Wat is de aansprakelijkheidssituatie op het gebied van IT-beveiliging, met name voor het management (directeuren en leden van de raad van bestuur), in Duitsland? In mijn lezing over aansprakelijkheid voor inbreuken op de IT-beveiliging, toegesneden op het management en leden van de raad van bestuur, zal ik ingaan op de relevante omstandigheden: Na een presentatie van algemene aansprakelijkheidskwesties, zullen specifieke aansprakelijkheidskwesties voor werknemers & directieleden worden belicht, en tot slot, heel kort, zullen manieren om aansprakelijkheid te beperken worden gepresenteerd – tot aan de vraag of het geen reden voor aansprakelijkheid is als een bedrijf geen Bitcoin koopt als voorzorgsmaatregel. Hieronder presenteer ik essentiële delen van de lezing over de aansprakelijkheid van de raad van bestuur in geval van inbreuken op de IT-beveiliging.
IT-veiligheid is het kernthema van de moderne informatietechnologie en staat steeds meer in het middelpunt van de politieke ontwikkelingen – toch ontbreekt het nog steeds aan een gedifferentieerde, bindende reeks regels; hoewel er specificaties zijn op EU-niveau en initiële wettelijke regels op nationaal niveau. Op het gebied van oorspronkelijke problemen, vooral bij de ontwikkeling en het gebruik van software of de aansprakelijkheid van de raad van bestuur van een bedrijf, ontstaan echter onmiddellijk onduidelijke aansprakelijkheidssituaties. In de juridische praktijk lijkt IT-beveiliging als zodanig te verdorren en neer te komen op de praktische toepassing van deelgebieden van de GDPR – maar in feite zijn er onmiddellijk aansprakelijkheidsscenario’s.
Aansprakelijkheid & IT-beveiliging voor software
Er bestaat momenteel geen echt eigen aansprakelijkheidsrecht op het gebied van IT-beveiliging. Dit betekent dat de bestaande rechtsgrondslagen, waarvan sommige al tientallen jaren bestaan, samen met de bijbehorende jurisprudentie, moeten worden toegepast op aansprakelijkheidskwesties op het gebied van IT-beveiliging en dienovereenkomstig moeten worden toegepast.
Benadrukt moet worden dat er wel degelijk een IT-beveiligingswet is, die ook gepaard gaat met veel media-aandacht. Deze wet is echter geen op zichzelf staande wet, maar eerder een zogenaamde “artikelwet” waarmee al bestaande regelgeving stap voor stap is aangepast. De inspanningen van de wetgever waren tot nu toe minder gericht op feitelijke aansprakelijkheid en meer op ondersteuning bij het omgaan met beveiligingskwetsbaarheden en het creëren van bevoegdheden voor autoriteiten.
Als aansprakelijkheid een rol speelt bij IT-beveiligingskwesties, betekent dit dat men zich kan concentreren op een paar juridische gebieden, die hieronder zullen worden gepresenteerd, voordat een aantal spannende kwesties bij wijze van voorbeeld worden behandeld:
- Contractuele overeenkomsten
- Wettelijke verplichtingen
- Wet bescherming persoonsgegevens
- Productaansprakelijkheidsrecht
Contractuele overeenkomsten
Terwijl contractuele overeenkomsten op het gebied van IT-beveiliging vrijwel onder een “blauwe hemel” plaatsvonden en overwegend werden gekenmerkt door de traditionele controle van algemene voorwaarden, komt vanaf 1 januari 2022 de eerste serieuze regelgeving naar voren via de nieuw gecreëerde “contracten voor digitale producten”, die in principe alleen van toepassing zijn op contractuele relaties voor consumenten. Zoals echter blijkt uit het voorbeeld van slimme apparaten, werd het verkooprecht in het algemeen vanaf 2022 zodanig aangepast dat een gebrek aan beveiliging een wezenlijk gebrek vormt in alle verkoopovereenkomsten.
Wettelijke verplichtingen
In het geval van wettelijke verplichtingen moet de nadruk blijven liggen op de kwesties van aansprakelijkheid voor onrechtmatige daad volgens § 823 van het Duitse Burgerlijk Wetboek (BGB), aangezien zich hier momenteel de grootste problemen voordoen: deze norm biedt een tweeledige bescherming; aan de ene kant beschermt het eerste lid de zogenaamde absolute wettelijke belangen, die in het bijzonder leven, lichaam, gezondheid en vrijheid omvatten, maar ook eigendom.
Daarnaast is er een vordering tot schadevergoeding (lid 2) als een wet wordt overtreden die uitdrukkelijk is bedoeld om een andere persoon te beschermen. Voor een beter begrip is het essentieel om te weten dat de aansprakelijkheidsnorm niet alleen opzettelijk gedrag beschrijft – maar ook nalatig gedrag, waaronder ook slechts lichte nalatigheid valt. Dit betekent dat zonder een aparte aanvullende contractuele overeenkomst, elk wangedrag, zelfs licht nalatig, kan leiden tot aansprakelijkheid.
Het is ook belangrijk om op te merken dat nalatig wangedrag niet alleen bestaat uit actief gedrag, d.w.z. het opzettelijk negeren van de zorgplicht, maar ook het gevolg kan zijn van nalatigheid, d.w.z. het negeren van gespecificeerde of verwachte zorgplichten, waarbij de andere – bij wijze van voorbeeld op te sommen – regelingen relevant worden voor de vraag of aan alle zorgplichten is voldaan. In deze context zijn de algemene IT-beveiligingsplichten waarschijnlijk van bijzonder belang in het kader van de zorgplicht, die tot op heden is onderschat.
In deze context heeft een schending van de normen van het strafrecht, bijvoorbeeld in het geval van nalatig lichamelijk letsel of zelfs doodslag, zoals onlangs gebeurde in het geval van de succesvolle hackeraanval op een universiteit (Düsseldorf) inclusief het academisch ziekenhuis, een grote betekenis. Dit voorbeeld, dat verder uitgewerkt moet worden, illustreert ook op tragische wijze hoe niet alleen aanvallers maar ook slachtoffers van een “cyberaanval” in het vizier van het strafrecht kunnen komen: Want wie een “cyberaanval” überhaupt mogelijk maakt door de gangbare veiligheidsnormen te negeren, handelt niet alleen civielrechtelijk nalatig, maar ook strafrechtelijk. Dat dit niet noodzakelijkerwijs hoeft te leiden tot strafrechtelijke aansprakelijkheid, maar er wel toe kan leiden, zal worden toegelicht in een voorbeeldbeschouwing.
Regelgeving gegevensbescherming
Wat betreft de regelgeving voor gegevensbescherming is de GDPR natuurlijk de eerste die moet worden genoemd. Artikel 82 van de GDPR is de directe rechtsgrondslag voor het verkrijgen van immateriële schadevergoeding in geval van schending van de gegevensbeschermingsbeginselen, waarbij artikel 25 van de GDPR ook een rol speelt, dat voorziet in gegevensbescherming door middel van technologieontwerp en gegevensbeschermingsvriendelijke standaardinstellingen. Zoals te zien is, is dit eerder een “tandeloze tijger”, die echter een serieuze rol kan spelen in de kwestie van nalatig gedrag.
In deze context moeten ook de speciale verplichtingen voor aanbieders van telemedia worden gepresenteerd, die voorheen waren geregeld in § 13 lid 7 TMG en nu in dezelfde bewoordingen zijn overgenomen in § 19 lid 4 TTDSG. De norm voor nalatigheid zal hier nauwkeurig moeten worden onderzocht, wat kan leiden tot aansprakelijkheidsproblemen bij raden van bestuur.
Productaansprakelijkheidsrecht
Op het gebied van de productaansprakelijkheidswetgeving moet de huidige stand van het geschil over de dekking van software, die een nogal arbitrair onderscheid maakt tussen software op fysieke gegevensdragers en digitaal gedistribueerde software, heel kort worden gepresenteerd. Dit aspect moet in de eerste plaats worden behandeld met betrekking tot de EU-wetgeving inzake productaansprakelijkheid die moet worden hervormd. Volgens deze analyse zal dit leiden tot een verscherping van de problemen met software; bedrijven die software ontwikkelen of distribueren moeten in een vroeg stadium hun eigen aansprakelijkheid regelen. Aanvallen in de toeleveringsketen en aanvallen van dienstverleners zoals Solarwinds zullen in de toekomst ook leiden tot ernstige aansprakelijkheidsproblemen.
Aansprakelijkheid van degenen die verantwoordelijk zijn voor open source software
Ben je aansprakelijk als verantwoordelijke dienstverlener alleen omdat je open source software gebruikt? Zeker niet, zoals ik al duidelijk maakte met Log4J! Het feit dat opensource software vaak op vrijwillige basis wordt onderhouden en er tegelijkertijd steeds meer gebruik van wordt gemaakt is ook geen verhoogd veiligheidsrisico; de vrij toegankelijke broncode, die op elk moment kan worden gecontroleerd, zou zo’n “min” altijd moeten compenseren. Echter, de verantwoordelijken hebben, afhankelijk van hun eigen rol, hun eigen verplichtingen. Bijvoorbeeld, degenen die software ontwikkelen en open source software gebruiken moeten vertrouwen op standaard tools zoals OSS-Fuzz of Sonarqube, de eerste was ook gericht op Log4J. In dit verband moet eraan worden herinnerd dat sinds 1.1.22 de veiligheid in het algemeen het criterium is geworden voor het vrij zijn van gebreken (in het verkooprecht), waardoor de verplichtingen weer toenemen.
In het algemeen geldt het volgende: In principe kan er sprake zijn van aansprakelijkheid, ook als men niet verantwoordelijk is voor het beveiligingslek maar “slechts” gebruik maakt van de software. Afhankelijk van de eigen rol nemen de eigen verplichtingen toe, maar men zal altijd in ieder geval een verplichting hebben om te observeren en te updaten. De verplichting om bij te werken in zakelijke transacties ontstaat, volgens zowel het oude als het nieuwe recht, als een contractuele secundaire verplichting in het geval van zo’n ernstig hiaat – tegenover consumenten is het sinds 1.1.22 zelfs gecodificeerd als een primaire verplichting in de wet.
De Allianz Risk Barometer 2022 maakt duidelijk dat cyberveiligheid bovenaan de lijst staat van bedreigingen voor lopende activiteiten – en dan hebben we het nog niet eens over de aansprakelijkheid van het bestuur voor fouten!
IT-Compliance
IT-beveiliging als compliance-taak
IT-beveiliging is al lang geen onderwerp meer van (IT-)compliance. Slechte compliance alleen kan leiden tot aansprakelijkheid voor het management – en goede compliance kan het tegenovergestelde effect hebben van het bevoorrechten van aansprakelijkheid. IT-security kan in deze context als een centraal onderdeel worden beschouwd (zoals Jacobs expliciet stelt in CB 2017, 299, 302). Het onderwerp IT-beveiliging is de verantwoordelijkheid van zowel de raad van bestuur als, vanwege het toezichtmandaat, de raad van commissarissen, als die bestaat.
In het algemeen moet hier in gedachten worden gehouden dat het management van een bedrijf de zorg van een voorzichtige en gewetensvolle bedrijfsmanager moet uitoefenen binnen de reikwijdte van het management. Dit geldt vandaag de dag in het bijzonder voor het gebruik van IT in het bedrijf, waarbij naleving in het bijzonder moet zorgen voor rechtmatig gedrag, niet alleen tegenover werknemers (intern), maar ook tegenover derden (extern). Het is echter belangrijk om hier niet te ruim te denken – het Federale Hooggerechtshof heeft bijvoorbeeld benadrukt dat de eenvoudige positie als directeur/bestuurder niet leidt tot een garantieplicht met betrekking tot financiële verliezen van derden (zie BGH, VI ZR 341/10).
Deze verantwoordelijkheid ligt bij de raad van bestuur of het management als geheel, ook als delegatie mogelijk is – en blijft vooral na delegatie bestaan: elk lid van de raad van bestuur heeft een toezichts- en controleplicht ten opzichte van “zijn” compliance-sectie en ten opzichte van de andere leden van de raad van bestuur (die een overeenkomstige meldingsplicht hebben; Hoffmann/Schieffer in NZG 2017, 401 voor een zeer uitgebreide bespreking). Bijzonder is ook hier een onderzoeksplicht: als een lid van de RvB vermoedt dat een ander lid zijn taak niet naar behoren vervult, moet hij dit vermoeden onderzoeken, anders levert dit alleen al plichtsverzuim van zijn kant op. Het principe geldt dat een lid van de raad van bestuur bij een overeenkomstige risicosituatie alleen voldoende is als er überhaupt een compliance systeem is geïnstalleerd (instructief: LG München I, 5 HK O 1387/10). Een goed nalevingssysteem is een factor die van invloed is op de vraag naar de hoogte van een boete (BGH, 1 StR 265/16).
Een andere opkomende kwestie in Duitsland is het onderwerp kritische componenten: Met §9b BSIG bestaat het risico dat er op vrijwel elk moment specificaties voor IT worden opgesteld voor een sector – en dat gebruikte componenten moeten worden verwijderd. Een bekend voorbeeld op dit moment is de vraag of Huawei hardware gebruikt mag blijven worden in de telecommunicatiesector. Dit is momenteel een bedreiging voor alle kritieke sectoren en is het gevolg van een speciale juridische situatie in Duitsland. Hier dreigt persoonlijke aansprakelijkheid voor het management als het gebruik van kritieke componenten niet vooraf wordt beoordeeld.
De conclusie van IT-beveiliging is dus hanteerbaar op het gebied van compliance: het zal weinig verbazing wekken dat er, gezien de algemene complianceprincipes, natuurlijk aansprakelijkheid is bij gebrekkige naleving van IT-beveiliging. In dit verband kan er bij delegatie nog steeds aansprakelijkheid van de gehele raad van bestuur ontstaan; gezien de wederzijdse toezichtverplichtingen is het nauwelijks denkbaar dat deze toezichtfunctie überhaupt kan worden uitgeoefend als niet ieder bestuurslid op zijn minst absolute (hanteerbare!) basiskennis heeft van de grondbeginselen van IT-beveiliging.
Als er een nalevingssysteem is en er toch fouten zijn gemaakt, is een goed nalevingssysteem niet alleen een factor bij de beoordeling van een boete, maar maakt het ook discussies mogelijk over de gradatie van de mate van nalatigheid. Met betrekking tot immateriële schade zal de discussie over de mate van verantwoordelijkheid ook moeten worden gezocht in het individuele geval van niet-verantwoordelijke bestuursleden.
Voorbeeld van juridische vragen over IT-beveiliging
De updateverplichting
Als gevolg van de eerder genoemde hervorming van het BGB is in de nieuw gecreëerde § 327f BGB voor het eerst expliciet verduidelijkt dat – niet nader gedefinieerd – “beveiligingsupdates” een dienst zijn die verschuldigd is voor de beoogde gebruiksperiode, ongeacht het soort contract. De levering van dergelijke updates wordt onderdeel van het juridische begrip gebrek via de nieuwe § 327e BGB.
In de toekomst zal ook het bestaan van software-updates bepalend zijn voor de vraag wanneer er sprake is van een softwarefout. Het is op dit moment volledig open of en in hoeverre deze regeling, die bedoeld is voor contractuele relaties met consumenten, ook een rol zal spelen bij contractuele (geschil)vragen tussen ondernemers. In dit kader ligt het voor de hand om de in de wet opgenomen definities van een gebrek aan digitale goederen in ieder geval als aanvulling te gebruiken bij vragen over de uitleg van overeenkomsten tussen ondernemers, waarbij opvalt dat de wet bij de vraag naar een gebrek ook expliciet verwijst naar de kenmerken van compatibiliteit en interoperabiliteit. In dit opzicht is de nieuwe versie van de wet in lijn met eerdere jurisprudentie, die specifiek moet worden gepresenteerd aan de hand van de voorbeelden van wetswijzigingen en ook het optreden van veiligheidsgebreken.
Onderzoek van software op veiligheidslekken toegestaan
Ik leg ook uit dat de onafhankelijke analyse van software met betrekking tot softwarefouten en in het bijzonder beveiligingsproblemen is toegestaan, en in het bijzonder dat noch wetten ter bescherming van handelsgeheimen noch auteursrechtwetten reverse engineering in de weg staan voor het testen van IT-beveiliging. Deze jurisprudentie is onlangs weer iets verder uitgediept door het Hof van Justitie van de EU. In het algemeen verwacht ik dat reverse engineering in de toekomst eerder meer dan minder toelaatbaar zal zijn – maar tegelijkertijd kan het in extreme situaties zelfs verplicht worden in de catalogus van maatregelen bij het gebruik van verouderde of oudere software.
Verplicht PenTesting?
Er is momenteel geen algemene verplichting om penetratietests uit te voeren; dit vloeit tenminste niet rechtstreeks voort uit de huidige wettelijke vereisten.
Mijn juridische analyse komt echter tot de conclusie dat in een omgeving met een hoog risico, vooral wanneer er in aanzienlijke mate met gevoelige gegevens wordt omgegaan, de indirecte noodzaak van het uitvoeren van een pentest zal ontstaan om te voldoen aan de hogere zorgplichten om een beschuldiging van nalatigheid te voorkomen; maar ook om te voldoen aan de hogere eisen van de GDPR.
Concrete verplichting om inbreuken op de beveiliging te melden
Het principe geldt dat een kwetsbaarheid in de beveiliging op zichzelf geen meldplicht voor gegevensbescherming veroorzaakt!
Anderzijds vormt het loutere bestaan van een beveiligingslek bij het gebruik van getroffen software een inbreuk op de vereisten voor de beveiliging van de verwerking overeenkomstig artikel 32 GDPR. Als er vervolgens aanwijzingen zijn dat de kwetsbaarheid is uitgebuit en persoonsgegevens zijn aangetast, is er sprake van een inbreuk op de gegevensbescherming die moet worden gemeld krachtens artikel 33 van de GDPR, aangezien het zelden “onwaarschijnlijk” is dat dergelijke gecompromitteerde IT-systemen een risico inhouden voor de rechten en vrijheden van de betrokkenen (ook de duidelijke beoordeling van de BayLDA over LOG4J).
Dit gaat gepaard met een uitgebreide documentatieplicht met betrekking tot de vaststellingen of er al dan niet een risico is voor de betrokkenen (verantwoordingsplicht op grond van art. 5 lid 2 GDPR).
IT-beveiliging voor slimme apparaten
Slimme apparaten, die in hun kern gebaseerd zijn op software, moesten in mijn beschouwing worden opgenomen, omdat ze het veiligheidsvraagstuk in het burgerlijk recht sinds 2022 aantonen: Via de wet die de verkoop van dingen met digitale elementen regelt, staat een eerste wettelijke regeling voor de deur, die in § 475b BGB (Duits Burgerlijk Wetboek) een concreet materieel gebreksbegrip voor gedeeltelijk digitale apparaten definieert en tevens – gloednieuw – het algemene materiële gebrek in het kooprecht uitbreidt naar aspecten van beveiliging.
Ik benadruk in dit verband dat de verkoper in de toekomst geconfronteerd zal worden met rechtstreekse aansprakelijkheid in geval van veiligheidsproblemen in het verkooprecht in het algemeen.
Gedragsregels voor werknemers
Er zijn inderdaad directe gevolgen voor de werknemers – zo hebben niet alleen werkgevers een arbeidsrechtelijke plicht om bijscholingsmaatregelen aan te bieden; werknemers hebben een spiegelbeeldige plicht om gebruik te maken van dergelijke bijscholing, voor zover dit noodzakelijk is voor hun eigen werk. In het kader van de arbeidsrechtelijke plichten moeten werknemers zich ook onthouden van gedrag dat kan leiden tot aantasting van de IT-beveiliging van de werkgever; als tegenprestatie moet de werkgever hulp bieden, zodat de werknemer weet wat er van hem wordt verwacht.
Daarnaast is het in gevaar brengen van de juridische belangen van derden tegelijkertijd een bedreiging voor de economische belangen van de werkgever – wat weer speelt bij de interne zorgplicht. Tot slot zal aan de hand van geselecteerde voorbeelden worden geïllustreerd hoe werknemers moeten omgaan met instructies van werkgevers die twijfels oproepen over hun juridische effectiviteit – een werknemer hoeft instructies niet op te volgen als ze zichtbaar leiden tot schending van de juridische belangen van derden.
Aansprakelijkheid van het management voor tekortkomingen in IT-beveiliging
Er moet worden opgemerkt dat leden van raden van bestuur niet noodzakelijkerwijs onderworpen zijn aan dezelfde zorgplichten als hun bedrijf zelf. Hun aansprakelijkheid wordt in de externe relatie wettelijk beperkt door hun respectieve verantwoordelijkheidsgebied; bovendien daar waar de de facto mogelijkheid tot beïnvloeding ophoudt.
Een verantwoordelijkheid van bestuurders die verder gaat dan hun afdelingsverantwoordelijkheid kan alleen in uitzonderlijke gevallen worden aangenomen, zoals in het geval van aanzienlijke kwaliteitsgebreken. Daarnaast is er een mogelijk enorm onderschat risico van oorspronkelijke civielrechtelijke aansprakelijkheid voor bestuursleden als er daadwerkelijk sprake is van strafrechtelijke relevantie – in dit geval, dat moet worden uitgewerkt en geïllustreerd door een zaak, zou de combinatie van § 823 lid 2 BGB (Duits Burgerlijk Wetboek) in samenhang met § 14 StGB (Duits Wetboek van Strafrecht) en de geschonden norm, zoals nalatige doodslag, kunnen bestaan uit een rechtstreeks verhaal op de bestuursleden die veiligheidsmaatregelen hebben nagelaten.
Zoals moet worden uitgelegd, is preventie in een dergelijk geval, met de jurisprudentie van het BGH, alleen mogelijk door middel van passende nalevingsmaatregelen. Anders zijn er aansprakelijkheidsrisico’s die het bestaan van het bedrijf bedreigen en niet kunnen worden geëlimineerd.
Inzicht in IT-beveiliging
Iedereen die te maken heeft met aansprakelijkheid en IT-beveiliging in de directie en het management moet eisen dat er een fundamenteel begrip is van IT-beveiliging. Deze eis wordt terecht steeds luider.
Bestuurslid met verstand van IT
Een bestuur kan de risico’s en tegenmaatregelen niet goed beoordelen als het het probleem niet begrijpt. Het is echter geen kwestie van tot in detail begrijpen hoe een SQL-injectie werkt of zelfs maar in staat zijn om het zelf te implementeren. Het is eerder een kwestie van kennis van het “vocabulaire”, van een rudimentair begrip van wat op zijn minst veelvoorkomende aanvalsscenario’s zijn en van inzicht in wat in dit opzicht veelvoorkomend gedrag is.
Aanbevolen maatregelen voor de detectie van aanvallen
Detectie van cyberaanvallen verwijst naar maatregelen die kwaadaardige cyberactiviteiten in uw netwerk helpen detecteren. In elk geval moet het “vocabulaire” correct zijn en moet de volgende basisportefeuille die door ENISA wordt genoemd, in het bedrijf aanwezig zijn – een directeur/bestuurslid moet de inhoud van een dergelijke lijst kunnen begrijpen, althans in principe (zie ook: Hoe bescherm je jezelf tegen een hackeraanval):
- Implementeer een robuuste set logs en bekijk regelmatig waarschuwingen die door beveiligingscomponenten worden geactiveerd. U kunt de ENISA-gids voor proactieve detectie raadplegen, waarin telemetriebronnen uitgebreid worden behandeld. Het is met name aan te raden om eventlogs te verzamelen met betrekking tot het ongeautoriseerd aanmaken, wijzigen, gebruiken en wijzigen van privileged account credentials en om netwerkverbindingen te controleren van IP-reeksen die verbonden zijn met VPN-gateways en vergelijkbare diensten die niet binnen het bedrijf worden gebruikt.
- Monitor de activiteit van apparaten op je netwerk met geschikte tools zoals Endpoint Detection and Response (EDR) en User and Entity Behaviour Analytics (UEBA), aangezien een aanzienlijk deel van het netwerkverkeer tegenwoordig versleuteld is. Dit geldt voor zowel servers als endpoints. Zorg ervoor dat uw EDR in de waarschuwingsmodus gaat als monitoring of rapportage wordt uitgeschakeld of als de communicatie met een host agent langer dan een redelijke tijd wordt onderbroken.
- Gebruik zorgvuldig samengestelde gegevens over cyberbedreigingen om uw logbestanden proactief te scannen op mogelijke tekenen van een bedreiging.
- Sporen van compromittering op uw netwerk detecteren door middel van een goed ontworpen, regelmatige zoektocht naar bedreigingen
- Gebruik Intrusion Detection Signatures en NetFlow om verdacht verkeer aan de netwerkgrenzen te detecteren en omstandigheden te identificeren die kunnen wijzen op misbruik van software of exfiltratie van gegevens.
- Preventie en detectie van PowerShell-gebaseerde aanvallen [28] om te voorkomen dat aanvallers volledige controle krijgen over een Windows-gebaseerde infrastructuur of bedrijfsgerelateerde gebruikersaccounts.Preventie en detectie van PowerShell-gebaseerde aanvallen [28] om te voorkomen dat aanvallers volledige controle krijgen over een Windows-gebaseerde infrastructuur of bedrijfsgerelateerde gebruikersaccounts.
- Investeer in detectie van laterale bewegingen die gebruikmaken van NTLM- en Kerberos-protocollen in een Windows-omgeving.
- Instrueer uw gebruikers om verdachte activiteiten onmiddellijk te melden aan uw lokale cyberbeveiligingsteam.
Mogelijke scenario’s van een beperking van aansprakelijkheid
De beperking van de getoonde aansprakelijkheid is mogelijk en zal in de lezing worden gedemonstreerd aan de hand van enkele geselecteerde voorbeelden. In de eerste plaats moet er altijd rekening worden gehouden met contractuele overeenkomsten, maar deze zijn uiteindelijk onderworpen aan een strenge rechterlijke controle door middel van de specificaties van toegestane algemene voorwaarden in het BGB. Er moet rekening mee worden gehouden dat naast de juridische fouten ook de feitelijke typische fouten moeten worden voorkomen, bijvoorbeeld door interne nalevingsmaatregelen, die werknemers hard binden en dus een effectief controle-instrument vormen. Vooral deze fouten moeten worden vermeden:
- een beveiligingsgebeurtenis niet negeren zonder te onderzoeken waardoor het werd veroorzaakt en welke impact het zou kunnen hebben;
- Preventief blokkeren of scouten van de infrastructuur die wordt gebruikt door bedreigingsactoren (pingen, DNS-query’s, browsen, enzovoort);
- Aangetaste systemen mogen normaal gesproken niet worden opgeschoond voordat IT forensische experts bewijsmateriaal kunnen verzamelen en/of veiligstellen;
- Geen negeren van telemetriebronnen zoals netwerk-, systeem- en toegangslogboeken;
- niet simpelweg de symptomen elimineren, de oorzaken negeren en slechts gedeeltelijke beheersing en herstel;
- geen afstand van een gedetailleerd verslag van de genomen maatregelen en het tijdstip van de gebeurtenis;
In het kort wordt aangetoond waarom in geval van twijfel moet worden uitgegaan van algemene voorwaarden en niet van contractuele clausules waarover afzonderlijk is onderhandeld; vervolgens wordt uitgelegd waarom het zinvol is om het ontstane gat te dichten door een geschikte cyberverzekering af te sluiten. Evenzo wordt uitgelegd waarom dit vanuit het oogpunt van het management verplicht is om persoonlijke aansprakelijkheid – zelfs met de juiste rechtsvorm – in het “ergste geval” te vermijden.
In het scenario van een aansprakelijkheidsbeperking moet ook aan de orde komen of het niet de taak van de bedrijfsprestatie is om de reserves – die sowieso gevormd moeten worden in het geval van corporaties – deels te vormen in Bitcoin. Het idee is dat als bitcoin goedkoop wordt ingekocht, deze uiteindelijk een waardestijging doormaakt en dan beschikbaar is in geval van ransomware, waarbij de waardestijging die in de tussentijd is opgetreden dan deels compenserend werkt.
Met betrekking tot de vraag of een dergelijke betaling van losgeld een eigen strafrechtelijke aansprakelijkheid inhoudt, ben ik van mening dat hier sprake is van een strafrechtelijke aansprakelijkheid die alleen in het individuele geval kan worden weggenomen door gerichte onderhandeling en schadebeperking. Volgens mijn analyse is iedereen die onmiddellijk betaalt op het eerste verzoek strafrechtelijk aansprakelijk (een apart artikel hierover volgt). Daarbij voorkomt een wettelijk begeleide procedure dat de raad van bestuur of het management strafrechtelijk aansprakelijk is, bijvoorbeeld voor terrorismefinanciering of witwassen.
- Mededingingsrecht en Terugnameplicht voor Oude Elektronische Apparaten in Duitsland - oktober 19, 2024
- Contract voor de latere installatie van een geleverde batterijopslagsysteem doorgaans wordt geclassificeerd als een koopovereenkomst met installatieverplichting - oktober 19, 2024
- Waarschuwingsbrieven mogelijk in Duitsland: schending gegevensbescherming kan worden vervolgd door concurrenten - oktober 13, 2024