28.06.2013 von Claudia Tödtmann und Hans-Peter Canibol
Sie sind die Pioniere im Niemandsland: Experten für Informationstechnik sind gefragt – dem rasanten technischen Fortschritt sei Dank.
Wir stellen Ihnen die Top-Kanzleien für IT-Recht vor. Foto: liveostockimages, Fotolia.com
Was ist der Albtraum des Online-Händlers Amazon? Zum Beispiel, dass Hacker ein paar Tage vor dem 24. Dezember das Internet-Portal lahmlegen würden - und den auf der Plattform gebündelten Händlern auch nur ein Tag des Weihnachtsgeschäfts entginge. Ausgerechnet in der umsatzstärksten Zeit des ganzen Jahres. "Ebenso teuer kann es für Amazon werden, wenn etwa wie jüngst ein Gewitter deren Server in Irland - dort sind sie wegen der Steuervorteile - lahmlegt", sagt der auf Informationstechnik (IT) spezialisierte Anwalt Andreas Splittgerber von Orrick Hölters & Elsing. Ebenso schlimm würde es etwa Ebay treffen, wenn Nutzer nur Fehlermeldungen sehen und nicht auf die Seiten kommen würden, weil in Kalifornien wegen eines Erdbebens die zentralen Großrechner (Server) ausfallen und Auktionen zu Niedrigstpreisen enden, weil kein Interessent mehr bieten kann.
"Auch wenn ein Unternehmen einen halben Tag lang keine einzige Mail senden oder empfangen kann, drohen hohe Schäden", weiß Splittgerber. Die Risiken, die Unternehmen mit externen Servern eingehen, sind enorm. Deshalb schalten Unternehmen für Verträge Juristen ein. Splittgerber: "Kunden sollten die Verfügbarkeit der IT-Lösung mit entsprechenden Klauseln über Service Levels, Vertragsstrafen und gute Leistungsbeschreibungen in den Providerverträgen absichern."
Erste Hilfe beim Daten-GAU
Zudem leisten Anwälte ihren Mandanten etwa bei Hacker-Attacken erste Hilfe. Paradebeispiel ist der Elektronikkonzern Sony, der im vergangenen Jahr den wohl größten Dateneinbruch der Geschichte erlitt: Auf bis zu zwei Milliarden Dollar Schaden schätzen ihn Experten, vom Imageschaden mal ganz zu schweigen. Adressen, Passworte und Kreditkartennummern von geschätzt 75 Millionen Nutzern des Playstation-Netzwerks und von Sonys Musikvertreiber Qriocity waren betroffen, als Hacker in die Kundendatenbank eingedrungen waren und Sony das Online-Netzwerk abschalten musste. Allein Banken sollen fürs Konten-Sperren und Ausstellen neuer Bank- und Kreditkarten 250 Millionen Dollar von Sony kassiert haben - die entsprechenden Verträge beschäftigten Armeen von Anwälten.
340 bis 550 Euro pro Stunde kosten Partner von IT-Anwaltskanzleien hierzulande, angestellte Anwälte berechnen 200 bis 330 Euro, je nach Berufserfahrung. Auch Stundenhonorare über 500 Euro kommen vor, wenn besonders viel auf dem Spiel steht. Pauschalen werden vereinbart, wenn sich das Auftragsvolumen abschätzen lässt. "Sicherheitshalber begrenzen Anwälte dann den Zeitraum ihres Einsatzes und schreiben Annahmen in ihren Vertrag", sagt Thomas Heymann von Heymann & Partner.
Lieber unter der Decke halten
IT-Anwälte werden tätig , wenn die Datensicherheit verletzt wurde, wie bei Sony. Sie klären ab, wann und wie Behörden und Verbraucher bei Pannen verständigt werden müssen, und kümmern sich um Schadensersatzklagen und behördliche Verfahren, sagt Christoph Rittweger, IT-Team-Chef bei Baker & McKenzie. Auch präventiv, also bevor es zu Datenpannen kommt, werden die Anwälte eingeschaltet. "Wir erstellen zum Beispiel Firmenregeln, definieren also, welche Benutzer welche Zugriffsberechtigungen bekommen", sagt Rittweger.
Selten landen IT-Fälle wie Hacker-Attacken, Datenpannen und vermasselte Outsourcing-Projekte - das Auslagern von Arbeitsschritten oder Dienstleistungen an Dritte - vor Gericht. Die Öffentlichkeit soll möglichst wenig erfahren, also einigen die Beteiligten sich untereinander. Lange Prozesse und technisch wenig bewanderte Richter, die sich erst mithilfe teurer Gutachten schlau machen müssen, schrecken ab. "Das Gesetz gibt für diese Fälle nicht viel her. Viel zu neu sind die technologischen Entwicklungen - und vor allem zu rasant", sagt Peter Bräutigam von der Kanzlei Noerr. IT-Anwälte seien "wie Pioniere, die dafür sorgen, dass Mandanten nicht im juristischen Niemandsland stehen", sagt Bräutigam, zu dessen Klienten auch Microsoft zählt.
Datenschutz wird immer wichtiger
Die Themen der IT-Anwälte ändern sich schnell , sagt Rittweger: "Vor wenigen Jahren ging es noch zu 80 Prozent um Software- und IT-Implementierungen." Heute betreffen 60 Prozent der Fälle und Verhandlungen, die die Spezialisten beschäftigen, den Datenschutz. Ein Viertel sind Verträge und Streitereien über Outsourcing-Projekte.
Eine geplante Richtlinie der Europäischen Union etwa droht Unternehmen, die Datenschutzvorschriften schlampig umsetzen - etwa durch zu spätes Antworten oder Daten-Löschen -, harte Strafen von bis zu zwei Prozent ihres weltweiten Jahresumsatzes an. Drohende Milliardenstrafen sind gut fürs Geschäft der Anwälte. Rittweger etwa berät nach eigenen Angaben "allein drei große US-Konzerne beim Einführen einer internen Datenschutzorganisation".
Die Aktionen der Hacktivisten Die in losen Gruppen organisierten Hacker haben in den vergangenen Jahren einige spektakuläre Aktionen gestartet. Hier sehen Sie eine Zusammenfassung.
September 2008: Fox News Einige Monate später gab es die nächste öffentlichkeitswirksame Attacke von Anonymous. Das Ziel dieses Mal: Bill O'Reilly, der wichtigste Moderator des konservativen Fernsehsenders Fox News, und seine Anhänger. Mitglieder der Hacker-Gruppe knackten die Web-Seite des Moderators, sammelten E-Mail-Adresse samt Passwörter und Anschriften von 205 O'Reilly-Unterstützer ein und übergaben die Informationen Wikileaks. Am Tag darauf folgten zwei DDoS-Angriffe auf Billoreilly.com. Das Bild zeigt angeblich die Einladung zum Hacken von Fox News, die auf dem Imageboard 4Chan innerhalb der Anonymous-Gruppe zirkulierte.
Oktober 2010: KISS- Bassist Gene Simmons Anonymous legte GeneSimmons.com mit einer DDoS-Attacke im Rahmen der "Operation Payback" lahm. Die Kampagne richtete sich gegen einzelne Personen und Institutionen, die im Verdacht standen, die Privatsphäre im Internet zu gefährden. Die Hacker hatten insbesondere den Verband der Musikindustrie in den USA im Visier (Recording Industry Association of America; RIAA), weil er massiv gegen die Tauschbösen im Internet vorging. KISS-Bassist Gene Simmons geriet in den Fokus der Hacker-Gruppe, weil er gegen die "pickeligen College-Kids" gewettert hatte, die illegal Musik aus dem Internet laden.
Dezember 2010: Diverse Finanzdienstleister Ende 2010 solidarisierte sich Anonymous mit der Whisteblower-Plattform Wikileaks und ihrem Gründer und Aushängeschild Julian Assange. Die DDos-Attacken richteten sich gegen PayPal und andere Finanzinstituten, die die Annahme von Spenden für Wikileaks verweigerten. Vorausgegangen war die Veröffentlichung der Berichte von US-Diplomaten auf der Plattform. Auf dem Poster, das für die "Operation Avenge Assange" warb und das im Internet zirkulierte, schrieb die Gruppe, dass Assange die gleichen Prinzipien wie das Hacker-Kollektiv "vergöttere".
Dezember 2010: Santa Cruz County Im Dezember 2010 machte eine weitere Organisation mit einer spektakulären Attacke auf sich aufmerksam: Die "Peoples Liberation Front" streckte die Web-Seite der Stadtverwaltung von Santa Cruz County nieder. Einer Pressemitteilung des US-Justizministeriums zufolge reagierten die Hacker auf Festnahmen von Demonstranten. Sie hatten vor dem örtlichen Gericht protestiert und hatten damit gegen die Camping-Richtlinien innerhalb der Stadtgrenzen verstoßen. Im September 2011 klagten die Behörden Joshua John Covelli (Bild) für seine führende Rolle bei der DDoS-Attacke gegen die Santa-Cruz-Web-Seite an. Er war zuvor schon im Zusammenhang mit dem Angriff auf PayPal aufgefallen.
Februar 2011: HBGary Federal und Aaron Barr Als Anonymous Wind davon bekam, dass Aaron Barr, damaliger CEO der Sicherheitsfirma HBGary Federal, die Identität der wichtigsten Hacker veröffentlichen wolle, trat die Hacker-Gruppe die Flucht nach vorn an: Sie knackte HBGary Federals Web-Site und verschaffte sich über nur schwach gesicherte Systeme Zugang zum E-Mail-Server. Dort fanden die Hacker unter einigen kompromittierenden Nachrichten auch einen Hinweis darauf, wie Barr den WikiLeaks- und Salon.com-Autor Glenn Greenwald angehen wollte. Die Enthüllung der E-Mails brachte die Security-Firma erheblich ins schlingern. Das Bild zeigt den HBGary-Stand auf einer RSA-Konferenz.
Mai 2011: PBS So sah die Web-Seite der US-Senderkette PBS aus, nachdem LulzSec-Mitglieder sie sich im Mai 2011 vorgenommen hatten. Die Aktivisten waren unzufrieden mit einer Dokumentation des PBS-Spartenkanals Frontline über den Wikileaks-Informanten Bradley Manning. LulzSec verbreitete zudem über den Newsticker von PBS, dass der 1996 verstorbene Rapper Tupac Shakur in Neuseeland lebe. Zudem postete die Gruppe Login-Daten und Adressen einiger Besucher der PBS-Site.
Juni 2011: InfraGard Atlanta Kurz danach manipulierte LulzSec die Web-Site von InfraGard in Atlanta. Die Organisation bekämpft gemeinsam mit dem FBI die Cyberkriminalität. Nach dem Besuch der Hacker-Gruppe zeigte die Web-Seite ein YouTube-Video. Die Hacker entwendeten zudem persönliche Daten von 180 InfraGard-Anwendern und veröffentlichte sie auf The Pirate Bay zusammen mit Auszügen aus geheimen E-Mails, die mit dem FBI ausgetauscht wurden. Auslöser der Attacke waren angeblich Äußerungen von Barack Obama zu den Aktivitäten von Hackern.
Mai bis Juni 2011: Sony Pictures Wenige Wochen später wurde Sony erneut zum Angriffsziel der Hacker. Dieses Mal attackierte LulzSec Sony Pictures und brach in diversen Web-Seiten und Datenbanken des Konzerns ein. Die Gruppe behauptete, sie habe mehr als eine Millionen persönliche Daten von Sony-Kunden entwendet, darunter Passwörter und Postadressen. Sie veröffentlichte Details des Angriffs und Passwörter sowie 75.000 Musik-Codes und 3,5 Millionen Coupons.
Juni 2011: Der Senat der Vereinigten Staaten Ebenfalls im Juni hackte die Gruppe die Web-Seite des US-Senats. Eine Sprecherin der Parlamentkammer bestätigte später den Angriff.
Juni 2011: CIA Kurz danach nahm sich LulzSec den CIA vor. Mit einem DDoS-Angriff zwang die Gruppe die CIA-Web-Seite für mehrere Stunden in die Knie.
Juni 2011: InfraGard Connecticut Im Juni nahm LulzSec erneut InfraGard ins Visier. Via Twitter verkündete die Gruppe, sie habe mittels einfacher SQL-Injection die Web-Seite von InfraGard Connecticut geknackt.
Juli 2011: The Sun Eigentlich hatte sich LulzSec Ende Juni 2011 aufgelöst. Doch der Abhörskandal um die britischen Boulevard-Zeitung "News of the World" und den News-Corp.-Konzern des Medienmoguls Rupert Murdoch rief die Gruppe noch einmal auf den Plan: Sie manipulierte die Web-Seite der britischen Zeitung "The Sun", die ebenfalls zum Murdoch-Imperium zählt. Dort platzierte sie eine Meldung über den Tod von Murdoch. Der eingefügte Link führte zu einem Twitter-Account von LulzSec.
Juli 2011: ManTech International Nach dem Ende von LulzSec sorgte Anonymous wieder für Aufmerksamkeit. Die Hacker brachen in das Netz der Rüstungsfirma ManTech International ein und drohten damit, Dokumente zu veröffentlichen, die man vom internen Server geladen hatte.
August 2011: Öffentlicher Nahverkehr in San Franzisko Mitte August 2011 hackte Anonymous die Online-Präsenz des öffentlichen Nahverkehrs in San Francisco, "Bay Area Rapid Transit" (Bart). Die Gruppe veröffentlichte User-Namen, Adressen und Telefonnummern von über 2000 Pendlern und brachte die Web-Seite MyBart.org zum Erliegen. Anonymous reagierte damit auf das Abschalten des Mobilfunknetzes für alle Bart-Passagiere. Damit hatten die Verkehrbetriebe verhindern wollen, dass sich Demonstranten über Handy absprechen und zu Aktionen verabreden. Anlass der damaligen Kundgebung in San Franzisko war der Tod eines US-Bürger, der von den Sicherheitskräften der Verkehrsbetriebe erschossen wurde.
Oktober 2011: Web-Seiten mit Kinderpornographie Im Rahmen der Operation Darknet löschte Anonymous Links zu Kinder-Pornografie-Seiten auf einer Web-Präsenz namens Darknet. Die Hacktivisten warnten die Hosting-Firma Freedom Hosting und forderte sie auf, sämtliche illegale Inhalte zu löschen. Als der Betreiber sich weigerte verschafften sich die Hacker Zugang zu den Servern, sperrten sämtliche Zugänge zu gehosteten Web-Seiten und veröffentlichen Login-Details von 1600 Anwendern. Freedom Hosting stellte die Kinder-Pornografie-Seiten wieder her, nur um erneut von Anonymous attackiert zu werden.
November 2011: Die Finanzindustrie Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Florida Family Association Ein einzelner Hacktivist, der sich mit Anonymous und AntiSec solidarisch erklärte, knackte die Web-Seite der konservativen Gemeinschaft "Florida Family Association". Die hatte zuvor zum Boykott der Handelskette Lower aufgerufen, die während der Fernsehserien "All-American Muslim" einen Werbclip geschaltet hatte. Die Sendung zeigt den Alltag muslimischer US-Bürger und wird von den konservativen Bürgern verunglimpft und bekämpft. Die Handelskette gab dem Druck nach und zog die Werbung tatsächlich zurück. Der Hacker veröffentlichte Namen, E-Mail- und IP-Adressen von Mitgliedern der Gemeinschaft und drohte, das gleiche auch mit Kreditkartendaten zu tun.
Dezember 2011: Stratfor Weihnachten 2011 drang die Hackergruppe in die Systeme von Stratfor ein, einer US-Firma für internationale Sicherheitsanalysen, und kopierte offenbar tausende Kreditkartennummern. Den Datenklau verkauften die Hacker als Wohltätigkeitsaktion zur Weihnachtszeit.
Wolke kostet Anwaltsstunden
Konzerne, die ihre Personalverwaltung zum Beispiel in ein anderes Land auslagern, brauchen Datenschutzberatung - für beide Staaten. Auch bei der groß angelegten Auslagerung von Daten auf zentrale Server anderer Anbieter, sodass die Daten aus dem Internet abgerufen werden können (Cloud Computing), müssen sich Unternehmen besonders absichern: "Der Kunde braucht Unterstützung vom Cloud-Anbieter, um das Risiko, Daten zu verlieren, auszuschließen", sagt Ralf Weisser von McDermott Will & Emery. "Für Schadensfälle sollten Unternehmen mit den Anbietern Vertragsstrafen vereinbaren, denn Schäden durch entgangene Geschäfte lassen sich nur mühsam beweisen."
Sehr lukrativ sind für Kanzleien vor allem auch große Outsourcing-Projekte, berichtet Rittweger. Verhandlungen darüber inklusive der dazugehörigen Ausschreibungen, könnten ein Jahr dauern, ergänzt Bräutigam. Anwälte tagen dann lange mit den Unternehmensjuristen - etwa dann, wenn Kunden sich nicht auf Sicherheitsvorkehrungen des Outsourcing-Anbieters verlassen und diesen eigene hinzufügen wollen. "Schludert man anfangs, sind Missverständnisse vorprogrammiert", sagt Bräutigam. "Ein Projekt etwa, bei dem ein Outsourcing-Dienstleister zu stark im Preis heruntergehandelt wird, geht meist schief. Erst hakt es auf der technischen Seite, dann hat der Anbieter plötzlich seine besten Leute nicht mehr im Projekt, die Stimmung sinkt - und dann gehen die Eskalationsmeetings samt den Anwälten los", sagt Alexander Duisberg von Bird & Bird. "Einen Anbieter wie eine Zitrone auszupressen ist beim Outsourcing kontraproduktiv."
Die Top-Kanzleien für IT-Recht
Porträts: Bitte klicken Sie auf den Namen der Kanzlei oder des jeweiligen Anwalts, um mehr zu erfahren