IT-Sicherheitsprüfungen durch die Interne Revision

Mit steigender Durchdringung der Kreditinstitute mit der IT und immer st?rker werdender Abh?ngigkeit des Bankgesch?fts von dem Netz steigen auch die mit der Verletzbarkeit und Ausfall der IT-Systeme verbundenen Risiken. Für die IT-Revision bedeutet dies ein wachsendes Engagement im Rahmen von Sicherheitsprüfungen und- Beratungen, um diesen Risiken in angemessener Weise zu begegnen. Durch Einsatz geeigneter Prüfungsmethodik und hoher fachlichen Qualifikationen der Revisoren k?nnen die Sicherheitsprüfungen zu einer wichtigen Erfolgsdeterminante eines Instituts werden.     

Informations- und Kommunikationstechnologie als Grundversorgung

In immer mehr Kontexten muss sich das Bundesverfassungsgericht auch mit der Informations- und Kommunikationstechnologie und der Verlagerung weiter Teile des Lebens in die Virtualit?t auseinandersetzen. War es bisher überwiegend die verfassungsgerichtliche überprüfung staatlicher Eingriffe, die eine Fortentwicklung der grundrechtlichen Dogmatik und Schutzbereiche erforderte, erreicht nunmehr auch die Frage das Verfassungsgericht, ob und inwieweit Teilelemente der Informations- und Kommunikationstechnologie der Grundversorgung der Bev?lkerung zugeh?rig sind. Explizit wurde dies vom BVerfG zwar nicht an- bzw. ausgesprochen, dennoch geben entsprechende Ausführungen im Urteil zur Verfassungswidrigkeit des Arbeitslosengeldes II Anlass, diesen Aspekt n?her zu thematisieren.     

Vertrauensfragen

Vertrauen oder Kontrolle als Führungsprinzip — vor dem Hintergrund der Unternehmens- und Informationssicherheit ist die Entscheidung zwischen beiden Prinzipien in den vergangenen Monaten schwieriger geworden. Auf der einen Seite haben seit 2009 eine ganze Reihe gestandener und hochrangiger Manager ihre Posten verloren und ihre Unternehmen in Reputationstiefs gestürzt, weil sie Mitarbeiter zu streng überwacht und dabei Datenschutzgrenzen überschritten haben, die überdies immer enger gesteckt werden. Auf der anderen Seite wecken Wikileaks und Compliance-Vorgaben ?ngste vor Geheimnisverrat, die in manchen Unternehmen erneut dem Wunsch nach mehr überwachung Vortrieb leisten. Doch selbst vor diesem Hintergrund sind es eher führungspsychologische als statistisch manifestierte Faktoren, die die Diskussion bestimmen. Das überraschende dabei: Vertrauen als Grundprinzip hat handfeste Vorteile für die Informationssicherheit. Dazu bedarf es allerdings eines souver?nen Agierens der Führungskr?fte.     

Patienten — Daten — Schutz

Patientinnen und Patienten vertrauen sich heutzutage nicht mehr nur ihrem Haus- oder Facharzt, sondern immer h?ufiger auch einer Gro?klinik („Krankenhausmaschine“) an. Schon dort entsteht die Frage, wie die ?rztliche Schweigepflicht oder besser: das Patientengeheimnis, noch aufrechterhalten werden kann. Weitere Risiken drohen dem Patientengeheimnis in der zunehmend vernetzten Verarbeitung von medizinischen Befunden z.B. in Praxisnetzen und auch in der Online-Welt, die zweifellos gro?e Vorteile für die behandlungsbedürftigen Menschen bringen. Sie werfen aber auch die Frage nach der Verantwortung für die Sicherheit, Richtigkeit und Verfügbarkeit dieser Daten auf, die nicht selten lebenswichtig sein k?nnen.     

Semantische Informationsextraktion in medizinischen Informationssystemen

Zusammenfassung Dieser Artikel beschreibt einige Erfahrungen und typische Problemstellungen mit Textmining in der Medizin und gibt einen Einblick in aktuelle und zukünftige Herausforderungen in Forschung & Entwicklung. Interessant ist n?mlich, dass auch im ,,Multimedia-Zeitalter“ die meiste Information immer noch als ,,Text“ vorliegt. Mithilfe von statistischen und linguistischen Verfahren wird mit sogenannter ,,Textmining-Software“ versucht, aus Freitexten Information ,,heraus zu schürfen“ (deshalb ,,Textmining“). Allerdings ist es damit noch nicht genug. Der n?chste Schritt besteht darin, die Information sowohl nutzbar als auch brauchbar zu machen. Die jeweiligen End-Benutzerinnen und End-Benutzer müssen in die Lage versetzt werden, auf der Basis der gewonnenen Information deren Wissen zu erweitern. In unserem konkreten Fall sollen damit Entscheidungen im Rahmen ?rztlichen Handelns unterstützt werden. Probleml?sungen in diesem Bereich erfordern eine holistische Sicht- und Herangehensweise. Daher wird es immer wichtiger, Erkenntnisse aus Informatik und Psychologie zusammenflie?en zu lassen und auf systemischer Ebene technologisch umzusetzen.     

Semantische Informationsextraktion in medizinischen Informationssystemen

Dieser Artikel beschreibt einige Erfahrungen und typische Problemstellungen mit Textmining in der Medizin und gibt einen Einblick in aktuelle und zukünftige Herausforderungen in Forschung & Entwicklung. Interessant ist n?mlich, dass auch im ,,Multimedia-Zeitalter“ die meiste Information immer noch als ,,Text“ vorliegt. Mithilfe von statistischen und linguistischen Verfahren wird mit sogenannter ,,Textmining-Software“ versucht, aus Freitexten Information ,,heraus zu schürfen“ (deshalb ,,Textmining“). Allerdings ist es damit noch nicht genug. Der n?chste Schritt besteht darin, die Information sowohl nutzbar als auch brauchbar zu machen. Die jeweiligen End-Benutzerinnen und End-Benutzer müssen in die Lage versetzt werden, auf der Basis der gewonnenen Information deren Wissen zu erweitern. In unserem konkreten Fall sollen damit Entscheidungen im Rahmen ?rztlichen Handelns unterstützt werden. Probleml?sungen in diesem Bereich erfordern eine holistische Sicht- und Herangehensweise. Daher wird es immer wichtiger, Erkenntnisse aus Informatik und Psychologie zusammenflie?en zu lassen und auf systemischer Ebene technologisch umzusetzen.     

Zur Notwendigkeit eines Umdenkens beim Thema Cybersicherheit

Das Thema Cybersicherheit gewinnt an Relevanz in der ?ffentlichen Wahrnehmung. War es in der Vergangenheit ausschlie?lich ein Diskussionsfeld von Experten und Individualisten aus der Internetgemeinde, findet es sich heute l?ngst auf der tagespolitischen Agenda. Grund hierfür ist, dass die Vernetzung von Informationsverarbeitungssystemen immer mehr Lebens- und Wirtschaftsbereiche erfasst und stetig weiter ansteigt. Damit w?chst aber auch grunds?tzlich die Verwundbarkeit der Systeme     

Lebenslanger Datenschutz: Anforderungen an vertrauenswürdige Infrastrukturen

Die Dynamik der Technikentwicklung in den vergangenen Jahren konfrontiert Datenschützer immer wieder aufs Neue mit Risiken für die Privatsph?re der Betroffenen — und es sieht so aus, als ob sich dies in den n?chsten Jahren und Jahrzehnten nicht ?ndern wird. Konzepte für einen lebenslangen Datenschutz erfordern ein Umdenken vom kurzatmigen Systementwurf zu langfristigen und zukunftsf?higen Planungen.     

Der gläserne Sportler

Beim Kampf für einen sauberen und fairen Sport droht national und international der Daten- und Pers?nlichkeitsschutz der betroffenen Athleten aus den Augen zu geraten. Mit ADAMS („Anti-Doping Administration and Management System“) hat die World Anti-Doping Agency ein webbasiertes Meldesystem eingeführt, das in seinem überwachungs- und Kontrollpotential einer elektronischen Fu?essel nur wenig nachsteht. Zwar haben Einw?nde von europ?ischer Seite dazu geführt, dass die Datenschutzstandards im weltweiten Kampf gegen Doping zumindest etwas angehoben worden sind. Noch immer bestehen jedoch erhebliche datenschutzrechtliche Bedenken.     

Freiheit für die Technik des citoyen actif?

In den europ?ischen Mitgliedstaaten werden angesichts realer und vermeintlicher drohender Gefahren die Gewichte bei der Ausbalancierung von Freiheit und Sicherheit grundlegend verschoben. Das Bundesverfassungsgericht hat sich demgegenüber immer für die Freiheit des Einzelnen eingesetzt. Weil weder die speziellen Freiheitsrechte noch die übrigen Auspr?gungen des grundrechtlich verankerten allgemeinen Pers?nlichkeitsschutzes gegen freiheitsbedrohende Gefahren beim Zugriff auf pers?nlich genutzte Informationssysteme hinreichend Schutz bieten, hat das Gericht im Jahre 2008 das „Grundrecht auf Gew?hrleistung der Vertraulichkeit und Integrit?t informationstechnischer Systeme“ neben den Datenschutz gestellt. Hinter diesem Recht steht in Zeiten des Internets eine revolution?re Forderung: Freiheit für die Technik des Bürgers, um der Privatheit willen! Sie l?sst sich mit dem griechischen Mythos von Daedalus verbinden, der auf technisch unerforschten Wegen aus dem Labyrinth des Minos in die Freiheit flog und sich damit von fremder Herrschaft befreite. Am Absturz seines Sohnes Icarus wird aber auch deutlich, dass Vorbedingung für die Freiheit der Technik das rechte Ma? ist. Nur so kann das grundrechtliche Fundament auch technisch sicher sein.     

Datenschutz als Bildungsaufgabe

Der Datenschutz ist zwar zurzeit in aller Munde, jedoch mitnichten in jedermanns Bewusstsein. Zwar zeigen medienwirksame Datenskandale wie bei Lidl, der Deutschen Bahn oder der Telekom AG, dass datenschutzrechtliche Vorgaben wiederholt missachtet werden. Allerdings hat dies nicht dazu geführt, dass sich diejenigen, die der Datenschutz gerade zu schützen versucht, die Bürgerinnen und Bürger, dieses Themas annehmen. Es bleibt vielmehr ein Thema, welches von den meisten Bürgern vernachl?ssigt oder schlicht nicht beachtet wird. Nicht zuletzt aufgrund dieser Tatsache hat im Datenschutz ein Umdenken eingesetzt und auch einsetzen müssen. Neben die traditionellen Aufgaben des Datenschutzes tritt immer mehr die Aufgabe, den Bürgerinnen und Bürgern das Thema Datenschutz und Datenverantwortung zu vermitteln. Diese Entwicklung, den Datenschutz auch als klassische Bildungs- und Erziehungsma?nahme zu verstehen, ist ma?geblich von Europa aus — sowohl von der Europ?ischen Union als auch vom Europarat — angesto?en worden, und mittlerweile dabei, sich in der Bundesrepublik und den anderen Mitgliedsstaaten zu etablieren.     

Digital Rights Management zum Schutz personenbezogener Daten?

Zusammenfassung  Die Digitalisierung hat bekanntlich die Medienindustrie auf den Kopf gestellt, und es wird immer deutlicher, dass sie Gefahr l?uft, bald den Datenschutz ad absurdum zu führen. Was hat dies beides miteinander zu tun? W?hrend Konzepte für nutzerbestimmte datenschutz-f?rdernde Technik durch Datenvermeidung schon lange etabliert sind, stehen immer wieder Vorschl?ge zur Realisierung von datenschutzf?rdernden Systemen durch technisch durchgesetzte Zweckbindung zur Diskussion. Darin soll auf Techniken von Digital Rights Management Systemen zurückgegriffen werden, die von der Medienindustrie zur kontrollierten Verbreitung digitaler Inhalte entwickelt wurden. Rainer B?hme ist wissenschaftlicher Mitarbeiter am Lehrstuhl Datenschutz und Datensicherheit an der Technischen Universit?t Dresden. Ein Forschungsschwerpunkt sind ?konomische und soziale Aspekte von Datenschutz und Datensicherheit Prof. Dr. Andreas Pfitzmann Lehrstuhl Datenschutz und Datensicherheit, Institut für Systemarchitektur, Fakult?t Informatik, TU Dresden     

Datenschutzfreundliche Authentisierung mit Fingerabdrücken

Ein wesentlicher Faktor für die Akzeptanz biometrischer Authentisierungsverfahren ist der zuverl?ssige Schutz der pers?nlichen Daten der Nutzer. Da für biometrische Verfahren immer die Hinterlegung von Referenzdaten erforderlich ist, muss auf deren sichere Speicherung ein besonderes Augenmerk gelegt werden. Eine Alternative hierfür bieten sogenannte "Template Protection Verfahren“. Der vorliegende Beitrag stellt ein solches Verfahren vor und gibt einen Einblick in die praktische Umsetzung.     

Ähnlichkeitseigenschaften von Minutiendatensätzen zur Beurteilung von Interoperabilität

Die Minutien-basierte Fingerabdruckerkennung hat sich zu einem sehr weit verbreiteten biometrischen Verfahren entwickelt. Die fehlenden Standards zur Berechnung der Minutiendaten aus vorliegenden Fingerabdruckbildern und zum Vergleich auf übereinstimmung führen jedoch noch immer zu Interoperabilit?tsproblemen und damit zu m?glichen Problemen bei der Anerkennung dieser Methode als rechtsverbindliche Authentisierungsmethode. Der vorliegende Artikel befasst sich mit der Erarbeitung und Untersuchung einheitlicher mathematischer Vergleichskriterien, mit deren Hilfe man die ?hnlichkeit von Minutiendaten objektiv beurteilen und so verschiedene Minutien-Extraktionsalgorithmen auf Interoperabilit?t prüfen kann.     

Sichere Apps

Mobile leistungsstarke Endger?te sind immer und fast überall nutzbar, multifunktional und einfach zu bedienen. Mit „Location Based Services” kommen nützliche und innovative Dienste hinzu, welche die Vorteile von geobasierten Daten ausnutzen. Ein besonderes Herausstellungsmerkmal, aber auch gleichzeitig die Achillesverse der Smartphones, sind ihre Apps! Viele dieser Applikationen übermitteln vertrauliche Daten, eindeutige Ger?tekennungen, Aufenthaltsort oder sogar ganze Adressbücher zum Teil ohne, dass es dem Anwender bewusst ist. Dieser Beitrag kl?rt über Risiken von Apps auf und gibt Handlungsempfehlungen, wie der richtige Umgang mit Apps in Unternehmen aussehen k?nnte.     

Managed Evolution

Zusammenfassung  Die nachhaltige Weiterentwicklung eines grossen Informatiksystemes ist aufgrund der schwierigen technischen und kommerziellen Randbedingungen eine sehr anspruchsvolle Aufgabe. Einerseits haben diese Informatiksysteme eine Komplexit?t erreicht, deren Folgen immer schwieriger zu beherrschen sind. Andererseits muss ein kontinuierlicher Fluss von neuen Gesch?ftsanforderungen unter hohem Zeit- und Kostendruck implementiert werden. Dabei müssen die Informatiksysteme zu jeder Zeit verfügbar, stabil, verl?sslich und sicher bleiben sowie Effizienz und Wirtschaftlichkeit gew?hrleisten. Damit das IT-Management diese zentrale Aufgabe erfüllen kann, muss eine wirksame Evolutionsstrategie formuliert und umgesetzt werden. Credit Suisse hat für sich die Evolutionsstrategie ,,Managed Evolution“ definiert und implementiert. Dieser Beitrag erkl?rt die Managed Evolution, einen Teil der Umsetzungsinstrumente und die bis heute erreichten Resultate. Diese zeigen messbar, dass die Managed Evolution die erwarteten Erfolge liefert.     

Normen und Richtlinien zur Prüfung und Qualitätssicherung von Steuerungssoftware

Zusammenfassung   Der Einsatz von Software, auch in sicherheitskritischen Bereichen, wird immer verbreiteter. Damit steigen die Anforderungen an die Qualit?t der Software. Die Basis zur Beurteilung der Qualit?t kann ein von allen Beteiligten anerkannter Standard schaffen. Der Artikel gibt eine übersicht über den aktuellen Stand der Normung auf dem Gebiet der Prüfung und Qualit?tssicherung von Software. Besonderes Augenmerk wird dabei auf die Steuerungssoftware gelegt, die viele sicherheitsrelevante Einsatzgebiete wie Medizintechnik oder Flugsicherung hat. Eingegangen in überarbeiteter Form am 12.09.1997     

HTML5-Security

In der Vergangenheit sind Web-Browser immer wieder h?chst negativ aufgefallen, wenn es um das Thema Sicherheit ging. Ein Gro?teil dieser Missst?nde wurde im Laufe der vergangenen Jahre erkannt und nachgebessert. Nun steht HTML5, die n?chste Stufe der Browser-Evolution, vor unserer Haustür. Gepr?gt durch die schlechten Erfahrungen der bisherigen Entwicklung begegnet man den neu eingeführten Browser-Features vielerorts mit Mistrauen. Der vorliegende Beitrag stellt die Sicherheitseigenschaften von drei prominenten HTML5-JavaScript APIs vor.     

Kundenkarten und Rabattsysteme

Zusammenfassung  Der Wandel der Gesellschaft im Umgang mit personenbezogenen Daten sowie die stete Entwicklung technischer M?glichkeiten in der Datenverarbeitung haben l?ngst dazu beigetragen, dass Verbraucherinnen und Verbraucher im Wege der Erstellung umfassender Konsumentenprofile immer st?rker in die Rolle gl?serner Kunden gedr?ngt werden. Daten sammelnde Unternehmen stellen insoweit eine Gefahr für das Recht der Einzelnen auf informationelle Selbstbestimmung dar. Vor diesem Hintergrund befasst sich der Beitrag mit den datenschutzrechtlichen Anforderungen an Kundenbindungsprogramme und zeigt, wie sie datenschutzgerecht und verbraucherfreundlich gestaltet werden k?nnen.     

IT-Grundschutz-Kataloge 2007

Zusammenfassung  IT-Sicherheit ist ein kontinuierlicher Prozess, immer wieder tauchen neue Risiken und glücklicherweise auch Gegenma?nahmen auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet daher die Trends, um pr?ventive Ma\nahmen zum Schutz von Informationen und IT-basierten Gesch?ftsprozessen entwickeln zu k?nnen. Die IT-Grundschutz-Kataloge unterstützen IT-Sicherheitsverantwortliche dabei, angemessene Sicherheitsma?nahmen zu identifizieren und umzusetzen. Zur Autorin: Isabel Münch ist Referatsleiterin IT-Sicherheitsmanagement und IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.