong>–</strong> Etude du droit suisse en<br />
vigueur et de l’avant-projet de révision du droit de la société à responsabilité limitée d'avril<br />
1999” (The Initial Capital Stock of the Limited Liability Company), Zürich 2000.<br />
7
http://www.datenschutz-forum.ch<br />
Nächste Veranstaltung:<br />
Mittwoch, 5. April 2006, Bern<br />
16.00 GV<br />
17.00 Veranstaltung<br />
“Öffentlichkeitsgesetz”<br />
8