Erfolgreiches De-Mail Pilotprojekt: Teilnehmer ziehen Bilanz

So einfach wie E-Mail, so rechtsverbindlich wie Papierpost: Mehrere hundert Bürgerinnen und Bürger der Stadt Friedrichshafen haben im Rahmen des De-Mail Pilotprojekts die Chance genutzt und ihr bestehendes Mail-Postfach um das Angebot für die rechtsverbindliche elektronische Kommunikation erweitert. Der sechsmonatige Testbetrieb hat gezeigt: Das System funktioniert, es l?uft stabil und besteht in Sachen Benutzerfreundlichkeit den Realit?tscheck. Insofern f?llt das Fazit der beteiligten E-Mail-Provider — GMX, WEB.DE und der Privatkundensparte der Deutschen Telekom — positiv aus: Das Pilotprojekt war ein voller Erfolg. Jetzt stehen alle in den Startl?chern für den zertifizierten Regelbetrieb.     

„E-Mail made in Germany“

Das Projekt ?E-Mail made in Germany“ wurde als Reaktion auf die Enthüllungen von Edward Snowden initiiert. Es ist das erklärte Ziel, den E-Mail-Nutzern in Deutschland einen hohen Sicherheits- und Datenschutzstandard anzubieten. Das Produkt wurde mit einer breit angelegten Werbekampagne beworben. Im Mittelpunkt der Kampagne stand ein 30sekündiger TV-Spot, der auf die Notwendigkeit von sicherer E-Mail-Kommunikation eingeht. Kritiker bemängeln jedoch, dass dabei ein falsches Sicherheitsverständnis von ?E-Mail made in Germany“ vermittelt wird. Dieser Kritik wurde mit einer Laborstudie nachgegangen.     

Die qualifizierte elektronische Signatur als maßgebender Sicherheitsstandard im elektronischen Rechtsverkehr

Rechtssicherheit beim Umgang mit elektronischen Dokumenten ist für alle Verfahrensbeteiligten im elektronischen Rechtsverkehr und beim E-Government unerl?sslich und ebenso wichtig bei allen elektronischen Gesch?ftsprozessen. Die qualifizierte elektronische Signatur wird heute nach anf?nglicher Zurückhaltung in allen au?ergerichtlichen und gerichtlichen elektronischen Kommunikationsprozessen von Organen der Rechtspflege erfolgreich verwendet, die als „Geheimniswahrer“ sicher kommunizieren. Der folgende Beitrag erl?utert die bestehenden Sicherheitsstandards im elektronischen Rechtsverkehr, bewertet die Entwicklungen in der jüngsten Rechtsprechung und definiert einen m?glichen Novellierungsbedarf im SigG und der SigV.     

E-Mail Compliance — revisionssichere Archivierung

E-Mail ist das vorherrschende Medium für die schnelle Kommunikation im Gesch?ftsleben geworden. Alle E-Mails mit gesch?ftsrelevanten Informationen, sei es im E-Mail, sei es im Attachement oder sei es die Information hinter einem eingebetteten Link, sind Handelsbriefe und damit aufbewahrungspflichtig. Dieser Beitrag befasst sich mit den diesbezüglichen Anforderungen, die sich aus rechtlichen und regulativen Vorgaben ergeben.     

Risiken von E-Voting – Sicherheit und Probleme elektronischer Wahlen

E-Voting ist ein sehr kontroverses Gebiet. Die Wahlbeteiligung nimmt kontinuierlich ab, weshalb einige Politiker meinen, ein Allheilmittel entdeckt zu haben: Internetwahlen als zus?tzliche Wahlmethode. Obwohl IT-Experten und Datenschutzrechts-Spezialisten sich gegen elektronische Wahlen aussprechen, wird es in ?sterreich bei der kommenden Wahl der ?sterreichischen HochschülerInnenschaft im Frühling 2009 dennoch einen Echtwahlversuch mit Internetwahlen geben. Die Vorteile von E-Voting wie Erh?hung der Wahlbeteiligung durch zus?tzliche Wahlkan?le und Kostenersparnis wurden allerdings durch Studien bereits entkr?ftet: Durch elektronische Verfahren seien vielmehr die Wahlrechtsgrunds?tze gef?hrdet und die Transparenz des Wahlvorgangs ginge verloren, meinen Kritiker.     

De-Mail — verschlüsselt,authentisch, nachweisbar

De-Mail soll grundlegende Sicherheitsfunktionen für den elektronischen Nachrichtenaustausch wie Verschlüsselung, sichere Identit?t der Kommunikationspartner und Nachweisbarkeit (Versand-/Zustellnachweise) — die der heute genutzten E-Mail fehlen — einfach nutzbar und damit breit verfügbar machen. Das BMI koordiniert das Projekt, schafft die rechtlichen Rahmenbedingungen (De-Mail-Gesetz) und erarbeitet — unter enger Einbindung der Wirtschaft — die technischen Konzepte. Realisiert und betrieben wird De-Mail von einem Verbund staatlich zugelassener (akkreditierter) und in der Regel privater Anbieter — den De-Mail-Providern.     

Authentifizierung zwischen Datenschutz und Technikmisstrauen

Der elektronische Personalausweis geh?rt gemeinsam mit der De-Mail zu jenen Basiskomponenten, mit denen auch die neue Bundesregierung eine rechtssichere elektronische Kommunikation und rechtsverbindliche Authentifizierung der Bürgerinnen und Bürger gew?hrleisten m?chte. Der Aufbau einer solchen IT-Infrastruktur ist zu begrü?en. Allerdings zeichnen sich hier wie bei anderen technologischen Innovationen in der Hand des Staates auch Kritik und Protest ab, die ernst genommen werden sollten. Der Gesetzgeber sollte sich st?rker um die Rechtsfolgen unvermeidbarer IT-Unsicherheit bemühen.     

Windows Rootkits — und ihre Erkennung

Zusammenfassung  Im vorangegangenen Beitrag wurde in die Funktionsweise von Windows Rootkits eingeführt und gezeigt, welche Bedrohung sie darstellen. Dieser Beitrag gibt einen überblick über die m?glichen Erkennungsverfahren und erl?utert ihre Funktionsweise. Wilhelm Dolle ist in der Gesch?ftsleitung der interActive Systems GmbH in Berlin für den Bereich Information Technology und IT Security zust?ndig. Dr. Christoph Wegener ist freier Berater mit den Schwerpunkten IT-Sicherheit und Linux/Open Source und Leiter des Bereichs Business Development bei der gits AG in Bochum.     

Ein Ansatz zur Umsetzung von Löschvorschriften mittels Verschlüsselung

Der Beitrag beschreibt die Verwendung von Verschlüsselungsmethoden zum L?schen von personenbezogenen Daten. Im Rahmen eines L?schkonzeptes erfolgt das eigentliche L?schen dabei durch eine Verschlüsselung in Verbindung mit einer sp?teren, m?glicherweise automatisierten, Vernichtung des verwendeten Schlüsselmaterials. Der hier beschriebene Ansatz k?nnte dadurch auch komplexeren Organisationen mit verteilten Systemen eine Umsetzung der gesetzlichen L?schvorschriften für personenbezogene Daten erm?glichen und zudem auch zum Schutz der Vorratsdaten im Rahmen der zu erwartenden gesetzlichen Neuregelung der technischen Durchführungsvorschriften bzgl. der Vorratsdatenspeicherung beitragen.     

Elektronische Ummeldung des Kfz

Zusammenfassung  Die elektronische Unterstützung des Prozesses der An- und Ummeldung von Kraftfahrzeugen (KfZ) z?hlt für die Deutschland-Online-Initiative von Bund und L?nder zu den herausgehobenen Projekten. 3,15 Mio. Neuzulassungen und 7,11 Mio. Besitzumschreibungen bei den Privat-Kfz im Jahr 2007 deuten auf ein Massenverfahren mit einem Rationalisierungspotenzial hin.     

Über den Wolken: Cloud Computing im Überblick

Cloud Computing entwickelt sich aktuell zu einem echten Trend: Cloud Dienste findet man nahezu überall, sie reichen von Produkten von Amazons Web Services über die Angebote von Microsofts Azure bis zu verschiedensten Diensten des Anbieters Google, um nur einige Akteure in diesem Feld zu nennen. Auch rund um das Thema E-Mail sind Cloud-Angebote auf dem Markt, bei denen die besonderen Gegebenheiten der E-Mail-Compliance in der Cloud zu berücksichtigen sind. Oft wird die Cloud aber auch im Zusammenhang mit Angeboten genannt, die überhaupt nichts mit Cloud Computing zu tun haben. Hier mangelt es an einer sauberen Abgrenzung zwischen den verschiedenen M?glichkeiten rund um das Thema Cloud Computing. Dieser Beitrag soll eine erste übersicht über das Thema Cloud Computing mit seinen verschiedenen Erscheinungsformen geben und dabei vor allem auch aufzeigen, wo etwaige Probleme im Bereich Datensicherheit, Datenschutz und Compliance liegen k?nnen.     

Schlüsselverteilung für Mobilgeräte

Digitale Zertifikate werden bereits in großem Umfang zur Verschlüsselung mit Desktop Clients wie Outlook eingesetzt. Damit ein Benutzer auch an all seinen Mobilgeräten verschlüsselte E-Mails lesen und an beliebige Empfänger verschlüsseln kann, müssen sein privater Schlüssel sowie die Zertifikate der Partner dort verfügbar sein.     

Praktische Angriffe auf die Bitstromverschlüsselung von Xilinx FPGAs

Heute bedrohen Risiken wie Produktpiraterie und Industriespionage Technologiekonzerne mehr denn je. Weder wertvoll aufgebautes Know-How noch kostspielige Eigenentwicklungen dürfen in die H?nde der Konkurrenz geraten. über Gewinner und Verlierer dieses Wettkampfs entscheidet h?ufig, ob die Schutzmechanismen der verwendeten Baugruppen halten, was die Hersteller versprechen. In diesem Beitrag untersuchen wir am Beispiel von Xilinx Bauelementen, wie sich die Bitstromverschlüsselung zum Schutz der FPGA Konfiguration in der Praxis bew?hrt. Wir zeigen, wie sich mittels Seitenkanalanalyse sogar mit dem hochsicheren AES-256 geschützte Inhalte entschlüsseln lassen.     

Kann man mit DECT noch vertraulich telefonieren?

Nachdem Sicherheitslücken im veralteten DECT-Standards bereits auf dem CCC-Kongress im Dezember 2008 erkennbar wurden, pr?sentierten die Autoren dieses Jahr eine Kryptoanalyse der DECT Verschlüsselung. Der Beitrag illustriert die derzeitige durch DECT verschuldete Bedrohungslage und gibt Handlungsempfehlungen zum sicheren Telefonieren.     

Strategie mit vielen Problemen

Zusammenfassung  Die von der Bundesregierung 2005 beschlossene eCard-Strategie ist ein ambitioniertes Projekt. Auf der technischen Ebene geht es darum, die Sicherheitsfunktionen aller künftigen Bürger-Chipkarten interoperabel zu machen. Der elektronische Personalausweis (ePA), die elektronische Gesundheitskarte (eGK), Signaturkarten für die elektronische Steuererkl?rung (ELSTER) und der elektronische Einkommensnachweis (ELENA) sollen einer einheitlichen Architektur gehorchen. Damit will der Bund sicherstellen, dass elektronische Dienstleistungen auch mittel- und langfristig kostengünstig bleiben: Dank economy of scales und der Freiheit von Lizenz- und Patentforderungen sollen Karten und Kartenanwendungen billiger ausgegeben werden k?nnen, als es bei einer „reinen“ Marktl?sung m?glich w?re. Zum Autor: Detlef Borchers ist freier IT-Fachjournalist und einer breiteren ?ffentlichkeit durch zahlreiche Beitr?ge für Fachmagazine und die Tagespresse (u. a. Neue Zürcher Zeitung) bekannt.     

Mobile Authentisierung und Signatur mit dem neuen Personalausweis

Smartphones sind heute oftmals Dreh- und Angelpunkt unserer Kommunikation und ebenso wie der Personalausweis ein stetiger Begleiter. Ausgestattet mit NFC wird ein Smartphone zum Kartenleser und erm?glicht dadurch grunds?tzlich die mobile Authentisierung mit dem neuen Personalausweis. Durch die innovative Kombination mit zus?tzlichen Infrastrukturdiensten k?nnen hierdurch auch qualifizierte elektronische Signaturen erzeugt und dadurch Schriftformerfordernisse erfüllt werden.     

Digitale Identität im Scheckkartenformat

Der elektronische Personalausweis mit eID-Funktion für E-Government und E-Business geh?rt zu den IT-Gro?projekten des neuen Bundesbeauftragten für Informationstechnik, Dr. Hans Bernhard Beus, Staatssekret?r im Bundesministerium des Innern. Welche Rolle wird dem Datenschutz in diesem Vorhaben einger?umt? Wie weit sind die Konzepte gediehen? Andreas Reisen stellt die aktuellen Planungen vor.     

Enterprise Key Recovery Vertrauenswürdige Server mit skalierbarer Sicherheit zur Archivierung von Konzelationsschlüsseln

Im Electronic Commerce und in der digitalen Welt der zukünftigen globalen Informationsinfrastruktur (GII), bzw. dem Internet als deren Vorl?ufer, sollen Daten (Nachrichten und Dokumente) zwischen Kommunikationspartnern vertraulich, integer und rechtsverbindlich ausgetauscht und aufbewahrt werden k?nnen. Zur Erreichung des Sachziels ‘Vertraulichkeit’ werden Daten bei der Speicherung in unsicherer Umgebung und bei der übertragung über unsichere Kan?le h?ufig von Endanwendern verschlüsselt. Dies setzt neben den erforderlichen Verschlüsselungsmechanismen geeignete Verfahren für das Management der Schlüssel voraus, die die Verfügbarkeit der verschlüsselt gespeicherten (oder übertragenen) Daten sicherstellen – auch wenn der origin?re Besitzer des Schlüssels nicht verfügbar ist. Enterprise Key Recovery Server stellen Berechtigten bei Bedarf die Konzelationsschlüssel zur Entschlüsselung von Daten zur Verfügung. Ihre Funktionen werden zusammen mit angemessenen Sicherheitsma?nahmen dargestellt. Für unterschiedliche Anforderungen an das Sicherheitsniveau wird eine skalierbare Sicherungsinfrastruktur für Enterprise Key Recovery Server vorgeschlagen. Die Nutzung von Enterprise Key Recovery Servern für das Management von Schlüsseln für den Nachrichtenaustausch und für digitale Signaturen ist nicht Thema dieser Arbeit. Erst der konsequente Einsatz von Key Recovery Servern sichert bei der Anwendung von Verschlüsselung die Vertraulichkeit und Verfügbarkeit von Daten und die Integrit?t der benutzten Schlüssel durchg?ngig ab. Key Recovery Server schlie?en damit eine empfindliche – bislang nicht genügend berücksichtigte – Sicherheitslücke in der Sicherheitsarchitektur von Unternehmen.     

Löschen im Internet – rechtlich gefordert und technisch möglich!

Die im Art. 17 der Datenschutz-Grundverordnung (DSGVO) enthaltene Regelungen für das Löschen, insbesondere die Pflicht, Dritte über die Löschanfragen zu informieren, sind mit einem hohen Aufwand für die Verantwortlichen verbunden, sodaßs sie ohne eine technische Unterstützung in der Praxis nicht umgesetzt werden können. Die zurzeit jedoch fehlenden technischen Lösungen führen zu einer Lücke zwischen den Rechtsvorschriften und den derzeitigen technischen Möglichkeiten, während die DSGVO ab Mai 2018 anzuwenden ist. Um diese Lücke zu schließen, wird im Folgenden zunächst analysiert, welche Möglichkeiten im Allgemeinen bestehen, das Löschen im Internet gemäß Art. 17 technisch umzusetzen. Anschließend wird eine Lösung für die Verteilung der Löschanfragen an die Verantwortlichen vorgestellt, das auf der Kombination der Technik mit dem Gesetz beruht und sowohl den Betroffenen als auch den Verantwortlichen ein Werkzeug zur Unterstützung des Art. 17 zur Verfügung stellt.     

Neue Anwendungsszenarien für die 2-Faktor Authentifizierung

Mit der neuen EU-Verordnung eIDAS vom 23.07.2014 sollen der europäische digitale Binnenmarkt gestärkt und Zugangsbarrieren abgebaut werden. Verordnungen haben Anwendungsvorrang vor nationalen Gesetzen, die dem gleichen Sachverhalt gewidmet sind. Schwerpunkte der EU-Verordnung sind Festlegungen zur elektronischen Identifizierung von natürlichen und juristischen Personen sowie die Einführung europaweit gültiger Vertrauensdienste für elektronische Transaktionen.