Sicherheit ist messbar!

Zusammenfassung  Dieser Beitrag liefert einen überblick über die Sicherheitsmetrik des Open Source Security Testing Methodology Manual (OSSTMM) der Version 3.0 RC15 aus dem Jahre 2008. Das OSSTMM wird vom Institute for Security and Open Methodologies (ISECOM) in Barcelona herausgegeben. Der Artikel geht zun?chst auf die Grundlagen und den Zweck von OSSTMM ein. Anschliessend gibt er eine Einführung in die Sicherheitsmetrik und zeigt dessen Anwendung und Nutzen auf. Eine Abgrenzung zu anderen Methoden und aktuelle offene Probleme im OSSTMM runden den Beitrag ab. Heiko Rudolph 2004 gründete er die adMERITia, mit dem Hauptbet?tigungsfeld der Informationssicherheit. Seit 2006 arbeitet er bei der Non-Profit-Organisation „Institute for Security and Open Methodologies“ (ISECOM) mit. Aaron Brown Security Consultant adMERITia GmbH. Seit 2006 arbeitet er bei der Non-Profit-Organisation „Institute for Security and Open Methodologies“ (ISECOM) mit.     

Im Netz von Google. Web-Tracking und Datenschutz

Zusammenfassung  Webseiten-Betreiber haben zur bedarfsgerechten Gestaltung ihrer Dienste und nicht zuletzt vor dem Hintergrund neuer Marketing-Potentiale ein Interesse, Informationen über die Nutzung und die Besucher Ihrer Webseiten zu erhalten. Dabei k?nnen sie neben der Auswertung eigener Webserver-Protokolle auch auf verschiedene Web-Tracking-Dienste zurückgreifen. Der bekannteste und marktführende Web-Tracking-Dienst ist Google Analytics, der einem Webseiten-Betreiber kostenlos eine relativ detaillierte, grafisch aufbereitete Auswertung der Webseiten-Nutzung anbietet (siehe Lepperhoff/Petersdorf, DuD 4/2008). Google Analytics sammelt ohne explizite Einwilligung — und zumeist auch ohne Kenntnis — der Besucher einer Webseite verschiedene Informationen wie beispielsweise die besuchten Webseiten und die Besuchszeiten einer Session. Der nachfolgende Beitrag skizziert die Funktion typischer Web-Tracking-Dienste am Beispiel von Google Analytics und befasst sich mit der Frage, inwieweit die Nutzung solcher Services datenschutzrechtlich zul?ssig ist. Dr. Roland Steidle ist Rechtsanwalt bei Waldeck Rechtsanw?lte in Frankfurt am Main Dr. Ulrich Pordesch ist IT-Sicherheitskoordinator der Fraunhofer Gesellschaft e.V.     

Wahlgeräte in Deutschland

Zusammenfassung  Die Durchführung elektronisch gestützter Wahlen wird weltweit kritisch begleitet. Auch in Deutschland hat der Einsatz elektronischer Wahlger?te eine breite, überwiegend kritische Diskussion ausgel?st, die bis zu einem Verfahren beim Bundesverfassungsgericht führte. Ein Schwerpunkt der Kritik betrifft die Transparenz der Wahlabl?ufe, ein anderer die technische Sicherheit der Wahlger?te. Der vorliegende Beitrag fasst zusammen, was zur Absicherung von Wahlger?ten auf der Grundlage der geltenden gesetzlichen Regelungen in Deutschland bisher getan worden ist und beleuchtet vor diesem Hintergrund die bekannten Hauptkritikpunkte. Heike Schrepf ist Diplom-Physikerin und seit Langem auf Softwareprüfungen in komplexen messtechnischen Systemen sowie Wahlger?ten spezialisiert. Sie geh?rt der akkreditierten Softwareprüfstelle der PTB an. Dr. Norbert Greif leitet in der Physikalisch-Technischen Bundesanstalt (PTB) die Arbeitsgruppe „Software und elektronische Wahlen“, die als Softwareprüfstelle akkreditiert ist. Er ist als Fachbegutachter im Auftrag von Akkreditierungsstellen t?tig. Prof. Dr. Dieter Richter ist Leiter des Fachbereiches „Metrologische Informationstechnik“ in der PTB, zu dem auch der Arbeitsbereich der elektronischen Wahlen geh?rt. Er nimmt viele beratende T?tigkeiten wahr.     

Kunden- und Mitarbeiterdaten im weltweiten Fluss

Zusammenfassung  Globalisierungsbedingt ist es für internationale Unternehmen unerl?sslich, personenbezogene Daten von Kunden und Mitarbeitern ins EU-Ausland zu übermitteln. Es stellt sich daher die Fragen, ob und unter welchen Voraussetzungen eine solche übermittlung nach dem Bundes-datenschutzgesetz (BDSG) zul?ssig ist. Zur Autorin: Silke Martin ist Rechtsanw?ltin in der auf IT-Themen spezialisierten Kanzlei PRW Rechtsanw?lte in München, ihre Fachthemen sind Datenschutz und Arbeitsrecht im IT-Umfeld.     

Österreich: Videoüberwachung in Ladenlokalen

Zusammenfassung  Immer mehr Gesch?ftsinhaber in ?sterreich vertrauen im Hinblick auf die Beweisbarkeit von Ladendiebst?hlen dem hieb- und stichfesten Beweis der systematischen und verdeckten Videoüberwachung. Eine Kamerainstallation ist aber nur unter engen rechtlichen Voraussetzungen und nur nach einem vorherigem positiven Bescheid der ?sterreichischen Datenschutzkommission zul?ssig. Area HR Manager Deutschland, Borealis Polymere GmbH, Burghausen     

Die Verantwortung der Wirtschaftsinformatik für die Finanzmarktkrise

Zusammenfassung  Entscheidungsunterstützungssysteme (EUS) z?hlen zu den zahlreichen Errungenschaften der Wirtschaftsinformatik. Diese speziellen Anwendungssysteme unterstützen Führungskr?fte aus dem mittleren und oberen Management bei Entscheidungsprozessen durch die Bereitstellung relevanter Informationen und die Generierung von Handlungsempfehlungen auf der Basis von Entscheidungsmodellen. Auch bei der Entstehung und Entwicklung der seit Juli 2007 vorherrschenden Finanzmarktkrise spielen diese eine Rolle. So stützen sich nahezu alle Marktakteure bspw. im Rahmen des Risikomanagements auf entsprechende Modelle und Anwendungssysteme. Vor diesem Hintergrund m?chte dieser Beitrag die Rolle und Verantwortung der Wirtschaftsinformatik diskutieren sowie Lehren aus der Finanzmarktkrise für die IT-basierte Entscheidungsunterstützung ziehen.     

Die Standards des eCard-API-Frameworks

Zusammenfassung  Die eCard-Strategie der Bundesregierung zielt auf die breite Verwendbarkeit der im Rahmen der verschiedenen Kartenprojekte der Bundesverwaltung ausgegebenen und genutzten Chipkarten ab. Eine besondere Rolle bei der Realisierung dieses Zieles spielt das eCard-API-Framework, durch das ein einfacher und einheitlicher Zugriff auf die Funktionen dieser unterschiedlichen Chipkarten erm?glicht wird. Um die nationale und internationale Akzeptanz dieses Rahmenwerkes nachhaltig sicherzustellen, wurde bei der Spezifikation des eCard-API-Frameworks auf international anerkannte Standards zurückgegriffen. Der Beitrag gibt einen kompakten überblick über das eCard-API-Framework und die wesentlichen damit zusammenh?ngenden Standards. Dr. Detlef Hühnlein ist seit mehr als zehn Jahren bei der secunet Security Networks AG — u.a. im Bereich Chipkartentechnologie — t?tig. Manuel Bach Manuel Bach ist seit 2005 im Referat Industriekooperation für das BSI t?tig und u.a. mit der Entwicklung des eCard-API-Frameworks betraut.     

Quantenprogrammierung

Zusammenfassung  In den vergangenen Jahren hat es zahlreiche neue Entwicklungen auf dem Gebiet der Quantenprogrammierung und insbesondere der Quantenprogrammiersprachen gegeben. Neben Programmiersprachen im engeren Sinne, deren Zielrichtungen recht verschiedenartig sind, wurden inzwischen auch weitere formale Systeme wie etwa ,,model checker“ entwickelt mit dem An-spruch, die Sicherheit quantenkryptografischer Protokolle zu untersuchen und zu bewerten. Der vorliegende Artikel aktualisiert einen vor einigen Jahren erschienenen Beitrag im Informatik-Spektrum über Quantenprogrammiersprachen [11].     

Auf dem Weg zu idealen Programmierwerkzeugen – Bestandsaufnahme und Ausblick

Zusammenfassung  Angeregt durch Robert W. Floyds Turing-Award-Lecture ,,The Paradigms of Programming“ von 1979 [6] und motiviert durch die Unzufriedenheit des Praktikers mit dem Stand der Softwaretechnik aus vielen Industrieprojekten, versucht dieser Beitrag eine Bestandsaufnahme der Programmiertechnik und identifiziert die Defizite aus Sicht der Grundprinzipien des Konstruktionsprozesses. Mit der Objektorientierung sind, besonders in den letzten Jahren, viele neue Programmiersprachen entstanden, die sowohl Wert auf schnelle Entwicklungszyklen als auch auf Erweiterbarkeit legen. Die heute haupts?chlich verwendeten Sprachen und Umgebungen sind von diesen Zielen weit entfernt. Das Entwickeln von Software ist zum einen zu kompliziert und zum anderen schmerzt die ,,semantische Lücke“ zwischen den ausdrückbaren und den erforderlichen Konzepten. Neue, viel versprechende Programmiersprachen, die sich durchweg auf Metaprogrammierung stützen, um die erforderliche semantische Erweiterbarkeit der Sprachen zu erreichen, deuten die Richtung zukünftiger Entwicklungen an.     

Vertrauliche Verarbeitung staatlich eingestufter Information – die Informationstechnologie im Geheimschutz

Zusammenfassung  ?ffentliche Auftr?ge, die auf der Grundlage staatlich eingestufter Informationen ausgeschrieben werden, setzen beim Auftragnehmer eine vorhandene gesetzeskonforme Infrastruktur voraus, um die geforderte Vertraulichkeit zu gew?hrleisten. Vor diesem Hintergrund gestaltet sich die IT-Bearbeitung solcher Informationen als sehr aufw?ndig und kostenintensiv. In diesem Bericht werden die allgemeinen Trends und Entwicklungen bei der Bearbeitung staatlich eingestufter Informationen unter dem speziellen Aspekt der Informationstechnologie dargestellt und m?gliche Probleme sowie deren L?sungsm?glichkeiten aufgezeigt.     

Rechtliche Grundlagen der IT-Sicherheit

Zusammenfassung  IT-Sicherheit ist inzwischen für Unternehmen vieler Branchen ein strategischer Erfolgsfaktor. Das gilt in erster Linie unter Service-und Effizienzgesichtspunkten des operativen Gesch?fts. IT-Sicherheit ger?t aber auch wegen der Kreditvergabekriterien nach Basel II in den Fokus. Sie geht danach als ein Element des operationellen Unternehmensrisikos in die Gewichtung des Kreditausfallrisikos und darüber hinaus auch in die Berechnung des Zinssatzes ein. Je h?her der IT-Sicherheitsstatus, desto niedriger ist künftig der individuelle Kreditzins. Zudem erh?hen der Sarbanes-Oxley-Act, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie das GmbHG den Handlungsdruck auf Vorstands-und Gesch?ftsführerebene. Denn M?ngel im IT-Risikomanagement k?nnen danach eine pers?nliche Haftung mit dem Privatverm?gen nach sich ziehen. Der Autor¹ gibt einen überblick der gesetzlichen Verpflichtungen im Kontext der IT-Sicherheit. Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanw?lte, Düsseldorf     

Szenario: Die Universität im Jahre 2005

Szenario 2005 . Um sich auf dem Bildungsmarkt behaupten zu k?nnen, müssen Universit?ten und Fachhochschulen ihre St?rken herausstellen und sich auf die neue Konkurrenz vorbereiten, fordert die Schrift, die von dem Expertenkreis „Hochschulentwicklung durch neue Medien“ der Bertelsmann Stiftung und der Heinz Nixdorf Stiftung erarbeitet wurde.     

Modellierung in der Lehre an Hochschulen: Thesen und Erfahrungen

Zusammenfassung  Nicht erst seit Modellierung zum Modewort geworden ist, ist Modellierung ein wichtiges Thema in der Informatikausbildung. Dieser Beitrag beleuchtet in zw?lf Thesen das Warum, Was, Wie viel, Wo, Wann und Wie von Modellierung in der Lehre im Rahmen informatikbezogener Studieng?nge. Die Thesen basieren auf der Erfahrung des Verfassers mit einer seit über zehn Jahren gehaltenen Modellierungsvorlesung an der Universit?t Zürich sowie dem Gedankenaustausch mit anderen Hochschullehrerinnen und -lehrern im Rahmen der GI-Workshopreihe ,,Modellierung“. Zus?tzlich liefert eine Befragung von Absolventinnen und Absolventen an der Universit?t Zürich empirische Evidenz für eine Reihe der Thesen.     

Identity- und Access-Management mit EAI-Konzepten und -Technologien

Zusammenfassung  In diesem Beitrag wird die Idee eines EAI-basierten Identity- und Access-Managements (IAM) vorgestellt. Konzepte, Vorgangsweisen und Technologien aus dem Bereich Enterprise Application Integration (EAI) dienen dabei als Ausgangsbasis. Aktuelle Standards und ihre Unterstützung durch Integrationswerkzeuge werden diskutiert. Dipl.-Ing. (FH) Karl Flieder ist hauptberuflich mit Integrationsaufgaben in der Automobilindustrie betraut. Nebenberuflich widmet er sich der Lehre an der FH Joanneum.     

„Schutz der Privatheit — Informationsgesellschaft ohne Tabu?“

Zusammenfassung  Der Beitrag befasst sich unter der etwas vagen überschrift „Schutz der Privatheit — Informationsgesellschaft ohne Tabu?“ mit dem Prozess der Enttabuisierung der Privatsph?re und deren Auswirkungen auf den Einzelnen und die Gesellschaft. Dabei geht es weniger um das Verh?ltnis des Staates zur Privatsph?re seiner Bürger, als um die im gesellschaftlichen Bereich zu beobachtenden Grenzverschiebungen zwischen Privatheit und ?ffentlichkeit, die ja nicht erst im Zeitalter des Internet festzustellen sind, sondern eine lange Vorgeschichte haben. Der Rückblick beginnt daher nicht mit Ernst Benda und seiner Volksz?hlungsentscheidung, sondern mit Johann Wolfgang von Goethe und seinem „Werther“. Der — hier gekürzt wiedergegebende — Vortrag stützt sich vor allem auf den von Ralph Wei?/Jo Groebel herausgegebenen Band ‚Privatheit im ?ffentlichen Raum‘. Der Vortrag wurde am 27. September 2008 auf der Tagung ‚Vom Volksz?hlungsurteil zum virtuellen Exhibitionismus — Wertewandel des Datenschutzes‘ gehalten, welche die Akademie für politische Bildung Tutzing in Kooperation mit der Fachhochschule München veranstaltet hat.     

Wissenschaftspolitische Herausforderungen für die Informatik

Zusammenfassung  Der folgende Beitrag – in der ursprünglichen Form vorgetragen auf dem Jahrestreffen 2008 des Beirates der Universit?tsprofessoren der Gesellschaft für Informatik (GIBU) – behauptet, dass im Gefolge des Bologna-Prozesses und der Exzellenzinitiative das Niveau der Ausbildung in technischen F?chern, insbesondere in der Informatik, im Durchschnitt sinken wird. Da Deutschland sich dies nicht leisten kann, andererseits Bologna unumkehrbar ist, werden Kompensationsma?nahmen diskutiert.     

Software Controlling

Zusammenfassung  Die Entwicklung von gro?en Softwaresystemen erfordert ein effektives und effizientes Projektmanagement. Insbesondere muss im Hinblick auf die Softwarequalit?t in die Entwicklungsprozesse ein zielgerichtetes Risikomanagement integriert werden. Der bisher meist verfolgte ,,klassische“ Ansatz des Projektcontrollings fokussiert vielfach nur auf die Erreichung von externen Qualit?tseigenschaften des Endprodukts (wie der Erfüllung funktionaler Anforderungen, die vom Anwender wahrgenommen werden) und die Einhaltung von Zeit- und Budgetvorgaben. Die Erfahrung aus vielen lang laufenden Projekten zeigt, dass im Hinblick auf nachhaltige Entwicklung eine feink?rnigere und ganzheitlichere Betrachtung der Qualit?t von Softwaredokumenten und Entwicklungszwischenprodukten notwendig ist, um qualit?tsbezogene Projektrisiken frühzeitig zu erkennen und geeignete Steuerungsma?nahmen im Entwicklungsprozess ergreifen zu k?nnen. Bei Capgemini sd&m (München) wird deshalb gerade unter dem Begriff Software Controlling ein Bündel von technischen und organisatorischen Ma?nahmen zum ganzheitlichen qualit?tsbezogenen Risikomanagement in Softwareprojekten eingeführt. Wesentliche Komponenten sind ein Qualit?tsmodell auf der Grundlage eines aus bisherigen Projekterfahrungen gewonnenen Kennzahlensystems, das interne Produkteigenschaften mit Aufwands-, Test- und Fehlerdaten verknüpft, ein in die Entwicklungsumgebung integrierter Projektleitstand und spezifische Prozesselemente zur Qualit?ts- und Risikobewertung auf der Grundlage der Kennzahlen.     

Usable Security und Privacy

Bedienbarkeit, Verst?ndlichkeit und Akzeptanz von Schutzmechanismen stehen bei deren Entwicklung in der Regel nicht im Vordergrund — obwohl sie nachweislich einen erheblichen Einfluss auf das (sicherheitsad?quate) Verhalten der Nutzer haben. Die Autoren geben einen überblick über die bisherigen Ans?tze auf dem Gebiet „Usable Security and Privacy“ und zeigen den weiteren Forschungs- und Entwicklungsbedarf auf.     

Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Die Gew?hrleistung der Vertraulichkeit und Integrit?t informationstechnischer Systeme reagiert auf die Angewiesenheit der Grundrechtsverwirklichung auf die Nutzung elektronischer Informations- und Kommunikationsmedien. Das Grundrecht bedarf jedoch der technischen und rechtlichen Ausgestaltung, wobei dem Staat eine Regulierungs- und Gew?hrleistungsaufgabe zukommt. Noch offen ist jedoch eine inhaltliche Konkretisierung des „unantastbaren Kernbereichs der Privatsph?re“.     

Umgang mit datenschutzerklärungen im internet ergebnisse einer empirischen untersuchung

Zusammenfassung  85 Prozent aller Webpr?senzen, die mittels Dialoginstrumenten personenbezogene Daten erheben, verzichten auf eine Datenschutzerkl?rung. Unerlaubte Datenverarbeitung und Vertrauensverlust sind die Folgen. Dr. Niels Lepperhoff Gesch?ftsführer der Xamit Bewertungsgesellschaft mbH Schwerpunkte: Datenschutz und IT-Sicherheit Bj?rn Petersdorf Gesch?ftsführer der Xamit Bewertungsgesellschaft mbH Schwerpunkte: Web Tracking und IT-Controlling