Zertifizierte Cloud durch das EuroCloud Star Audit SaaS

Es gibt wenige IT-Themen, die so kontrovers diskutiert werden wie Cloud Computing. Auf der einen Seite werden signifikante Einsparungen und eine flexible Nutzung von IT-Diensten prognostiziert, auf der anderen Seite sind die Bedenken zu Sicherheit, Datenschutz und der Ausgestaltung rechtlicher Anforderungen sehr ernst zu nehmen. Gerade für mittelst?ndische Unternehmen ist Cloud Computing eine h?chst attraktive M?glichkeit, ihre Wettbewerbsf?higkeit durch Einbinden von externen Serviceangeboten aufrecht zu erhalten und auszubauen. Jedoch verfügen diese Unternehmen oftmals nicht über ausreichende M?glichkeiten einer individuellen Prüfung potenzieller rechtlicher und technischer Problembereiche. Vor diesem Hintergrund bieten Zertifizierungen über das gesamte Spektrum der zu prüfenden Bereiche eine erhebliche Erleichterung bei der Auswahl von Anbietern. Hierzu hat EuroCloud Deutschland mit einer Vielzahl von Partnern das EuroCloud Star Audit System als Gütesiegel für die Cloud entwickelt.     

Sozialdatenschutz — eine Frage des Beschäftigtendatenschutzes?

Im Bereich des Sozialdatenschutzes besteht im Zusammenhang mit dem Besch?ftigtendatenschutz ein gesetzgeberischer Handlungsbedarf. Die Regierungsparteien haben sich im Koalitionsvertrag darauf geeinigt, dass nach Jahren der Diskussion der Besch?ftigtendatenschutz in einem Kapitel des BDSG geregelt werden soll. Hier kann die Frage dahingestellt bleiben, ob nicht eine bereichsspezifische Regelung effektiver w?re. Eine Verbindung zwischen Besch?ftigtendatenschutz und Sozialdatenschutz wurde jedenfalls bisher nicht ins Visier genommen. Eine solche Verknüpfung ist jedoch notwendig, wie die nachfolgend aufgezeigten Konfliktfelder und der nachfolgend geschilderte Fall beispielhaft zeigen. Sie deuten die datenschutzrechtlichen Schwierigkeiten an, die durch das Fehlen eines Besch?ftigtendatenschutzgesetzes für Besch?ftigte im Bereich der Jugendhilfe entstehen k?nnen. Anschlie?end sollen sachgerechte Antworten ausgelotet werden. Sie führen gleichzeitig zu der kritischen Frage nach der Zust?ndigkeit von Aufsichtsbeh?rden und Landesdatenschutzbeauftragten in F?llen, in denen die T?tigkeit ?ffentlicher (hier Jugendamt und Heimaufsicht) und nicht-?ffentlicher Stellen (hier freie Tr?ger der Jugendhilfe) eng aufeinander abgestimmt werden muss.     

Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle

EDV durchdringt in zunehmendem Ma?e die Unternehmen. Sie ist das Werkzeug des Managements für die Steuerung und überwachung s?mtlicher Prozesse. Sie kann unter anderem zur Unterstützung bei der Erfüllung von Risikomanagement- und Compliance-Pflichten eingesetzt werden und muss es abh?ngig von der Durchdringung des Unternehmens mit IT gesteuerten Prozessen auch. Mit dem IT-Einsatz verbinden sich neben einem m?glichen Nutzen aber auch Risiken, die es zu beachten gilt. Es ist sicherzustellen, dass rechtliche, insbesondere datenschutzrechtliche, Anforderungen an den IT-Einsatz beachtet werden. So gilt es das Interesse der Unternehmen an einer m?glichst umfassenden und effizienten Kontrolle von Unternehmensprozessen mit dem Interesse der Besch?ftigten an ihrer informationellen Selbstbestimmung in Einklang zu bringen. IT-gestützte Compliance- und Risikomanagementsysteme bewegen sich daher in einem Spannungsfeld zwischen Nutzen, Risiken und rechtlichen Anforderungen. Die geplante Novelle des BDSG nimmt sich dieses Spannungsfeldes an und soll bisher fehlende klare gesetzliche Regelungen schaffen, um Besch?ftigte zu schützen und Arbeitgebern eine verl?ssliche Grundlage für die Datenverarbeitung an die Hand zu geben.     

Vertrauenswürdige Liste

Seit dem 28.12.2009 hat jeder Mitgliedstaat der Europ?ischen Union eine „vertrauenswürdige Liste“ mit Mindestangaben über die von ihm beaufsichtigten bzw. akkreditierten Zertifizierungsdiensteanbieter zu führen. Diese Ma?nahme soll dazu beitragen, dass elektronische Signaturen, die auf qualifizierten Zertifikaten beruhen, europaweit geprüft werden k?nnen. Der vorliegende Aufsatz enth?lt einen Rückblick auf Erfahrungen aus den ersten beiden Jahren und widmet sich der Frage, wie das bestehende System verbessert werden kann.     

Konzeptuelle Modellierung von Geodiensten

Zusammenfassung  Navigationssysteme, ortsbezogene Suchdienste wie Google Maps, interaktive Augmented-Reality-Spiele, Handy-basierte FindMe-Dienste – diese wenige Beispiele zeigen bereits, wie direkt oder indirekt raumbezogene Dienste unser Alltagsleben immer mehr durchdringen. Wir beobachten, wie sich die Nutzung von Geodaten schrittweise vom pers?nlichen Desktop-Geoinformationssystem (GIS) über hausinternen Zugriff auf die Geodatenbank bis zum Webzugriff durch Clients und Servern unterschiedlicher Provenienz ausweitet (,,Web-GIS“). Klassische Aufgaben wie Kartenproduktion und Beauskunftung treten dabei gegenüber komplexen, situationsbezogenen Verknüpfungen von Geo- mit anderen Daten eher in den Hintergrund. Damit geht offensichtlich ein Paradigmenwechsel von der einfachen, passiven Geodatenbereitstellung via WWW zu funktional komplexeren Geodiensten einher. Sollen solche Mehrwertdienste offen und flexibel orchestrierbar sein, so müssen Geodaten systemübergreifend ad hoc abgefragt werden k?nnen. Unabdingbar sind dafür offene Standards, nicht nur auf der Ebene von Datenaustauschformaten, sondern auch bei den Zugriffsdiensten; diese Geoservice-Standardisierung leistet das Open GeoSpatial Consortium (OGC). Im vorliegenden Beitrag geben wir einen überblick über die Modellierung von Web-basierten Geodiensten auf Basis ausgew?hlter OGC-Standards. Modellierung bedeutet in diesem Kontext die Gestaltung von Funktionalit?t und Schnittstellen eines potenziell komplexen Dienstes auf Basis offener Standards und ihrer Basisdienste und -operationen. Diskutiert werden Standards für den Meta-, Vektor- und Rasterdatenzugriff sowie ein anwendungsorientierter Standard für Sensordaten.     

Führungsinformationssysteme für Kontrollorgane Neue Paradigmen für die Managementinformation

Zu den Kontrollorganen (KOG) z?hlen u. a. Aufsichtsr?te von Kapitalgesellschaften, Verwaltungsr?te von ?ffentlich-rechtlichen Banken und Aufsichtsbeh?rden im Finanzsektor. Neuere Entwicklungen wie sehr komplizierte Produkte im Finanzsektor führten zu einer stark wachsenden Komplexit?t der überwachungsaufgabe, wohingegen die Kompetenz und die Kapazit?t der Organe nicht Schritt halten konnten. Darüber hinaus kann man das früher übliche Vertrauensverh?ltnis zwischen Unternehmensleitung und den KOG nicht mehr ohne Weiteres unterstellen. Es wird ein Konzept zu Informationssystemen für KOG vorgestellt. Hierarchische Finanzprodukte wie CDOs werden nach dem Vorbild von Stücklisten und Teilestamms?tzen in Produktionsbetrieben modelliert. Moderne Methoden, die die Informatik/Wirtschaftsinformatik entwickelt hat, z. B. Frühwarnsysteme, Data Mining, rechnergestützte Visualisierung und Kapselung von Informationen, m?gen helfen, schwere Sch?den in Unternehmen und in der Volkswirtschaft zu vermeiden.     

Transformation und elektronische Patientenakte

Im eHealth-Bereich bemühen sich insbesondere Krankenh?user verst?rkt darum, medizinische Unterlagen ausschlie?lich elektronisch zu archivieren. Derzeit ist es indes meist gar nicht m?glich, s?mtliche medizinische Unterlagen origin?r elektronisch zu erstellen. Daher müssen Patientenakten für eine elektronische Archivierung oft zuerst vom Papier in eine elektronische Form transformiert werden. Dies führt zu einem Konflikt zwischen dem Ziel einer effizienten Archivierung und der rechtlichen Pflicht zur beweissicheren Aufbewahrung. Der Beitrag zeigt auf, wie für die verschiedenen Transformationsprozesse das Risiko eines Beweisverlustes minimiert werden kann.     

Software Controlling

Zusammenfassung  Die Entwicklung von gro?en Softwaresystemen erfordert ein effektives und effizientes Projektmanagement. Insbesondere muss im Hinblick auf die Softwarequalit?t in die Entwicklungsprozesse ein zielgerichtetes Risikomanagement integriert werden. Der bisher meist verfolgte ,,klassische“ Ansatz des Projektcontrollings fokussiert vielfach nur auf die Erreichung von externen Qualit?tseigenschaften des Endprodukts (wie der Erfüllung funktionaler Anforderungen, die vom Anwender wahrgenommen werden) und die Einhaltung von Zeit- und Budgetvorgaben. Die Erfahrung aus vielen lang laufenden Projekten zeigt, dass im Hinblick auf nachhaltige Entwicklung eine feink?rnigere und ganzheitlichere Betrachtung der Qualit?t von Softwaredokumenten und Entwicklungszwischenprodukten notwendig ist, um qualit?tsbezogene Projektrisiken frühzeitig zu erkennen und geeignete Steuerungsma?nahmen im Entwicklungsprozess ergreifen zu k?nnen. Bei Capgemini sd&m (München) wird deshalb gerade unter dem Begriff Software Controlling ein Bündel von technischen und organisatorischen Ma?nahmen zum ganzheitlichen qualit?tsbezogenen Risikomanagement in Softwareprojekten eingeführt. Wesentliche Komponenten sind ein Qualit?tsmodell auf der Grundlage eines aus bisherigen Projekterfahrungen gewonnenen Kennzahlensystems, das interne Produkteigenschaften mit Aufwands-, Test- und Fehlerdaten verknüpft, ein in die Entwicklungsumgebung integrierter Projektleitstand und spezifische Prozesselemente zur Qualit?ts- und Risikobewertung auf der Grundlage der Kennzahlen.     

Geht Ihr Smartphone fremd?

Smartphones haben sich l?ngst als praktische Allesk?nner durchgesetzt und sind aus dem Unternehmensalltag nicht mehr wegzudenken. Genauso unerl?sslich wie das allgegenw?rtige Nutzen ihrer vielf?ltigen Funktionen ist aber auch ihre Absicherung geworden. Der folgende Beitrag stellt die wichtigsten Angriffsvektoren vor, die für eine Unternehmensabsicherung berücksichtigt werden sollten, um die Kontrolle über die genutzten Informationen zu behalten.     

Löschen im Internet – rechtlich gefordert und technisch möglich!

Die im Art. 17 der Datenschutz-Grundverordnung (DSGVO) enthaltene Regelungen für das Löschen, insbesondere die Pflicht, Dritte über die Löschanfragen zu informieren, sind mit einem hohen Aufwand für die Verantwortlichen verbunden, sodaßs sie ohne eine technische Unterstützung in der Praxis nicht umgesetzt werden können. Die zurzeit jedoch fehlenden technischen Lösungen führen zu einer Lücke zwischen den Rechtsvorschriften und den derzeitigen technischen Möglichkeiten, während die DSGVO ab Mai 2018 anzuwenden ist. Um diese Lücke zu schließen, wird im Folgenden zunächst analysiert, welche Möglichkeiten im Allgemeinen bestehen, das Löschen im Internet gemäß Art. 17 technisch umzusetzen. Anschließend wird eine Lösung für die Verteilung der Löschanfragen an die Verantwortlichen vorgestellt, das auf der Kombination der Technik mit dem Gesetz beruht und sowohl den Betroffenen als auch den Verantwortlichen ein Werkzeug zur Unterstützung des Art. 17 zur Verfügung stellt.     

TeleTrusT European Bridge CA: Die Brücke für sichere E-Mail Kommunikation

Als die TeleTrusT European Bridge CA vor nunmehr fast 10 Jahren ins Leben gerufen wurde, waren die Beweggründe dafür nahezu identisch mit denen, die anzuführen sind, wenn sich heute Unternehmen mit ihren Public Key Infrastructures (PKI) diesem Netzwerk anschlie?en: die deutliche Vereinfachung sicherer E-Mail-Kommunikation zwischen Unternehmen und Beh?rden durch praktikable L?sungen. Verschlüsseln, Signieren, Verifizieren - alles Schlagw?rter, die vor dem Hintergrund allgemein zunehmenden Bewusstseins bezüglich der Schw?chen und Gefahren im Internet h?ufig zu h?ren sind, allein die verbreitete Anwendung von Technologien für sicheren E-Mail-Verkehr ist nicht zuletzt durch die Fülle unterschiedlicher Verfahren nicht so voran gekommen, wie es wünschenswert w?re. Insofern versteht sich dieser Beitrag als ein Pl?doyer dafür, die TeleTrusT European Bridge CA als eine verl?ssliche Brücke zu betrachten, die den Austausch sicherer E-Mails f?rdert und zudem für die teilnehmenden Organisationen den Aufwand beherrschbar h?lt.     

Modellbildung und Simulation von Prozessen im Sport

Zusammenfassung  Sport ist wesentlich gepr?gt durch Bewegungs- und Handlungsprozesse in Training und Wettkampf, die im Sinne einer Verbesserung von Leistung, Effektivit?t und Effizienz zu optimieren sind. Eine solche Optimierung setzt eine hinreichend genaue Analyse der Prozesse sowie entsprechende Optimierungsmethoden voraus. Das Problem besteht dabei darin, dass Prozesse im Sport nicht nur vergleichsweise komplex sind, sondern, anders als im Fall physikalisch-technischer Prozesse, einen hohen Grad an Unsch?rfe und Indeterminismus aufweisen, die zum einen durch die adaptive Physiologie und zum anderen durch situative Handlungsentscheidungen der Athleten bedingt sind. Diese Problematik führt zu der aus informatischer Sicht unzureichenden Praxis, z.B. Spielprozesse mithilfe von H?ufigkeitstabellen der beobachteten Aktivit?ten zu erfassen und – unter Vernachl?ssigung des zeitlich-prozessualen Zusammenhangs – zu analysieren. Neuere Methoden für Modellbildung und Simulation sowie verbesserte Techniken bei der Datenerfassung erlauben aber zunehmend, ad?quater mit den entsprechenden Problemstellungen umzugehen. So stellen z.B. die Bereiche ,,Soft Computing“ und ,,Computational Intelligence“ Konzepte, Methoden und Werkzeuge zur Verfügung, um gro?e Mengen von Daten zu verwertbaren Information zu komprimieren, mit unscharfer oder unsicherer Information zu arbeiten und Informationsstrukturen als Muster erkennbar und verfügbar zu machen. Dabei spielen neuronale Netze eine zentrale Rolle, wenn es um die Komprimierung von Daten und die Typisierung von Information geht. An einer Reihe von Einsatzszenarien wird beispielhaft das Spektrum der M?glichkeiten aufgezeigt. Am abschlie?enden Beispiel eines derzeit in unserer Arbeitsgruppe durchgeführten Projektes soll skizziert werden, wie das Zusammenwirken von technischer Datenerfassung, Modellbildung und Simulation die Erfassung, die Analyse und die Prognose von Prozessen in Sportspielen wie Fu?ball verbessern kann.     

Persönlichkeit 2.0

Online Social Networks (OSNs) wie MySpace, Facebook und StudiVZ sind inzwischen zu einem wichtigen Bestandteil des allt?glichen Miteinanders geworden. Entgegen der weit verbreiteten Meinung vermitteln Profile in OSNs kein verf?lschtes, selbstidealisiertes, sondern ein sehr genaues Bild von der Pers?nlichkeit der Profilbesitzer. Dies k?nnte ein wichtiger Grund für die Beliebtheit sozialer Netzwerke sein: Sie bieten eine Plattform für reale soziale Interaktionen und erm?glichen den Ausdruck der eigenen Pers?nlichkeit. Implikationen für den Datenschutz in OSNs werden diskutiert.     

Kundenbasierte Produktkonfiguration

Zusammenfassung Immer mehr Unternehmen offerieren ihren Kunden die M?glichkeit, sich mit einem Produktkonfigurator ein individuelles Produkt zu erstellen. Gründe für den Einsatz sind die Realisierung von Alleinstellungsmerkmalen und die Weitergabe der Vorteile von sich immer mehr verbessernden Produktionsprozessen. Ein erfolgreicher Produktkonfigurator sollte eine Reihe von Anforderungen erfüllen, die in diesem Artikel vorgestellt werden.     

Gestufte Kontrolle bei Videoüberwachungsanlagen

Moderne Videoüberwachungssysteme k?nnen über die übertragung und Aufnahme von Videobildern hinaus diese auch auswerten. Sie k?nnen dadurch zum einen die Gefahrenabwehr verbessern, sie greifen dadurch zum anderen aber auch tiefer in die Grundrechte der Betroffenen ein. Um hier zu einem neuen, angemessenen Ausgleich zwischen Sicherheit und Freiheit zu gelangen, wird für Gestaltung und Einsatz der modernen Videoüberwachungssysteme (1.) ein Drei-Stufen-Modell vorgestellt (2.). Dieses wird sodann verfassungs- und datenschutzrechtlich hergeleitet (3.) und in seiner Ausgestaltung rechtlich begründet (4.). Schlie?lich wird er?rtert, wie das Drei-Stufen-Modell im Rahmen von Erlaubnistatbest?nden zur Anwendung gebracht werden kann (5.).     

Kryptographiegesetzgebung im Wandel

Zusammenfassung  Im Oktober 2007 trat in Gro?britannien ein Gesetz in Kraft, das es den Polizeibeh?rden erlaubt, die Herausgabe kryptographischer Schlüssel von ihren Nutzern zu verlangen. Dies ist nur eine von zahlreichen Ma?nahmen, die einen globalen Kurswechsel hin zu verst?rkter überwachung und Regulierung von Verschlüsselungsmechanismen belegen. In diesem Beitrag werden die Entwicklungen der Kryptographiegesetzgebung der letzten Jahre und ihr heutiger Stand dokumentiert. Dipl.-Inform. Malte Diehl Doktorand an der Uni Oldenburg, Department für Informatik, Stipendiat der DFG     

Freiheit für die Technik des citoyen actif?

In den europ?ischen Mitgliedstaaten werden angesichts realer und vermeintlicher drohender Gefahren die Gewichte bei der Ausbalancierung von Freiheit und Sicherheit grundlegend verschoben. Das Bundesverfassungsgericht hat sich demgegenüber immer für die Freiheit des Einzelnen eingesetzt. Weil weder die speziellen Freiheitsrechte noch die übrigen Auspr?gungen des grundrechtlich verankerten allgemeinen Pers?nlichkeitsschutzes gegen freiheitsbedrohende Gefahren beim Zugriff auf pers?nlich genutzte Informationssysteme hinreichend Schutz bieten, hat das Gericht im Jahre 2008 das „Grundrecht auf Gew?hrleistung der Vertraulichkeit und Integrit?t informationstechnischer Systeme“ neben den Datenschutz gestellt. Hinter diesem Recht steht in Zeiten des Internets eine revolution?re Forderung: Freiheit für die Technik des Bürgers, um der Privatheit willen! Sie l?sst sich mit dem griechischen Mythos von Daedalus verbinden, der auf technisch unerforschten Wegen aus dem Labyrinth des Minos in die Freiheit flog und sich damit von fremder Herrschaft befreite. Am Absturz seines Sohnes Icarus wird aber auch deutlich, dass Vorbedingung für die Freiheit der Technik das rechte Ma? ist. Nur so kann das grundrechtliche Fundament auch technisch sicher sein.     

Digitale Identität im Scheckkartenformat

Der elektronische Personalausweis mit eID-Funktion für E-Government und E-Business geh?rt zu den IT-Gro?projekten des neuen Bundesbeauftragten für Informationstechnik, Dr. Hans Bernhard Beus, Staatssekret?r im Bundesministerium des Innern. Welche Rolle wird dem Datenschutz in diesem Vorhaben einger?umt? Wie weit sind die Konzepte gediehen? Andreas Reisen stellt die aktuellen Planungen vor.     

Haftung für Malware im Arbeitsverhältnis

In Unternehmen wie auch in Universit?ten und Forschungseinrichtungen ist die private Nutzung der IT-Infrastruktur am Arbeitsplatz h?ufig erlaubt. Im Rahmen der Privatnutzung ist es denkbar, dass Mitarbeiter aufgrund von Sicherheitslücken in der IT-Infrastruktur finanzielle Sch?den erleiden. Damit stellt sich die Frage, ob der Arbeitgeber von seinen Mitarbeitern in Haftung genommen werden kann. Die Autorin untersucht die einschl?gigen Haftungstatbest?nde für zwei Szenarien, in denen es Mitarbeitern erlaubt ist, privat Online-Banking zu nutzen. Sie kommt zu dem Ergebnis, dass eine Haftung des Unternehmens ihren Mitarbeitern gegenüber dem Grunde nach besteht.     

Staatliche (Anti-)Krypto-Strategien

Verschlüsselte Nachrichten k?nnen nur schlecht oder sogar gar nicht von Strafverfolgungsbeh?rden oder Nachrichtendiensten überwacht werden. Effektive Verschlüsselungsverfahren werden daher in vielen L?ndern als eine Bedrohung der nationalen Sicherheit empfunden. Insbesondere die leichte Verfügbarkeit von Software über das Internet führt dazu, dass herk?mmliche Ans?tze, wie z.B. Im- und Exportbeschr?nkungen nur noch eingeschr?nkt erfolgreich sein k?nnen. Der Beitrag beleuchtet unterschiedliche rechtliche Strategien, mit denen international versucht wird, diesem Problem zu begegnen.