Vertrauen(skapseln) beim Online-Einkauf

Zusammenfassung  Das von der DFG gef?rderte Projekt TrustCaps erforscht, welche Voraussetzungen aus psychologischer, rechtlicher und technischer Sicht vorhanden sein müssen, damit Menschen in virtuellen Welten vertrauensvoll handeln k?nnen. Der Beitrag stellt das TrustCaps Projekt vor und zeigt die Interaktion der einzelnen wissenschaftlichen Disziplinen auf. Markus Sacher Mitglied der Projektgruppe verfassungsvertr?gliche Technikgestaltung (provet) an der Universit?t Kassel Frederic Stumpf Wissenschaftlicher Mitarbeiter am Fachgebiet Sicherheit in der Informationstechnik der TU Darmstadt PD. Dr. Christel Kumbruck Wissenschaftliche Mitarbeiterin in der Fachgruppe Arbeitswissenschaft der Universit?t Kassel     

Ermächtigungsgrundlage für die „Online-Durchsuchung“?

Zusammenfassung  Ende Januar 2007 hat der 3. Strafsenat des Bundesgerichtshofs (BGH) entschieden, dass die „verdeckte Online-Durchsuchung“ im Strafprozess mangels gesetzlicher Erm?chtigungsgrundlage unzul?ssig ist. Seitdem wird vielfach die Einführung einer derartigen Norm gefordert. Die Analyse de lege ferenda zeigt, dass die erforderliche Beachtung der neueren verfassungsgerichtlichen Rechtsprechung zum Kernbereich des Pers?nlichkeitsrechts den Gesetzgeber vor erhebliche Probleme stellen wird. überdies sperrt Art. 13 GG gegenw?rtig die Verabschiedung einer einfachgesetzlichen Erm?chtigungsgrundlage. Schlie?lich ergeben sich wichtige praktische Probleme, für die bislang keine L?sungen erkennbar sind. Dr. Gerrit Hornung, LL.M. Gesch?ftsführer der Projektgruppe verfassungsvertr?gliche Technikgestaltung (provet) und wissenschaftlicher Mitarbeiter an der Universit?t Kassel     

Einwilligung und Datenweitergabe in der Forschung

Zusammenfassung  Datenschutz und Forschungsfreiheit scheinen sich in manchen Situationen zu widersprechen. Die ethische Verantwortung des Wissenschaftlers muss für einen fairen Ausgleich zwischen den Grundrechten sorgen. Der Gesetzgeber hat dem Wissenschaftler aber Grenzen gesetzt. Im internationalen Wettbewerb entstehen zus?tzliche Probleme. Prof. Dr. Rainer W. Gerling Datenschutzbeauftragter der Max-Planck-Gesellschaft, Honorarprofessor für IT-Sicherheit an der FH München. Studium der Physik an der Universit?t Dortmund. Promotion und Habilitation an der Universit?t Erlangen-Nürnberg.     

Beweissicherheit in der medizinischen Dokumentation (I)

Zusammenfassung  Im Zeitalter der EDV-gestützten Erstellung, Verarbeitung und Archivierung von Dokumenten stellt sich h?ufig die Frage nach der Beweissicherheit elektronischer Dokumente. Am Beispiel eines Arztbriefes zeigen wir m?gliche Szenarien auf und diskutieren insbesondere die Beweissicherung aus informationstechnischer Sicht. Prof. Dr. Norbert Pohlmann ist Gesch?ftsführender Direktor des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen.     

Digital Rights Management zum Schutz personenbezogener Daten?

Zusammenfassung  Die Digitalisierung hat bekanntlich die Medienindustrie auf den Kopf gestellt, und es wird immer deutlicher, dass sie Gefahr l?uft, bald den Datenschutz ad absurdum zu führen. Was hat dies beides miteinander zu tun? W?hrend Konzepte für nutzerbestimmte datenschutz-f?rdernde Technik durch Datenvermeidung schon lange etabliert sind, stehen immer wieder Vorschl?ge zur Realisierung von datenschutzf?rdernden Systemen durch technisch durchgesetzte Zweckbindung zur Diskussion. Darin soll auf Techniken von Digital Rights Management Systemen zurückgegriffen werden, die von der Medienindustrie zur kontrollierten Verbreitung digitaler Inhalte entwickelt wurden. Rainer B?hme ist wissenschaftlicher Mitarbeiter am Lehrstuhl Datenschutz und Datensicherheit an der Technischen Universit?t Dresden. Ein Forschungsschwerpunkt sind ?konomische und soziale Aspekte von Datenschutz und Datensicherheit Prof. Dr. Andreas Pfitzmann Lehrstuhl Datenschutz und Datensicherheit, Institut für Systemarchitektur, Fakult?t Informatik, TU Dresden     

Planung und Bewertung von Enterprise Identity Managementsystemen

Zusammenfassung  Wie kann man Enterprise Identity Managementsysteme (EldMS) in der Planung und im laufenden Betrieb bewerten? Der vorliegende Beitrag stellt einen Ansatz für ein auf der Balanced Scorecard basierendes Kennzahlensystem vor und entwickelt m?gliche Kennzahlen für die Sicherheitsfunktionen von Enterprise Identity Management (EldM) aus relevanten Normen und Standards. Dipl.-Wirt.-Inf. Denis Royer ist wiss. Mitarbeiter an der T-Mobile Stiftungsprofessur für Mobile Business und mehrseitige Sicher-heit an der Johann Wolfgang Goethe-Universit?t, Frank-furt am Main Dr. Martin Meints ist Mitarbeiter des Unabh?ngigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) im Projekt FIDIS.     

Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien — ein Schreckensbericht

Zusammenfassung  Die Autoren untersuchen das datenschutzrechtliche Vollzugsdefizit im Anwendungsbereich des Telemediengesetzes. Ihr Ergebnis ist, dass das Ausma? des datenschutzrechtlichen Vollzugsdefizits der von au?en zu überprüfenden datenschutzrechtlichen Pflichten der Anbieter „erschreckend“ ist. Nur einem ganz geringen Teil der Anbieter gelingt es, sich rechtskonform zu verhalten. Prof. Dr. Jürgen Kühling Inhaber eines Lehrstuhls für ?ffentliches Recht an der Universit?t Regensburg. Anastasios Sivridis wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl Prof. Kühling. Mathis Schwuchow studentische Hilfskraft am Lehrstuhl Prof. Kühling. Thorben Burghardt wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Systeme der Informationsverwaltung (TH Karlsruhe).     

Die Subsidiarität der Einwilligung im Arbeitsverhältnis

Zusammenfassung  Die übermittlung von Besch?ftigtendaten innerhalb eines internationalen Konzerns wirft in der Regel eine Reihe von Datenschutzbedenken auf. Der Beitrag setzt sich vor dem Hintergrund der Stellungnahmen der Art. 29 Gruppe kritisch-konstruktiv mit der Frage der Reichweite der Einwilligung des betroffenen Mitarbeiters auseinander: Im Mittelpunkt steht die These, dass eine Einwilligung im Arbeitsverh?ltnis gegenüber den gesetzlichen Befugnisnormen nachgelagert ist. Rechtsanwalt Dr. Michael Schmidl Ma?tre en Droit, LL.M. Eur. Kanzlei Baker & McKenzie, Fachanwalt für IT-Recht Lehrbeauftragter für IT-Recht an der Universit?t Augsburg.     

Löschkonzept

Zusammenfassung  Personenbezogene Daten müssen gel?scht werden, wenn ihre Erforderlichkeit nicht mehr gegeben ist. In Organisationen mit komplexen Gesch?ftsprozessen stellt dies eine Herausforderung für die datenschutzgerechte Technikgestaltung dar. Der Beitrag zeigt am Beispiel der Toll Collect GmbH, wie diese Aufgabe mit einem durchg?ngigen L?schkonzept bew?ltigt werden kann. Die Effekte au?erhalb des Datenschutzes k?nnen dabei zu einem echten Return of Investment und positiven Effekten für Gesch?ftsprozesse führen. Dr. Volker Hammer ist Consultant der Secorvo GmbH. Seit Mitte 2003 unterstützt er die Toll Collect GmbH in verschiedenen Datenschutz-Projekten. Weitere Arbeitsschwerpunkte sind Public Key Infrastrukturen und kritische IT-Infrastrukturen Reinhard Fraenkel ist nach verschiedenen T?tigkeiten in der Industrie seit 1994 als Rechtsanwalt in Gütersloh t?tig. Zu seinen Arbeitsschwerpunkten z?hlt das Datenschutzrecht. Seit August 2004 ist er externer Datenschutzbeauftragter der Toll Collect GmbH.     

Wege zur elektronischen Patientenakte

Zusammenfassung  Die elektronische Patientenakte ist die Kernapplikation jeder Gesundheitstelematik-Plattform. Was haben wir — was brauchen wir für e-Health Europe? Leiter der Projektgruppe Gesundheitstelematik am Fraunhofer-Institut für Integrierte Schaltungen IIS in Erlangen. Seine Arbeitsschwerpunkte sind fortgeschrittene Gesundheitsinformationssysteme, Architekturen, Electronic Health Records, Modellierung, Wissensrepr?sentation, Datenschutz, Datensicherheit, Standardisierung und Interoperabilit?t. Mitarbeiter in der Projektgruppe Gesundheitstelematik. Seine Arbeitsschwerpunkte sind Datenschutz, Datensicherheit, rechtliche Aspekte, Policies, TTP-Services und Sicherheitsinfrastrukturen, Karten im Gesundheitswesen.     

Datenschutzrechtliche Anforderungen an innereuropäische Personaldatenübermittlungen in Matrixorganisationen

Zusammenfassung  Für die innereurop?ische übermittlung von Personaldaten zwischen Konzerngesellschaften hat der Düsseldorfer Kreis strenge Vorgaben entwickelt. Dieser Beitrag zeigt, wie diese Vorgaben mit einem Datenschutzvertrag erfüllt werden k?nnen. Dr. Michael Schmidl, Ma?tre en Droit, LL.M. Eur., Partner bei Baker & McKenzie Partnerschaft von Rechtsanw?lten, Solicitors und Steuerberatern und dort Mitglied der IT Practice Group. Dr. Schmidl ist Fachanwalt und Lehrbeauftragter für IT-Recht an der Universit?t Augsburg.     

Security-Awareness-Monitoring

Zusammenfassung  Eine zentrale Frage bei jeder Investition in die Sensibilisierung der Mitarbeiter für Belange der Informationssicherheit ist die nach der Wirksamkeit der ergriffenen Ma?nahmen. Neben der Auswertung bestimmter Verhaltensweisen, die über leicht zu erhebende Indikatoren (wie beispielsweise die Passwort-Qualit?t) gewonnen werden k?nnen, bew?hren sich Methoden der empirischen Sozialforschung zur Analyse von Einstellungsver?nderungen. Im vorliegenden Beitrag stellt Konrad Zerr einen Ansatz vor, der bereits bei mehreren Awareness-Kampagnen erfolgreich zum Einsatz kam.

---

Security-Awareness-Monitoring

---

Prof. Dr. Konrad Zerr Professor für Marketing und Markt-und Kommunikationsforschung an der Hochschule Pforzheim und Leiter des Steinbeis-Beratungszentrums Marketing — Intelligence — Consulting     

Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (VI) — Zweck und grundlegende Funktionsweise von Public-Key-Infrastrukturen

Zusammenfassung  Nachdem wir im letzten Artikel die Funktionen einer digitalen Signatur kennen gelernt und den Bedarf an kryptographischen Prüfsummen und Zertifikaten erl?utert haben, wollen wir diesmal auf die Infrastrukturen zur Verwaltung von Schlüsseln bzw. Zertifikaten eingehen: die so genannten Public-Key-Infrastrukturen (PKI). Prof. Dr. Norbert Pohlmann ist Gesch?ftsführender Direktor des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Malte Hesse ist Mitarbeiter am Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen.     

Java in der Programmierausbildung: Konzept und erste Erfahrungen

Zusammenfassung   Die Informatik innerhalb des Fachbereichs Mathematik und Informatik der Universit?t – Gesamthochschule Essen besorgt die Programmierausbildung für die Studierenden des Studiengangs Wirtschaftsinformatik und der Informatik-Nebenf?cher aller Fachbereiche der Universit?t. Es stand der Wechsel zu einer objektorientierten Programmiersprache an, und die Wahl fiel auf Java für die Durchführung der einführenden Informatikveranstaltungen im Wintersemester 96/97 und Sommersemester 97. Es werden die speziellen Randbedingungen im Ausbildungskonzept dargestellt und der Einsatz der Programmiersprache Java beschrieben. Neben der Diskussion der grunds?tzlichen Eignung von Java für die Ausbildung der Programmieranf?nger werden kurz weitere Aspekte wie z. B. Akzeptanz und Anforderungen an Werkzeuge angesprochen. Eingegangen am 06.11.1997     

Zum Nutzen hoher Zertifizierungsstufen nach den Common Criteria (I)

Zusammenfassung  Computersysteme, bestehend aus Hard-und Software, werden heute sehr oft in kritischen Prozessen eingesetzt und sind darin den Produkten der klassischen Ingenieurwissenschaften vergleichbar. Anders als diese erweist sich jedoch gerade die Software oft als „work in progress“, das sich vor allem durch die Notwendigkeit st?ndiger Upgrades auszeichnet. Unser zweiteiliger Beitrag untersucht, welche Effekte in diesem Zusammenhang der Einsatz formaler Entwicklungsmethoden h?tte. Melanie Volkamer ist Diplom-Informatikerin und Gesch?ftsführerin am Institut für IT-Sicherheit und Sicherheitsrecht der Universit?t Passau. Harald Hauff ist Diplom-Ingenieur und wissenschaftlicher Mitarbeiter am Institut für IT-Sicherheit und Sicherheitsrecht der Universit?t Passau.     

Quantenphysik und die Zukunft der Kryptographie

Zusammenfassung  Der Beitrag fasst die H?hepunkte aus fast 2.500 Jahren Kryptographiegeschichte zusammen. Die Zeitachse zeigt, dass erst in letzten 50 Jahren drei wirklich revolution?re Erfindungen erfolgten: Mitte der 70er Jahre wurde die Verschlüsselung mit ?ffentlichen Schlüsseln eingeführt. Danach wurden zwei Entdeckungen gemacht, die auf der Quantenphysik beruhen: Die Quanten-Kryptographie und der Quanten-Computer. Die Bedeutung dieser drei neuen Techniken für die Entwicklung und Zukunft der Kryptographie werden erl?utert — und es wird gezeigt, warum diese drei als „Quantensprünge“ der Informationssicherheit betrachtet werden müssen. Dr. Per Kaijser ist als Berater t?tig. Bis 2000 war er für die Standardisierungs- und Regulierungsfragen für IT-Sicherheit der Siemens AG zust?ndig. Er ist auch Privatdozent für Theoretische Physik. Dr. Ing. Wernhard Markwitz Senior-Experte für Informations-Sicherheit, ist als Referent und Berater t?tig. Bis 2002 war er Leiter des Produktmanagement für Informations-Sicherheit-Produkte der Siemens AG.     

Das Schicksal der Vorratsdatenspeicherung

Zusammenfassung  Am 11.3.2008 beschloss das Bundesverfassungsgericht, Teile der umstrittenen Vorratsdatenspeicherung — die Einführung einer sechsmonatigen Mindestspeicherpflicht für Telekommunikationsverbindungsdaten — im Wege der einstweiligen Anordnung auszusetzen. Der Autor erl?utert Hintergründe und Konsequenzen des Urteils. Andreas Gietl Wissenschaftlicher Mitarbeiter Universit?t Konstanz, Lehrstuhl für Bürgerliches Recht, Rechtsgeschichte und Kirchenrecht     

Zehn Jahre griechisches Datenschutzgesetz — eine kritische Bilanz

Zusammenfassung  Das griechische Datenschutzgesetz ist vor zehn Jahren zur Umsetzung der EG-Datenschutzrichtlinie (95/46/EG) verabschiedet worden. Abweichungen in der Rechtstellung des Einzelnen k?nnen sich au?erdem daraus ergeben, ob neben den gesetzlichen Vorschriften Bestimmungen verfassungsrechtlichen Ranges bestehen. Von besonderer Relevanz sind die Rechtstellung und die Aufgaben der ?ffentlichen Kontrollstelle i.S.d. Art. 28 RL 95/46/EG., die der Verfasser kritisch würdigt. Timoleon Kosmides, LL.M. Eur. (München) Rechtsanwalt (Thessaloniki/Griechenland), Doktorand an der LMU München (Doktorvater: RA Prof. Dr. J. Schneider), Forschungsstipendiat am Max-Planck-Institut für Geistiges Eigentum     

Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (V) — Prüfsummen,Zertifikate und die sichere elektronische Signatur

Zussammenfassung  Die handschriftliche Unterschrift ist seit Jahrhunderten bew?hrt. Anders als in der elektronischen Welt sind bei einem Vertragsabschluss die Parteien zugegen und k?nnen den Vertragspartner pers?nlich einsch?tzen und überprüfen. Dies grenzt auf natürliche Weise den Aktionsradius für Betrüger erheblich ein. In der elektronischen Welt k?nnen wir nicht auf diese bew?hrten Mechanismen zurückgreifen, da wir z. B. über das Internet lediglich indirekt kommunizieren. Daher müssen grundlegende Sicherheitsbedürfnisse anders befriedigt werden als in der realen Welt. Prof. Dr. Norbert Pohlmann ist Gesch?ftsführender Direktor des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen.     

Auf dem Weg zu neuen Hashfunktionen

Zusammenfassung  Die Jahre 2004 bis 2006 waren in Bezug auf kryptographische Hashfunktionen dramatisch: Angriffe auf die leider immer noch weithin genutzte Hashfunktion MD5 wurden so verbessert, dass sie sich auf einem PC binnen weniger Sekunden durchführen lassen. Und es zeigte sich, dass der bis dahin als sicher geltende Standard SHA-1 zumindest theoretisch angreifbar ist. Als Konsequenz daraus hat das US-amerikanische National Institute of Standards and Technology (NIST) beschlossen, einen Wettbewerb auszuschreiben, in dessen Verlauf eine neue, sichere hashfunktion gekürt und anschlie?end standardisiert werden soll. Dr. Ulrich Kühn Senior Researcher, Sirrix AG, Bochum. Schwerpunkte: IT- und Kommunikationssicherheit, Kryptologie. Prof. Dr. Stefan Lucks Professor für Mediensicherheit an der Bauhaus-Universit?t Weimar. Schwerpunkte: Kryptographie und Kommunikationssicherheit