Ransomware-Angriffe aus Sicht des Unternehmens

00:00:02: Rosinus on Air,

00:00:05: der Criminal

00:00:06: Compliance Podcast.

00:00:12: Ich bin Volker Pietzsch bei mir ist Rechtsanwältin Miriam Steinfeld.

00:00:16: herzlich willkommen zu einer neuen Folge des criminal compliance podcast.

00:00:20: Das Thema IT-Sicherheit ist heute wichtiger als jemals zuvor.

00:00:25: Doch trotz umfangreicher Präventionsmaßnahmen kam es zwischen Juli, und Juni, bei fast tausend Unternehmen in Deutschland zu einem ransomware Angriff.

00:00:38: Welche enormen rechtlichen und tatsächlichen Risiken solche Angriffe mit sich bringen – und worauf man im Ernstfall achten muss?

00:00:46: Schauen wir uns heute an!

00:00:48: Aber fangen wir von vorne an, was ist ein ransomware Angriff?

00:00:53: Das ist eine gute Frage.

00:00:55: Danke hierfür und danke dass ich mal wieder da sein darf!

00:00:58: Ein Ransom-Angriff ist eine Form von Shardsoftware die eingesetzt wird um Daten zu verschlüsseln und die IT Systeme des Angriffsopfers zu blockieren.

00:01:12: Ransom selbst kommt aus dem Englischen und bedeutet nichts anderes als Lösegeld.

00:01:16: Daher also auch diese Angriffsform, es bedeutet nämlich das aufgrund dieser Verschlüsselung bzw.

00:01:21: Blockade-Lösegeld durch die Angreifer gefordert wird und diese Versprechenden eben als in Anführungszeichen Gegenleistungen für das Löse Geld wieder die Daten zu endschlüsseln und damit die Systeme wieder frei zu geben.

00:01:36: Damit jedoch nicht genug denn es gibt auch noch die sogenannte Double Extortion Doppelte Erpressung.

00:01:43: Die bedeutet nämlich, dass neben der Verschlüsselung der Daten – in dem Fall während die Daten ja weiterhin beim Opfer vorhanden und auch nirgendwo anders hinbewegt worden – kann auch die weitere Drohung sein, dass eben diese Daten abgezogen werden und dann mit der Veröffentlichung dieser Daten gedroht wird.

00:02:02: Also Angriff, Verschlüsselung und Abzug von Daten und dann eben die Androhung Damit nicht genug, wo es Double gibt.

00:02:12: Gibt's auch gerne Triple, also die Triple Extortion.

00:02:16: Das ist dann eben die weitere Angriffsmöglichkeit, wo dann eben auch auf Kunden oder Partner dieses betroffenen Unternehmens herangetreten wird und auch diese erpresst werden mit der Veröffentlichung oder Verschlüsselung der Daten.

00:02:30: das ist natürlich eine wahnsinnig schwierige Situation für das Unternehmen.

00:02:35: Das löst einen wahnsinnigen wirtschaftlichen Druck aus, weil ja eben ein Weiterarbeiten in der Regel so nicht möglich ist zumindest aber die Verschlüsselten Daten nicht zur Verfügung stehen.

00:02:46: erst einmal und natürlich auch eine erhebliche psychologische Druck.

00:02:50: Das kann je nach Unternehmen sein dass die Befürchtung im Raum steht, dass eine erhäbliche negative Presse sich entfalten könnte.

00:02:58: Wenn es sensible vor allen Dingen Dienstleistungsbereiche sind, möchte man natürlich nach Möglichkeit vermeiden, dass die Kunden hier von etwas erfahren.

00:03:07: Also wie man sieht ist das wirklich ein umfangreicher und erheblicher Druck der ja ausgeübt wird auf das Betroffenen-Unternehmen.

00:03:15: Wie ist ein ransomware Angriff strafrechtlich zu bewerten?

00:03:20: In strafrechlicher Hinsicht müssen wir jetzt zwei Aspekte unterscheiden.

00:03:23: Zum einen haben wir die Handlung.

00:03:27: Das ist relativ unkritisch und jetzt auch nicht besonders kompliziert, diese strafrechtlich zu bewerten.

00:03:34: Die Lösegeldforderung als solche stellt in der Regel eine Erpressung da nach zweieinhalbundfünfzig SDGB.

00:03:41: Diese Verschlüsselung der Daten stellt genauso regelmäßig eine Datenveränderung nach Paragraph dreihundertdrei A-SDGB dar.

00:03:49: Und natürlich auch das Abziehen beziehungsweise die Einsichtnahme der Daten kann dann eben auch ein unbefugtes Ausspielen und Abfang von Daten nach §.

00:04:01: Schwierige dagegen ist die Einordnung der Lösegelzahlung durch das betroffene Unternehmen beziehungsweise durch die Opfer.

00:04:08: Hier hängt es sehr stark von den Begleitumständen der Zahlungen ab, ob hier strafrechtliche Konsequenzen drohen bzw.

00:04:15: ob überhaupt ein strafrechlich relevantes Verhalten vorliegt.

00:04:19: Dabei ist unglaublich wichtig dass man sowohl die Norm des Kerns als auch des Nebenstrafrechts in einer Zusammenschau betrachtet.

00:04:27: Bedeutet das, dass die Zahlung von Lösegeld strafrechtliche Konsequenzen für das Betroffene-Unternehmen und seine Mitarbeiter hat?

00:04:36: Naja also wenn Geld an solche Hackergruppen bezahlt werden dann kann das vor allen Dingen eine Unterstützung einer kriminellen Vereinigung nach Prag auf hundertundzwanzig Absatz eins Satz zwei Alternative Eins SDGB darstellen.

00:04:52: Das wäre jetzt hier schon das zentrale Risiko.

00:04:56: Es ist aber nicht das Einzige, es gibt nämlich auch noch weitere Gefahren.

00:05:00: Die weiteren Straftaten die hier jetzt im Raume stehen könnten wäre eine mögliche Strafbarkeit wegen Geldwäsche nach Paragraph twohundertsechzig SDGB.

00:05:07: Die ist natürlich besonders hoch wenn dann auch noch Zahlung mit Kryptowährungsstand finden.

00:05:12: Im Raume steht auch oftmals die Strafbarkeit wegen einer Untreue nach zuhauseinheitsechzig STGB, wenn eben Firmengelder dafür eingesetzt werden diese Lösegeldzahlung zu tätigen ohne dass die Umstände das Einzelfall ausreichend beleuchtet geprüft und dokumentiert werden.

00:05:32: Weiterhin haben wir noch das Risiko der Terrorismusfinanzierung nach Paragraph neunundachtzigzehn STGB.

00:05:38: dies natürlich nur wenn die Hackergruppe einen entsprechenden Hintergrund hat.

00:05:42: Und zu guter Letzt kommen auch Sanktionslistenverstöße im Betracht, denn diverse dieser Hackergruppen stehen auf den verschiedenen Sanktsionslists.

00:05:51: Das heißt hier besteht ein weiteres strafrechtliches oder auch Ordnungswidrigkeitenrechtliches Risikopotenzial für die handelnden Personen des geschädigten Unternehmens und natürlich die Möglichkeit einer Geldbuße gegen das Unternehmen selbst nach dem Paragrafen.

00:06:08: Wichtig ist, eine pauschale Betrachtung oder eine pauchale Beantwortung der strafrechtlichen Folgen ist nicht möglich.

00:06:16: Es muss stets im Einzelfall geprüft werden wie diese Begleitumstände der Zahlungen von Lösegeld sind um beantworten zu können ob und ob nicht hier tatsächlich ein strafrechliches Risiko

00:06:26: besteht.

00:06:27: Du hast gerade die kriminelle Vereinigung erwähnt – ein Thema das Deutschland in den letzten Jahren immer wieder beschäftigt hat.

00:06:34: Wann liegt eine kriminelle Vereinigung vor?

00:06:36: Die

00:06:36: Kriminellen Vereinigungen ist im Paragraf hundertneinzwanzig Absatz zwei SDG legal definiert.

00:06:42: Das bedeutet, dass der Gesetzgeber hat gesagt Eine Vereinigung ist einer auf längere Dauer angelegter von Festlegung von Rollen der Mitglieder und der Kontinuität der Mitgliedschaft und der Ausprägung der Struktur unabhängiger organisierter Zusammenschluss von mehr als zwei Personen zur Verfolgung eines übergeordneten gemeinsamen Interesses.

00:07:02: Ein ganz wesentlicher Aspekt ist hier, dass sehr viele dieser Merkmale mit dem der Bande übereinstimmen.

00:07:09: Insbesondere ein Aspekt es jedoch anders und zwar ist das die Forderung des gemeinsamen Interesses.

00:07:15: Das ist das Hauptabgrenzungskriterium zur Bande.

00:07:18: Und gefordert wird hier auch mehr als nur das Individualinteresse also mehr als das Interesse des einzelnen Beteiligten daran seinen Anteil an der Beute zu erhalten oder ähnliches.

00:07:29: Bei religiösen oder weltanschaulichen Gruppen ist das relativ einfach zu bejahen.

00:07:35: Das wäre dann hier im Fall unserer Hackergruppen wahrscheinlich auch der Fall bei staatlichen Hacker-Gruppen, auch diese haben in der Regel ein übergeordnetes gemeinsames Interesse.

00:07:45: Anders oder schwieriger sieht es aus bei reiner Gewinnerzielungsabsicht.

00:07:49: Hier ist dann eine Gesamtwürdigung vorzunehmen.

00:07:53: Dabei ist wichtig, dass eben eine allgemeine Struktur besteht und aufrechterhalten wird die losgelöstes von der einzelnen Begehung von Taten.

00:08:02: Das ist aber etwas was natürlich für das Opfer eines Hackerangriffes in der Regel nur sehr schwer zu beurteilen sein würde ob oder ob nicht diese Kriterien entsprechend vorlegen.

00:08:14: Wichtig es noch hat die kriminelle Vereinigung liegt nur dann vor wenn der Zweck oder die Tätigkeit der Vereinigung eben die Begehungen von Straftaten und Straftaten mit anderen Worten, es müsste schon mehr als eine sein.

00:08:29: Auch wenn wir jetzt nicht immer wissen ob ein gemeinsames Interesse vorliegt sollte doch aus Sicherheitsgründen stets angenommen werden das bei organisierten Hackergruppen in der Regel eine kriminelle Vereinigung im Sinne des hundertundzwanzig Absatz zwei STGB vorlegt.

00:08:44: Auch wichtig, es wird keinen Unterschied gemacht ob sich die Vereinigung im Inland oder im Ausland befindet.

00:08:49: Denn nach Paragrafhundertundzwanzig B Absatz eins Satz Eins STGB findet eine Gleichstellung dieser beiden Gruppen statt.

00:08:57: Der Lösegeldzahlende muss eine solche kriminelle Vereinigung auch unterstützen.

00:09:02: Was sind dafür die Voraussetzungen?

00:09:05: Unterstützen ist im Sinne des Paragrafen hundertundzwanzig Absatz eins Satz zwei Alternative eines STGB, weit zu verstehen.

00:09:14: Das heißt hier kann jegliche Förderung die der Vereinigung nützt oder ihre kriminellen Absichten bestärkt als eine solche Unterstützung verstanden werden.

00:09:25: Selbstverständlich gehören damit dann auch finanzielle Zuwendungen als ganz klassische Form der Unterstützung mit dazu Gleichgültig wie die konkrete Verwendung des Geldes für einzelne Straftaten durch die Vereinigung vorgenommen wird.

00:09:41: Deswegen eben auch die aktuell juristische Diskussion darüber, ob also Lösegeld eine finanzielle Zuwendung im Sinne einer Unterstützungshandlung nach § Paragraf hundertundzwanzig SDGB ist ein abstraktes Gefährdungsdelikt.

00:10:01: Daher sollte auch hier zur Sicherheit von einer großen Reichweite des Tatbestands ausgegangen werden und eben eine Einschläglichkeit angenommen

00:10:09: werden.".

00:10:11: Nun gibt es im Strafrecht nicht nur den Objektiven, sondern auch den subjektiven Tatbestand!

00:10:16: Die Opfer eines ransomware-Angriffs wollen die Täter aber ja eigentlich nicht unterstützen.

00:10:21: Sprich das nicht gegen ein vorsätzliches Handeln?

00:10:24: Tatsächlich, in der Regel werden die Opfer will kaum die Hacker unterstützen wollen.

00:10:30: Deswegen wird man wohl annehmen können dass der direkte Vorsatz hinsichtlich des Volens zur Unterstützung einer kriminellen Vereinigung nicht vorliegen wird.

00:10:39: Die Opfer wollen ja schließlich ihre verschlüsselten Daten befreien und nicht eine kriminelle Vereinigung unterstützen.

00:10:46: Ob ein Wissenselement vorliegt ist dann regelmäßig fraglich.

00:10:50: Deswegen hat die größte Relevanz der Eventualvorsatz, also Dolos Eventualis in dieser Konstellation.

00:10:57: Warum?

00:10:59: Es wird wohl regelmäßig so sein dass das Opfer billigend im Kauf nimmt, dass durch die Lösegeldzahlung die Hackergruppe als Empfänger eine kriminelle Vereinigung sein könnte oder aber zumindest diese Zahlung dort dienlich sein wird.

00:11:17: Dafür ist dann auch ausreichend, wenn eine grobe Grundkenntnis über die Grundzüge der Hacker-Organisation im konkreten bzw.

00:11:25: auch im Allgemeinen vorliegt.

00:11:27: Hier gegen zu argumentieren wird vor allen Dingen dann schwer, wenn die konkrete Hackergruppe medial sehr bekannt ist, sehr professionell auftritt.

00:11:37: öffentliche Bekennungsschreiben vorliegen Warnungen von Bundesbehörden oder Polizeibehördien hier zu vorliegen, wird man wohl kaum sagen können dass keine Kenntnis über die kriminelle Struktur mit anderen Worten also die Eigenschaft als kriminelle Vereinigung vorliegt.

00:11:55: Anders kann das sein, wenn es eine Vorkommeneuerheckergruppe ist die auftritt.

00:12:00: dass man hier also argumentieren kann, dass keine Kenntnis vorliegen kann oder auch Konto darüber ob es sich tatsächlich um eine kriminelle Vereinigung handelt.

00:12:09: Das ist der eine Element des Vorsatzes das hier notwendig ist also das Wissen oder wollen um die kriminelle Vereinigung.

00:12:15: Das andere Element bezieht sich auf die Unterstützung als solche.

00:12:19: Hier ist es natürlich problematisch auch wieder unter Berücksichtigung des Dolos Eventuales, dass ja eben nicht die Unterstützung gewollt sein muss.

00:12:28: Auch hier reicht der Dolos eventuell alles aus also die Möglichkeit das die Förderung oder Bestärkung künftiger Angriffe für möglich gehalten wird.

00:12:38: Auch das wird man nur ganz schwer weg argumentiert bekommen.

00:12:42: Und ändert die Zwangslage des Unternehmens etwas an der strafrechtlichen Situation?

00:12:46: Ja, natürlich.

00:12:47: Eine Zwangslage wenn dann eine solche tatsächlich vorliegt kann einen Unterschied machen.

00:12:53: hier wäre also an die eine mögliche Rechtfertigung durch den Nordstand nach Paragraph thirty SDGB zu denken.

00:13:00: Die Anwendbarkeit dieser Norm ist tatsächlich in der juristischen Diskussion umstritten da es ja eigentlich um einen klassischen Nötigungsnotstand geht und daher wirklich ganz besonders vorsichtig und sorgfältig abgewogen werden muss, ob im Einzelfall es sich hierbei rechtlich tatsächlich um eine solche Situation handelt oder nicht.

00:13:23: Deswegen ist das wirklich wichtig dass man sich vor einer Lösegeldzahlung diese Gedanken macht und eben auch die rechtliche Prüfungen vornimmt.

00:13:33: Das war jetzt viel Theorie, aber wir wollen uns natürlich auch dem Ransomware-Angriff aus der praktischen Perspektive zuwenden.

00:13:41: Was sind die ersten Schritte, die ein Unternehmen bei einem Ransomeware Angriff durchführen sollte?

00:13:46: Als Allererstes und mit als allerwichtigstes ist einfach erstmal einen Moment, innen zu halten nicht direkt loszurennen, nicht der Panik des Steuer zu überlassen.

00:13:59: Sollte also sich zunächst gefragt werden wer es informieren Wer muss mit einbezogen werden, wer es an Bord zu holen?

00:14:06: Gibt das also zum Beispiel einen Krisenstab oder externe Berater die hier hinzugeholt werden können.

00:14:12: Im Optimalfall gibt es einen solchen Notfallplan.

00:14:16: Es gibt dann schon Kommunikationsketten auf die zurückgegriffen werden kann was natürlich wahnsinnig viel Zeit Stress und Reibungsverluste spart.

00:14:26: Dann, wenn ich mein Stab habe kann ich damit anfangen eine detaillierte Bestandsaufnahme zu machen um zu verstehen wie groß ist der Angriff.

00:14:33: Welche Systeme sind alle betroffen?

00:14:35: Welche Schäden stehen im Raum oder welche Gefahren sind noch da?

00:14:39: Welchen Gefahren könnten sich potenziell noch verwirklichen?

00:14:42: sollte also klar sein was es passiert wer es betroffen und was es zu tun Und auf dieser Grundlage sollte dann ein vordefinierter Notfallplan mit den Maßnahmen umgesetzt werden, ansonsten sollten die Notfallmaßnahmen entsprechend abgestimmt werden.

00:14:59: Was für Notfallmassnahmen sollte man im Kopf haben?

00:15:01: Ganz klar zu ersten Notfall-Maßnahmen gehört ob eine sofortige Isolation der betroffenen Systeme um eben eine weitere Ausbreitung zu unterbinden möglich und erforderlich ist.

00:15:12: gegebenfalls sind Netzwerk oder Systeme abzuschalten, um eben eine Schadenseingrenzung vorzunehmen.

00:15:18: Weiterhin ist zu prüfen ob es Meldepflichten gibt und was die Fristen hierzu sind zum Beispiel DSGVO NIS II.

00:15:27: weiter wichtig auch wieder hier kein blinder Aktionismus.

00:15:31: zunächst immer erst mit den relevanten Personen abstimmen.

00:15:34: relevante Person bedeutet sich vorher die Gedanken zu machen abzustimmen und so gucken wer denn alles einzubeziehen ist damit wirklich wie oben die fristen überhaupt als solche, als relevant und einschlägige Fristen erkannt und dann eingehalten werden können.

00:15:50: Genau so wichtig ist alle Maßnahmen die ergriffen werden sowie die Entscheidung hierfür oder dagegen sind zu dokumentieren.

00:15:59: Genauso wichtig ist wenn die richtigen die ordentliche Berichtswege eingehalten werde sich die entsprechenden Zustimmung geholt werden Die relevante Entscheidungsträger mit einbezogen werden alles ordentlich dokumentiert wird wird hier durch im Nachhinein ein ganz erhebliches Haftungsrisiko reduziert.

00:16:20: Welchen Fehler sollte man unmittelbar nach dem Angriff unbedingt vermeiden?

00:16:25: Also eigentlich ist der größte Fehler nicht unmittelbernach dem Angriff, sondern irgendwann davor.

00:16:31: Denn der größten Fehler in diesem Kontext ist häufig die folgende Vorbereitung für den Ernstfall.

00:16:37: Fehlt diese Vorbereitung geht damit in der Regel ein sehr hoher Zeitverlust durch unklare Zuständigkeiten, fehlender Handlungspläne.

00:16:46: So'n bisschen panischer Wir war... Das geht damit halt in der Regel ein Herr und anders herum.

00:16:53: wird dadurch vermieden dass man sich eben im Vorhinein Gedanken dazu gemacht hat Im übrigen Schafft man das dadurch auch regelmäßig Fehlentscheidungen, die aufgrund von unkontrollierten Panikreaktionen entstehen zu vermeiden?

00:17:08: Genau so ist ein weiterer Fehler.

00:17:10: Ein überaltes Stoppen von unbetroffenen Geschäftsprozessen.

00:17:13: habe ich mir vorher Gedanken dazu gemacht wie in einem solchen Fall umzugehen ist?

00:17:17: weiß ich welche Schrauben ich drehen muss, welche Prozesse ich stoppen muss und welche weiterlaufen können.

00:17:26: Idealerweise habe ich dann auch eine entsprechende Backup-Strategie.

00:17:28: mit anderen Worten haben mir Gedanken darüber gemacht wie ich Prozisse schnell wieder nach einem möglichen Stopp ins Laufen bekomme.

00:17:37: Genauso sehen wir oft im Ernstfall dass sich in dieser Krisensituation parallele unkoordinierte Kommunikationsstränge aufbauen, die dann zum einen die Gefahr bergen, dass Entscheidungsträger auf der Basis eines unvollständigen fragmentierten Lagerbildes ihre Entscheidung treffen müssen.

00:17:59: oder aber das der Krisenstab, der dann ad hoc eingesetzt wurde.

00:18:04: Aufgrund von Alleingängen, die gar nicht mal böse gemeint sein müssen sondern einfach nur Infolge einer Unkenntnis der Existenz dieser Krisenstäbe oder deren Autorität untergraben und damit auch die Wirksamkeit ihrer Entscheidungen kontakarieren.

00:18:20: Worauf ist denn in der Zeit nach dem Angriff zu achten?

00:18:23: Also ich würde sagen... Auch wenn natürlich nach so einem Angriff es an allen Ecken brennt, ist die Nachholung eines solchen Krisenplans wesentlich.

00:18:32: Denn bloß weil gerade ein Angriff gewesen ist heißt das nicht dass man dann jetzt erstmal Ruhe hat sondern der nächste kann schon in den nächsten Wochen auf einwarten.

00:18:40: Wichtig genauso ganzheitliche Ursachenforschung, mit anderen Worten nicht nur eine reine Symptombekämpfung vornehmen oder vereinzelt Detail-Fragen klären sondern wirklich einfach mal aufs große Ganze gucken.

00:18:53: Genauso wenig sollte sich ausschließlich auf externe Täter fixiert werden.

00:18:57: der Blick nach innen lohnt es sich auch und eben damit einhergehen auch systematische Prüfungen interner Ursachen wie eben Gabelstrukturen die den Angriff ermöglicht haben oder begünstigt haben oder gibt es vielleicht sogar einen Intete?

00:19:13: Hat man diese ganzheitliche Ursachenforschung betrieben, werden sich in der Regel auch Erkenntnisse daraus ableiten lassen die zu einer Überarbeitung des Compliance Management Systems oder auch der bisherigen Compliance Strukturen führen können.

00:19:28: Wie umfassend diese Überarbeitungen dann ist zeigt der Einzelfall.

00:19:33: Gleichzeitig ist klar, nur wenn ich diese ganzheitliche Ursachenforschung betrieben habe kann ich überhaupt diese Erkenntnisse haben die ich dann in vielfacher Hinsicht einsetzen kann.

00:19:43: Wurden aufgrund dieser Ursachenforschungen Lücken identifiziert sind diese professionell und möglichst nachhaltig zu schließen.

00:19:52: das kann eine technische und eine strukturelle Lösung sein.

00:19:57: Regelmäßig werden diese Hand in Hand gehen, weiterhin das auch abzuwägen eine Strafanzeige zu erstatten.

00:20:03: Diese Frage hängt von verschiedenen Faktoren ab und kann jetzt nicht abschließend beurteilt werden.

00:20:08: Gibt es abschließlich noch etwas was du zu dem Thema gerne sagen möchtest?

00:20:12: Wie sich vielleicht aus meinen vorherigen Antworten gezeigt hat halte ich Prävention als beste Investition um im Krisenfall gut dazustehen.

00:20:22: Natürlich, das ist an vielen Stellen der Fall und alle wollen präventive Maßnahmen ergreifen.

00:20:28: Insofern gilt es immer abzuwägen aber zumindest ich mal darüber klar zu werden wer in einem solchen Krisenstab mit drin setzen sollte wer wann wie zu informieren ist.

00:20:39: Das erfordert jetzt kein Riesenprojekt um das umzusetzen hat aber wirklich eine wahnsinnige Wirkung im fall Der Fellow und hilft enorm.

00:20:51: Das wäre jetzt so das, was das Unternehmen tun kann.

00:20:54: Ansonsten wäre auf gesetzgeberischer oder politischer Ebene mein Wunsch ganz klar dass die Situation der Opferunternehmen besser und klarer geregelt wird.

00:21:08: diese befinden sich in einer unglaublich schwierigen Situation.

00:21:12: Sie wissen nicht, wie sie mit den Hackern umgehen sollen.

00:21:15: Sie wissen noch, wie sich wieder in ihre Daten kommen sollen.

00:21:19: Wie sie ihren Geschäftsbetrieb aufrecht erhalten sollen und ob sie sich auch am Ende nicht strafbar machen.

00:21:25: Das ist eine Situation, die so nicht sein muss und die der Gesetzgeber lösen könnte indem er hier eingreift oder aber im Zweifelsfall im Rahmen von Urteilen eigentlich Klarheit geschaffen wird.

00:21:40: Ein weiterer Aspekt ist, der auch zur Prävention gehört, wäre die Stärkung auch in gesetzgeberischer Hinsicht des Ethical Hacking.

00:21:50: Warum?

00:21:51: Irgendwie muss ja die Schadsoftware implementiert werden und oft genug schafft sie es eben durch IT-Sicherheitslücken.

00:21:58: Diese IT Sicherheitslückung zu testen ist ein Teil des ethical hackings.

00:22:03: Damit das Potenzial von ethical hacking genutzt werden kann, braucht es jedoch eine Verbesserung der rechtlichen Situation Insbesondere im Hinblick auf die Strafbarkeit bei Ethical Hacking in Deutschland.

00:22:16: Wer mehr zu diesem Thema erfahren möchte, kann gerne unsere Folge zum Ethicalhacking mit Dr.

00:22:21: Matthias Zizek rein hören.

00:22:23: Den Link zu der Folge finden Sie in den Shownotes.

00:22:26: Danke für das Gespräch!

00:22:27: Danke auch an Sie liebe Hörerinnen und Hörern.

00:22:29: Und wenn sie Fragen oder Anmerkungen haben melden Sie sich wie immer jederzeit gerne unter infoetrosinos-onminusair kommen.

00:22:37: Bis zum nächsten Mal.

00:22:39: Der Podcast stellt lediglich einen allgemeinen Überblick über rechtliche Themen dar und ersetzt selbstverständlich keine Rechtsberatung zu konkreten Fragestellungen im Einzelfall.