Bereits eingangs unterstrich Bianca Lins (Universität Liechtenstein), die die Teilnehmenden als Moderatorin und Referentin durch den Nachmittag begleitete, die Bedeutung rechtlicher Fragestellungen im Bereich der Cyber-Sicherheit. Gerade die Finanzbranche werde stark von der Digitalisierung und neuen technischen Entwicklungen bestimmt und angetrieben. Dabei seien es längst nicht mehr nur die technischen Sicherheitsfragen, sondern vor allem auch die zahlreichen rechtlichen Vorgaben für die IT-Sicherheit, die Unternehmen vor grosse Herausforderungen stelle. Die rasanten technologischen Entwicklungen eröffneten auch vielseitige Missbrauchsmöglichkeiten, mit denen umfangreiche rechtliche Fragestellungen einhergingen. Einen Einblick in die anwaltliche Beratungspraxis gab Thomas Kahl (Taylor Wessing, Frankfurt/M.), der als Fachanwalt für Informationstechnologierecht wöchentlich im Schnitt mit 2-3 Anfragen von durch Cyber-Attacken oder Datenleaks betroffenen Unternehmen konfrontiert ist. Er wies auf spannende, rechtliche Fragestellungen hin, etwa im Zusammenhang mit den nach dem neuen DSGVO-Regime bestehenden Meldepflichten bei Data-Breaches und den diesen diametralen, aus dem Selbstbelastungsverbot abzuleitenden, Beweisverboten.
Grundlegende Achtsamkeit gefordert
«Daten sind das neue Gold», so setze Bianca Lins fort, «weshalb IT-Sicherheit weiter in den (regulatorischen) Fokus rücken muss». Dementsprechend umfassend gestalten sich die regulatorischen Entwicklungen auf europäischer Ebene. Im Fokus standen dabei insbesondere der Richtlinienentwurf zur Bekämpfung von Betrug und Fälschung in Zusammenhang mit unbaren Zahlungsmitteln sowie das EU-Cybersecurity-Paket.
Auch die Finanzmarktaufsicht Liechtenstein, deren Aufsichtsschwerpunkte 2019 unter anderem auf Cyber-Risiken und FinTech liegen werden, war mit Patrick Bont vertreten. Er trug zum Thema «Management von Cyber-Risiken im Finanzsektor» vor und beleuchtete unter anderem die von der Finanzmarktaufsicht als Mindeststandard ausgegebene Mitteilung 2018/3.
Als weitere Behördenvertreterin referierte Anna Adam vom Amt für Kommunikation über einen zentralen europäischen Rechtsakt in Bezug auf Cyber-Sicherheit, die NIS-Richtlinie, mit der ein hoher gemeinsamer Standard zur Netz- und Informationssicherheit gewährleistet werden soll.
In aller Munde war und ist in diesem Jahr die neue DSGVO, die selbstredend ebenso technische Anpassungen im Hinblick auf die Ausgestaltung von Datenbanksystemen mit sich brachte. Nicolas Raschauer (Universität Liechtenstein) widmete sich zum Thema der «Datenschutz-Compliance» unter anderem der Frage, woran ein «angemessenes» Schutzniveau zu messen sei und welche «technisch organisatorischen Massnahmen (TOMs)» im Zuge der DSGVO-Umsetzung zu treffen sind.
Trotz dieser umfassenden technischen Sicherheitsmassnahmen bliebe die grösste Sicherheitslücke mit der «Schwachstelle Mensch» bestehen. Jochen Oberhauser, als Vertreter des Veranstaltungspartners ACP IT Solution, beleuchtete, dass es grundlegender Awareness bedürfe. Die von ihm vorgestellten Beispiele («der vergessene USB-Stick») legten den Finger auf zahlreiche blinde Flecken im Bereich der IT-Sicherheit und unterstrichen die praktische Relevanz des Themas, zeigten aber auch, dass ein erster Schritt in der notwendigen Sensibilisierung von Unternehmen und deren Mitarbeitern zwingend erforderlich ist.
Die dunkle Seite des Internets
Ein besonderes Highlight war der Vortrag von Thorsten Höhnke (Fujitsu), der den Schleier über den Möglichkeiten und Unmöglichkeiten von Cyberangriffen lüftete. Unter seiner Anleitung ermöglichte er den Tagungsteilnehmern einen Blick auf die «dunkle Seite» des Internets (Darknet) zu werfen. Er veranschaulichte auf der Bühne, wie einfach es sein könne, sich einen Zugriff auf Kreditkartendaten zu verschaffen. Schliesslich wurden die Dimensionen möglicher Cyber-Attacken ersichtlich, da selbst kritische Infrastruktureinrichtungen mit dem entsprechenden Know-how und genügend krimineller Energie Zugriffen zum Opfer fallen könnten. Passend dazu wurden zum Abschluss von Wolfgang Wessely (Universität Wien) die strafrechtlichen Komponenten solcher Zugriffe dargelegt.
Deutlich wurde, dass es zur Schaffung einer umfassenden Cyber-Sicherheit eines Miteinanders aus technischen Abwehrmassnahmen, geeigneter rechtlicher Rahmenbedingungen und einer entsprechenden Sensibilität bei den Endnutzern bedarf. Trotz alledem ist der Befund ernüchternd, denn ein lückenloser Schutz wird auch bei Einhaltung sämtlicher Präventionsmassnahmen wohl nie zu erreichen sein.