|
Heise 27.02.2009 14:45
Studie: Mit den Angestellten gehen auch die Daten
Angestellte, die ihren Job verlassen oder gekündigt werden, nehmen gerne einmal Daten ihres früheren Arbeitgebers mit. Nach einer Befragung von fast 1000 US-Amerikanern, die im letzten Jahr entlassen wurden oder den Job gewechselt haben, räumten dies fast 60 Prozent ein. Die Umfrage wurde vom Ponemon Institute im Auftrag von Symantec durchgeführt..
Fast vier Fünftel machen dies offenbar trotz des Wissens, dass ihr früherer Arbeitgeber dies nicht gestattet. Vor allem begehrt scheinen E-Mail-Adressbücher zu sein. 65 Prozent der Befragten sagten, sie hätten E-Mail-Listen mitgenommen, 45 Prozent wollten Geschäftsinformationen, 39 Prozent Kundendaten, 35 Prozent Arbeitnehmeraufzeichnungen und 16 Prozent finanzielle Informationen nicht zurücklassen. Im Vordergrund bei diesem Datendiebstahl, der von den Befragten als Kavaliersdelikt gewertet wird, steht die Hoffnung, dadurch besser beim neuen Arbeitgeber anzukommen.
37 Prozent der Befragten waren entlassen worden, 38 Prozent hatten einen neuen Job gefunden und 21 Prozent sind gegangen, weil sie einer Kündigung zuvorkommen wollten. 61 Prozent nahmen Dokumente oder Festplatten mit, 53 Prozent kopierten Daten auf DVDs und 42 Prozent auf USB-Sticks. Immerhin 24 Prozent gaben an, dass sie nach Verlassen des Arbeitgebers noch auf dessen Computernetzwerk zugreifen konnten.
Larry Ponemon, der Gründer des Instituts, sieht als Grund für die Datenmitnahme die erhöhte Mobilität der Arbeitnehmer, wodurch kaum mehr feste Bindungen mit dem Arbeitgeber entstünden, sowie den Glauben, dass die während der Arbeit erzeugten Daten auch als Eigentum des Arbeitsnehmers betrachtet werden. "Dazu kommt, dass bei steigender Anzahl der Arbeitnehmer, die an anderen Orten oder zu Hause arbeiten, es den Menschen oft nicht mehr klar ist, wer diese Daten wirklich kontrolliert."
Kevin Rowney von Symantec sagte, dass viele Arbeitgeber zu sorglos mit den Firmendaten umgingen und nicht für technische Vorkehrungen sorgten, um einen Datendiebstahl zu verhindern. Offenbar setzt man bei Symantec auf dieses Thema, da in der Wirtschaftskrise die Zahl der Angestellten steigt, die ihre Jobs verlieren oder wechseln werden: "Datenverluste durch Downsizing". Selbst wenn Entlassungen nicht anstehen, fügt Ponemon hinzu, sei es alarmierend, dass "die Daten mit den Angestellten den Betrieb verlassen". (fr/Telepolis)
Heise 18.02.2009 11:49
Vorgebliche Antiviren-Seite zockt Anwender ab
G Data, Hersteller von Anvirensoftware, warnt vor einer aktuellen Kampagne eines unseriösen Security-Portals. Die Betreiber versuchen, Anwender in eine Abofalle zu locken: Besuchern der Streaming-Seite kino.to wird mit geschickt gestalteten Werbebannern die Infektion des eigenen PC etwa mit dem Wurm Blaster vorgetäuscht.
Ein Klick auf die gefälschte Sicherheitswarnung führt anschließend auf eine Webseite, die den Opfern nach erfolgter Registrierung eine kostenlose Vollversion von G Data AntiVirus zur Desinfektion des PC verspricht. Angeboten werden dann jedoch nur frei zugängliche Testversionen unterschiedlicher Antiviren-Hersteller, darunter auch G Datas Produkt. Wenn das Opfer dort nicht aufpasst, hat es nach der Registrierung ungewollt ein Zweijahresabo zum Preis von 316 Euro abgeschlossen.
G Data weist darauf hin, dass es in keinerlei geschäftlicher Verbindung zum Anbieter der Webseite steht und rechtliche Schritte gegen die in Dubai registrierte Firma prüft. Bislang haben derartige Anbieter mit einer vorgetäuschten Infektion eher versucht, mehr oder minder nutzlose Virenscanner, sogenannte Scareware, zu verkaufen. Wie man Schreck-Ware erkennt, sich davor schützt und sie im Fall der Fälle beseitigt, erklärt der Artikel "Scharlatane und Hochstapler" auf heise Security.
Gegen die neue Masche hilft nur Ruhe bewahren. So empfiehlt Nico Reiners vom Institut für Rechtsinformatik der Leibniz Universität Hannover Betroffenen, auf keinen Fall zu zahlen und gelassen zu bleiben, auch wenn Inkasso-Büros eingeschaltet werden. Selbst von der Androhung eines Schufa-Eintrags oder einer Klage solle man sich nicht beeindrucken lassen. "Die Abofallen-Betreiber haben kein Interesse an einer Klage, da sie Angst haben zu verlieren, und ein Schufa-Eintrag ist auch nicht ohne Weiteres möglich," erklärte der Jurist.
Heise 12.02.2009 09:08
Europäischer Polizeikongress: You Parlez UMF?
Garniert von einigen Ausflügen in dunkle Terrorszenarien beschäftigte sich der 12. europäische Polizeikongress unter dem Motto "Prävention: Prinzipien, Strategien, Technologien" mit der gesamteuropäischen Zusammenarbeit und IT-Infrastruktur. Sie wurde von den auftretenden Politikern in den höchsten Tönen gelobt, von den Praktikern eher trist dargestellt.
Die nüchternste Beschreibung der europäischen Zusammenarbeit lieferte ausgerechnet Gilles der Kerchove, oberster Terrorismus-Koordinator bei der Europäischen Union. "Häufig läuft es doch so ab, dass wir von einem Attentat oder Anschlagsversuch in der Zeitung lesen und dann einen Kollegen in dem betreffenden Land anrufen und uns informieren." Der elektronische Nachrichtenaustausch, gar die gemeinsame Nutzung von Informationen liegt im Argen. Auf großes Interesse stieß darum bei den Praktikern ein Referat von Gunther Guzielski, IT-Chef des Bundeskriminalamtes. Abends, als die Politiker längst abgereist waren, erklärte er die Details der Technik, die unter dem Namen "Stockholmer Beschluss", "schwedische Initiative" oder SIENA bekannt wurde und nun offiziell UMF, Unversal Messaging Format, heißt. Im Kern ist dies zunächst ein XML-Projekt, ein europaeinheitliches "Formular" für die Personenfahndung zu entwickeln, bei dem nur von Interpol definierte Textbausteine verwendet werden, die in alle Sprachen übersetzt werden können. Der UMF-Prototyp wird von Deutschland, den Niederlanden und Schweden entwickelt, die Europol ist assoziierter Beobachter. "Wir hoffen, dass UMF eines Tages als Standard die Bedeutung für den automatisierten Informationstransfer der Sicherheitsbehörden hat, den EDIFACT für den Rechnungsverkehr hat", erklärte Guzielski.
Für die Programmierer ist UMF eher eine Enttäuschung, weil viel zu zaghaft als kleines Testprojekt angelegt. "Meine Leute hatten die nötigen Anpassungen in anderthalb Stunden fertig", erklärte Jörg Kattein, Chef von rola Security. Seine Firma produziert rsCASE, das von 10 Bundesländern, der Bundespolizei und dem BKA als Vorgangsbearbeitungssystem eingesetzt wird und ohnehin XML-basiert ist. Bevor Kattein die Vorzüge von XML pries, hatte Ingmar Weitmeier, Leiter des LKA Mecklenburg-Vorpommern, versucht, ein Schaubild der aktuell gültigen deutschen wie internationalen Polizei-Datenmodelle zu erklären, von denen es etwa 35 geben soll. Nach seiner Aussage ist 50 % der Arbeit in deutschen Polzeidienststellen von der internationalen Zusammenarbeit geprägt. "Wir sind schon sehr weit und im täglichen Dienst auf alle Fälle weiter als in der Software."
Die positive Aussage des Kriminalisten erhielt einen herben Dämpfer durch den Juristen Michael Grotz, deutscher Vertreter bei Eurojust. Die 2002 geschaffene Behörde soll schwere und komplexe Fälle etwa bei der organisierten Kriminalität bearbeiten, bei denen die Aktionen Polizei und Justiz in vier oder mehr Ländern koordiniert werden müssen. Grotz zufolge war 2007 nur einer von fünf Fällen, in denen Eurojust eingeschaltet wurde, wirklich komplex. Alle anderen hätten durch einfache, erprobte bidirektionale Wege zwischen den Staaten gelöst werden können. 2008 verschlechterte sich die Quote auf 1 : 8. "Wir müssen zur Kenntnis nehmen, dass es ein massives Sprachproblem unter Juristen gibt. Die überwiegende Mehrzahl will nur in der Muttersprache kommunizieren", zog Grotz ein Fazit, in dem er sich darüber ärgerte, dass seine hochqualifizierte Behörde bei Bagatellfällen herangezogen wird.
"Mir geht langsam das Messer in der Tasche auf, wenn ich die Politik höre," ereiferte sich Kurt Jansen vom Bund der Kriminalbeamten, "wir brauchen Beamte mit guten Fremdsprachen und IT-Kenntnissen, die im rechtlichen Bereich auch noch ein halbes Jurastudium benötigen, um nicht in die Fallen zu laufen, die das Bundesverfassungsgericht aufgerichtet hat", erneuerte Jansen seine bereits im vergangenen Jahr geäußerte Forderung nach qualifiziertem Personal, "notfalls müssen wir Zuschläge von 1000 Euro und mehr zahlen." Bestätigt wurde Jansen indirekt auf einem anderen Panel über virtuelle Kriminalität und echte Cyberopfer von Michael Bartsch, Chef des "Competence Center Innere Sicherheit" bei T-Systems. "Nennen Sie mir Leute, die fit in Cyberwelten unterwegs sind und Zocker verfolgen können, wir stellen sie sofort ein." Bartsch erklärte die Betrügereien in 3D-Welten und vor allem in Online-Gaming-Angeboten zu den aktuellen Problemen, vor denen weder Sperren noch Software schützen könne: "Die konventionellen Virenschutzprogramme sind am Ende." Immerhin: Das Panel, auf dem Bartsch sprach, machte es sich nicht leicht und forderte keine Internet-Sperren gegen dies und das und alles. Moderator Ronald Schulze vom Bundesverband Deutscher Detektive wünschte sich ein aufklärendes Web-Portal abseits von Google. Der Appell ging zuallererst an Lehrer wie Eltern, schon die Kinder zu einem "freiwilligen sicheren Verhalten" im Internet zu erziehen.
Zwischen den Diskussionen der Fachleute gab es auf dem Polizeikongress Firmenpräsentationen. Der Videospezialist Mobotix hielt ein Plädoyer für hochauflösende Überwachungskameras, SAP warb mit dem Programm US-VISIT, das die Walldorfer für das US-amerikanische Department of Homeland Security entwickelt haben. Auf der begleitenden Fachmesse stellte die Firma SAP ICM vor, das Incident Case Management, ein Fahndungssystem für Nachrichtendienste und andere mit Sicherheitsaufgaben betraute Firmen.
Den alarmierendsten Vortrag lieferte Bernd Weingarten von der auf "Internet-Ethik" spezialisierten Firma Pan Amp. Seine Firma analysiert nach eigenen Angaben das verborgene Internet abseits des Web und fahndet dort vor allem nach Bombenbauanleitungen. Weingarten warnte vor einer kommenden Anschlagswelle mit sogenannten GPS-Zündern, umgebauten Mobiltelefonen, die so programmiert sind, dass sie an einem bestimmten Ort explodieren. "Die Terroristen brauchen keine Selbstmordattentäter mehr, brauchen keine Kreditkarten mehr, um Autos anzumieten, sondern nur noch Telefone." Massenhafte Angriffe auf die Logistik sollen nach Weingarten unmittelbar bevorstehen – und nur mit einer von Pan Amp gefundenen Lösung zu verhindern sein, die man aber nur vertraulich gegenüber ausgewiesenen Behördenvertretern und nicht gegenüber der Presse kommunizieren will. Herkömmliche Methoden, die in kritischen Umgebungen wie einer Ölraffinerie verwendet werden, basieren auf dem Geofencing, das Firmen wie True Position anbieten. Dabei wird Alarm geschlagen, sobald ein Mobiltelefon in der Umgebung einer Anlage entdeckt wird.
Detlef Borchers / (jk/c't)
BMI: 11. Feb 2009
Schäuble lädt zu Gespräch wegen Arbeitnehmerdatenschutz
Anlässlich der aktuellen Vorfälle im Bereich des Datenschutzes von Arbeitnehmern ist eine schon länger bestehende Diskussion zur Notwendigkeit gesetzgeberischen Handelns neu entfacht worden.
Deshalb hat Bundesminister Wolfgang Schäuble seine Kabinettkollegen Arbeitsminister Olaf Scholz und Wirtschaftsminister Karl Theodor zu Guttenberg sowie den Vorsitzenden des Deutschen Gewerkschaftsbundes, Michael Sommer, den Präsidenten der Bundesvereinigung der Deutschen Arbeitgeberverbände, Dieter Hundt, und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, zu einem Gespräch am kommenden Montag, den 16. Februar 2009 - 11:30 Uhr - eingeladen.
Bundesinnenminister Dr. Schäuble:
"Das Bundesdatenschutzgesetz trifft zwar allgemeine Regelungen auch zum Schutz von Daten im Arbeitsverhältnis. Diese werden aber teilweise als nicht ausreichend erachtet. Deshalb ist ein Gedankenaustausch wichtig, ob und in welchen Bereichen weiterer Handlungsbedarf zum Schutz der Daten von Arbeitnehmern besteht und welche konkreten Umsetzungsmöglichkeiten, gegebenenfalls im Bundesdatenschutzgesetz, in Betracht kommen."
Bundesministerium des Innern
News vom 04.02.2009
COMCO-Umfrage: Interne Netzsicherheit noch ausbaufähig
Autor(en): Katharina Friedmann , COMPUTERWOCHE-Redakteurin.
Deutsche Firmen halten ihren gegenwärtigen Schutz vor Netzattacken von innen für eher unzureichend. Nach einer Studie der COMCO AG tun sich rund vier von fünf Unternehmen schwer, interne Sicherheitsrisiken einzudämmen.
Das Gros der Unternehmen sieht Handlungsbedarf in Sachen interne Netzsicherheit. Das ergab eine Untersuchung, die das Software- und Systemhaus COMCO unter 339 deutschen Firmen mit einem Jahresumsatz von mehr als 50 Millionen Euro vorgenommen hat.
Demnach erachten es aktuell 83 Prozent der Umfrageteilnehmer als "schwierig" beziehungsweise "sehr schwierig", potenzielle Sicherheitsbedrohungen durch Mitarbeiter zu unterbinden. Der Vergleichserhebung des Dortmunder Netz- und Security-Spezialisten zufolge sind das um zwei Prozentpunkte mehr als noch vor zwei Jahren. Entsprechend wenige Unternehmen (32 Prozent) sind mit ihren gegenwärtigen internen Sicherheitsverhältnissen zufrieden - immerhin aber um ein Drittel mehr als bei der letzten COMCO-Erhebung im Jahr 2007 (23 Prozent). Parallel dazu ist der Anteil der Organisationen, die die eigenen Security-Verhältnisse in Sachen interner Schutz als "sehr unzureichend" bezeichnen, von 28 Prozent (2007) auf 16 Prozent zurückgegangen.
Anders als noch vor zwei Jahren spielt der Aspekt, dass eine zu strikte Mitarbeiterkontrolle nicht mit der Unternehmenskultur zu vereinbaren sei, offenbar nur noch eine untergeordnete Rolle: Laut Studie führen dies aktuell nur noch 29 Prozent der Firmen als Grund für den unbefriedigenden Security-Status an. Stattdessen monieren zwei Drittel (und damit sieben Prozent mehr als im Jahr 2007), dass ihnen für eine Verbesserung der Verhältnisse die erforderlichen Ressourcen fehlen. Auch einen zu lässigen Umgang mit der internen Datensicherheit nennen gegenüber 2007 mehr IT-Verantwortliche als Ursache für die Schwierigkeiten (62 gegenüber 57 Prozent).
"Der Erkenntnis interner Sicherheitsschwächen muss notwendigerweise ein konsequentes Handeln folgen", beschreibt COMCO-Vorstand Michael Kaiser einen aus seiner Sicht zwangsläufigen Prozess. Zudem, so Kaiser zuversichtlich, sei davon auszugehen, dass zu Zeiten zunehmender Wirtschaftsspionage ein deutliches Umdenken stattfinden werde.
Heise Security 04.02.2009 16:27
Zugangsdaten von Wer-kennt-wen.de-Nutzern geklaut
Das Anfang der Woche von RTL übernommene Kontaktportal wer-kennt-wen.de hat offenbar mit Sicherheitsproblemen zu kämpfen. heise Security wurde mindestens ein Fall bekannt, in dem es einem WKW-Nutzer gelang, die Zugangsdaten anderer Nutzer zu stehlen.
Dazu präparierte er die WKW-Seite eines Deutschland-sucht-den-Superstar-Teilnehmers mit einem Link auf ein angebliches YouTube-Video. Tatsächlich führte der Link aber zu einem PHP-Skript auf einem externen Web-Server, das versuchte, die Zugangsdaten der Seitenbesucher zu stehlen. Diese legte es dann auf einem frei zugänglichen Web-Server ab, wo sie jeder herunterladen konnte, der die URL kannte. Mit E-Mail-Adresse und Passwort hat er dann Zugang zu alle Daten seiner Opfer auf wer-kennt-wen.de; unter anderem auch auf deren Korrespondenz.
Die heise Security bekannte WKW-Phishing-Seite wurde mittlerweile bereinigt. Der Betreiber von Wer-kennt-wen.de konnte diesen Vorgang jedoch bislang nicht bestätigen und auch Fragen zu näheren Details nicht beantworten. So ist immer noch unbekannt, ob es vielleicht weitere, bösartige WKW-Seiten gibt und wie viele WKW-Nutzer insgesamt betroffen sind. Ob sich der Angreifer auf ein reines Phishing-Szenario mit einer gefälschten Login-Seite beschränkte oder ob er sich eventuell Sicherheitsprobleme auf der Web-Seite zunutze machen konnte, ist ebenfalls offen. Auf jeden Fall sollten Nutzer von Wer-kennt-Wen.de in Zukunft besser zweimal hinschauen, ob sie sich auch auf der richtigen Seite befinden, bevor sie ihr Passwort eingeben.
Zumindest gibt es bislang keine Anzeichen für einen sich weitgehend automatisiert verbreitenden Wurm, wie er bereits MySpace, Orkut und Facebook heimgesucht hat.
Update:
Die Betreiber von Wer-kennt-Wen.de haben mittlerweile nähere Informationen zu dem Vorfall geliefert. Demnach nutzte der Angreifer keine technische Sicherheitslücke aus, sondern präsentierte lediglich auf einem externen Server eine gefälschte Login-Seite, wie es aus Phishing-Attacken bekannt ist. Er hat dazu eine Profil-Seite unter dem Namen des DSDS-Teilnehmers erstellt und mit dem Link auf das angebliche Video versehen. 56 WKW-Nutzer haben dort dann Zugangsdaten eingegeben; sie wolle man nun einzeln benachrichtigen. Des weiteren werde man "rechtliche Schritte gegen den Profilersteller einleiten", erklärte Geschäftsführer Patrick Ohler gegenüber heise Security. (ju/c't
Heise Security vom 02.02.2009 10:34
Bericht: Unsichere Verarbeitung der Fingerabdrücke in Meldebehörden
Hacker sollen Schwachstellen in Behördencomputern ausnutzen können, um für Reisepässe erfasste Fingerabdrücke mitzulesen und zu manipulieren. Das berichtet das ZDF-Magazin WISO. Ursache des Problems sei die unverschlüsselte Übertragung des Fingerabdrucks vom Lesegerät in den Computer. Hinzu komme, dass es Sicherheitslücken in Behördenrechnern gebe, über die ein Angreifer in den Rechner eindringen könne, um ein Spionageprogramm zu installieren. Damit sei es möglich, manipulierte Fingerabdrücke in andere Reisepässe einzutragen, zitiert WISO den Sicherheitsspezialisten Gunnar Porada. Wenn Daten in einem Behördencomputer manipuliert würden, hätte man kaum noch Chancen zu beweisen, dass man nicht selbst der Verursacher war.
Zuständig für die Zulassung der Fingerabdruckscanner ist laut WISO das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dies prüfe aber nicht die Sicherheit, sondern nur die Bildqualität. Für den Schutz der Rechner seien die Meldebehörden selbst verantwortlich. Der Bundesdatenschutzbeauftrage Peter Schaar sieht ebenfalls die Gefahr, dass die Informationen in falsche Hände geraten. Er fordert mehr Sorgfalt in den Behörden. "Wenn der Staat zusätzliche Daten von seinen Bürgern erhebt, dann muss er auch dafür sorgen, dass diese Daten ausreichend gesichert sind: Gegen Missbrauch intern, also durch eigene Mitarbeiterinnen und Mitarbeiter, aber auch gegen externe Hacker – und das wird bisweilen vernachlässigt."
Zwar habe die Bundesregierung versprochen, mit dem neuen Verfahren zur Erstellung des elektronisch lesbaren Reisepasses werde alles besser und die Sicherheit gestärkt. Schaar sieht jedoch keinen Fortschritt bei der Sicherheit, obendrein seien die Informationen nicht ausreichend geschützt, obwohl sie zunehmend sensible Personendaten enthalten. "Der Bund macht die Gesetze, das gilt zumindest für die elektronischen Reisepässe, die Kommunen müssen das umsetzen, aber da ist häufig nicht das Know-how und das Geld vorhanden, um einen gewissen Sicherheitsstandard zu gewährleisten", so Schaar gegenüber WISO.
Das Problem ließe sich durch eine verschlüsselte Datenübertragung vom Scanner bis zum fertigen Reisepass lösen. Derzeit werde nur die Übertragung von der Meldebehörde bis zur Bundesdruckerei verschlüsselt. Das BSI stehe der Forderung allerdings skeptisch gegenüber, weil die Meldebehörden die Qualität der Fingerabdrücke nur bei unverschlüsselter Übertragung überprüfen könnten: "Da die Fingerabdrücke am Arbeitsplatz in der Pass- beziehungsweise Personalausweisbehörde verarbeitet werden müssen, ist eine Verschlüsselung nicht möglich." (dab/c't)
Sonntag 01. Februar 2009
„Geeignete Maßnahmen“ für lizenzierte Software fehlen
Gericht äußert sich deutlich zur Verantwortung von Geschäftsführern - Solartechnikfirma zahlt 40.000 Euro an Schadensersatz
München - Eine Strafanzeige, 40.000 Euro Schadensersatz, eine Unterlassungsverpflichtung, eine umfassende Auskunftsverpflichtung und im Wiederholungsfall ein Ordnungsgeld von bis zu 250.000 Euro. Dies sind die Folgen für den Einsatz unlizenzierter Software, die einem Solartechnikunternehmen zusätzlich zum Kauf der fehlenden Lizenzen entstehen. Das rechtskräftige Urteil aus zweiter Instanz gegen das Unternehmen und den Geschäftsführer enthält weitreichende Aussagen über die Verantwortlichkeit für Urheberrechtsverletzungen in Firmen und über die Maßnahmen, die von Seiten der Unternehmensleitung ergriffen werden müssen. Die Herausgabe von Richtlinien zum Softwareeinsatz und Ermahnungen aus gegebenem Anlass sind nicht genug. Im Gegenteil: ein Geschäftsführer handelt pflichtwidrig, wenn er nicht sicherstellt, dass Software nur von autorisierten Personen installiert werden darf.
Das Unternehmen war der Business Software Alliance (BSA) von einem ehemaligen Mitarbeiter gemeldet worden. Nach dessen Aussage waren in dem Unternehmen teils hochpreisige CAD-Programme ohne Lizenz im Einsatz .Die BSA erstattete Anzeige gegen den Geschäftsführer und die Firma, woraufhin die zuständige Staatsanwaltschaft eine unangekündigte Durchsuchung der Geschäftsräume durchführte. Auf den 15 Rechnern der Firma wurden dabei über 20 unlizenzierte Programme verschiedener BSA-Mitglieder gefunden. Das Oberlandesgericht Karlsruhe verurteilte nun in zweiter Instanz sowohl das Unternehmen als auch den Geschäftsführer persönlich und schloss eine Revision aus.
„Dieser Fall ist vor allem deswegen lehrreich weil das OLG sehr deutliche Aussagen über die Pflichten und Verantwortlichkeit der Geschäftsführung macht“, erklärt Dr. Oliver Wolff-Rojczyk, Rechtsanswalt der BSA. „Es zeigte sich einmal mehr, dass gerade in Wachstumsbranchen das Thema Lizenzierung oftmals vernachlässigt wird. Wir hoffen, dass das vorliegende Beispiel dazu beiträgt, dass Unternehmer bundesweit darauf aufmerksam werden, dass das Lizenzmanagement ein wichtiger Teil des Business ist.“
Unternehmen in Deutschland haben im Jahr 2007 an die BSA so viel Geld für den Einsatz unlizenzierter Software bezahlen müssen wie nie zuvor: Insgesamt 2,8 Millionen Euro (2006: 1,1 Mio. Euro) an Schadensersatz und Lizenzierungskosten.
Die Pflichten der Geschäftsführung: für ausschließlich lizenzierte Software sorgen
Das OLG bejaht in seiner Urteilsbegründung die Verantwortlichkeit des Geschäftsführers für fehlende Lizenzen in seinem Unternehmen auch dann, wenn wie im vorliegenden Fall jedem Mitarbeiter bei der Einstellung ein Merkblatt zu diesem Thema vorgelegt worden war und bei Verstößen wiederholte Weisungen dazu ergingen. Das OLG nahm den Geschäftsführer in die Pflicht, weil er „...die nicht lizenzierte Nutzung der Computerprogramme der Klägerinnen in pflichtwidriger Weise nicht verhindert hat.“ Er habe damit seine Sorgfaltspflicht verletzt.
Konkret stellte das OLG fest, der Beklagte sei „...als alleiniger Geschäftsführer der [Firma] verpflichtet, im Rahmen des Zumutbaren und Erforderlichen Maßnahmen zu treffen, die eine Gefährdung der Urheberrechte Dritter ausschließen oder doch ernsthaft mindern [...]“, und dass „...auf den Computern des Unternehmens nur lizenzierte Software genutzt wird.“ Er hätte insbesondere „...durch geeignete Maßnahmen sicherstellen müssen, dass auf den Computern der [Firma] nur lizenzierte Software installiert und eingesetzt wird.
Die BSA und ihre Mitglieder hatten im Verfahren darauf hingewiesen, dass es ohne weiteres möglich ist, die Installation von Software nur autorisierten Administratoren zu ermöglichen. Das OLG führte die Praxis in seinem Urteil als Beispiel für eine geeignete Maßnahme an.
|
