Wahlgeräte in Deutschland

Zusammenfassung  Die Durchführung elektronisch gestützter Wahlen wird weltweit kritisch begleitet. Auch in Deutschland hat der Einsatz elektronischer Wahlger?te eine breite, überwiegend kritische Diskussion ausgel?st, die bis zu einem Verfahren beim Bundesverfassungsgericht führte. Ein Schwerpunkt der Kritik betrifft die Transparenz der Wahlabl?ufe, ein anderer die technische Sicherheit der Wahlger?te. Der vorliegende Beitrag fasst zusammen, was zur Absicherung von Wahlger?ten auf der Grundlage der geltenden gesetzlichen Regelungen in Deutschland bisher getan worden ist und beleuchtet vor diesem Hintergrund die bekannten Hauptkritikpunkte. Heike Schrepf ist Diplom-Physikerin und seit Langem auf Softwareprüfungen in komplexen messtechnischen Systemen sowie Wahlger?ten spezialisiert. Sie geh?rt der akkreditierten Softwareprüfstelle der PTB an. Dr. Norbert Greif leitet in der Physikalisch-Technischen Bundesanstalt (PTB) die Arbeitsgruppe „Software und elektronische Wahlen“, die als Softwareprüfstelle akkreditiert ist. Er ist als Fachbegutachter im Auftrag von Akkreditierungsstellen t?tig. Prof. Dr. Dieter Richter ist Leiter des Fachbereiches „Metrologische Informationstechnik“ in der PTB, zu dem auch der Arbeitsbereich der elektronischen Wahlen geh?rt. Er nimmt viele beratende T?tigkeiten wahr.     

Akzeptanzprobleme sicherer elektronischer Identitäten

Nationale elektronische Identit?ten sollen in den EU-Mitgliedstaaten Online-Transaktionen sicherer machen, Bedenken der Nutzer zerstreuen und zu einer st?rkeren Nutzung von E-Government-Diensten führen. Eine vergleichende Studie von acht L?ndern zeigt, dass die nationalen eID-Systeme diese Ziele überwiegend nicht erreichen. Die st?rkste Nutzung erfahren nicht die sichersten, sondern die einfachsten Systeme. Dies gibt Anlass, die Prognosen für den elektronischen Identit?tsnachweis auf dem neuen deutschen Personalausweis und einige Pr?missen der Internet-Sicherheitsdiskussion selbstkritisch zu überdenken.     

Quantenphysik und die Zukunft der Kryptographie

Zusammenfassung  Der Beitrag fasst die H?hepunkte aus fast 2.500 Jahren Kryptographiegeschichte zusammen. Die Zeitachse zeigt, dass erst in letzten 50 Jahren drei wirklich revolution?re Erfindungen erfolgten: Mitte der 70er Jahre wurde die Verschlüsselung mit ?ffentlichen Schlüsseln eingeführt. Danach wurden zwei Entdeckungen gemacht, die auf der Quantenphysik beruhen: Die Quanten-Kryptographie und der Quanten-Computer. Die Bedeutung dieser drei neuen Techniken für die Entwicklung und Zukunft der Kryptographie werden erl?utert — und es wird gezeigt, warum diese drei als „Quantensprünge“ der Informationssicherheit betrachtet werden müssen. Dr. Per Kaijser ist als Berater t?tig. Bis 2000 war er für die Standardisierungs- und Regulierungsfragen für IT-Sicherheit der Siemens AG zust?ndig. Er ist auch Privatdozent für Theoretische Physik. Dr. Ing. Wernhard Markwitz Senior-Experte für Informations-Sicherheit, ist als Referent und Berater t?tig. Bis 2002 war er Leiter des Produktmanagement für Informations-Sicherheit-Produkte der Siemens AG.     

Die Rolle der Informatik im gesellschaftlichen Diskurs: Eine Neupositionierung der Informatik

Zusammenfassung  Entwicklungen im Bereich der Informations- und Kommunikationstechnologie führen derzeit zu fundamentalen Umw?lzungen der Gesellschaft. Eine Beschleunigung des Lebens und das Verschwimmen von Beruf und Privatleben sind nur zwei Beispiele hierfür. Ein Abweichen von dem gesellschaftlichen Ideal des mobilen, jungen und dynamischen Mitarbeiters erweist sich h?ufig als Weg in das Einsiedlerdasein eines Exoten. Ein Widerstreben gegen die wachsenden Begehrlichkeiten von Wirtschaft und Staat l?sst das Individuum verd?chtig erscheinen und kann zu einer weiteren Entkopplung aus der Gesellschaft führen. Eine entscheidende Aufgabe bei gesellschaftlichen Umw?lzungen ist die der Reflexion und Kritik. Diese Rolle scheint mehr und mehr den Juristen zuzukommen. Insbesondere beim Thema Datenschutz erfolgt h?ufig eine Reduktion auf die Verfassungskonformit?t einzelner staatlicher Ma?nahmen. Kritik sollte jedoch bereits weit früher geübt werden. Medien sollten diese zentrale Funktion unterstützen und der politische Diskurs sollte zu einer optimalen L?sung führen. Eine Gruppe, die in der Debatte viel beitragen k?nnte und müsste, wird h?ufig, wenn überhaupt, aufgrund ihres technischen Sachverstandes herangezogen – die Informatiker. Dies ist insbesondere verwunderlich, da Informatiker ma?geblich an der Ver?nderung der Gesellschaft beteiligt sind. Sie schaffen die technischen Grundlagen für neue Formen der Interaktion. Doch das daraus resultierende Bild der Informatik als Computerwissenschaft beraubt Informatiker ihrer gesellschaftskritischen Funktion, da sie auf die Rolle von Technikern reduziert werden. Eine Positionierung und Darstellung der Informatik als Struktur- und Koordinationswissenschaft sowie der Informatiker als interdisziplin?re Systementwickler und -analytiker würde es Informatikern erm?glichen die bedeutende Rolle der Gesellschaftskritiker einzunehmen und geh?rt zu werden.     

Enterprise Key Recovery Vertrauenswürdige Server mit skalierbarer Sicherheit zur Archivierung von Konzelationsschlüsseln

Im Electronic Commerce und in der digitalen Welt der zukünftigen globalen Informationsinfrastruktur (GII), bzw. dem Internet als deren Vorl?ufer, sollen Daten (Nachrichten und Dokumente) zwischen Kommunikationspartnern vertraulich, integer und rechtsverbindlich ausgetauscht und aufbewahrt werden k?nnen. Zur Erreichung des Sachziels ‘Vertraulichkeit’ werden Daten bei der Speicherung in unsicherer Umgebung und bei der übertragung über unsichere Kan?le h?ufig von Endanwendern verschlüsselt. Dies setzt neben den erforderlichen Verschlüsselungsmechanismen geeignete Verfahren für das Management der Schlüssel voraus, die die Verfügbarkeit der verschlüsselt gespeicherten (oder übertragenen) Daten sicherstellen – auch wenn der origin?re Besitzer des Schlüssels nicht verfügbar ist. Enterprise Key Recovery Server stellen Berechtigten bei Bedarf die Konzelationsschlüssel zur Entschlüsselung von Daten zur Verfügung. Ihre Funktionen werden zusammen mit angemessenen Sicherheitsma?nahmen dargestellt. Für unterschiedliche Anforderungen an das Sicherheitsniveau wird eine skalierbare Sicherungsinfrastruktur für Enterprise Key Recovery Server vorgeschlagen. Die Nutzung von Enterprise Key Recovery Servern für das Management von Schlüsseln für den Nachrichtenaustausch und für digitale Signaturen ist nicht Thema dieser Arbeit. Erst der konsequente Einsatz von Key Recovery Servern sichert bei der Anwendung von Verschlüsselung die Vertraulichkeit und Verfügbarkeit von Daten und die Integrit?t der benutzten Schlüssel durchg?ngig ab. Key Recovery Server schlie?en damit eine empfindliche – bislang nicht genügend berücksichtigte – Sicherheitslücke in der Sicherheitsarchitektur von Unternehmen.     

Sieben Goldene Regeln des Datenschutzes

Zusammenfassung  Das Datenschutzrecht muss einfach sein, wenn es erfolgreich vermittelt werden soll. Da es für den Laien abschreckend kompliziert ist, bedarf es für eine erfolgreiche Vermittlung und Schulung einer Strategie der Vereinfachung. Die „Sieben Goldenen Regeln des Datenschutzes“ sind ein solcher Versuch der Reduktion auf das Wesentliche. Nicht die Kultur der Ausnahmen stehen im Vordergrund des Modells, sondern die Grundregeln, mit denen sich als Richtschnur Alltagsfragen l?sen lassen. Die Sieben Goldenen Regeln erheben keinen Anspruch auf Ausschlie?lichkeit. Sie sind aber auch mehr als ein erster Versuch, da sie bereits seit l?ngerem in und für Schulungen ausprobiert und verwendet werden. Dr. Johann Bizer Stellvertretender Landesbeauftragter für Datenschutz Schleswig-Holstein Unabh?ngiges Landeszentrum für Datenschutz (ULD)     

Mechanismen zur Steuerung und Verwaltung von ATM-Netzen Teil 1: Grundlegende Prinzipien

Zusammenfassung   Das asynchrone übertragungsverfahren (Asynchronous Transfer Mode (ATM)) hat sich in den letzten Jahren zu einer von allen Standardisierungsorganisationen anerkannten Basistechnologie der Hochleistungskommunikation entwickelt. Bedingt durch die Integration von Diensten mit hohen und zum Teil stark schwankenden Bandbreiten sowie verschiedener Dienstgüteanforderungen unterscheiden sich Verwaltungs- und Steuerungsmechanismen für ATM-Netze stark von Mechanismen in herk?mmlichen Kommunikationsnetzen. Ziel dieses zweiteiligen Beitrags ist es, einen überblick über Grundmechanismen zu geben, die zur Steuerung und Verwaltung von ATM-Netzen entwickelt wurden. Im vorliegenden ersten Teil werden grundlegende Prinzipien zur effizienten Verwaltung von Hochgeschwindigkeitsnetzen beschrieben und diskutiert. Der Nachweis der Leistungsf?higkeit dieser Kontroll- und überlaststeuerungsmechanismen bedarf analytischer Modellierungsans?tze, die im zweiten Teil dieses Beitrags vorgestellt werden. Eingegangen am 17.07.1996, in überarbeiteter Form am 03.04.1997     

Alles bloß Werbung? Virenwarnungen,Security-Reports und Marketing

Zusammenfassung  „Verbraucher?ngste treiben Kosten für Online-Sicherheit in die H?he“ — so überschrieb Yahoo Finance am 7. Juni 2007 einen Beitrag zur Akzeptanz von Online-Banking und-Handel. Tenor: Zwar gehe die Zahl der Opfer, die aufgrund gestohlener Konto-und Kreditkarteninformationen gro?e finanzielle Verluste erlitten, seit l?ngerem konstant zurück. Gleichzeitig sei jedoch das Kundenvertrauen auf einem Tiefpunkt angelangt mit der Folge, dass zumindest in den USA immer weniger Verbraucher das Web für Eink?ufe oder überweisungen nutzten. Der Artikel sorgte für einige Aufregung — wenngleich nicht so, wie man sich das bei Yahoo gewünscht haben mag. Zum Autor: Thomas B?cker ist freier IT-Fachjournalist und seit 2005 Leitender Redakteur von IT-Sicherheit & Datenschutz.     

Defense in Depth: Sicherheitskonzepte im Inneren von Windows (I)

Zusammenfassung  Herk?mmliche Strategien zur Herstellung von IT-Sicherheit dienen oft haupts?chlich dem Schutz der Infrastrukturen. Dies reicht jedoch in vielen F?llen nicht aus und bek?mpft die Probleme nicht an der Wurzel. Der Schlüssel dazu liegt vielmehr in der Herstellung der Applikationssicherheit, also einer Absicherung der Software selbst, gegen „feindliche übergriffe“. Damit bietet sie einen extrem gro?en Hebel, um die Gesamtsicherheit von IT-Systemen zu erh?hen. Dieser Artikel gibt eine Einführung und zeigt, was Microsofts Entwickler bei Windows Vista und Windows Server 2008 für eine erh?hte Sicherheit getan haben. Zum Autor: Sebastian Weber ist Platform Strategy Manager der Developer Platform & Strategy Group bei Microsoft Deutschland. In dieser Rolle unterstützt er Softwarehersteller in der Einführung neuester Technologien. Sein Schwerpunkt liegt in der Entwicklung sicherer Software.     

Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien — ein Schreckensbericht

Zusammenfassung  Die Autoren untersuchen das datenschutzrechtliche Vollzugsdefizit im Anwendungsbereich des Telemediengesetzes. Ihr Ergebnis ist, dass das Ausma? des datenschutzrechtlichen Vollzugsdefizits der von au?en zu überprüfenden datenschutzrechtlichen Pflichten der Anbieter „erschreckend“ ist. Nur einem ganz geringen Teil der Anbieter gelingt es, sich rechtskonform zu verhalten. Prof. Dr. Jürgen Kühling Inhaber eines Lehrstuhls für ?ffentliches Recht an der Universit?t Regensburg. Anastasios Sivridis wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl Prof. Kühling. Mathis Schwuchow studentische Hilfskraft am Lehrstuhl Prof. Kühling. Thorben Burghardt wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Systeme der Informationsverwaltung (TH Karlsruhe).     

Kunden- und Mitarbeiterdaten im weltweiten Fluss

Zusammenfassung  Globalisierungsbedingt ist es für internationale Unternehmen unerl?sslich, personenbezogene Daten von Kunden und Mitarbeitern ins EU-Ausland zu übermitteln. Es stellt sich daher die Fragen, ob und unter welchen Voraussetzungen eine solche übermittlung nach dem Bundes-datenschutzgesetz (BDSG) zul?ssig ist. Zur Autorin: Silke Martin ist Rechtsanw?ltin in der auf IT-Themen spezialisierten Kanzlei PRW Rechtsanw?lte in München, ihre Fachthemen sind Datenschutz und Arbeitsrecht im IT-Umfeld.     

Digital Rights Management zum Schutz personenbezogener Daten?

Zusammenfassung  Die Digitalisierung hat bekanntlich die Medienindustrie auf den Kopf gestellt, und es wird immer deutlicher, dass sie Gefahr l?uft, bald den Datenschutz ad absurdum zu führen. Was hat dies beides miteinander zu tun? W?hrend Konzepte für nutzerbestimmte datenschutz-f?rdernde Technik durch Datenvermeidung schon lange etabliert sind, stehen immer wieder Vorschl?ge zur Realisierung von datenschutzf?rdernden Systemen durch technisch durchgesetzte Zweckbindung zur Diskussion. Darin soll auf Techniken von Digital Rights Management Systemen zurückgegriffen werden, die von der Medienindustrie zur kontrollierten Verbreitung digitaler Inhalte entwickelt wurden. Rainer B?hme ist wissenschaftlicher Mitarbeiter am Lehrstuhl Datenschutz und Datensicherheit an der Technischen Universit?t Dresden. Ein Forschungsschwerpunkt sind ?konomische und soziale Aspekte von Datenschutz und Datensicherheit Prof. Dr. Andreas Pfitzmann Lehrstuhl Datenschutz und Datensicherheit, Institut für Systemarchitektur, Fakult?t Informatik, TU Dresden     

Kryptographiegesetzgebung im Wandel

Zusammenfassung  Im Oktober 2007 trat in Gro?britannien ein Gesetz in Kraft, das es den Polizeibeh?rden erlaubt, die Herausgabe kryptographischer Schlüssel von ihren Nutzern zu verlangen. Dies ist nur eine von zahlreichen Ma?nahmen, die einen globalen Kurswechsel hin zu verst?rkter überwachung und Regulierung von Verschlüsselungsmechanismen belegen. In diesem Beitrag werden die Entwicklungen der Kryptographiegesetzgebung der letzten Jahre und ihr heutiger Stand dokumentiert. Dipl.-Inform. Malte Diehl Doktorand an der Uni Oldenburg, Department für Informatik, Stipendiat der DFG     

Vom Informationszugang zur Informationsweiterverwendung

Zusammenfassung  Mit Inkrafttreten des Informationsfreiheitsgesetz des Bundes¹ (IFG) zum 01. Januar 2006 ist die Diskussion über die Notwendigkeit eines allgemeinen und begründungsfreien Rechts auf Zugang zu staatlichen Informationen vorerst beendet². Im Mittelpunkt stehen nun Anwendungsfragen, bspw.unter welchen Voraussetzungen die neue Freiheit — auch wirtschaftlich — genutzt werden kann. Regelungen hierfür enth?lt der Entwurf eines sog. „Informationsweiterverwendungsgesetzes“, den das Bundesministerium für Wirtschaft und Technologie in Umsetzung der Richtlinie 2003/98/EG vorgelegt hat. Mit diesem stellt sich die Problematik einer sachgerechten Abgrenzung von Informationszugang und Informationsweiterverwendung.     

Single Sign On mit Signaturen

Auch fast zehn Jahre nach der Verabschiedung des ersten Signaturgesetzes haben sich qualifizierte elektronische Signaturen am Markt nicht durchgesetzt. Es fehlen Anwendungen, die für eine breite Masse von Anwendern von Interesse sind. Die Autoren stellen eine M?glichkeit vor, wie man elektronische Signaturen für Authentifizierung bei Passwortsystemen nutzen kann. Dadurch kann auf der einen Seite das „Strong Password Dilemma“ gel?st werden und auf der anderen Seite die Akzeptanz für Signaturkarten erh?ht werden.     

Ein neuer Standard für die Ausbildung im Fach Mensch-Computer-Interaktion

Zusammenfassung  Das ,,Curriculum für ein Basismodul zur Mensch-Computer-Interaktion (MCI)“ wurde im Sommer 2006 von der Fachgruppe ,,Software-Ergonomie“ in der Gesellschaft für Informatik (GI) vorgestellt und anschlie?end vom Pr?sidium der GI als Empfehlung für Studieng?nge der Informatik angenommen und verabschiedet. Mit diesem Curriculum werden die notwendigen Grundlagen für eine erfolgreiche Ausbildung von Informatikern/-innen und anderen Berufsgruppen im Themenfeld der Software-Ergonomie geschaffen und vereinheitlicht. Des Weiteren soll es zur Konkretisierung der Anforderungen an Bachelor- und Masterstudieng?nge der Informatik dienen. Zudem soll die Akkreditierung von Informatikstudieng?ngen durch dieses Curriculum unterstützt werden.     

Modellbildung und Simulation von Prozessen im Sport

Zusammenfassung  Sport ist wesentlich gepr?gt durch Bewegungs- und Handlungsprozesse in Training und Wettkampf, die im Sinne einer Verbesserung von Leistung, Effektivit?t und Effizienz zu optimieren sind. Eine solche Optimierung setzt eine hinreichend genaue Analyse der Prozesse sowie entsprechende Optimierungsmethoden voraus. Das Problem besteht dabei darin, dass Prozesse im Sport nicht nur vergleichsweise komplex sind, sondern, anders als im Fall physikalisch-technischer Prozesse, einen hohen Grad an Unsch?rfe und Indeterminismus aufweisen, die zum einen durch die adaptive Physiologie und zum anderen durch situative Handlungsentscheidungen der Athleten bedingt sind. Diese Problematik führt zu der aus informatischer Sicht unzureichenden Praxis, z.B. Spielprozesse mithilfe von H?ufigkeitstabellen der beobachteten Aktivit?ten zu erfassen und – unter Vernachl?ssigung des zeitlich-prozessualen Zusammenhangs – zu analysieren. Neuere Methoden für Modellbildung und Simulation sowie verbesserte Techniken bei der Datenerfassung erlauben aber zunehmend, ad?quater mit den entsprechenden Problemstellungen umzugehen. So stellen z.B. die Bereiche ,,Soft Computing“ und ,,Computational Intelligence“ Konzepte, Methoden und Werkzeuge zur Verfügung, um gro?e Mengen von Daten zu verwertbaren Information zu komprimieren, mit unscharfer oder unsicherer Information zu arbeiten und Informationsstrukturen als Muster erkennbar und verfügbar zu machen. Dabei spielen neuronale Netze eine zentrale Rolle, wenn es um die Komprimierung von Daten und die Typisierung von Information geht. An einer Reihe von Einsatzszenarien wird beispielhaft das Spektrum der M?glichkeiten aufgezeigt. Am abschlie?enden Beispiel eines derzeit in unserer Arbeitsgruppe durchgeführten Projektes soll skizziert werden, wie das Zusammenwirken von technischer Datenerfassung, Modellbildung und Simulation die Erfassung, die Analyse und die Prognose von Prozessen in Sportspielen wie Fu?ball verbessern kann.     

Datenschutzrechtliche Anforderungen an innereuropäische Personaldatenübermittlungen in Matrixorganisationen

Zusammenfassung  Für die innereurop?ische übermittlung von Personaldaten zwischen Konzerngesellschaften hat der Düsseldorfer Kreis strenge Vorgaben entwickelt. Dieser Beitrag zeigt, wie diese Vorgaben mit einem Datenschutzvertrag erfüllt werden k?nnen. Dr. Michael Schmidl, Ma?tre en Droit, LL.M. Eur., Partner bei Baker & McKenzie Partnerschaft von Rechtsanw?lten, Solicitors und Steuerberatern und dort Mitglied der IT Practice Group. Dr. Schmidl ist Fachanwalt und Lehrbeauftragter für IT-Recht an der Universit?t Augsburg.     

IT-Grundschutz-Kataloge 2007

Zusammenfassung  IT-Sicherheit ist ein kontinuierlicher Prozess, immer wieder tauchen neue Risiken und glücklicherweise auch Gegenma?nahmen auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet daher die Trends, um pr?ventive Ma\nahmen zum Schutz von Informationen und IT-basierten Gesch?ftsprozessen entwickeln zu k?nnen. Die IT-Grundschutz-Kataloge unterstützen IT-Sicherheitsverantwortliche dabei, angemessene Sicherheitsma?nahmen zu identifizieren und umzusetzen. Zur Autorin: Isabel Münch ist Referatsleiterin IT-Sicherheitsmanagement und IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.     

Transformation und elektronische Patientenakte

Im eHealth-Bereich bemühen sich insbesondere Krankenh?user verst?rkt darum, medizinische Unterlagen ausschlie?lich elektronisch zu archivieren. Derzeit ist es indes meist gar nicht m?glich, s?mtliche medizinische Unterlagen origin?r elektronisch zu erstellen. Daher müssen Patientenakten für eine elektronische Archivierung oft zuerst vom Papier in eine elektronische Form transformiert werden. Dies führt zu einem Konflikt zwischen dem Ziel einer effizienten Archivierung und der rechtlichen Pflicht zur beweissicheren Aufbewahrung. Der Beitrag zeigt auf, wie für die verschiedenen Transformationsprozesse das Risiko eines Beweisverlustes minimiert werden kann.