Rechtliche und gesellschaftliche Empfehlungen zur Gestaltung biometrischer Systeme

Zusammenfassung  Nach langj?hrigen Bemühungen in der biometrischen Standardisierung konnte nun — neben etlichen bereits ver?ffentlichten technischen Normen — auch der erste Teil des technischen Berichts zu rechtlichen und gesellschaftlichen Empfehlungen fertig gestellt werden. Er beinhaltet sowohl rechtliche als auch gesellschaftliche/soziale und verbraucherbezogene Aspekte für einen vertr?glichen Einsatz biometrischer Systeme in einem Sinne, dass Rechte und Pflichten der Beteiligten m?glichst ausgewogen berücksichtigt werden. Das Grundkonzept und wesentliche Gesichtspunkte daraus werden hier vorgestellt. Der zweite Teil, der zur Zeit entsteht, wird sich mit anwendungsspezifischen Empfehlungen befassen und auch konkrete biometrische Technologien betrachten. Dr. Astrid Schumacher befasst sich beim BSI mit technischrechtlichen Fragestellungen der Kommunikationssicherheit in Gesch?ftsprozessen und dem elektronischen Rechtsverkehr. Kristina Unverricht arbeitet für den Verbraucherrat des DIN Deutsches Institut für Normung e.V. und vertritt Endverbraucherinteressen in der Normung von Informations- und Kommunikationstechnologie und von Dienstleistungen.     

Die Standards des eCard-API-Frameworks

Zusammenfassung  Die eCard-Strategie der Bundesregierung zielt auf die breite Verwendbarkeit der im Rahmen der verschiedenen Kartenprojekte der Bundesverwaltung ausgegebenen und genutzten Chipkarten ab. Eine besondere Rolle bei der Realisierung dieses Zieles spielt das eCard-API-Framework, durch das ein einfacher und einheitlicher Zugriff auf die Funktionen dieser unterschiedlichen Chipkarten erm?glicht wird. Um die nationale und internationale Akzeptanz dieses Rahmenwerkes nachhaltig sicherzustellen, wurde bei der Spezifikation des eCard-API-Frameworks auf international anerkannte Standards zurückgegriffen. Der Beitrag gibt einen kompakten überblick über das eCard-API-Framework und die wesentlichen damit zusammenh?ngenden Standards. Dr. Detlef Hühnlein ist seit mehr als zehn Jahren bei der secunet Security Networks AG — u.a. im Bereich Chipkartentechnologie — t?tig. Manuel Bach Manuel Bach ist seit 2005 im Referat Industriekooperation für das BSI t?tig und u.a. mit der Entwicklung des eCard-API-Frameworks betraut.     

Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien — ein Schreckensbericht

Zusammenfassung  Die Autoren untersuchen das datenschutzrechtliche Vollzugsdefizit im Anwendungsbereich des Telemediengesetzes. Ihr Ergebnis ist, dass das Ausma? des datenschutzrechtlichen Vollzugsdefizits der von au?en zu überprüfenden datenschutzrechtlichen Pflichten der Anbieter „erschreckend“ ist. Nur einem ganz geringen Teil der Anbieter gelingt es, sich rechtskonform zu verhalten. Prof. Dr. Jürgen Kühling Inhaber eines Lehrstuhls für ?ffentliches Recht an der Universit?t Regensburg. Anastasios Sivridis wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl Prof. Kühling. Mathis Schwuchow studentische Hilfskraft am Lehrstuhl Prof. Kühling. Thorben Burghardt wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Systeme der Informationsverwaltung (TH Karlsruhe).     

Rechtliche Grundlagen der IT-Sicherheit

Zusammenfassung  IT-Sicherheit ist inzwischen für Unternehmen vieler Branchen ein strategischer Erfolgsfaktor. Das gilt in erster Linie unter Service-und Effizienzgesichtspunkten des operativen Gesch?fts. IT-Sicherheit ger?t aber auch wegen der Kreditvergabekriterien nach Basel II in den Fokus. Sie geht danach als ein Element des operationellen Unternehmensrisikos in die Gewichtung des Kreditausfallrisikos und darüber hinaus auch in die Berechnung des Zinssatzes ein. Je h?her der IT-Sicherheitsstatus, desto niedriger ist künftig der individuelle Kreditzins. Zudem erh?hen der Sarbanes-Oxley-Act, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie das GmbHG den Handlungsdruck auf Vorstands-und Gesch?ftsführerebene. Denn M?ngel im IT-Risikomanagement k?nnen danach eine pers?nliche Haftung mit dem Privatverm?gen nach sich ziehen. Der Autor¹ gibt einen überblick der gesetzlichen Verpflichtungen im Kontext der IT-Sicherheit. Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanw?lte, Düsseldorf     

Sicherheitsanalyse der Nedap-Wahlcomputer

Zusammenfassung  Bei der Bundestagswahl 2005 waren etwa zwei Millionen Menschen in über 2.000 Wahllokalen aufgerufen, an Wahlcomputern der niederl?ndischen Firma Nedap abzustimmen. Von den etwa 80.000 Wahllokalen in Deutschland ist dies bisher nur ein geringer Anteil, jedoch entzündete sich eine breite Debatte um die Fragen der Sicherheit und Vertrauenswürdigkeit der verwendeten Rechner. Denn die Speicherung und Ausz?lung der Stimmen wird nicht auf Papier festgehalten, sondern findet direkt in den Computern statt. Frank Rieger besch?ftigt sich seit vielen Jahren im CCC und beruflich mit Mobilfunk und Informationssicherheit. Constanze Kurz ist wissenschaftliche Mitarbeiterin an der HU Berlin und Sprecherin des CCC. Ihre Forschungsschwerpunkte sind überwachungstechnologien, Biometrie und Wahlcomputer.     

Einwilligung und Datenweitergabe in der Forschung

Zusammenfassung  Datenschutz und Forschungsfreiheit scheinen sich in manchen Situationen zu widersprechen. Die ethische Verantwortung des Wissenschaftlers muss für einen fairen Ausgleich zwischen den Grundrechten sorgen. Der Gesetzgeber hat dem Wissenschaftler aber Grenzen gesetzt. Im internationalen Wettbewerb entstehen zus?tzliche Probleme. Prof. Dr. Rainer W. Gerling Datenschutzbeauftragter der Max-Planck-Gesellschaft, Honorarprofessor für IT-Sicherheit an der FH München. Studium der Physik an der Universit?t Dortmund. Promotion und Habilitation an der Universit?t Erlangen-Nürnberg.     

Das Schicksal der Vorratsdatenspeicherung

Zusammenfassung  Am 11.3.2008 beschloss das Bundesverfassungsgericht, Teile der umstrittenen Vorratsdatenspeicherung — die Einführung einer sechsmonatigen Mindestspeicherpflicht für Telekommunikationsverbindungsdaten — im Wege der einstweiligen Anordnung auszusetzen. Der Autor erl?utert Hintergründe und Konsequenzen des Urteils. Andreas Gietl Wissenschaftlicher Mitarbeiter Universit?t Konstanz, Lehrstuhl für Bürgerliches Recht, Rechtsgeschichte und Kirchenrecht     

Quantenphysik und die Zukunft der Kryptographie

Zusammenfassung  Der Beitrag fasst die H?hepunkte aus fast 2.500 Jahren Kryptographiegeschichte zusammen. Die Zeitachse zeigt, dass erst in letzten 50 Jahren drei wirklich revolution?re Erfindungen erfolgten: Mitte der 70er Jahre wurde die Verschlüsselung mit ?ffentlichen Schlüsseln eingeführt. Danach wurden zwei Entdeckungen gemacht, die auf der Quantenphysik beruhen: Die Quanten-Kryptographie und der Quanten-Computer. Die Bedeutung dieser drei neuen Techniken für die Entwicklung und Zukunft der Kryptographie werden erl?utert — und es wird gezeigt, warum diese drei als „Quantensprünge“ der Informationssicherheit betrachtet werden müssen. Dr. Per Kaijser ist als Berater t?tig. Bis 2000 war er für die Standardisierungs- und Regulierungsfragen für IT-Sicherheit der Siemens AG zust?ndig. Er ist auch Privatdozent für Theoretische Physik. Dr. Ing. Wernhard Markwitz Senior-Experte für Informations-Sicherheit, ist als Referent und Berater t?tig. Bis 2002 war er Leiter des Produktmanagement für Informations-Sicherheit-Produkte der Siemens AG.     

Wahlgeräte in Deutschland

Zusammenfassung  Die Durchführung elektronisch gestützter Wahlen wird weltweit kritisch begleitet. Auch in Deutschland hat der Einsatz elektronischer Wahlger?te eine breite, überwiegend kritische Diskussion ausgel?st, die bis zu einem Verfahren beim Bundesverfassungsgericht führte. Ein Schwerpunkt der Kritik betrifft die Transparenz der Wahlabl?ufe, ein anderer die technische Sicherheit der Wahlger?te. Der vorliegende Beitrag fasst zusammen, was zur Absicherung von Wahlger?ten auf der Grundlage der geltenden gesetzlichen Regelungen in Deutschland bisher getan worden ist und beleuchtet vor diesem Hintergrund die bekannten Hauptkritikpunkte. Heike Schrepf ist Diplom-Physikerin und seit Langem auf Softwareprüfungen in komplexen messtechnischen Systemen sowie Wahlger?ten spezialisiert. Sie geh?rt der akkreditierten Softwareprüfstelle der PTB an. Dr. Norbert Greif leitet in der Physikalisch-Technischen Bundesanstalt (PTB) die Arbeitsgruppe „Software und elektronische Wahlen“, die als Softwareprüfstelle akkreditiert ist. Er ist als Fachbegutachter im Auftrag von Akkreditierungsstellen t?tig. Prof. Dr. Dieter Richter ist Leiter des Fachbereiches „Metrologische Informationstechnik“ in der PTB, zu dem auch der Arbeitsbereich der elektronischen Wahlen geh?rt. Er nimmt viele beratende T?tigkeiten wahr.     

User-Centric-Workflow für den EAP

Zusammenfassung  In diesem Beitrag wird ein bislang in der Diskussion über die Gestaltung des Einheitlichen Ansprechpartners (EAP) nicht betrachtetes Konzept vorgestellt. Dieses Konzept erfüllt die rechtlichen Anforderungen des Verfahrensrechts und des Datenschutzes. Obendrein stellt es für den Betreiber des EAP vermutlich die wirtschaftlichste und für die Antragsteller absehbar die sicherste L?ung dar. Die Kernidee besteht darin, den Antragsteller nicht erst beim EAP sondern bereits auf dessen PC in den Beantragungs-Workflow einzupassen. Im Nebeneffekt wird dadurch eine sichere Infrastruktur zur vermutlich ohnehin unvermeidlichen Direktkommunikation mit den Verwaltungen bereitgestellt. Martin Rost Mitarbeiter im Technikreferat des Unabh?ngigen Landeszentrums für Datenschutz Schleswig-Holstein     

Das neue Binnenmarkt-Informationssystem der EU

Zusammenfassung  Für europaweite Verwaltungsvorg?nge wird künftig verst?rkt auf IuK-Technologien gesetzt. Neue E-Government-Anwendungen sollen den Informationsfluss zwischen den Beh?rden beschleunigen und optimieren. Ihr Einsatz birgt aber auch die Gefahr, dass Datenbest?nde anwachsen und von ihrem eigentlichen Verwendungszusammenhang und über das Ma? des Erforderlichen hinaus zentralisiert werden. Der Beitrag beleuchtet die datenschutzrechtlich kritischen Punkte bei der Einführung des EU-Binnenmarkt-Informationssystems und steckt den Rahmen für dessen datenschutzkonforme Gestaltung ab. Referent in der Senatsverwaltung für Wirtschaft, Technologie und Frauen Berlin     

BDSG-Novelle zum Schutz von Internet-Inhaltsdaten

Zusammenfassung  Derzeit sind zwei Reformen des Bundesdatenschutzgesetzes (BDSG) im Gesetzgebungsverfahren: zu Auskunfteien und Scoring sowie zum Permission Marketing und Audit. Inzwischen ist der Politik bewusst, dass auch eine überarbeitung der Regelungen zur Verarbeitung personenbezogener Daten im Internet überf?llig ist. Der vorliegende Beitrag er?rtert, welche Regelungsinhalte n?tig sind für die Erfüllung dieser anspruchsvollen Aufgabe: Einbeziehung des Art. 5 GG, Kl?rung der Verantwortlichkeiten, Festlegung von Verfahrensabl?ufen bei der Aufsicht und der Wahrnehmung von Betroffenenrechten.     

Verbraucher-Scoring meets Datenschutz

Zusammenfassung  Die Praxis des Scorings der Verbraucher ger?t in den Fokus der ?ffentlichen Aufmerksamkeit, weil die Kriterien, nach denen die Bonit?t der Verbraucherinnen und Verbraucher bewertet werden, diesen intransparent und wenig nachvollziehbar sind. In einem Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ern?hrung und Landwirtschaft hat das Unabh?ngige Landeszentrum für Datenschutz (ULD) mit einer Untersuchung des Scorings aus datenschutzrechtlicher Sicht beauftragt. Die Ende Februar ver?ffentliche Studie stellt ihr Verfasser im folgenden Beitrag vor.     

Datenschutz durch Prozesse

Zusammenfassung  Wie kann man den Datenschutz dauerhaft, zuverl?ssig und wirksam verankern? Ein Blick in die benachbarten Disziplinen des Qualit?ts- und IT-Sicherheitsmanagement zeigt, dass sich Musterprozesse bei vergleichbaren Aufgaben bew?hrt haben. In diesem Beitrag stellt der Autor einen Musterprozess für das Datenschutzmanagement vor, der für das Zusammenwirken mit dem IT-Sicherheitsprozess der IT-Grundschutzmethode entwickelt wurde. Dr. Meints ist Mitarbeiter des Unabh?ngigen Landeszentrums für Datenschutz und arbeitet dort v.a. im EU-Projekt FIDIS.     

eIDs und Identitätsmanagement

Zusammenfassung  Mit der Einführung des elektronischen Personalausweises steht in Deutschland eine eID-L?sung mit potentiell sehr weiter Verbreitung vor der Tür. Der Beitrag diskutiert, wie solche L?sungen im Identit?tsmanagement eingesetzt und wie sie in Zukunft verbessert werden k?nnen. Dr. Christoph Sorge Research Scientist, NEC Laboratories Europe, Heidelberg. T?tigkeitsschwerpunkt: Forschung im Bereich der Netzsicherheit, u.a. Identit?tsmanagement Dr. Dirk Westhoff Chief Researcher, NEC Laboratories Europe, Heidelberg. T?tigkeitsschwerpunkt: Forschung in den Bereichen mobile drahtlose Sicherheit, Identit?tsmanagement     

Übermittlung von Arbeitnehmerdaten auf Grundlage des Standardvertrages Set II

Zusammensfassung  Die alternativen Standardvertragsklauseln sind nach der Aussage des Düsseldorfer Kreises für die übermittlung von Arbeitnehmerdaten nicht geeignet. Der Verfasser zeigt eine L?sung auf, die es erlaubt, die alternativen Standardvertragsklauseln auch für Arbeitnehmerdaten zu verwenden, indem deren Schw?chen auf vertraglicher Ebene ausgeglichen werden, ohne sie zu ver?ndern. Dr. Michael Schmidl Rechtsanwalt, Ma?tre en Droit, LL.M. Eur., Lehrbeauftragter und Fachanwalt für IT-Recht, Partner von Baker & McKenzie, Partnerschaft von Rechtsanw?lten, Solicitors und Steuerberatern     

Die Rolle der Informatik im gesellschaftlichen Diskurs: Eine Neupositionierung der Informatik

Zusammenfassung  Entwicklungen im Bereich der Informations- und Kommunikationstechnologie führen derzeit zu fundamentalen Umw?lzungen der Gesellschaft. Eine Beschleunigung des Lebens und das Verschwimmen von Beruf und Privatleben sind nur zwei Beispiele hierfür. Ein Abweichen von dem gesellschaftlichen Ideal des mobilen, jungen und dynamischen Mitarbeiters erweist sich h?ufig als Weg in das Einsiedlerdasein eines Exoten. Ein Widerstreben gegen die wachsenden Begehrlichkeiten von Wirtschaft und Staat l?sst das Individuum verd?chtig erscheinen und kann zu einer weiteren Entkopplung aus der Gesellschaft führen. Eine entscheidende Aufgabe bei gesellschaftlichen Umw?lzungen ist die der Reflexion und Kritik. Diese Rolle scheint mehr und mehr den Juristen zuzukommen. Insbesondere beim Thema Datenschutz erfolgt h?ufig eine Reduktion auf die Verfassungskonformit?t einzelner staatlicher Ma?nahmen. Kritik sollte jedoch bereits weit früher geübt werden. Medien sollten diese zentrale Funktion unterstützen und der politische Diskurs sollte zu einer optimalen L?sung führen. Eine Gruppe, die in der Debatte viel beitragen k?nnte und müsste, wird h?ufig, wenn überhaupt, aufgrund ihres technischen Sachverstandes herangezogen – die Informatiker. Dies ist insbesondere verwunderlich, da Informatiker ma?geblich an der Ver?nderung der Gesellschaft beteiligt sind. Sie schaffen die technischen Grundlagen für neue Formen der Interaktion. Doch das daraus resultierende Bild der Informatik als Computerwissenschaft beraubt Informatiker ihrer gesellschaftskritischen Funktion, da sie auf die Rolle von Technikern reduziert werden. Eine Positionierung und Darstellung der Informatik als Struktur- und Koordinationswissenschaft sowie der Informatiker als interdisziplin?re Systementwickler und -analytiker würde es Informatikern erm?glichen die bedeutende Rolle der Gesellschaftskritiker einzunehmen und geh?rt zu werden.     

Penetrationstests als Instrument zur Qualitätssicherung

Zusammenfassung  Für Unternehmen, deren Gesch?ftsprozesse unmittelbar von der Verfügbarkeit, Integrit?t und Vertraulichkeit ihrer IT-Infrastruktur abh?ngen, stellen Penetrationstests ein wesentliches Element einer zukunftsorientierten IT-Sicherheitsplanung dar. Richtig angewandt, sorgen sie mittel- und langfristig für eine Effizienzsteigerung bei Investitionen sowie ein allgemein hohes Sicherheitsniveau, wie es die Regelungen des KonTraG und des Sarbanes-Oxley Acts oder das internationale Bankenabkommen Basel II vorgeben. Diplom-Informatiker und geh?rt als Gesch?ftsführer der SySS GmbH seit 2005 zum Herausgeberbeirat von IT-Sicherheit & Datenschutz Diplom-Wirtschaftsinformatikerin und als Security Consultant für die SySS GmbH t?tig     

Sicherheit ist messbar!

Zusammenfassung  Dieser Beitrag liefert einen überblick über die Sicherheitsmetrik des Open Source Security Testing Methodology Manual (OSSTMM) der Version 3.0 RC15 aus dem Jahre 2008. Das OSSTMM wird vom Institute for Security and Open Methodologies (ISECOM) in Barcelona herausgegeben. Der Artikel geht zun?chst auf die Grundlagen und den Zweck von OSSTMM ein. Anschliessend gibt er eine Einführung in die Sicherheitsmetrik und zeigt dessen Anwendung und Nutzen auf. Eine Abgrenzung zu anderen Methoden und aktuelle offene Probleme im OSSTMM runden den Beitrag ab. Heiko Rudolph 2004 gründete er die adMERITia, mit dem Hauptbet?tigungsfeld der Informationssicherheit. Seit 2006 arbeitet er bei der Non-Profit-Organisation „Institute for Security and Open Methodologies“ (ISECOM) mit. Aaron Brown Security Consultant adMERITia GmbH. Seit 2006 arbeitet er bei der Non-Profit-Organisation „Institute for Security and Open Methodologies“ (ISECOM) mit.     

Die Mifare-Attacke

Zusammenfassung  Eine Kryptoanalyse des verbreiteten Mifare-Chips, der in ca. 85% aller kontaktlosen Chipkarten zum Einsatz kommt, wurde erstmalig auf dem CCC-Jahreskongress am 28.12.2007 vorgestellt. Inzwischen wurden weitere Details bekannt — und der Angriff erheblich verbessert. Mitte April 2008 stellten Forscher der Radboud Universiteit Nijmegen einen Kurzfilm in You-Tube ein, in dem sie den erfolgreichen Angriff auf eine Campus-Zugangskarte zeigen. Dirk Fox Gesch?ftsführer der Secorvo Security Consulting GmbH und Herausgeber der DuD.