Identitätsmanagement

Zusammenfassung  Vor dem Hintergrund aktueller Entwicklungen in Politik, Wirtschaft und Verwaltung gewinnt sowohl die Nutzung als auch das Management elektronischer Identit?ten zunehmend an Be-deutung. Um die Er?rterung dieses wichtigen Themas zu erleichtern, werden in diesem Bei-trag wesentliche Begriffe des Identit?tsmanagements in Form eines Glossars zusammen ge-tragen. Dr. Detlef Hühnlein ist seit mehr alszehn Jahren bei der secu-net Security Networks AG — u.a. im Bereich Identit?tsmanagement — t?tig.     

Einfach zu mehr Software-Sicherheit

Zusammenfassung  Mit welchen Methoden die Sicherheit von Applikationen schon in der Phase der Software-Erstellung sinnvoll unterstützt werden kann und wie man die h?ufigsten Fehler m?glichst vermeidet, war Untersuchungsgegenstand des Forschungsprojektes secologic, das vom Bundesministerium für Wirtschaft und Technologie (BMWi) in den vergangen beiden Jahren gef?rdert wurde. Im vorliegenden Beitrag stellen die Autoren die wichtigsten Projektergebnisse vor. Dipl. Biol., Dipl. Inform.(FH) Rosemaria Giesecke ist seit 2005 bei SAP Research als Projektleiterin t?tig. Schwerpunkte ihrer Arbeit sind derzeit im Bereich Software- und Security-Engineering angesiedelt. Dipl.-Inform. Stefan Fünfrocken ist Gesch?ftsführer von EUROSEC, einem auf IT-Sicherheit spezialisierten Beratungsunternehmen und besch?ftigt sich mit allen Sicherheitsaspekten in Rechnernetzen, sowie mit den organisatorischen und strategischen Aspekten der IT-Sicherheit.     

Wahlgeräte in Deutschland

Zusammenfassung  Die Durchführung elektronisch gestützter Wahlen wird weltweit kritisch begleitet. Auch in Deutschland hat der Einsatz elektronischer Wahlger?te eine breite, überwiegend kritische Diskussion ausgel?st, die bis zu einem Verfahren beim Bundesverfassungsgericht führte. Ein Schwerpunkt der Kritik betrifft die Transparenz der Wahlabl?ufe, ein anderer die technische Sicherheit der Wahlger?te. Der vorliegende Beitrag fasst zusammen, was zur Absicherung von Wahlger?ten auf der Grundlage der geltenden gesetzlichen Regelungen in Deutschland bisher getan worden ist und beleuchtet vor diesem Hintergrund die bekannten Hauptkritikpunkte. Heike Schrepf ist Diplom-Physikerin und seit Langem auf Softwareprüfungen in komplexen messtechnischen Systemen sowie Wahlger?ten spezialisiert. Sie geh?rt der akkreditierten Softwareprüfstelle der PTB an. Dr. Norbert Greif leitet in der Physikalisch-Technischen Bundesanstalt (PTB) die Arbeitsgruppe „Software und elektronische Wahlen“, die als Softwareprüfstelle akkreditiert ist. Er ist als Fachbegutachter im Auftrag von Akkreditierungsstellen t?tig. Prof. Dr. Dieter Richter ist Leiter des Fachbereiches „Metrologische Informationstechnik“ in der PTB, zu dem auch der Arbeitsbereich der elektronischen Wahlen geh?rt. Er nimmt viele beratende T?tigkeiten wahr.     

Quantenphysik und die Zukunft der Kryptographie

Zusammenfassung  Der Beitrag fasst die H?hepunkte aus fast 2.500 Jahren Kryptographiegeschichte zusammen. Die Zeitachse zeigt, dass erst in letzten 50 Jahren drei wirklich revolution?re Erfindungen erfolgten: Mitte der 70er Jahre wurde die Verschlüsselung mit ?ffentlichen Schlüsseln eingeführt. Danach wurden zwei Entdeckungen gemacht, die auf der Quantenphysik beruhen: Die Quanten-Kryptographie und der Quanten-Computer. Die Bedeutung dieser drei neuen Techniken für die Entwicklung und Zukunft der Kryptographie werden erl?utert — und es wird gezeigt, warum diese drei als „Quantensprünge“ der Informationssicherheit betrachtet werden müssen. Dr. Per Kaijser ist als Berater t?tig. Bis 2000 war er für die Standardisierungs- und Regulierungsfragen für IT-Sicherheit der Siemens AG zust?ndig. Er ist auch Privatdozent für Theoretische Physik. Dr. Ing. Wernhard Markwitz Senior-Experte für Informations-Sicherheit, ist als Referent und Berater t?tig. Bis 2002 war er Leiter des Produktmanagement für Informations-Sicherheit-Produkte der Siemens AG.     

Alles bloß Werbung? Virenwarnungen,Security-Reports und Marketing

Zusammenfassung  „Verbraucher?ngste treiben Kosten für Online-Sicherheit in die H?he“ — so überschrieb Yahoo Finance am 7. Juni 2007 einen Beitrag zur Akzeptanz von Online-Banking und-Handel. Tenor: Zwar gehe die Zahl der Opfer, die aufgrund gestohlener Konto-und Kreditkarteninformationen gro?e finanzielle Verluste erlitten, seit l?ngerem konstant zurück. Gleichzeitig sei jedoch das Kundenvertrauen auf einem Tiefpunkt angelangt mit der Folge, dass zumindest in den USA immer weniger Verbraucher das Web für Eink?ufe oder überweisungen nutzten. Der Artikel sorgte für einige Aufregung — wenngleich nicht so, wie man sich das bei Yahoo gewünscht haben mag. Zum Autor: Thomas B?cker ist freier IT-Fachjournalist und seit 2005 Leitender Redakteur von IT-Sicherheit & Datenschutz.     

Kundenfreundlichkeit von Musik-Downloadplattformen?

Im Wege einer ?konomischen Analyse wird die Kundenfreundlichkeit marktg?ngiger Downloadportale untersucht. Es ergibt sich, dass — bei zahlreichen Unterschieden im Detail — alle untersuchten Downloadplattformen dem traditionellen Gesch?ftsmodell der Offline-Welt folgen und Musikstücke gegen Bezahlung anbieten. Verbesserungsm?glichkeiten im Hinblick auf die Kundenfreundlichkeit konnten bei allen Plattformen gefunden werden. Weitergehende Gestaltungsoptionen des Onlinevertriebs — von innovativen Erl?squellen bis hin zu einer Abkehr von der Vorstellung, das Datenobjekt sei das ?konomische Gut — bleiben ungenutzt.     

Sieben Goldene Regeln des Datenschutzes

Zusammenfassung  Das Datenschutzrecht muss einfach sein, wenn es erfolgreich vermittelt werden soll. Da es für den Laien abschreckend kompliziert ist, bedarf es für eine erfolgreiche Vermittlung und Schulung einer Strategie der Vereinfachung. Die „Sieben Goldenen Regeln des Datenschutzes“ sind ein solcher Versuch der Reduktion auf das Wesentliche. Nicht die Kultur der Ausnahmen stehen im Vordergrund des Modells, sondern die Grundregeln, mit denen sich als Richtschnur Alltagsfragen l?sen lassen. Die Sieben Goldenen Regeln erheben keinen Anspruch auf Ausschlie?lichkeit. Sie sind aber auch mehr als ein erster Versuch, da sie bereits seit l?ngerem in und für Schulungen ausprobiert und verwendet werden. Dr. Johann Bizer Stellvertretender Landesbeauftragter für Datenschutz Schleswig-Holstein Unabh?ngiges Landeszentrum für Datenschutz (ULD)     

„Schutz der Privatheit — Informationsgesellschaft ohne Tabu?“

Zusammenfassung  Der Beitrag befasst sich unter der etwas vagen überschrift „Schutz der Privatheit — Informationsgesellschaft ohne Tabu?“ mit dem Prozess der Enttabuisierung der Privatsph?re und deren Auswirkungen auf den Einzelnen und die Gesellschaft. Dabei geht es weniger um das Verh?ltnis des Staates zur Privatsph?re seiner Bürger, als um die im gesellschaftlichen Bereich zu beobachtenden Grenzverschiebungen zwischen Privatheit und ?ffentlichkeit, die ja nicht erst im Zeitalter des Internet festzustellen sind, sondern eine lange Vorgeschichte haben. Der Rückblick beginnt daher nicht mit Ernst Benda und seiner Volksz?hlungsentscheidung, sondern mit Johann Wolfgang von Goethe und seinem „Werther“. Der — hier gekürzt wiedergegebende — Vortrag stützt sich vor allem auf den von Ralph Wei?/Jo Groebel herausgegebenen Band ‚Privatheit im ?ffentlichen Raum‘. Der Vortrag wurde am 27. September 2008 auf der Tagung ‚Vom Volksz?hlungsurteil zum virtuellen Exhibitionismus — Wertewandel des Datenschutzes‘ gehalten, welche die Akademie für politische Bildung Tutzing in Kooperation mit der Fachhochschule München veranstaltet hat.     

Penetrationstests als Instrument zur Qualitätssicherung

Zusammenfassung  Für Unternehmen, deren Gesch?ftsprozesse unmittelbar von der Verfügbarkeit, Integrit?t und Vertraulichkeit ihrer IT-Infrastruktur abh?ngen, stellen Penetrationstests ein wesentliches Element einer zukunftsorientierten IT-Sicherheitsplanung dar. Richtig angewandt, sorgen sie mittel- und langfristig für eine Effizienzsteigerung bei Investitionen sowie ein allgemein hohes Sicherheitsniveau, wie es die Regelungen des KonTraG und des Sarbanes-Oxley Acts oder das internationale Bankenabkommen Basel II vorgeben. Diplom-Informatiker und geh?rt als Gesch?ftsführer der SySS GmbH seit 2005 zum Herausgeberbeirat von IT-Sicherheit & Datenschutz Diplom-Wirtschaftsinformatikerin und als Security Consultant für die SySS GmbH t?tig     

Modellierung in der Lehre an Hochschulen: Thesen und Erfahrungen

Zusammenfassung  Nicht erst seit Modellierung zum Modewort geworden ist, ist Modellierung ein wichtiges Thema in der Informatikausbildung. Dieser Beitrag beleuchtet in zw?lf Thesen das Warum, Was, Wie viel, Wo, Wann und Wie von Modellierung in der Lehre im Rahmen informatikbezogener Studieng?nge. Die Thesen basieren auf der Erfahrung des Verfassers mit einer seit über zehn Jahren gehaltenen Modellierungsvorlesung an der Universit?t Zürich sowie dem Gedankenaustausch mit anderen Hochschullehrerinnen und -lehrern im Rahmen der GI-Workshopreihe ,,Modellierung“. Zus?tzlich liefert eine Befragung von Absolventinnen und Absolventen an der Universit?t Zürich empirische Evidenz für eine Reihe der Thesen.     

Das OpenSSL-Debakel

Zusammenfassung  Die Auswirkungen des fehlerhaften Zufallszahlengenerators in der OpenSSL-Bibliothek des Debian-Linux-Projekts werden von vielen Verantwortlichen untersch?tzt. Der Beitrag erl?utert die Hintergründe und hilft, das eigene Risiko zu bewerten. Martin Bartosch ist Inhaber und Gesch?ftsführer der 2001 gegründeten Cynops GmbH und besch?ftigt sich seit über 10 Jahren mit Netzwerksicherheit und Kryptographie insbesondere im Bereich Digitale Signaturen und PKI.     

Das Schicksal der Vorratsdatenspeicherung

Zusammenfassung  Am 11.3.2008 beschloss das Bundesverfassungsgericht, Teile der umstrittenen Vorratsdatenspeicherung — die Einführung einer sechsmonatigen Mindestspeicherpflicht für Telekommunikationsverbindungsdaten — im Wege der einstweiligen Anordnung auszusetzen. Der Autor erl?utert Hintergründe und Konsequenzen des Urteils. Andreas Gietl Wissenschaftlicher Mitarbeiter Universit?t Konstanz, Lehrstuhl für Bürgerliches Recht, Rechtsgeschichte und Kirchenrecht     

Rechtliche Grundlagen der IT-Sicherheit

Zusammenfassung  IT-Sicherheit ist inzwischen für Unternehmen vieler Branchen ein strategischer Erfolgsfaktor. Das gilt in erster Linie unter Service-und Effizienzgesichtspunkten des operativen Gesch?fts. IT-Sicherheit ger?t aber auch wegen der Kreditvergabekriterien nach Basel II in den Fokus. Sie geht danach als ein Element des operationellen Unternehmensrisikos in die Gewichtung des Kreditausfallrisikos und darüber hinaus auch in die Berechnung des Zinssatzes ein. Je h?her der IT-Sicherheitsstatus, desto niedriger ist künftig der individuelle Kreditzins. Zudem erh?hen der Sarbanes-Oxley-Act, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie das GmbHG den Handlungsdruck auf Vorstands-und Gesch?ftsführerebene. Denn M?ngel im IT-Risikomanagement k?nnen danach eine pers?nliche Haftung mit dem Privatverm?gen nach sich ziehen. Der Autor¹ gibt einen überblick der gesetzlichen Verpflichtungen im Kontext der IT-Sicherheit. Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanw?lte, Düsseldorf     

Ein Requirements-Engineering-Referenzmodell

Zusammenfassung Requirements-Engineering zielt auf die systematische Erhebung der Anforderungen für ein zu entwickelndes Produkt oder System auf Basis genereller Gesch?ftsziele und Vorgaben ab. Angestrebt werden dokumentierte Anforderungen an Produkte oder Systeme, die optimal nutzbar und vermarktbar sind und in jeder Hinsicht m?glichst gut den Erwartungen aller Beteiligten entsprechen. Bedingt durch den hohen Innovationsgrad bei Software oder Produkten mit hohem Softwareanteil und den steigenden Ansprüchen in Hinblick auf Funktionalit?t kommt dem Requirements-Engineering eine Schlüsselstellung im Software und Systems Engineering zu. Vor diesem Hintergrund hat die Technische Universit?t München und Siemens Corporate Research in Princeton, USA, ein Requirements-Engineering–Referenzmodell (REM) entwickelt, das Struktur und Inhalte der Ergebnisse (,,Artefakte“) des Requirements-Engineering vorgibt. Es ist durch ,,Tailoring“ auf unterschiedliche Anwendungsdom?nen und Dokumentenvorgaben zuschneidbar. Es unterstützt iterative Prozesse und eine modellbasierte Entwicklung. Der Ansatz REM wurde bereits erfolgreich zur Analyse und Bewertung durchgeführter Entwicklungsprozesse eingesetzt. Hierzu wurden die im untersuchten Projekt erstellten Spezifikationsdokumente (beispielsweise Vision- & Scope-Dokument, Lasten- und Pflichtenhefte, Architekturdokumente, usw.) hinsichtlich der im Artefaktmodell festgelegten Inhalte und Beziehungen analysiert und bewertet. Gemeinsam mit der entsprechenden Untersuchung des eingesetzten Requirements-Management-Werkzeugkonzepts k?nnen hieraus Aussagen zur Vollst?ndigkeit und Qualit?t der betrachteten Spezifikationsdokumente und ihres Erarbeitungsprozesses gefolgert werden.     

Nutzerdaten im Smart Grid — zur Notwendigkeit einer differenzierten grundrechtlichen Bewertung

Die Diskussion um die Auswirkungen des Einsatzes von Smart Metern auf die Pers?nlichkeitsrechte der Letztverbraucher hat — zu Recht — zun?chst das Grundrecht auf informationelle Selbstbestimmung in den Blick genommen. Die grundrechtlichen Probleme sind damit allerdings nicht ausgesch?pft: Da die Daten der h?uslichen Sph?re entstammen ist zu fragen, ob nicht auch der Schutzbereich von Art. 13 GG betroffen ist. Durch die Erhebung mittels eines IT-Systems (der Smart Meter) kann auch das Grundrecht auf Gew?hrleistung der Vertraulichkeit und Integrit?t informationstechnischer Systeme eingreifen. Schlie?lich stellt sich angesichts der Kommerzialisierung der Daten im Smart Grid die Frage, ob verm?genswerte Positionen betroffen sind.     

Die Rolle der Informatik im gesellschaftlichen Diskurs: Eine Neupositionierung der Informatik

Zusammenfassung  Entwicklungen im Bereich der Informations- und Kommunikationstechnologie führen derzeit zu fundamentalen Umw?lzungen der Gesellschaft. Eine Beschleunigung des Lebens und das Verschwimmen von Beruf und Privatleben sind nur zwei Beispiele hierfür. Ein Abweichen von dem gesellschaftlichen Ideal des mobilen, jungen und dynamischen Mitarbeiters erweist sich h?ufig als Weg in das Einsiedlerdasein eines Exoten. Ein Widerstreben gegen die wachsenden Begehrlichkeiten von Wirtschaft und Staat l?sst das Individuum verd?chtig erscheinen und kann zu einer weiteren Entkopplung aus der Gesellschaft führen. Eine entscheidende Aufgabe bei gesellschaftlichen Umw?lzungen ist die der Reflexion und Kritik. Diese Rolle scheint mehr und mehr den Juristen zuzukommen. Insbesondere beim Thema Datenschutz erfolgt h?ufig eine Reduktion auf die Verfassungskonformit?t einzelner staatlicher Ma?nahmen. Kritik sollte jedoch bereits weit früher geübt werden. Medien sollten diese zentrale Funktion unterstützen und der politische Diskurs sollte zu einer optimalen L?sung führen. Eine Gruppe, die in der Debatte viel beitragen k?nnte und müsste, wird h?ufig, wenn überhaupt, aufgrund ihres technischen Sachverstandes herangezogen – die Informatiker. Dies ist insbesondere verwunderlich, da Informatiker ma?geblich an der Ver?nderung der Gesellschaft beteiligt sind. Sie schaffen die technischen Grundlagen für neue Formen der Interaktion. Doch das daraus resultierende Bild der Informatik als Computerwissenschaft beraubt Informatiker ihrer gesellschaftskritischen Funktion, da sie auf die Rolle von Technikern reduziert werden. Eine Positionierung und Darstellung der Informatik als Struktur- und Koordinationswissenschaft sowie der Informatiker als interdisziplin?re Systementwickler und -analytiker würde es Informatikern erm?glichen die bedeutende Rolle der Gesellschaftskritiker einzunehmen und geh?rt zu werden.     

Datenschutz als Bildungsaufgabe

Der Datenschutz ist zwar zurzeit in aller Munde, jedoch mitnichten in jedermanns Bewusstsein. Zwar zeigen medienwirksame Datenskandale wie bei Lidl, der Deutschen Bahn oder der Telekom AG, dass datenschutzrechtliche Vorgaben wiederholt missachtet werden. Allerdings hat dies nicht dazu geführt, dass sich diejenigen, die der Datenschutz gerade zu schützen versucht, die Bürgerinnen und Bürger, dieses Themas annehmen. Es bleibt vielmehr ein Thema, welches von den meisten Bürgern vernachl?ssigt oder schlicht nicht beachtet wird. Nicht zuletzt aufgrund dieser Tatsache hat im Datenschutz ein Umdenken eingesetzt und auch einsetzen müssen. Neben die traditionellen Aufgaben des Datenschutzes tritt immer mehr die Aufgabe, den Bürgerinnen und Bürgern das Thema Datenschutz und Datenverantwortung zu vermitteln. Diese Entwicklung, den Datenschutz auch als klassische Bildungs- und Erziehungsma?nahme zu verstehen, ist ma?geblich von Europa aus — sowohl von der Europ?ischen Union als auch vom Europarat — angesto?en worden, und mittlerweile dabei, sich in der Bundesrepublik und den anderen Mitgliedsstaaten zu etablieren.     

Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (V) — Prüfsummen,Zertifikate und die sichere elektronische Signatur

Zussammenfassung  Die handschriftliche Unterschrift ist seit Jahrhunderten bew?hrt. Anders als in der elektronischen Welt sind bei einem Vertragsabschluss die Parteien zugegen und k?nnen den Vertragspartner pers?nlich einsch?tzen und überprüfen. Dies grenzt auf natürliche Weise den Aktionsradius für Betrüger erheblich ein. In der elektronischen Welt k?nnen wir nicht auf diese bew?hrten Mechanismen zurückgreifen, da wir z. B. über das Internet lediglich indirekt kommunizieren. Daher müssen grundlegende Sicherheitsbedürfnisse anders befriedigt werden als in der realen Welt. Prof. Dr. Norbert Pohlmann ist Gesch?ftsführender Direktor des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen.     

Rechtliche Löschvorschriften

Zusammenfassung  Personenbezogene Daten müssen gel?scht werden, wenn sie für die weiteren Gesch?ftprozesse der Unternehmen nicht mehr erforderlich sind und auch gesetzliche Aufbewahrungsfristen der L?schung nicht im Wege stehen. In der Praxis wird dieser L?schpflicht allerdings nur zurückhaltend Rechnung getragen. Der Beitrag begründet das Erfordernis konsequenten L?schens und will dazu motivieren, den gesetzlich vorgegebenen L?schpflichten durch ein L?schkonzept Rechnung zu tragen. Reinhard Fraenkel ist nach verschiedenen T?tigkeiten in der Industrie seit 1994 als Rechtsanwalt in Gütersloh t?tig. Zu seinen Arbeitsschwerpunkten z?hlt das Datenschutzrecht. Seit August 2004 ist er externer Datenschutzbeauftragter der Toll Collect GmbH. Dr. Volker Hammer ist Consultant der Secorvo GmbH. Seit Mitte 2003 unterstützt er die Toll Collect GmbH in verschiedenen Datenschutz-Projekten. Weitere Arbeitsschwerpunkte sind Public Key Infrastrukturen und kritische IT-Infrastrukturen     

BDSG-Novelle zum Schutz von Internet-Inhaltsdaten

Zusammenfassung  Derzeit sind zwei Reformen des Bundesdatenschutzgesetzes (BDSG) im Gesetzgebungsverfahren: zu Auskunfteien und Scoring sowie zum Permission Marketing und Audit. Inzwischen ist der Politik bewusst, dass auch eine überarbeitung der Regelungen zur Verarbeitung personenbezogener Daten im Internet überf?llig ist. Der vorliegende Beitrag er?rtert, welche Regelungsinhalte n?tig sind für die Erfüllung dieser anspruchsvollen Aufgabe: Einbeziehung des Art. 5 GG, Kl?rung der Verantwortlichkeiten, Festlegung von Verfahrensabl?ufen bei der Aufsicht und der Wahrnehmung von Betroffenenrechten.