Alemania

La digitalización en el estado, la economía y la sociedad ha cambiado fundamentalmente a Alemania en solo unos pocos años.

Las nuevas oportunidades de comunicación, el acceso al conocimiento y el diseño innovador conducen a una mayor interacción social, nuevos modelos de negocio y nuevos campos de investigación y desarrollo.

Los dispositivos electrónicos en red están configurando cada vez más la vida cotidiana y el trabajo de las personas.

El aumento de los datos generados por las máquinas y el uso cada vez mayor de medidores y sensores inteligentes están creando enormes cantidades de datos. Las máquinas de autoaprendizaje pueden asumir tareas cada vez más complejas.

Los procesos de producción están cada vez más conectados en red, los ciclos de innovación son cada vez más cortos. El ciberespacio transfronterizo requiere nuevos enfoques.

El estado tiene el deber de evaluar estos procesos de cambio en interés de los ciudadanos junto con la economía y otros actores, para darles forma activa y crear condiciones marco para desarrollar aún más estos procesos de cambio.

La digitalización abre oportunidades, conlleva riesgos y, por lo tanto, necesita confianza.

Legislación

La ciberseguridad se rige por varias leyes en Alemania. Veamos cuáles son.

Ley de Seguridad informática alemana

Fue publicada en julio de 2015 y modificó varias leyes alemanas, entre ellas la Ley de Telemedia alemana, la Ley de Telecomunicaciones, el Reglamento UE de Protección de datos, la Ley Federal de Protección de datos y la Ley de la Oficina Federal de Seguridad de la Información.

Cuatro años después de que Alemania adoptara su primera Ley de Ciberseguridad , que fue seguida por Bruselas con su Directiva NIS de la UE , el gobierno alemán ahora está revisando las normas alemanas existentes.

Un proyecto de ley sugiere ampliar el alcance de la regulación existente e introducir multas del tipo de las del RGPD por ciertas violaciones de la ley.

El proyecto de ley impulsará la seguridad cibernética para las empresas con negocios en Alemania aún más en la agenda de cumplimiento, comparable al impulso que hemos visto desde mayo de 2018 con protección de datos bajo el RGPD.

También hay partes de la ciberseguridad que se rigen por la Ley Bancaria y la Ley de Comercio de Valores.

Ley Federal de Protección de Datos

Aprobada el 30 de junio de 2017, vigente desde el 25 de mayo de 2018, y modificada por última vez por la Ley para adaptar la Ley de Protección de Datos al Reglamento (UE) 2016/679 (RGPD).

El Parlamento alemán aprobó una segunda Ley de Adaptación e Implementación que actualiza una variedad de disposiciones de protección de datos en la legislación específica del sector a la terminología y los principios del RGPD y cambiará algunas disposiciones de la Ley Federal de Protección de Datos. La ley aún tiene que ser adoptada por la cámara estatal y entrará en vigor el 1 de noviembre de 2020 (algunos cambios en la legislación específica del sector ya el 1 de noviembre de 2019).

Estrategia de Seguridad Cibernética

Garantizar la libertad y la seguridad es una de las tareas principales del estado. Esto también se aplica en el ciberespacio.

Por lo tanto, es tarea del estado proteger a los ciudadanos y las empresas en Alemania contra las amenazas cibernéticas y prevenir y enjuiciar los delitos cometidos en el ciberespacio.

En la era de la digitalización, un estado solo puede cumplir su tarea de forma permanente si ofrece protección y libertad de desarrollo en el ciberespacio para los negocios y la sociedad, y asegura sus propios sistemas de manera adecuada.

Se necesita una estrecha cooperación y coordinación para prevenir, detectar, asociar, repeler y rastrear los ciberataques.

Como consecuencia, el Gobierno Federal centra su política de seguridad cibernética en los próximos años en las siguientes cuatro áreas de acción:

  • Acción segura y autodeterminada en un entorno digitalizado.
  • Orden conjunta de ciberseguridad del estado y las empresas
  • Potente y sostenible arquitectura de seguridad cibernética en todo el estado
  • Posicionamiento activo de Alemania en la política de ciberseguridad europea e internacional.

Otras normas

Existen otras disposiciones informales en Alemania relativas a la seguridad informática como:

  • Catálogos BSI Basic IT Protection, desarrollados por la Oficina Federal de Seguridad de la Información
  • Criterios comunes para la evaluación de la seguridad de la tecnología de la información, estandarizados como ISO/IEC 15408
  • Objetivos de control para la información y la tecnología relacionada (COBIT).

Ley europea de ciberseguridad

Esta ley proporciona a la Agencia de Ciberseguridad de la Unión Europea (ENISA) autoridad necesaria para establecer una certificación de ciberseguridad. Las empresas pueden obtener esa certificación voluntariamente y su objetivo es informar al público sobre las disposiciones de seguridad de TI y el cumplimiento general de las normas de seguridad TI relevantes.

ENISA realizará entrenamientos de ciberseguridad durante los cuales las empresas pueden evaluar sus procesos al ser víctimas de ciberataques. Esta organización es el principal contacto para cualquier pregunta relativa a la ciberseguridad.

Alemania había implementado leyes nacionales muy similares a la NISD antes de que se finalizara, pero fue muy rápida en implementar la Directiva.

A la luz de los recientes ataques de ransomware, ataques sofisticados contra el parlamento alemán y los temores generalizados de que los países extranjeros intenten interferir con las elecciones nacionales, muchas partes interesadas ya han argumentado que se deben tomar medidas adicionales para hacer frente a las amenazas cibernéticas.

Otras iniciativas de ciberseguridad

Alliance for Cyber ​​Security es una plataforma de cooperación para el intercambio de información entre el BSI, la industria y la ciencia y la investigación.

Sectores más afectados por la regulación de ciberseguridad

La Ley de la Oficina Federal de Seguridad de la Información establece obligaciones específicas para proveedores de infraestructura crítica.

En esta ley se definen los siguientes sectores de infraestructura crítica:

  • Energía
  • Informática y comunicaciones
  • Transporte y tráfico
  • Salud
  • Agua
  • Nutrición
  • Finanzas y Seguros

Sin embargo, no todas las empresas que actúan en estos sectores están sujetas a las regulaciones sobre infraestructura crítica. Esto se aplica solo a las empresas que son de gran importancia para el funcionamiento de la comunidad o que podrían representar una amenaza para la seguridad pública cuando se produce un déficit de suministro.

Aunque la Ley de la Oficina Federal de Seguridad de la Información establece la obligación de los proveedores de infraestructura crítica de proporcionar precauciones organizativas y técnicas razonables para evitar la interrupción de la disponibilidad, integridad, autenticidad y confidencialidad de sus sistemas de tecnología de la información, las obligaciones específicas no se determinan en la ley. Pero se someten a las directrices sobre seguridad de TI establecidas por las asociaciones de la industria y aprobadas por la Oficina Federal de Seguridad de la Información.

La Directiva sobre redes y sistemas de información entró en vigor a partir del 30 de junio de 2017.

Obligaciones de las empresas en materia de ciberseguridad

La legislación alemana establece varias obligaciones para que las empresas tomen medidas para monitorizar, detectar, prevenir y mitigar incidentes de seguridad.

  • La Ley de Telemedia impone a sus proveedores la obligación de garantizar que sea imposible el acceso no autorizado a los datos relacionados. Según esta ley, un proveedor de telemedia es cada operador de un sitio web. La Ley de Telemedia no establece detalles sobre las medidas a tomar por el proveedor. Pero las autoridades competentes en materia de Protección de datos desarrollan requisitos específicos, por ejemplo, respecto la prevención de los accesos no autorizados a los sitios web. Se exige un cifrado SSL de los datos relacionados.
  • La Ley de Telecomunicaciones exige a los proveedores de telecomunicaciones públicas implementar las medidas técnicas necesarias para evitar el phishing de datos personales. Además, estos proveedores deben nombrar un oficial de seguridad y desarrollar un modelo de seguridad TI adecuado.
  • Los proveedores de varios productos financieros están obligados a desarrollar una específica gestión de riesgos de TI, según la Ley de Banca y la Ley de Comercio de Valores de Alemania.
  • Según la Ley de Protección de datos, las organizaciones están obligadas a procesar los datos personales de manera que garanticen la seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño, utilizando medidas técnicas y organizativas apropiadas.

Como obligaciones particulares se establecen:

  • la seudonimización y encriptación de datos personales,
  • capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento,
  • capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma oportuna en caso de incidente físico o técnico, y
  • un proceso para probar y evaluar regularmente la efectividad de las medidas técnicas y organizativas utilizadas para garantizar la seguridad del tratamiento.

Notificación de incidentes de seguridad informática

La ley alemana establece la obligación de notificar las infracciones de seguridad a la autoridad competente en materia de Protección de datos. Esto es aplicable a cualquier tipo de datos personales. Únicamente existe una excepción: cuando es poco probable que esa violación de seguridad ocasione un alto riesgo para los derechos y libertades de los interesados.

La notificación debe realizarse en un plazo máximo de 72 horas desde que se conoció el incidente. En ella se describirá el incidente, los datos afectados, los interesados y las medidas adoptadas por la organización para mitigar sus efectos.

Si se produce un incumplimiento de la infraestructura crítica, según la ley de la Oficina Federal de Seguridad de la Información, el proveedor debe notificar a esta oficina cualquier interrupción significativa de la disponibilidad, integridad y confidencialidad de sus sistemas y componentes de tecnología de la información o los procesos que podrían ocasionar un colapso o mal funcionamiento de la infraestructura afectada.

Los proveedores de redes o servicios públicos de telecomunicaciones están obligados a informar de cualquier incumplimiento de TI a la Agencia Federal de Redes. El informe deben realizarlo inmediatamente y debe contener una descripción del incidente, la categoría de datos afectados, los interesados y una descripción detallada de las medidas adoptadas para mitigar o reducir los efectos de ese incidente.

Principales ciberactividades penalizadas

Las principales actividades informáticas que se penalizan en Alemania son las siguientes:

Hackeo

La piratería se considera un delito según el Código penal alemán. Cualquiera que obtenga ilegalmente datos para sí mismo o para otra persona que no estaban destinados a él y que estaban especialmente protegidos frente al acceso no autorizado, si ha eludido esa protección, estará sujeto a prisión de no más de tres años y a multa.

Ataques de denegación de servicio

Están considerados como delito en el Código penal, llamándolo sabotaje informático. Según esta norma, cualquiera que interfiera con las operaciones de procesamiento de datos que son de vital importancia para otro al eliminar, suprimir, inutilizar o alterar datos, o al ingresar o transmitir datos con la intención de causar daño a otro, será sancionado con multa y prisión de hasta tres años. Lo mismo se aplica a la destrucción, daño, alteración, inutilización o eliminación de un sistema o soporte de tratamiento de datos.

Suplantación de identidad

El phishing puede constituir dos delitos diferentes:

    • La interceptación ilegal de datos por medios técnicos desde una instalación de procesamiento de datos privada se considera un delito en el Código penal, castigado con multa y prisión de hasta dos años.
    • El uso de dichos datos con la intención de obtener un beneficio material ilegal se castiga en el Código penal como fraude informático con prisión de hasta cinco años y multa.

Infección de sistemas informáticos con malware (virus, gusanos, troyanos, etc.)

Al igual que en el caso de los ataques de denegación de servicio, se regula en el Código penal como sabotaje informático. Se castiga con prisión de hasta tres años y multa.

Posesión o uso de hardware, software u otras herramientas para cometer delitos cibernéticos

Según el Código penal, la preparación de una obtención no autorizada de datos o phishing produciendo, adquiriendo para sí mismo o para otro, vendiendo, suministrando a otro, diseminando o haciendo accesible el software para cometer un delito se castiga con prisión de hasta un año y multa. En caso de usar esos instrumentos se aplican las mismas penas que en caso de hackeo.

Robo o fraude de identidad

El robo de identidad puede constituir varios delitos penales, dependiendo de cómo el delincuente obtenga los datos de identidad. Puede hacerlo mediante métodos de suplantación de identidad (phishing), castigado igual que en ese supuesto. También pueden usarse esos datos con fines fraudulentos, regulados como fraude en el Código penal y con prisión de hasta diez años.

Robo electrónico

Esto se considera delito penal únicamente en el caso de que los datos afectados estén especialmente protegidos contra el acceso no autorizado. No se considera como tal cuando un empleado actual o anterior viola la confianza de otro, ya que este ha autorizado el acceso a los datos.

Cualquier actividad que afecte negativamente a la seguridad, confidencialidad, integridad o disponibilidad de un sistema TI, infraestructura, red de comunicaciones, dispositivo o datos

Dentro de estas actividades están:

      • Preparación de una obtención o interceptación no autorizada de datos
      • Manejo de datos robados
      • Violación de los secretos postales y de telecomunicaciones
      • Sabotaje informático
      • Violación del RGPD con la intención de enriquecer o dañar a alguien
      • Falsificación de evidencia digital

Fracaso de una organización para implantar medidas de ciberseguridad

El hecho de que una organización no implemente medidas de ciberseguridad no constituye un delito penal sino administrativo. La organización estaría sujeta a responsabilidad civil en caso de negligencia. En este caso puede imponerse una sanción de hasta 10 millones de euros o el 2% de la facturación anual de la empresa. La responsabilidad civil depende del daño causado por el fallo de la organización.

Autoridades alemanas en materia de ciberseguridad

Las principales autoridades con competencias en materia de ciberseguridad en Alemania son:

  • La Oficina Federal de Seguridad de la Información, es la principal autoridad de Alemania en materia de ciberseguridad. Es el contacto principal respecto a consultas en temas medidas de ciberseguridad preventivas y es la responsable de recibir las notificaciones sobre violaciones de seguridad en infraestructuras críticas.
  • Autoridades de Protección de datos: hacen cumplir las leyes de protección de datos existentes. Cada estado federal tiene una Autoridad de Protección de datos separada.
  • Agencia Federal de Redes: aplica las leyes sobre telecomunicaciones y es responsable de recibir las notificaciones sobre violaciones de seguridad en las redes y servicios de telecomunicaciones.
  • CERT-Bund: es el equipo alemán de respuesta a incidentes de seguridad informática. Entre sus obligaciones están:
    • crear y publicar recomendaciones para medidas preventivas
    • señalar vulnerabilidades en productos de hardware y software
    • proponer medidas para abordar vulnerabilidades conocidas
    • apoyar los esfuerzos de las agencias públicas para responder a incidentes de seguridad de TI
    • recomendar varias medidas de mitigación.
  • Bürger-CERT: proporciona información sobre seguridad cibernética a personas privadas.
  • Centro Nacional de Defensa Cibernética: coordina la cooperación operativa de las autoridades de seguridad (es decir, la policía y los servicios de inteligencia).

Cooperación entre el gobierno y el sector privado

Las empresas en Alemania deben poder protegerse eficazmente a sí mismas y a sus clientes de los ciberataques.

Se presta especial atención a los operadores de infraestructuras críticas. Pero otras compañías pueden ser de gran relevancia para el estado, la economía y la sociedad y necesitan protección especial.

Para este propósito, las condiciones marco necesarias deben desarrollarse aún más por medio del enfoque cooperativo establecido por la Ley de Seguridad de TI y, si es necesario, extenderse a otras áreas de la economía. Al desarrollar y aplicar estándares de seguridad de TI efectivos y basados ​​en las necesidades, el gobierno y las empresas deben trabajar juntos de manera cercana y confiable.

La base para esto es una fuerte economía alemana de TI, que debe ser respaldada por una política económica moderna.

Además, el Gobierno Federal elaborará medidas para mejorar la cultura de fundación de nuevas empresas en TI/seguridad cibernética en Alemania, que es más débil según los estándares internacionales. La participación de los proveedores nacionales de seguridad de TI tiene un papel clave en la detección y la lucha contra los ciberataques.

Sanciones

El incumplimiento de la Ley de Seguridad Informática alemana está sujeto a multas administrativas de hasta 100.000 euros.

En caso de incumplir los requisitos establecidos en la Ley de Protección de datos, pueden imponerse multas de hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor.

Ejemplos de ciberataques

Estos son algunos ejemplos de ciberataques ocurridos en Alemania.

Ciberataque a la red social alemana Knuddels

Esta red social fue víctima de un ciberataque en el que los hackers obtuvieron más de 800.000 direcciones de correos electrónicos y casi dos millones de nombres de usuarios y contraseñas. La compañía había almacenado esos datos en sus servidores sin cifrar.

Los ciberdelincuentes pudieron acceder también a datos específicos como los domicilios o la edad de algunos usuarios.

Como la red social informó rápidamente del incidente de seguridad, cooperó con la autoridad de protección de datos competente y aplicó importantes medidas de seguridad a los datos, la multa solo fue de 20.000 euros por no proteger adecuadamente los datos de sus usuarios.

Ciberataque a políticos y artistas alemanes famosos

Piratas informáticos filtraron en una cuenta de Twitter información de cientos de políticos y personalidades de la vida pública alemana. Se publicaron datos como domicilios,números de teléfono, correos electrónicos, fotos de familiares, chats y hasta datos bancarios.

Entre los afectados por el ciberataque se encontraba hasta la Canciller alemana Angela Merkel, además de diputados del Bundestag y de los parlamentos regionales. Los datos filtrados eran datos actuales, antiguos y otros que fueron falsificados.

La coordinación de la investigación fue asumida inmediatamente por el centro alemán de defensa cibernética.