Digital sicher in eine nachhaltige Zukunft: Tagungsband zum 19. Deutschen IT-Sicherheitskongress

Von SecuMedia

Ohne Zweifel eine fortdauernde und sogar zunehmende Bedrohung durch Angriffe auf die IT. Aber auch ein zunehmender gesellschaftlicher Dialog zur Stärkung der Resilienz. Quantencomputer, die die klassischen Verschlüsselungsmethoden überwinden können, aber auch bereits weit entwickelte neue Sicherheit durch Post-Quanten-Kryptografie. Zunehmende Angriffe auf kleine und mittlere Unternehmen, aber auch umfangreiche Hilfsangebote für KMU. Mehr noch: Online-Wahlen, deren Sicherheit im BSI jetzt schon im Fokus steht, oder die dringende Notwendigkeit, nach einem Ransomware-Angriff für massiv überlastete Mitarbeitende Hilfen anzubieten.

• Sprache: Deutsch
• Herausgeber: SecuMedia
• Erscheinungsdatum: 25. Mai 2023
• ISBN: 9783939639107

Buchvorschau

Inhaltsverzeichnis

Vorwort

Programmbeirat

Autorenverzeichnis

Stichwortverzeichnis

Politik und Gesellschaft

Bianca Kastl, Sabine Griebsch, Dialog für Cyber-Sicherheit:IT-Sicherheit im Dialog mit der Gesellschaft weiterentwickeln

Anne Leßner, Dr. Tobias Rothkegel, Osborne Clarke Rechtsanwälte Steuerberater PartmbB:Verbands- und Massenklagen nach IT Incidents – Umsetzung der Verbandsklagerichtlinie in Deutschland im Zusammenspiel mit der DSGVO

Malte Kuckel, Hessisches Ministerium des Innern und für Sport, Wiesbaden:Zukunft gestalten – Cybersicherheitsforschung in Hessen

Digitale Signaturen & Authentifizierung

Axel Sandot, Klaus Schmeh, Eviden (an atos business):Aufbau einer PKI für die Fahrzeug-zu-Infrastruktur-Kommunikation: Ein Praxisbericht

Dan Butnaru, Klaus Schmeh, Eviden (an atos business):Digitale Signaturen in der Produktion eines internationalen Pharmakonzerns: Eine Case Study

Benedikt Bastin, Rheinische Friedrich-Wilhelms-Universität Bonn:Vergleich von Multi-Faktor-Authentisierungsverfahren

Threat Intelligence

Jan Merlin Stottmeister, Hochschule Niederrhein, University of Applied Sciences, Mönchengladbach:Teilautomatisierung der Recherche/Aggregation nach IT-Sicherheitsinformationen durch Threat Intelligence Informationen aus dem Clearnet, Deepweb und Darknet

Dr. Timo Steffens, Dr. Christian Nawroth, Bundesamt für Sicherheit in der Informationstechnik, Bonn:A Technical Analysis Process for Multi-Stakeholder Attribution of Cyber-Operations

Julian-Ferdinand Vögele, Insikt Group, Recorded Future:Die Jagd nach dem Unbekannten: Effektiver Threat-Hunting-Prozess mit Beispielen aus dem Ukraine-Konflikt

Kryptografie

Dr. Guido Frank, Dr. Nico Klein, Dr. Joanna Meinel, Bundesamt für Sicherheit in der Informationstechnik, Bonn:Sicherheitsanforderungen an Kommunikationsverbindungen effizient überprüfen

Dr. Kaveh Bashiri, Dr. Stephan Ehlen, Dr. Heike Hagemeier, Dr. Tobias Hemmert, Dr. Stavros Kousidis, Bundesamt für Sicherheit in der Informationstechnik, Bonn:Aktuelle Entwicklungen zu quantensicherer Kryptografie

Alexander Wagner, Felix Oberhansl, Marc Schink, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München:Post-Quantum Secure Boot mit hashbasierten Signaturen

Cyber-Resilienz

Inge van der Beijl (M. Sc.), Sophie van Hoof (B. Sc.), Gerine Lodder (Ph. D.), Eileen Walther (M. Sc.), Northwave Cyber Security:Auf den Angriff folgt das Trauma – Die psychischen Auswirkungen von Ransomware-Attacken

Stefan Hessel, Christoph Callewaert, Reusch Rechtsanwaltsgesellschaft mbH, Saarbrücken:Die geplante EU-Verordnung für einen Cyber Resilience Act – Worauf müssen sich Unternehmen einstellen?

Jon Christiansen, Dominik Schelle, Mandiant (part of Google Cloud):Emulation von destruktiven Cyberangriffen als Teil von Threat Intelligence basierten Sicherheitstests

Sichere IT-Infrastrukturen

Ulrich Kohn, Uli Schlegel, Dr. Helmut Grießer, Dr. Tobias Fehenberger, Adva Network Security GmbH, Berlin:Warum Zero Trust Architekturen ohne vertrauenswürdige Netze verwundbar sind

Nicolas Frinker, Genua GmbH; Steffen Liebergeld, Dr. Andreas Otto, Kernkonzept GmbH; Mario Frank, Mario Egger, Universität Potsdam:Eine vertrauenswürdige, sichere Public Cloud – Utopie oder Realität?

Nils Greinert, Marie-Therese Perschmann, Christian Stengel, Dr. Friedrich Tönsing, Deutsche Telekom Security GmbH:Ready! Steady! GoLive! – Die größten Herausforderungen beim Aufbau des OPTIMOS-TSMS

Kleine und mittlere Unternehmen

Marc Dönges, Julian Rupp, Der Mittelstand. BVMW e.V., Berlin:Mehr IT-Sicherheit in kleinen und Kleinstunternehmen mit dem neuen Beratungsstandard DIN SPEC 27076

Digitale Identitäten

Holger Funke, secunet Security Networks AG; Marie-Therese Perschmann, Christian Stengel, Dr. Friedrich Tönsing, Deutsche Telekom Security GmbH:Kein Standard – oder was? Standardisierung von Sicherheit auf Smartphones aus dem Blickwinkel eines Trusted-Service-Management-Systems

Luise Dorenbusch, Stadt Leipzig:Vertrauensniveaubestimmung in der kommunalen Praxis

Dr. Dirk Woywod, Konrad Degen, Verimi GmbH, Berlin; Dr. Torsten Lodderstedt, Yes IDP GmbH, Berlin:OpenID for Verifiable Credentials (OpenID4VCs) Anwendung mit einer ID-Wallet und kombinierten ID-Daten des nPA und eines Covid19-Zertifikats

Cyber-Sicherheit für die Wirtschaft

Thorsten Eller, Hochschule Aalen; Ramon Rank, Industrie- und Handelskammer Ostwürttemberg:Cyberawareness - Sensibilisierung von Cybercrime auf Geschäftsführungsebene in mittelständischen produzierenden Unternehmen

Thomas Kochanek, Marc Sparwel, KonzeptAcht GmbH:Open Source Security Information and Event Management (SIEM) im Rahmen von KRITIS, IT- Sicherheitsgesetz und Good Practices

Frank Cremer, Prof. Dr. Michael Fortmann, Prof. Dr. Barry Sheehan, Prof. Dr. Martin Mullins, Technische Hochschule Köln / University of Limerick:Cyber-Versicherung – Ein Einblick in die Ausschlüsse des deutschen Cyber-Marktes

Online Wahlen und Cyber Security Standards

Jennifer Breuer, Sebastian Palm, Bundesamt für Sicherheit in der Informationstechnik, Bonn:Herausforderung bei der Standardisierung von Sicherheitsanforderungen für Online-Wahlen

Jennifer Breuer, Sebastian Palm, Bundesamt für Sicherheit in der Informationstechnik, Bonn; Dr. Jochen Rill, Alter Solutions Deutschland GmbH:Fallstricke bei der Implementierung von Online-Wahlen

Dr. Ingo Hanke, SMA Solar Technology AG, Niestetal:Auch Hacker lesen Standards

Hinweis:

Auf den Seiten →, →, →, →, →, → und → befinden sich Grafiken mit komplexen Inhalten und darum sehr kleinteiligen Details. Um Einzelheiten zu studieren, können Sie diese Grafiken auch höher aufgelöst auf der Spezialseite https://www.secumedia-shop.net/i/digital-sicher-in-eine-nachhaltige-zukunft-tg-band-2023 finden

Informationssicherheit als Voraussetzung für eine sichere, erfolgreiche und nachhaltige Digitalisierung

Die Themen in der Cyber-Sicherheit, die Expertinnen und Experten ebenso bewegen wie institutionelle und private IT-Nutzerinnen und -Nutzer, sind vielfältig. Die Bedrohungslage im Bereich der Cyber-Kriminalität ist anhaltend hoch und die Anforderungen an eine sichere Digitalisierung nehmen stetig zu.

Den Weg in eine digitalisierte Gesellschaft können wir gehen, wenn Cyber-Sicherheit unsere ständige Begleiterin ist: Sie ist die Voraussetzung für eine erfolgreiche, sichere und nachhaltige Digitalisierung und die Verfügbarkeit kritischer Dienstleistungen, sie gewährleistet Datensicherheit und Datenschutz. In letzter Konsequenz sorgt sie für das Funktionieren von Staat, Wirtschaft und Gesellschaft.

Mit dem 19. Deutschen IT-Sicherheitskongress hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut Entscheidungsträgerinnen und Entscheidungsträgern aus Wirtschaft, Gesellschaft und Verwaltung sowie IT-Expertinnen und -Experten eine Plattform geboten, um sich zu aktuellen IT-Sicherheitsthemen auszutauschen. Unter dem Blickwinkel des diesjährigen Mottos „Digital sicher in eine nachhaltige Zukunft" standen in 28 Fachvorträgen, Keynotes und Podiumsdiskussionen Themen wie Threat Intelligence, Digitale Signaturen und Kryptografie im Fokus.

Lassen Sie uns die beim Kongress gesetzten Impulse aufgreifen und umsetzen – mit dem Ziel, gemeinsam eine sichere Digitalisierung in Deutschland zu gestalten!

Ich wünsche Ihnen eine interessante Lektüre.

Ihr

Dr. Gerhard Schabhüser

Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik

Zu den vom BSI berufenen Mitgliedern des Programmbeirates gehören:

Dr. Jens Bender – Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Dr. Zinaida Benenson – Friedrich-Alexander-Universität Erlangen-Nürnberg

Benjamin Brake – Bundesministerium für Digitales und Verkehr

Dr. Daniela Brönstrup – Bundesministerium für Wirtschaft und Klimaschutz

Prof. Dr. Christoph Busch – ATHENE-Darmstadt

Susanne Dehmel – Bitkom e.V.

Dr. Alexandra Gilsbach – TÜV-Verband

Dr. Sven Herpig – Stiftung Neue Verantwortung

Prof. Dr. Hartmut Ihne – Hochschule Bonn-Rhein-Sieg

Michael Jochem – Robert Bosch GmbH

Dr. Johannes Kaiser – Deutsche Bundesbank

Prof. Dr. Stefan Katzenbeisser – Universität Passau

Prof. Dr. Klaus-Peter Kossakowski – Hochschule für Angewandte Wissenschaften Hamburg

Prof. Dr. Anja Lehmann – Hasso-Plattner-Institut

Prof. Dr. Michael Meier – Rheinische Friedrich-Wilhelms-Universität Bonn

Dr. Gisela Meister – Eurosmart

Dr. Kim Nguyen – D-Trust GmbH / Bundesdruckerei

Prof. Dr. Ilia Polian – Universität Stuttgart

Prof. Dr. Reinhard Posch – Technische Universität Graz

Frank Rieger – Chaos Computer Club

Dr. Jochen Rill – Alter Solutions Deutschland

Oberst Guido Schulte – Bundeswehr

Thomas Tschersich – Deutsche Telekom AG / Deutsche Telekom Security GmbH

IT-Sicherheit im Dialog mit der Gesellschaft weiterentwickeln

Bianca Kastl¹, Sabine Griebsch²

Kurzfassung:

Der Dialog mit „Vertretern aus Zivilgesellschaft" wurde schon 2021 in der Cybersicherheitsstrategie³ der damaligen Regierung als Ziel benannt. Im Koalitionsvertrag der neuen Regierung steht: „Wir wollen eine neue Kultur der Zusammenarbeit etablieren, die auch aus der Kraft der Zivilgesellschaft heraus gespeist wird.⁴ Schließlich steht die „partnerschaftliche Zusammenarbeit auch auf der 2022 veröffentlichten Cybersicherheitsagenda ⁵. Aber was heißt das eigentlich konkret, und wie kann dies in die Praxis umgesetzt werden. Und was soll schließlich dabei herauskommen? Vor dem Hintergrund des seit 2016 laufenden Dialogprojekts des Bundesamts für Sicherheit der Informationstechnik (BSI) wird im vorliegenden Beitrag ausgeführt, wie ein solcher Dialog ausgestaltet werden kann, und was dabei für Ergebnisse herauskommen können. Ergebnisse für eine sichere Digitalisierung, und vielleicht gar für mehr Cyber-Resilienz in der Gesellschaft.

Stichworte: Bug Bounty, BuntesBugBounty, Denkwerkstatt, Dialog, Digitale Gesellschaft Smart und Sicher, Hackerparagraf, Multistakeholderdialog, Workstreams

1. Vom Diskurs zum Dialog

Mit der fortschreitenden Digitalisierung in Unternehmen, Kritischer Infrastruktur und öffentlicher Verwaltung nehmen die Risiken und die Auswirkungen etwaiger Schäden auf Zivilgesellschaft, Wirtschaft und Infrastruktur stetig zu.

Von IT-Verantwortlichen wird Cyber-Sicherheit als komplex, anspruchsvoll und kostenintensiv wahrgenommen. Potenzielle wirtschaftliche Schäden, die aufgrund von Betriebsunterbrechungen, etwaigen Kosten für Datenwiederherstellungen, IT-Forensik und Schadensersatzforderungen auftreten können, lassen sich durchaus kalkulieren. Mit Blick auf die bekanntgewordenen Sicherheitsvorfälle der Mitbewerber, wird eine Notwendigkeit gesehen.

Andere Schäden, etwa ein wochen- oder gar monatelang andauernder Ausfall von Verwaltungsdiensten, bleiben hingegen abstrakt, da es bislang kaum möglich war belastbare Zahlen zu erheben. Diese Vorfälle treffen jedoch alle Anspruchsgruppen einer Behörde, damit eine Vielzahl von Menschen, teils existenziell, und beschädigen tiefgreifend und nachhaltig das Vertrauen in die Funktionsfähigkeit von Staat und Verwaltung.

Zusätzlich können IT-Verantwortliche auf konkrete Warnungen und gefundene Schwachstellen oftmals selbst nach einer eingehenden Risikobewertung nicht adäquat reagieren, weil Zuständigkeiten unklar sind oder Administratoren und Fachverfahrenshersteller schlicht keine Ressourcen zur Verfügung stellen können, den Fehler zeitnah zu beheben, oder weil die Dauer der Maßnahmen als erheblich oder unwirtschaftlich eingeschätzt wird.

Eine zentrale Frage im Themenfeld der Cyber-Sicherheit ist daher, wie man erfolgreich und von Beginn an zu einem stärkeren Problembewusstsein in den verschiedenen gesellschaftlichen Ebenen kommen kann, sodass Cyber-Sicherheit künftig als eine gesamtgesellschaftliche Aufgabe von höchster Priorität gesehen wird. Ziel muss es sein, in der Breite ein Umdenken hin zu einer angemessenen Priorisierung und zielführenden Zuordnung von Ressourcen für sichere digitale Infrastrukturen in der Entwicklung. Implementierung und Konfiguration von Software und Hardware zu bewirken.

Als Teil der Bemühungen, den Diskurs über IT-Sicherheit zu unterstützen und dabei auch den Austausch zwischen verschiedenen Stakeholdern voranzutreiben, initiierte das Bundesamt für Sicherheit in der Informationstechnik im Jahr 2016 das Projekt „Digitale Gesellschaft Smart und Sicher"⁶. Als innovativ wurde der intensive Austausch zwischender organisierten Zivilgesellschaft und dem BSI wahrgenommen. In einem Austausch über die Herausforderungen formulierten die Multiplikatoren die Bedarfe der Gesellschaft. Dies führte zu einem zielgerichteten Transfer von IT-Sicherheitswissen in die Zivilgesellschaft..

Im darauffolgenden Projekt „Institutionalisierung des gesellschaftlichen Dialogs wurde erarbeitet, wie man den Dialog, der bislang in Form von Denkwerkstätten stattgefunden hatte, ausbauen und verstetigen kann. Die Lösung lag in einem Arbeitsmodell, das die Dialogveranstaltungen um eine Arbeitsphase ergänzt, in der die Teilnehmenden gemeinsam an ihren Themen arbeiten können und so ihre verschiedenen Perspektiven, sowie ihre unterschiedlichen Expertisen einbringen können. Der Beginn des „Dialogs für Cyber-Sicherheit.⁷

Abbildung 1: Logo https://www.dialog-cybersicherheit.de/

2. Vom Reden zum Handeln kommen

Die Digitalisierung steht für schnell fortschreitende, technische Innovationen, die auf unterschiedliche Weise mit dem Thema Cyber-Sicherheit verknüpft sind. Da sie jeden einzelnen betrifft, ist es nur zielführend alle gesellschaftlichen Gruppen und damit alle Perspektiven einzubeziehen. Das Bundesamt für Sicherheit in der Informationstechnik führt bereits seit 2016 einen partizipativ ausgerichteten gesamtgesellschaftlichen Dialog, um die Vielschichtigkeit der Perspektiven auf das Thema Cyber-Sicherheit möglichst breit und realitätsnah abzubilden. Ziel ist es, allen Beteiligten einen Austausch bzw. eine Mitwirkung auf Augenhöhe zu ermöglichen. Stakeholder profitieren vom Expertenwissen des BSI, und das BSI profitiert von der praktischen Perspektive der Stakeholder und ihrem Expertenwissen über technische Infrastrukturen und ihre Verletzlichkeiten, bis hin zur intrinsischen Motivation, sogenannter White-Hat-Hacker, also ehrenamtlicher Sicherheitsforscher:innen.

Im Februar 2021 startete der „Dialog für Cyber-Sicherheit" als neues Projekt mit dem Auftakt der sechsten Denkwerkstatt.⁸

Kernstück des Dialogs ist die einmal im Jahr stattfindende „Denkwerkstatt Sichere Informationsgesellschaft", die zuletzt vom 19. bis 20. September 2022 in Leipzig stattfand. Die Denkwerkstatt ist das Forum der Dialogpartnerinnen und - partner. Die im Zuge der Denkwerkstatt aufkommenden Fragenstellungen, Themen und Ideen bilden die Grundlage für die Aktivitäten – die Workstreams –, in denen in den darauffolgenden Monaten verschiedene Lösungsvorschläge für die Herausforderungen im Bereich der Cyber-Sicherheit erarbeitet werden.

Die Teilnehmenden am Dialog für Cyber-Sicherheit sind Vertreterinnen und Vertreter aus den Bereichen „Zivilgesellschaft, „Wissenschaft, „Kultur und Medien, „Wirtschaft und „Staat und Verwaltung". Sie treten untereinander sowie mit dem Bundesamt für Sicherheit in der Informationstechnik in einen intensiven Austausch.

Abbildung 2: Vereinfachte Darstellung eines Jahreszyklus des Dialogprozesses

Der Multistakeholder-Prozess wird im Auftrag des BSI durchgeführt. Meinungen und Perspektiven zum Thema Cyber-Sicherheit werden geteilt und der Dialog vorangetrieben.

Darüber hinaus wurden im Rahmen der Denkwerkstatt 2022 auch Stellvertreter:innen der verschiedenen Stakeholdergruppen gewählt, die den Prozess, ebenso wie die Vertreter:innen für einen Zeitraum von zwei Jahren, begleiten und das Dialog-Komitee bilden. Das Gremium stellt sicher, dass der Prozess transparent verläuft, interveniert. wenn nötig, und vermittelt, sobald sich Konflikte anbahnen. Das geschieht regelmäßig bei Bedarf und immer im Sinne eines partizipativen Vorgehens, das die Erwartungen der Stakeholder berücksichtigt. Der Dialog zeichnet sich durch eine Vielfalt an Kompetenzen, Wissen und Meinungen sowie die Offenheit des Prozesses für alle am Thema interessierten Personen aus.

Der Denkwerkstatt schließt sich ein mehrmonatiger Arbeitszyklus an, in dem mit Unterstützung der Geschäftsstelle an den verschiedenen Themen gearbeitet wird, die gesellschaftlichen Kräfte für mehr Cyber-Sicherheit gebündelt werden und die Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik und der organisierten Zivilgesellschaft forciert wird.

2.1. Von der Bestandsanalyse zum Methodenkoffer: IT-Sicherheit in die Schule bringen

Im Rahmen des ersten Projektzyklus 2021/2022 hatte sich der Workstream „Update4Schule"⁹ zum Ziel gesetzt, das Verständnis und die Kompetenzen von Schüler:innen in den Bereichen Informationssicherheit und Datenschutz zu erfassen.

Nach anfänglichen Recherchen wurde deutlich, dass der Wissensstand rund um diese Kompetenzen in Deutschland bislang kaum erforscht ist. Daher hat das Team, bestehend aus Expert:innen aus der Zivilgesellschaft, mit Unterstützung der Geschäftsstelle und des BSI eine empirische Studie zum Wissensstand, den Kompetenzen und der Sensibilität von Schüler:innen und Lehrer:innen in Deutschland zum Thema Cyber- und Datensicherheit durchgeführt. Die Ergebnisse der Studie zeigen auf, dass grundlegende Begrifflichkeiten und Thematiken zu Cyber- und Datensicherheit sowohl Schüler:innen als auch Lehrer:innen bekannt sind, jedoch die zugrunde liegenden – und oft komplexen – Zusammenhänge meist nicht erklärt werden können. Dies führt im Verhalten und bewussten Handeln der Befragten nicht selten dazu, dass IT-Sicherheit im Umgang mit den eigenen digitalen Geräten und Daten eine eher untergeordnete Rolle spielt. Vor allem bei den Handlungsmöglichkeiten zum Selbst- und Fremdschutz oder nach einem Cyberangriff auf das eigene Gerät weisen die Befragten Wissenslücken und Unsicherheiten hinsichtlich des Umgangs mit solchen Situationen auf. Die Teilnehmer:innen der Befragung sowie die am Workstream beteiligten Expert:innen stimmen darin überein, dass Angebote zu Cyber- und Datensicherheit in der schulischen Bildung bislang massiv unterrepräsentiert sind und technische Expertise aufgebaut werden muss. Schüler:innen und Lehrer:innen wünschen sich mehr schulische Beratungs- und Lernangebote sowie angemessene Ressourcen für die Umsetzung und den Aufbau von technisch-fachlicher Expertise in den Schulen.

An diese Erkenntnisse knüpft der Workstream „UpSchooling" im aktuellen Projektzyklus 2022/2023 an: Ziel des Workstreams ist es, einen Beitrag zur Vermittlung und zum Erlernen eines souveränen Umgangs mit IT-Systemen für Jugendliche und junge Erwachsene im Alter zwischen 14 und 20 Jahren zu leisten. Hierfür wird u.a. ein partizipativer Workshop veranstaltet, bei dem Lernmodule eines Cyber-Sicherheit-Methodenkoffers mit den Schüler:innen inklusiv und evaluativ entwickelt und getestet werden.

Mit der Umsetzung des Workstreams „UpSchooling soll somit ein Beitrag zur Gestaltung der Informationssicherheit in der Digitalisierung durch Prävention und Reaktion für die Gesellschaft geleistet werden. Ein besonderer Fokus liegt auf Jugendlichen und jungen Erwachsenen, bei denen zum einen die Stärkung der Beurteilungsfähigkeit von Cyber-Sicherheitsrisiken und zum anderen die Steigerung von Lösungskompetenzen angestrebt wird. Durch die Einbindung der verschiedenen Stakeholder-Expertisen bei der Umsetzung des Workstreams wird dem Ziel des „Dialogs für Cyber-Sicherheit Rechnung getragen, Cyber-Sicherheit als gesamtgesellschaftliche Aufgabe zu verstehen. Der Austausch unter den Stakeholdern lädt zu einem Perspektivwechsel ein, indem die Zusammenarbeit von Vertrauen, Offenheit, Wohlwollen, Kollegialität und Fairness geprägt ist.

2.2. Bekannte Probleme gemeinsam angehen: „BuntesBugBounty"

Der zweite hier vorgestellte Workstream widmet sich dem Thema Bug-Bounty-Programme. Diese sind ein andernorts etabliertes Konzept zur systematischen Schließung von Sicherheitslücken, die stetig ein zentrales Problem für die allgemeine IT-Sicherheit darstellen.

Das zu lösende Problem ist aktuell so zu beschreiben: Wenn gutartige Hacker:innen oder Sicherheitsforscher:innen in einem Fremdsystem eine Sicherheitslücke finden und zur Behebung melden wollen, stehen diese aktuell in Deutschland vor mehreren Problemen.

Viele Unternehmen oder öffentliche Stellen haben oftmals keine Kontaktmöglichkeit für Sicherheitsforscher:innen, um vertrauensvoll und strukturiert Sicherheitslücken entgegenzunehmen.

Für Sicherheitsforscher:innen beginnt damit nach dem Finden von Sicherheitslücken ein oftmals langwieriger Prozess der Suche nach der richtigen Ansprechperson. Klar organisierte Meldeprozesse im Sinne eines sogenannten Responsible Disclosure Verfahrens haben nur sehr wenige Unternehmen oder öffentliche Stellen.

Darüber hinaus begeben sich Sicherheitsforscher:innen in Deutschland mit dem Melden von Sicherheitslücken unter Umständen in eine rechtliche Grauzone. Das ist eine Besonderheit der deutschen Rechtssituation:

Während Dänemark immerhin „lausige T-Shirts" verschenkt für erfolgreiche Pentests ethischer Hacker¹⁰ und die Schweiz – nachdem eine Firma schon auf eigene Faust als Bug Bounty Switzerland das Problem in Angriff genommen hatte¹¹ – Anfang August ein staatliches Programm auflegte¹², gilt in Deutschland immer noch der Paragraf § 202 StGB, auch bekannt als „Hackerparagraf", der in der Praxis Sicherheitsforschung kriminalisieren kann. Demnach macht sich strafbar, wer sich unberechtigt Zugang zu Daten verschafft, was beim Offenlegen von Sicherheitslücken in aller Regel der Fall ist, und dazu führen kann, dass ethischen Hackern statt Dankbarkeit oft eine Strafandrohung oder gar Strafanzeige entgegenbracht wird¹³. Da ethische Hacker und Sicherheitsforscher:innen aber einen wichtigen Beitrag für die IT-Sicherheit der gesellschaftlichen digitalen Infrastrukturen darstellen können, ist die Entwicklung eines geordneten Verfahrens, wie dies ein bundesweites Bug Bounty darstellen könnte, ein sinnvolles Ziel.

Die Vereinfachung des Meldens von Sicherheitslücken stellt somit einen gesamtgesellschaftlichen Gewinn dar und ist gewissermaßen gelebter Cybersicherheitsdialog: Digital engagierte Sicherheitsforscher:innen können mit Unternehmen oder öffentlichen Stellen in einen Dialog treten, um gemeinsam Sicherheitslücken zu schließen, die ansonsten gesamtgesellschaftlichen Schaden verursachen könnten – sei es durch Datenleaks oder erhöhtes Angriffsrisiko etwa für Ransomware-Attacken.

Dieser Dialog zwischen Sicherheitsforscher:innen und betroffenen Stellen ist nur dann zielführend möglich, wenn ein vertrauensvoller und einfacher Dialog zum Melden von Sicherheitslücken von Anfang an möglich ist. Meldewege müssen klar sein, das Verfahren muss für alle Beteiligten transparent und nachvollziehbar sein und im Idealfall wird die Arbeit der Sicherheitsforscher:innen – die diese Arbeit ja meist erst einmal unentgeltlich machen – auch finanziell mit einer kleinen Belohnung, einem Bounty, anerkannt.

Abbildung 3: B3 - Buntes Bug Bounty – ein Projekt im Rahmen des Dialogs für Cyber-Sicherheit des BSI

Ziel des betreffenden Workstreams ist daher die Erstellung eines für Deutschland angepassten Konzepts für ein bundesweites Bug-Bounty-Programm, welches sich auf eine zuvor definierte Liste von Softwareprogrammen und -Bibliotheken fokussiert, die durch Behörden und staatliche Institutionen genutzt werden. Das Konzept soll darstellen, wie man Sicherheitsforscher:innen ermöglichen kann, rechtssicher Sicherheitslücken zu melden und zu deren Behebung beitragen und dafür Anreize in Form von Belohnungen vorsehen kann. Das BuntesBugBounty wird dabei im Wesentlichen als eine Brückentechnologie konzipiert zwischen Sicherheitsforscher:innen und betroffenen Stellen. Hierbei sind einige Herausforderungen zu meistern.

Abbildung 4: B3 im Dialog

Zu den Herausforderungen des Workstreams gehören dabei sowohl technische als auch rechtliche aber auch Herausforderungen des Dialogs mit Sichereitsforscher:innen.

So muss etwa die Frage gestellt werden, inwieweit vorhandene Coordinated Vulnerability Prozesse seitens des BSI als Basis sinnvoll erweitert werden könnten oder inwieweit eine Neukonzeption notwendig wäre.

Ebenfalls geklärt werden muss der rechtliche Handlungsrahmen in Deutschland für solche Prozesse, speziell in Hinblick auf den sogenannten „Hackerparagraf". Dazu wird die Erstellung eines Rechtsgutachtens von Seiten des Workstreams angestrebt, das klärt, wie sichere Offenlegungsprozesse für Sicherheitsforscher:innen gestaltet werden können.

Um Doppelentwicklungen mit schon bestehenden Prozessen und Bug Bounties in Deutschland und der EU zu verhindern, aber auch um Best Practices zu übernehmen, besteht der Workstream auch aus einer umfassenden Marktanalyse bestehender Bug Bounty Programme in anderen Ländern oder bei Unternehmen oder öffentlichen Stellen.

Den größten Stellenwert innerhalb des BuntesBugBounty nehmen aber partizipative Formate an, um mit Sicherheitsforscher:innen und betroffenen Stellen gemeinsam eine praktikable und von beiden Seiten akzeptierte Lösung zum Melden von Sicherheitslücken zu schaffen.

Dazu werden Interviews mit Sicherheitsforscher:innen, aber auch Expert:innen aus dem Bereich Cybersicherheit geführt, die wichtige Hinweise zur Ausgestaltung eines solchen Prozesses geben können.

Auch die Konsultation von Betreuer:innen anderer Bug Bounty Programme ist Teil des Dialogs, der für die zielführende Erstellung eines solchen Prozesses notwendig ist.

Darüber hinaus zählt zur Arbeit am BuntesBugBounty auch das Präsentieren des aktuellen Arbeitsstands auf diversen Veranstaltungen im Kontext Cybersicherheit, Sicherheitsforschung oder Netzpolitik, um auch hier ganz im Sinne des Dialogs für Cybersicherheit durch gemeinsamen Dialog die Cybersicherheit in Deutschland gemeinsam zu stärken.

2.3. Weitere Workstreams aus den Vorjahren

Bisher gab es fünf abgeschlossene Workstreams aus den Vorjahren, die eine große Bandbreite von Themen der Cybersicherheit abgedeckt haben.

So gab es einen Workstream zum „Digitalen Mindesthaltbarkeitsdatum", der zum Ziel hatte, den Zusammenhang zwischen mangelhafter Cyber-Sicherheit bei Consumer-IoT-Geräten und ökologischer Nachhaltigkeit aufzuzeigen und konkrete Lösungsansätze und Handlungsempfehlungen zu entwickeln, die zur Verlängerung der Nutzungsdauer von IoT-Geräten unter Berücksichtigung der Cyber-Sicherheit beitragen. Er wurde von Juli 2021 bis März 2022 erarbeitet.

Der Workstream „Dos and Don’ts für nachhaltig sichere Produkte" hatte ebenfalls die Nachhaltigkeit von sicheren digitalen Produkten zum Ziel. Er wurde im Zeitraum von Juli 2021 bis März 2022 erarbeitet. Ein Leitfaden sollte Hersteller:innen und Entwickler:innen wesentliche Kriterien für eine werteorientierte Gestaltung sicherer digitaler Produkte an die Hand geben.

Beim Workstream „Effektive IT-SecurityAwareness: Wirksam ein Bewusstsein für Risiken schaffen " ging es von Juli 2021 bis April 2022 um die Schaffung von Security-Awareness-Maßnahmen unter Einbindung aktueller wissenschaftlicher Erkenntnisse. Im Fokus standen dabei Maßnahmen, die unterschiedliche Gruppen von Verbraucher:innen adressieren, etwa Social Engineering bei Senior:innen.

Der allererste Workstream „Update4Schule widmete sich von Juli 2021 bis März 2022 der empirischen Untersuchung des Bewusstseins und der Bedarfe von Schüler:innen und Lehrer:innen zum Thema Cyber- und Datensicherheit und wird im Workstream „Upschooling logisch weitergeführt.

3. Auf dem Weg zu einer gesellschaftlichen Zusammenarbeit

Die Beispiele zeigen das Potenzial eines Dialogs verschiedener Stakeholder.

Der Staat kann davon profitieren, mit der Zivilgesellschaft zusammenzuarbeiten, und somit können intrinsische und engagierte Kräfte entkoppelt werden, um die Gesellschaft insgesamt ein gutes Stück voranzubringen. So kann Sicherheit aus verschiedenen Perspektiven eingefordert werden. Als Ergebnis bildet sich Vertrauen in die Fähigkeiten und Fertigkeiten auf der einen Seite, aber auch in die belastbare Struktur der anderen Seite.

Die jüngste Vergangenheit hat gezeigt, dass Behörden sich mit namhaften Sicherheitsforscher:innen der Community in den konkreten fachlichen Austausch begeben, wenn diese mit konkreten Hinweisen Kontakt aufnehmen und für Rückfragen offen sich. Eigene Herangehensweisen werden hinterfragt und im Anschluss wird der Austausch gepflegt und weiter ausgebaut. Sich gemeinsam der öffentlichen Wahrnehmung zu stellen zeigt, dass die öffentliche Verwaltung sich sehr wohl bewusst ist, dass sie ihren Dienst zum Wohle der Allgemeinheit verrichtet. Daher ist es nur zielführend, den fachlichen Eintrag zu prüfen, zu bewerten, zu diskutieren und gegebenenfalls aufzunehmen.

Die Zusammenarbeit mit der Zivilgesellschaft ist ein politisches Ziel der Bundesregierung. Der Dialogprozess zeigt einen Ansatz wie eine Behörde diese Zusammenarbeit strukturiert organisieren und fruchtbar machen kann.

---

¹ Innovationsverbund Öffentliche Gesundheit e.V. https://www.inoeg.de/

² Dialogkomitee, Stellvertreterin der Statusgruppe „Staat und Verwaltung" Dialog für Cyber-Sicherheit https://www.dialog-cybersicherheit.de/dialogkomitee/

³ https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2021/09/cybersicherheitsstrategie-2021.pdf

⁴ https://www.bundesregierung.de/resource/blob/974430/1990812/04221173eef9a6720059cc353d759a2b/2021-12-10-koav2021-data.pdf

⁵ https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/sicherheit/cybersicherheitsagenda-20-legislatur.pdf

⁶ https://www.bsi.bund.de/dok/8559272

⁷ https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html

⁸ https://www.dialog-cybersicherheit.de/aktuelles/

⁹ https://www.dialog-cybersicherheit.de/storage/uploads/ws21-endprodukte/WS5%20-%20Update4Schule.pdf

¹⁰ https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb

¹¹ https://www.it-markt.ch/cybersecurity/2022-08-03/bug-bounty-switzerland-wird-strategischer-partner-der-bundesverwaltung

¹² https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-89868.html

¹³ https://www.businessinsider.de/politik/cdu-verklagt-sicherheitsexpertin-die-zuvor-geholfen-hatte-ein-datenleck-aufzudecken-b/

Verbands- und Massenklagen nach IT Incidents – Umsetzung

der Verbandsklagerichtlinie in Deutschland im

Zusammenspiel mit der

DSGVO

Anne Leßner, Dr. Tobias Rothkegel¹⁴

Kurzfassung:

Mit steigenden IT-Sicherheitsvorfällen steigt auch das Risiko von Data Leaks¹⁵ für Unternehmen. Aktuell müssen Unternehmen jedoch selbst bei einem massenhaften Abfluss von Kundendaten keine Massenklagen auf Schadensersatz fürchten. Dies liegt unter anderem an den Hürden, die das aktuelle prozessuale und materielle Recht und die Rechtsprechung dafür stellen. Diese Situation könnte sich bald jedoch drastisch ändern:¹⁶

Erstens wird Deutschland aufgrund der Europäischen Verbandsklagerichtlinie verpflichtet, in Zukunft Rechtsschutzmöglichkeiten zur massenhaften Durchsetzung von Schadensersatzansprüchen zu schaffen. Eine solche Verbandsklage kann es ermöglichen und attraktiv machen, dass viele von einem Data Leak betroffene Personen selbst „kleinere Verstöße gegen die Datenschutzgrundverordnung („DSGVO) und den daraus entstandenen Schaden gemeinsam einklagen (lassen).

Wie erfolgreich bzw. durchschlagskräftig das neue Verbandsklagerecht sein wird, wird jedoch zweitens auch davon abhängen, ob das jeweilige Fachrecht – somit vorliegend die DSGVO – die nötigen Voraussetzungen für eine stringente Durchsetzbarkeit entsprechender Ansprüche bietet. Im Datenschutzrecht ist die Durchsetzung von Schadensersatzansprüchen (sowohl im Individual- als auch im Sammelklageverfahren) gegenwärtig noch kein Selbstläufer. Hier steht möglicherweise eine zweite große Änderung bevor, die DSGVO-Schadensersatzansprüche einfacher durchsetzbar machen könnte: Der Europäische Gerichtshof („EuGH") wird in naher Zukunft entscheidende Rechtsfragen klären, die – je nach Verfahrensausgang – mehr DSGVO-Klageverfahren den Weg ebnen könnten. Sollte dies eintreten, steht zu erwarten, dass in Zukunft sowohl Verbände (etwa Verbraucherschutzorganisationen) als auch kommerzielle Anbieter (etwa Legal-Tech-Startups) die massenhafte Durchsetzung von Schadensersatzansprüchen im Nachgang zu Data Leaks verfolgen werden.

Beides zusammen würde die Risikolandschaft im Zusammenhang mit IT-Security für datenverarbeitende Unternehmen gänzlich neu sortieren. Insbesondere Unternehmen, die massenhaft personenbezogene Daten von Verbraucher-Kunden verarbeiten (d. h. B2C-Geschäft verfolgen) wären somit gezwungen, noch stärkeren Fokus auf IT-Sicherheit sowie den Umgang mit Data Leaks und anderen IT-Incidents (sowie die Dokumentation derartiger Bestrebungen) zu legen.

Stichworte: Data Leaks, Datenschutz, DSGVO, Europarecht, Gruppenklage, Haftungsrisiken, kollektiver Rechtsschutz, Massenklage, Massenschadensersatz, Sammelklage, Verbandsklage, Verbandsklagerichtlinie, Verbraucherrechte, Verbraucherschutz

1. Hintergrund und Ziel des Beitrags

Bei Data Leaks können die personenbezogenen Daten vieler Menschen gleichzeitig offengelegt werden. Data Leaks werden wahrscheinlicher, denn die Zahl der generell von IT-Sicherheitsvorfällen betroffenen Unternehmen steigt stetig.¹⁷ Bei Unternehmen, die im B2C-Geschäft tätig sind, kann das bedeuten, dass im schlimmsten Fall Millionen von Kundendaten gleichzeitig offengelegt werden.¹⁸

Wenn einem Data Leak zugrunde liegt, dass ein Unternehmen gegen die DSGVO verstoßen hat – in der Regel durch unzureichende IT-Sicherheitsmaßnahmen – kann jeder Betroffene in der Theorie Schadensersatzansprüche geltend machen. Dies stellt Art. 82 der DSGVO („Haftung und Recht auf Schadensersatz") unmissverständlich klar.

In der Praxis sehen wenige Unternehmen eine mögliche gerichtliche Auseinandersetzung mit Betroffenen bislang als relevanten Risikofaktor. Dies ist nachvollziehbar: Sofern die Betroffenen eines Data Leaks überhaupt wissen, dass sie Ansprüche geltend machen können, müssen sie diese in der Regel individuell mit eigenem Kostenrisiko verfolgen, was mühsam ist. Auch ist der Erwartungswert eines Schadensersatzanspruches aufgrund von DSGVO-Ansprüchen bislang eher niedrig.¹⁹ In Abwägung damit scheuen viele Betroffene verständlicherweise Aufwand und Risiko einer streitigen Auseinandersetzung mit Unternehmen nach einem Data Leak. Es besteht eine sogenannte „rationale Apathie" der einzelnen Verbraucher in Bezug auf die Durchsetzung ihrer theoretisch bestehenden Ansprüche.

Zusätzlich zu den eben genannten Gründen ist es in Deutschland (noch) prozessual schwierig, Massenschadensklagen durchzuführen. Zudem sind nach wie vor entscheidende Fragen zur Begründung und Bemessung von Schadensersatzansprüchen nach der DSGVO ungeklärt und werden von den Gerichten der EU-Mitgliedsstaaten uneinheitlich gehandhabt.

Die Situation könnte sich bald jedoch drastisch ändern:

Erstens waren die EU-Mitgliedsstaaten bis zum Ende des Jahres 2022 verpflichtet, Rechtsnormen zur massenhaften Durchsetzung von Schadensersatzansprüchen, unter anderem auch nach der DSGVO, zu schaffen. Deutschland hat diese Umsetzungsfrist zwar verpasst,²⁰ es liegt jedoch ein Referentenentwurf zur Umsetzung vor. Spätestens für Verfahren am oder nach dem 25. Juni 2023 muss das neue Recht, das Verbandsklagen erlaubt, auf Verfahren in Deutschland angewandt werden.²¹

Zweitens hat der EuGH aktuell die Gelegenheit, im Rahmen von drei sog. Vorlageverfahren²² die Weichen für die zukünftige (massenhafte) Geltendmachung von Schadensersatzansprüchen nach der DSGVO zu stellen. Unternehmen könnten sich zukünftig somit im Nachgang von Data Leaks einer massenhaften Durchsetzung von Schadensersatzansprüchen der Betroffenen ausgesetzt sehen.

Dies könnte bedeuten, dass zukünftig selbst Schadensersatzansprüche, die bei „kleineren" DSGVO-Verstößen bestehen, sehr schmerzhaft für Unternehmen werden können, solange die Anzahl der Betroffenen hoch genug ist. Ein Rechenbeispiel: im jüngst veröffentlichten Data Breach bei dem Streaming-Dienst Deezer sind laut Medienberichten 229 Millionen einzelne Emailadressen betroffen.²³ Unterstellt, diese Adressen gehörten jeweils einzelnen Nutzern, die nach der DSGVO anspruchsberechtigt sind: Fänden sich alle Betroffenen zu der „neuen" Verbandsklage ab dem Juni 2023 zusammen, trüge Deezer aufgrund eines einzelnen Data Leaks bei einem hypothetischen Betrag von nur fünf Euro Schadensersatz pro Betroffenem bereits ein finanzielles Risiko von mehr als einer Milliarde Euro kumuliertem Schadensersatz.²⁴

Dieser Beitrag möchte für dieses Risiko sensibilisieren und dazu den Status Quo und die anstehenden Änderungen aufzeigen, sowie erste Gedanken zu möglichen Verteidigungsstrategien zu skizzieren. Wir zeigen dafür erstens die jedenfalls anstehenden Änderungen im Prozessrecht auf, um dann zu beleuchten, wie in Zukunft auch möglicherweise die DSGVO mehr zu Gunsten der Datensubjekte ausgelegt werden könnte.

2. Prozessualer Rahmen für massenhafte Durchsetzung von Schadensersatzansprüchen bei Data Leaks in Deutschland

Aus verschiedenen Gründen ist es aktuell innerhalb Deutschlands schwer, prozessual Massenklagen für Schadensersatz aufzusetzen und zu finanzieren. Bald werden jedoch Verbandsklagen auf Schadensersatz in Deutschland möglich. Dabei sind Klagen aufgrund von Data Leaks ein prädestinierter möglicher Anwendungsfall. Ausschlaggebend hierfür ist die bereits verabschiedete Europäische Verbandsklagerichtlinie (RL 2020/1828 – VerbandsklageRL).

2.1. Status quo für kollektive Durchsetzung von Ansprüchen im Datenschutzrecht/IT-Sicherheits-Recht: Eingeschränkt und risikoreich

In den USA sind sogenannte class actions, bei denen ein oder mehrere Kläger repräsentativ für eine ganze betroffene Gruppe klagen, historisch schon sehr lange möglich.²⁵ In Deutschland dagegen sind im Zivilrecht Klagen von Verbänden oder durch mehrere Personen nur sehr eingeschränkt möglich. Im Folgenden stellen wir die für Datenschutz-Ansprüche relevanten Möglichkeiten im deutschen Recht, Ansprüche zu bündeln, vor. Dies kann entweder dadurch erfolgen, dass Betroffene im eigenen Namen ihre eigenen Ansprüche einklagen (lassen) oder diese an kommerzielle Anbieter abtreten. Es kann aber auch dadurch erfolgen, dass Organisationen für mehrere Verbraucher tätig werden (teilweise sogar aus eigenem Anspruch, d. h. ohne dass sie konkrete Verbraucher vertreten). Wenn ein

Verband oder eine Person repräsentativ für eine ganze Gruppe Betroffener klagen kann, nennt man dies „kollektiven Rechtsschutz".

Die bisherigen Möglichkeiten für individuellen und kollektiven Rechtsschutz sind allesamt für Massenschadensersatz bei Data Leaks nicht besonders attraktiv, wie wir nachfolgend erläutern werden.

2.1.1. Grundsatz im deutschen Recht: Individualrechtsschutz, eine Partei auf jeder Seite der Klage/des Prozesses

Das Grundmodell im materiellen und prozessualen Zivilrecht in Deutschland ist, dass jede einzelne Person (oder jedes Unternehmen) einen eigenen Anspruch hat, den sie einzeln einklagen muss. Das bedeutet, dass jeder Kläger im Regelfall eine eigene Klageschrift anfertigen und seinen Anspruch mit dessen Voraussetzungen darlegen und nachweisen muss. Die Entscheidungen über einzelne Klagen erfolgen dann grundsätzlich in getrennten Verfahren.

Von einem Urteil eines Gerichts über einen solchen Anspruch geht dann sogenannte „Rechtskraft" aus. Das bedeutet, dass in derselben Sache nicht noch einmal entschieden wird und das Urteil endgültig ist. Der Hintergrund ist, dass die Parteien und Dritte Sicherheit haben sollen und keine sich widersprechenden Urteile in derselben Sache von Gerichten erlassen werden sollen.

Von dieser Rechtskraft profitiert jedoch ein am Prozess unbeteiligter Dritter nicht, der einen gleich oder ähnlich gelagerten Anspruch gegen denselben Beklagten hätte. Denn in zivilrechtlichen Verfahren besteht die Rechtskraft eines Urteils lediglich zwischen den zwei Parteien, die auch an dem Prozess beteiligt waren, aus dem das Urteil stammt.²⁶

Ein Beispiel: Die Muster-GmbH wird, auch aufgrund unzureichender Sicherheitsmaßnahmen, Opfer eines Hackerangriffes und verliert daher wichtige personenbezogenen Daten ihrer Kunden. Die betroffene Frau Mustermann klagt und erhält ein Urteil, in welchem ihr ein Anspruch auf Schadensersatz zugesprochen wird. Obwohl weiteren Kunden exakt dasselbe passiert ist, profitiert nur Frau Mustermann von „ihrem" Urteil und kann es notfalls vollstrecken. Weitere betroffene Kunden müssten für einen Schadensersatz ihren eigenen Prozess anstrengen.

2.1.2. Bündelung von individuellen Klagen zu einer Streitgenossenschaft

Die einfachste und älteste Möglichkeit, Klagen zusammenzuführen, ist die sog. „Streitgenossenschaft".²⁷ Hier können (bzw. müssen) die nach dem oben erklärten

Grundsatz eigentlich eigenständigen Prozesse unter bestimmten Umständen (laienhaft erklärt: wenn es im Grunde um dieselbe Sache geht) zu einem einheitlichen Prozess zusammengefasst werden. Dies kann zum einen dadurch erfolgen, dass die Parteien sich schon selbst zusammengefunden haben und daher schon in der Klageschrift mehrere Kläger oder Beklagte nennen. Zum anderen kann auch ein Gericht die Verbindung mehrerer verwandter Prozesse zu einem Prozess anordnen.²⁸ Diese Verbindung kann Erleichterungen für das Gericht und die Kläger bringen und das Verfahren beschleunigen (beispielsweise wird dann gleichzeitig verhandelt, und es können Tatsachenvorträge und Beweisantritte eines Klägers auch den anderen Klägern zugerechnet werden, und die Kosten werden grundsätzlich geteilt). Damit eine Streitgenossenschaft entsteht, müssten sich jedoch die Betroffenen vorab kennen und zusammenschließen, bzw. alle zusammengefassten Klagen müssten am selben Gericht und bei derselben Instanz anhängig gewesen sein. Beides ist bei Klagen aufgrund von Data Leaks wohl meist nicht der Fall. Daher hilft die „Streitgenossenschaft" für Massenklagen nach Data Leaks betroffenen Personen nicht wesentlich.

2.1.3. Wirtschaftliche Bündelung von einzelnen Klagen durch Kanzleien und Rechtsdienstleister

Über die Zivilprozessordnung hinaus gibt es natürlich die Möglichkeit, zumindest die Arbeit im „Back Office in derselben Sache zu bündeln. Dann bleibt es zwar bei dem Grundsatz, dass jeder Anspruch einzeln geltend gemacht wird, die An-sprüche können aber mit weniger Arbeit durchgesetzt werden. Etwa für die Durchsetzung individueller Schadensersatzansprüche aus dem Abgasskandal oder bei Fluggastrechten haben viele Kanzleien damit begonnen, softwaregestützt massenhaft Klagen aus einem ähnlichen Fall durchzusetzen und dies so weit wie möglich zu automatisieren. Da hier aber eine Mandats- und Vergütungsvereinba-rung für jeden Fall notwendig ist, Kanzleien grundsätzlich die von dem Rechts-anwaltsvergütungsgesetz vorgeschriebenen Sätze (die von der Höhe des Scha-densersatzes abhängen) nehmen müssen und durch das recht restriktive Berufs-recht für Anwälte gebunden sind, ist dieses Kanzleimodell bei „Kleinstforderun-gen aufwendig.

Daneben hat sich seit einigen Jahren ein Geschäftsmodell entwickelt, bei dem nicht klassische, lediglich von Anwälten betriebene Kanzleien Ansprüche