Referenzen

---

Erfahrungen aus 20 Jahren EDV-Sachverständiger

1. Hackerangriff durch Cyberkriminelle

1.1 Cyberangriff durch Ransomware

Es fand ein Cyberangriff durch eine RANSOMWARE auf das Netzwerk eines mittelständischen Bauunternehmens statt, dabei wurden die Daten verschlüsselt und ein Lösegeld in Bitcoins gefordert, das nicht bezahlt wurde.
Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt (Bundesamt für Sicherheit in der Informationstechnik – BSI).
Hier geht es um die Ursachen und die Folgen des Cyberangriffs, aber auch um die technisch-organisatorischen Maßnahmen nach dem „Stand der Technik“, die den Angriff und die Folgen, wenn nicht gänzlich verhindert, doch entscheidend abgemildert hätten.
Es geht auch um Verantwortlichkeiten und Zuständigkeiten von Personen und schlussendlich um die Höhe der Kosten für die Wiederherstellung der Daten.
Es lag hier eine Kaskade von technisch-organisatorischen Versäumnissen im Sinne von Unterlassen von etwas, was hätte getan werden müssen, vor.
Es gab PCs, auf denen noch das veraltete Betriebssystem Microsoft Windows 7 im Einsatz war.
Auf einen dieser PCs richtet sich der Verdacht, dass er der Eintrittspunkt des Cyberangriffs war – gehört dem Geschäftsführer, der neben der Arbeit mit dem Warenwirtschaftsprogramm zusätzlich sowohl E-Mail als auch Internet nutzte.
Der Geschäftsführer hat selbstverständlich von seinem PC aus Zugriff auf alle Daten des Netzwerks. Die RANSOMWARE konnte daher diese Berechtigungen übernehmen und alle erreichbaren Dateien verschlüsseln.
67 wichtige Updates wurden nicht automatisch eingespielt, weil das „automatische Update“ deaktiviert wurde und auch kein manuelles Update durchgeführt wurde.
Da der SERVER ohne Sicherheitsupdates war, fand die RANSOMWARE auch am SERVER genügend Lücken, um ihn zu befallen.
RANSOMWARE kennt drei Hauptwege, sich im IT-System festzusetzen: WEBSITE mit infiziertem LINK, MAIL mit infiziertem LINK, MAIL mit infiziertem DATEIANHANG.
Wenn einmal die Verschlüsselung durchgeführt ist, hilft nur mehr ein aktuelles BACKUP, also eine Sicherung aller Daten auf einem nicht mit dem System verbundenen Medium.
Es gab keine annähernd aktuelle Sicherung, weil das System nicht richtig konfiguriert war.
Mit einem funktionierenden Backup, richtig erstellt, hätte die Datenwiederherstellung wenige Stunden bis maximal einen Tag gedauert.
Mein Privatgutachten führte zu Vergleichsverhandlungen mit dem IT-Dienstleister über Schadenersatzzahlungen. Die Verhandlungen sind Stand Februar 2024 noch nicht abgeschlossen.

1.2 Eine Online-Apotheke wurde von Cyberkriminellen gehackt und danach fast 1.000 Euro von einem erbeuteten PayPal-Konto eines Kunden abgebucht

Durch eine Analyse aller Internetgeschäfte konnte festgestellt werden, dass die Ungereimtheiten auf eine Bestellung bei einer Online-Apotheke zurückzuführen sind. Aufgrund dieser Analyse hat PayPal den Betrug anerkannt und den Käuferschutz übernommen, wodurch der komplette Betrag erstattet wurde. Die Polizei hat daraufhin die Anzeige eingestellt.
Die Hacker haben im Namen des Geschädigten und unter einer Pariser Adresse einen neuen Account bei einem Onlineshop in Paris eröffnet. Über das PayPal-Konto in Österreich wurde ein Einkauf im Wert von fast 1.000 Euro getätigt. Da die dort hinterlegte Zahlungsmethode aufgrund eines Limits nicht funktionierte, wurde der Betrag mittels Lastschriftverfahren vom verbundenen Girokonto abgebucht.
Die Konfliktmeldung bei PayPal wurde zunächst abgelehnt, weshalb Anzeige bei der Polizei erstattet wurde. Das Geld wurde schließlich über einen Rückholauftrag der kontoführenden Bank zurückerstattet.
Laut des Geschädigten begann alles damit, dass er bei der gehackten Shop-Apotheke eine Bestellung im Wert von ca. 30 Euro aufgab. Beim Bezahlen des Warenkorbs wurde er jedoch auf ein ganz anderes Kundenlogin weitergeleitet. Der Vorfall wurde umgehend gemeldet und mit Kopien der Shop-Apotheke belegt. Kurz darauf erhielt er einen Anruf von einer angeblichen Mitarbeiterin der Shop-Apotheke, die ihm versicherte, dass der Fehler aufgrund einer veralteten Software aufgetreten sei.
Der Geschädigte wurde gebeten, sich keine Sorgen zu machen. Die Shop-Apotheke hat mir eine E-Mail mit einem Link gesendet, über den ich mein Passwort zurücksetzen kann. Auf meine Frage, ob im Netz etwas passiert sein könnte, wurde mir versichert, dass dem nicht so ist. Ich soll einfach das Passwort zurücksetzen und mich neu anmelden. Ich habe darauf nicht reagiert.

2. Leistungsstörungen durch Fehler und Mängel

2.1 Performanceprobleme einer Branchensoftware für das Baugewerbe

Die Performanceprobleme betrafen eine Branchensoftware, also eine Standardsoftware (wird im Gegensatz zu einer Individualsoftware von vielen Kunden genutzt) und ist damit speziell für ein Marktsegment entwickelt (hier: Baugewerbe).
Das Verhalten eines Softwareprodukts bei der Ausführung wird als Performance bezeichnet. Für die Beschreibung der Performance ist u.a. die Geschwindigkeit, Reaktionszeit, Bearbeitungszeit und Berechnungszeit maßgeblich.
Reagiert eine Software träge oder langsam, kann dies schnell zu einer Verstimmung bei den Nutzern bzw. Mitarbeitern führen und sogar Einfluss auf die Dauer von Arbeitsabläufen haben.
Letzteres kann dann unter Umständen auch zu Beeinträchtigungen aufgrund von schlechterer oder langsamerer Reaktion bei den Kunden des Unternehmens führen.
Unter „Aufhängen“ ist gemeint, dass die Software sehr lange oder überhaupt nicht reagiert, sodass dies wie ein „Abstürzen“ aussieht.
Ist die Software ist langsam, sehr langsam oder hängt sich auf, stellt dies einen wesentlicher Mangel dar. Wer „Schuld“ daran hat und ob der Mangel beim Kunden behebbar ist, wäre die Kernfrage bei einer etwaigen Vergleichsverhandlung, aber auch bei einer Klage auf Wandlung und ggfs. Schadenersatz.
Denn die Ursachen können in der Software selbst, der Software auf dieser Hardware/Betriebssystem-Konfiguration oder nur auf dem beigestellten IT-System des Unternehmens liegen (oder in einer Kombination davon).
Auch das Umfeld des Softwarehauses kann interessante Einblicke eröffnen.
Bei Lektüre des Mailverkehrs mit diversen Mitarbeitern unterschiedlicher Abteilungen des Softwarehauses drängte sich der Verdacht auf, dass dieses eher vertriebsorientiert als technikorientiert agiert. So vergehen oft mehr als zwei Monate bis eine Antwort erfolgt.
Typisch dafür ist eine E-Mail eines Mitarbeiters, der sich als Vertriebscoach und Analyst in der Abteilung Steuerung Außendienst bezeichnet und ohne auf die Probleme einzugehen nur „um Vertrauen bittet“.
Auch die Website ist sehr vertriebsorientiert. Fast jeder Link „weitere Infos“ führt auf ein Formular und eine Terminvereinbarung. Kostenlose Demo (30 Tage) zum Testen in Ruhe fehlt ebenso. Die Updates müssen selbst heruntergeladen und installiert werden, es sind keine automatischen Updates über das Internet möglich. Es ist alles sehr „Old School“, was nicht heißen muss, auch der Funktionsumfang ist veraltet.
Mein Gutachten führte zu einer außergerichtlichen Auflösung des Kaufvertrages (Wandlung) und einer Schadenersatzzahlung – alles ohne Klage und jahrelangem Gerichtsverfahren.

2.2 Performanceprobleme einer Branchensoftware für das Baunebengewerbe nach einem Update mit Datenbankmigration

Ein mittelständisches Unternehmen des Baunebengewerbes modernisiert sein IT-System.
Der IT-Dienstleister installiert ein neues Netzwerk mit Servern, PCs und Systemsoftware.
Die ERP-Software (Enterprise Resource Planning), eine kaufmännische Branchenlösung für das produzierende Gewerbe, wird vom Softwarehaus in der aktuellen Version (Update) auf einem MS SQL-Server installiert.
Bei der Arbeit mit der ERP-Software traten massive Performanceprobleme auf. Ein Augenschein vor Ort bestätigte, dass das Aufrufen aller Artikel (unter 10.000) fast zwei Minuten dauerte. Eine Antwortzeit von fast zwei Minuten ist völlig inakzeptabel. Es ist wichtig zu betonen, dass 10.000 Datensätze für eine Datenbank keine Herausforderung darstellen.
Die Datenbankmigration ist fehlgeschlagen, die Datenstrukturen konnten nicht in das Format der neuesten ERP-Version überführt werden. Erschwerend kommt hinzu, dass in den vergangenen Jahren einige individuelle Erweiterungen für das Unternehmen in die ERP-Software eingebaut wurden und die Migration dadurch noch komplexer wurde.
Die Datenstruktur neuen Datenbank war nach der Migration defekt.
Da die Datenbankmigration als Hauptpflicht im Auftrag vereinbart wurde, ist der gesamte Auftrag wesentlich mangelhaft.
Dieses Privatgutachten ist ein typisches Beispiel für Leistungsstörungen. Das Softwarehaus und der IT-Dienstleister schieben ohne ein Sachverständigengutachten den „schwarzen Peter“ (die Schuld an den Problemen) hin und her, während das Unternehmen in der Mitte sitzt und erheblichen Schaden durch die fehlerhafte Software erleiden kann. Es ist jedoch wichtig zu betonen, dass das Unternehmen nicht für die Leistungsstörungen verantwortlich ist.

3. Auswahlgutachten

3.1 Auswahl einer Videoplattform für eine Gesellschafterversammlung mit knapp über 100 Teilnehmern (in Zeiten der Pandemie)

Für eine Rechtsanwaltskanzlei wurde eine Bewertung der marktgängigen Systeme mit Vor- und Nachteilen erstellt.
Diskutiert wurden hier auch die Einschränkungen von MS-Teams, bei dieser Software sind maximal 49 Teilnehmer gleichzeitig sichtbar (in einem 7 x 7 Raster). Entscheidend war die Frage, ob das Aktienrecht eine rechtssichere Online-Gesellschafterversammlung unter diesen Umständen zulässt.

4. Bewertungsgutachten

4.1 Bewertung eines Softwarehauses im Konkurs

Im Auftrag des Insolvenzverwalters erstellte ich das Bewertungsgutachten einer selbst entwickelten und vertriebenen Branchensoftware zum Verkaufswert und zum Zerschlagungswert.
Dazu habe ich den Fachartikel Softwarehaus im Konkurs publiziert. Die Publikation finden Sie hier.

4.2 Bewertung einer Software-Bibliothek im Rahmen einer Unternehmensübernahme

Im Auftrag einer Rechtsanwaltskanzlei war der Verkaufswert einer Software-Bibliothek, die dieses Software-Unternehmen selbst entwickelte, zu bewerten.
Die Bewertung einer Software-Bibliothek im Rahmen einer Unternehmensübernahme ist ein komplexer Prozess, der verschiedene Aspekte berücksichtigen muss, um den Wert und die Eignung der Software für das übernehmende Unternehmen zu bestimmen. Hier ist eine allgemeine Vorgehensweise, die ich in solchen Situationen anwende: Technische Bewertung, Bewertung der Lizenz, Markt- und Wettbewerbsanalyse, Finanzielle Bewertung, Risikobewertung, Strategische Passform, Abschlussbewertung und Entscheidung.

4.3 Gutachten über die Zukunftssicherheit eines ERP-Systems vor einem geplanten Redesign

Ein Handelsunternehmen plant für ihr ERP-System mit Individualerweiterungen ein Redesign. Erschwerend kommt dazu, dass seit Jahren einige Punkte des Pflichtenhefts noch offen sind, bisher eine Viertelmillion Euro investiert wurde und sich jetzt die Frage stellt, wie zukunftssicher ist das Softwarehaus (seit kurzem mit neuem Geschäftsführer) und die Software. Ein Privatgutachten konnte diese Fragen beantworten.

4.4 Bewertung, ob die WEB-Applikation Blended Learning, die individuell entwickelt wurde, geeignet ist, die noch fehlenden Module aus dem ursprünglichen Vertrag (Pflichtenheft), die Wartungsfähigkeit allgemein und insbesondere die noch gewünschten Erweiterungen technisch, wirtschaftlich und rechtlich zu gewährleisten

In diese WEB-Applikation wurden bereits fast eine halbe Million Euro investiert. In einem Bewertungsgutachten habe ich im ersten Schritt ein Bewertungskonzept erstellt, das die Dimensionen Login zur bestehenden Web-Applikation, Quellcode der individuellen Module, Eigenschaften der Web-Applikation (responsiv, mehrsprachig), Software-Dokumentation, Projektmanagement, Qualitätsmanagement, Team-Organisation, Vertragliche und individuelle rechtliche Vereinbarungen aus Sicht des Softwarehauses und den nach Funktionen aufgeschlüsselten Entwicklungsaufwand umfasste.

5. Inhaltliche und technische Bewertung von EDV-Verträgen

5.1 Bewertung eines Vertrags über die Auftragsverarbeitung gemäß Artikel 28 EU-Datenschutz-Grundverordnung (EU-DSGVO) mit den Technisch-Organisatorischen Maßnahmen gemäß Artikel 32 EU-DSGVO – insbesondere Überprüfung auf den „Stand der Technik“)

Das Unternehmen: Das kleine Baunebengewerbeunternehmen hat keine eigene IT-Abteilung und ist daher auf einen IT-Dienstleister mit Gewerbeschein angewiesen. Es hat einen Vertrag gemäß Art. 28 DSGVO zur Auftragsverarbeitung mit diesem Dienstleister abgeschlossen.
Es ist nicht die Aufgabe des Unternehmens, zu wissen, wann die Software von Microsoft ihr »End of Life« (EoL) erreicht, bei dem sie nicht mehr unterstützt wird, unabhängig von den vorhandenen Schwachstellen.
Ebenfalls kann das Unternehmen nicht das Backup-System auf fehlerhafte Konfigurationen überprüfen.
Der IT-Dienstleister: war für regelmäßige Wartungsarbeiten des Unternehmens verantwortlich, sowohl vor als auch nach Abschluss des Vertrags zur Auftragsverarbeitung und auch zum Zeitpunkt des Cyberangriffs.
Nach dem Angriff wurden einige notwendige Schritte unternommen, wie die Meldung an die Datenschutzbehörde (das Unternehmen erstattete Anzeige bei der Polizei) und Verhandlungen mit den Hackern. Es liegen keine weiteren Informationen vor.
Er hat regelmäßig die Virenscanner- und Backsoftware-Lizenzen verlängert und in manche Updates für den Server und die Firewall investiert. Aber er hat sich nicht darum gekümmert, ob die Datensicherung tatsächlich funktioniert, selbst als die Lizenz verlängert wurde. Ihm ist auch entgangen, dass unsichere Windows-7-PCs im System laufen, insbesondere der des Geschäftsführers. Das Support-Ende von Windows 7, inklusive jeglicher Sicherheitsupdates, erfolgte bereits am 14.1.2020. Seit dieser Zeit sind PCs mit Windows 7 nicht mehr sicher und stellen ein erhebliches Sicherheitsrisiko dar.
Das Unternehmen hat mit dem IT-Dienstleister einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen mit den »technisch-organisatorischen Maßnahmen« nach dem »Stand der Technik«, einem unbestimmten Rechtsbegriff.
Zu den Technikklauseln schreibt Thomas Eilenberger-Haid in DER SACHVERSTÄNDIGE (Heft 4/2022 S. 181 – 187):
Arbeiten nach den „anerkannten Regeln der Technik“ ist relativ risikolos, arbeiten nach dem „Stand der Wissenschaft“ ist ein Experiment und die Verantwortung muss im Vorfeld geklärt sein.
Unter Stand der Technik werden der Entwicklungsstand fortschrittlicher Verfahren sowie aktuelle Möglichkeiten zur Lösung einer gestellten Aufgabe verstanden. Er kann, muss aber nicht jedem Fachmann bekannt sein. Neben regionalen Bezügen beinhaltet er auch eine Zeitkomponente, denn er kann auf der Grundlage neuer Erkenntnisse morgen schon wieder ein ganz anderer sein. Es handelt sich beim „Stand der Technik“ also um den momentanen Entwicklungsstand wirtschaftlich umsetzbarer, fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg im Betrieb erprobt wurden, bei denen jedoch noch keine Langzeiterfahrung vorliegt. Der Stand der Technik umfasst alles, was man letzten Endes als „Innovation“ bezeichnet und bei dem noch unklar ist, wie es tatsächlich langfristig ausgeht.
Der Stand der Technik ist in der EU ein »Muss« und keine Option.
Der „Stand der Technik“ beinhaltet also auch eine Zeitkomponente.
„Was gestern gut war, kann heute und in Zukunft nicht schlecht sein“ entspricht nicht dem Stand der Technik.
Mein Privatgutachten führte zu Vergleichsverhandlungen mit dem IT-Dienstleister über Schadenersatzzahlungen. Die Verhandlungen sind Stand Februar 2024 noch nicht abgeschlossen.

6. IT-Forensik

6.1 IT-forensische Untersuchung einer PDF-Datei

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik in seinem Leitfaden wie folgt:

„IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.“

Computeranwendern ist oft nicht bewusst, dass Basisdaten über nicht unmittelbar erkennbare Metadaten verfügen, die für Computerkriminelle oder Behörden unter Umständen von größerem Nutzen sind als die Daten selbst.
Ich führe hier die Datenanalyse für die PDF-Datei auf Basis der Metadaten durch.
Im Zusammenhang mit Metadaten bedeutet „Meta“, dass es sich um Daten handelt, die eine Ebene über den eigentlichen Basisdaten liegen. Metadaten sind Daten über Daten. Sie beschreiben, charakterisieren und kontextualisieren die Basisdaten, ohne jedoch Teil des eigentlichen Inhalts dieser Daten zu sein.
Die häufigsten Metadaten sind Dateiname, Dateigröße, Dateityp.

Für bestimmte Dateitypen können zusätzliche Metadaten vorhanden sein:

• Bei Bilddateien können dies Informationen wie Kameramodell, Belichtungszeit, Blende, ISO-Wert, GPS-Koordinaten des Aufnahmeortes usw. sein.
• Bei Musikdateien können Metadaten Informationen wie Interpret, Album, Erscheinungsjahr, Genre usw. enthalten.
• Bei Dokumenten können Metadaten Informationen über den Autor, das Erstellungsdatum, die Anzahl der Seiten, das verwendete Programm und vieles mehr enthalten.

Neben der inhaltlichen Analyse wurden auch die formale Struktur (Anforderungen an das Layout des Dokuments), rechtliche Bestimmungen und unternehmensinterne Sicherheits- und Compliance-Richtlinien untersucht.

7. Arbeitsrechtliche Fragen beim IT-Kollektivvertrag

7.1 Angemessene Einstufung in den IT-Kollektivvertrag

Gutachten für das Arbeits- und Sozialgericht über die angemessene Einstufung in den Kollektivvertrag für Arbeitnehmer von Unternehmen im Bereich der Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik.
Der IT-Kollektivvertrag weist Besonderheiten auf, insbesondere der Unterschied zwischen den Verwendungsgruppen III und IV sind immer wieder umstritten.

8. Wirtschaftsrechtliche Fragen

8.1 Strafen wegen unlauterem Wettbewerb aufgrund von Meta-Beschreibungen in einer Suchmaschine

Ein Handelspartner bewarb das Produkt eines Lieferanten auf seiner Website, als noch eine Geschäftsbeziehung bestand. Nachdem die Beziehung zerbrach, konnte jedoch nur die Meta-Beschreibung in der Suchmaschine nicht gelöscht werden. Dies führte zu täglichen Strafen wegen unlauterem Wettbewerb. Das Gutachten hat das Gericht überzeugt, dass der Handelspartner alles unternommen hat, was ihm möglich war, um den Markennamen von seiner Website zu entfernen.

---