Bøger i DuD-Fachbeitrage serien

Das vorliegende Buch ist aus einem Gutachten für das Bundes­ ministerium für Wirtschaft und Technologie zu einem Konzept und einem Entwurf eines Gesetzes für ein allgemeines Daten­ schutzaudit hervorgegangen. Aufgabe des Rechtsgutachtens war es, aus verschiedenen alternativen Vorstellungen die Zielsetzung eines Datenschutzaudits zu entwickeln, zu prüfen, welche As­ pekte eines solchen Datenschutzaudits einer gesetzlichen Rah­ menregelung bedürfen, für diese eine Gesetzgebungskonzeption für ein Datenschutzaudit zu entwerfen und daraus einen ersten Entwurf eines Gesetzes für ein Datenschutzaudit zu erstellen. Das Gutachten und der Gesetzentwurf sind im Juni 1999 abge­ geben worden. Ursprünglich war der Auftrag auf ein Daten­ schutzaudit für Teledienste beschränkt. Kurz vor Fertigstellung des Gutachtens war in den regierungsinternen Entwurf der No­ velle zum Bundesdatenschutzgesetz eine Programmnorm für ein allgemeines Datenschutzaudit aufgenommen worden. Daraufhin war der Auftrag auf die Erarbeitung eines allgemeinen Daten­ schutzauditgesetzes erweitert worden. Der ursprüngliche Zu­ schnitt des Auftrags macht sich in dem vorliegenden Text inso­ weit noch bemerkbar, als Teledienste immer wieder beispielhaft als Anwendungsfeld für das Datenschutzaudit herangezogen werden.

Informationstechnische Systeme sind heute aus dem Leben nicht mehr wegzudenken. In relativ kurzer Zeit und in unterschiedlichsten Lebensbereichen hat der Gebrauch von IT-Systemen zu Abhängigkeiten zwischen diesen Systemen und dem erwarteten Funktionieren der automatisierten Prozesse geführt. Diese Wechselwirkungen sind verschieden groß, abhängig von den Eigenschaften des betreffenden IT-Systems, der Umgebung des IT-Systems sowie der Art und Intensität seines Gebrauchs. Ein Bewertungsmaßstab, den insbesondere Benutzer und Betreiber eines IT­ Systems an die erwartungsgemäße Unterstützung der automatisierten Prozesse anlegen, wird durch den Begriff Verläßlichkeit charakterisiert. Verläßlichkeit umfaßt ein Bündel von Systemeigenschaften, die über die klassischen Sicherheitsanforderungen der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen. Hinzu treten mindestens noch Forderungen bezüglich der Durchschaubarkeit der Wirkungen einer Benutzer-Aktion und umgekehrt der Rückverfolgbarkeit einer Wirkung zu den auslösenden Aktionen und Personen. Ein umfassendes Kriterium ist die Verantwortbarkeit der Nutzung eines IT­ Systems unter verschiedenen Aspekten wie z.B. der Wahrung von Persönlichkeitsrechten, sicherheitstechnischer Anforderungen oder der Realisierung von Unternehrnenszielen. Verläßlichkeitskriterien sind ein Schlüssel für das Vertrauen, das Benutzer und Betreiber in technische Systeme setzen. Sie sind damit zu Akzeptanzkriterien für technische Systeme geworden. Verläßlichkeitskriterien sowie Methoden und Techniken zur Durchsetzung von Verläßlichkeit sind bisher meist im eingeschränkten Kontext der Systemsicherheit diskutiert worden. Verläßlichkeit verlangt aber nicht nur Schutz vor unberechtigten Zugriffen auf Daten oderFunktionen, sondern z.B. auch die (mathematisch) beweisbare oder die (technisch) garantierbare Funktionalität eines Systems.

Die Aufgabe, die sich TeleTrusT gestellt hat, ist also zum Teil technischer Art; zum anderen - nicht weniger wesentlichen Teil - bietet sie eine juristische bzw. gesellschaftliche Problematik. Die technische Entwicklung soll nicht an der Welt des Rechts vorbeilaufen und dann, wenn sie in Gebrauch genommen wird, Probleme aufwerfen, die die Rechtsausübung erschweren. Vielmehr soll die Technik den rechtlichen Erfordernissen möglichst angepaßt werden. Aus diesem Grunde muß insbesondere die persönliche eigenhändige Unterschrift zum Vorbild für eine nicht weniger persönliche aber dem elektronischen Medium gemäße Unterschrift dienen. Die bekannten technischen Mechanismen sowie die systemarchitektonischen Vorkehrungen müssen deshalb auch in die Welt des Rechts hineingetragen und unter Juristen diskutiert werden; es müssen Wege gefunden werden, wie ihr Gebrauch in die unterschiedlichen nationalen Rechtssysteme eingebettet werden kann; an dieser Notwendigkeit führt kein Weg vorbei. Solche gesellschaftlichen und rechtlichen Forderungen an technische Systeme werden häufig zu spät gestellt. Das Recht muß dann in das Prokrustesbett einer an ihm vorbeientwickel­ ten Technik gelegt werden. Das soll durch die von TeleTrusT angestrebte Zusammenarbeit von Technikern und Juristen vermieden werden. Es fehlt aber noch eine tragfähige Verstän­ digungsbasis. Die von den beiden Autoren -beides Juriste- geleistete Arbeit soll dafür Grund . legen. Insbesondere soll sie Interesse anregen und zu einer fruchtbaren Diskussion führen. Das ist der Zweck, den TeleTrusT mit dieser Veröffentlichung verfolgt.

Ohne Datenschutz kein E-Commerce! Das Internet wird von vielen als Bedrohung der Privatsphäre gesehen. Wenn Nutzer selbst für den Schutz ihrer Daten sorgen, bietet das Internet hervorragende Entwicklungschancen für E-Commerce und Verwaltungsmodernisierung. Das Buch wendet sich an alle, die mit dem Internet zu tun haben und verantwortlich mit der Frage persönlicher Daten umgehen wollen. Es wurde geschrieben von ausgewiesenen Fachleuten Ihres Gebietes und stellt den State-of-the-Art zum Thema E-Privacy dar.

und ferner daran, daß man VI in einem System wie Btx auch noch mit anderen öffentlichen Einrichtungen (Kaufhäuser, Verwaltung, etc. ) kommunizieren kann, so ist klar, welche enorme Anzahl von Schlüsseln verteilt und verwaltet werden muß.

Der Sammelband präsentiert die Ergebnisse zweier Simulationsstudien im Rahmen des Forschungsprojekts ¿Multimedialer Arbeitsplatz der Zukunft¿. Er führt in die Technik mobiler Agenten ein, setzt sich mit Anwendungsmöglichkeiten, Sicherheitsfragen und rechtlichen Grundlagen sowie mit den Mechanismen zur Autorisation und Delegation auseinander. Ziel ist, die Technologie mobiler Agenten so zu gestalten, dass sie kontrollierbares, nachvollziehbares, sicheres und rechtsverbindliches Handeln ermöglicht.

Biometrische Erkennung statt PINs und Passwort als einfache und sichere Alternative? Mit dem vorliegenden Buch werden erstmals im deutschsprachigen Raum Grundlagen, Verfahren und Perspektiven biometrischer Identifikation zusammenhängend dargelegt. Die Beiträge von Ingenieuren, Juristen, Mathematikern, Medizinern, Philosophen und Sozialwissenschaftlern zeigen die Vielschichtigkeit der Thematik, sinnvolle Einsatzmöglichkeiten und Business-Perspektiven einer faszinierenden Technologie.

Dem Leser wird gezeigt, wie eine umfassende und plattformunabhängige Lösung zur Umsetzung von mehrseitiger Sicherheit in Kommunikationsnetzen aussehen kann. Der auf CD beigelegte, in Java geschriebene Prototyp unterstützt ein spielerisches Sich-vertraut-Machen mit der Konfiguration von Schutzmechanismen für mehrseitige Sicherheit. Es geht um die zielgerichtete Aushandlung von Sicherheitsanforderungen zwischen allen Beteiligten und wie dabei Konflikte um gegensätzliche Anforderungen gelöst bzw. entschärft werden können. Im Buch werden Grundlagen zu Schutzzielen und zur Konfigurierung und Aushandlung von Sicherheitsfunktionalität beschrieben.

Das Programm der sechsten Fachtagung der Fachgruppe "Verlässliche IT-Systeme" der Ge­ sellschaft für Informatik steht für einen - schleichenden - Paradigmenwechsel in der IT­ Sicherheit: Nicht grundsätzlich neue Lösungen, Verfahren, Protokolle oder Ansätze prägen das Bild, sondern die Komplexität heutiger IT-Systeme wird zunehmend zur Herausforderung für die IT-Sicherheit. So sind die Sicherheit von Betriebssystemen und Protokollen sowie der Entwurf sicherer Sy­ steme natürlich keine grundsätzlich neuen Fragestellungen - sie waren auch schon Thema der ersten VIS-Tagung vor zehn Jahren. Angesichts von Standardbetriebssystemen mit einem Umfang von mehreren hundert Megabyte, Protokollen wie dem Domain Name System (DNS) oder Sicherheitsinfrastrukturen (wie PKis) mit Millionen Nutzern stellen sich die "alten Fra­ gen" heute jedoch in einer gänzlich neuen Dimension. Zwar ist das Thema IT-Sicherheit spätestens seit den öffentlich viel beachteten Börsengängen von Produkt- und Lösungsanbietern in aller Munde. Tatsächlich aber sind wirtrotz gestiege­ ner Sensibilität, erheblichen Investitionen und unzweifelhaften Fortschritten in Forschung und Entwicklung heute dem Ziel sicherer IT-Infrastrukturen nicht viel näher als 1991 -dem Jahr der ersten VIS-Konferenz. Das liegt nicht nur an der Komplexität der IT-Systeme selbst. Auch die Fragestellungen der IT-Sicherheit sind komplexer geworden. So ist neben die Perspektive der Systembelreiber die der Nutzer und Bürger getreten: Mehrseitige Sicherheit lässt sich nicht auf die klassischen Si­ cherheitsziele-Vertraulichkeit, Integrität, Authentizität und Verfügbarkeil-reduzieren; da­ neben sind Ziele wie beispielsweise Anonymität, Transparenz und Nutzerselbstbestimmung zu berücksichtigen.

Das Telekommunikationsrecht der Europäischen Union wird analysiert und mit den nationalen Regelungen zu Regulierung, Fernmeldegeheimnis und Datenschutz in den Mitgliedstaaten, den USA und Japan verglichen. Es wird gezeigt, daß Europa ein modernes Grundrechtsverständnis des Telekommunikationsgeheimnisses im Rahmen einer europäischen Verfassung entwickeln muß. Die Analyse des deutschen Telekommunikationsdatenschutzrechts zeigt, daß die gegenwärtigen Regelungen noch nicht den verfassungsrechtlichen Anforderungen sowie den erkennbaren Anforderungen des EG-Rechts entsprechen.

zunehrnend zentrale Rolle zu. Verteiltes Vertrauen durch geteilte Geheimnisse und mehrseitig sichere Schliisselerzeugung tragen zur Problemlosung entscheidend bei.

Terminologie des Gegenstandes waren dem Bestreben ~eh Homogenisierung der Darstellung jedoch Grenzen gesetzt.

Der vorliegende Band zum Sicherheitsrisiko Informationstechnik und damit zur Informatiksicherheit spiegelt Positionen aus Deutschland und der Schweiz wider. Die zunehmende Bedeutung der Informatiksicherheit und die notwendige Sensibilisierung fUr Risiken der Informationstechnik bei fortschreitender Ver­ netzung in Staat und Wirtschaft wird von allen Autoren unterstrichen. Deshalb ist es ein Anliegen dieses Bandes, einerseits auf Analysen, MaBnahmen und Empfehlungen hinsichtlich Informatiksicherheit hinzuweisen sowie methodi­ sche Ansatze vorzustellen, die sich in der Unternehmenspraxis bewabren. Ande­ rerseits ist ftir eine Orientierung tiber staatliche Aktivitaten von Bedeutung, z.B. welche Prioritaten vom Bundesamt flir InJormatik in der Schweiz oder in Deutschland vom Bundesamt flir Sicherheit in der InJormationstechnik einge­ raumt werden. Zentrale Themen mit Blick auf Staat und Wirtschaft sind deshalb Verletzlich­ keit der Informationsgesellschaft, Informatiksicherheit und Bedrohungspoten­ tial, Technikfolgenabschatzung, Umsetzung von Sicherheitsstandards in Unter­ nehmen sowie Datenschutz und die Konsequenzen fur Datensicherheit. Die meisten der Autoren des vorliegenden Bandes waren an Workshops und Ta­ gungen zur Informatiksicherheit am Gottlieb-Duttweiler-Institut in Rtischlikon beteiligt. Aus der Bedeutung der Beitrage ist die Anregung erwachsen, diese Buchpublikation vorzulegen. Wir mochten uns an dieser Stelle bei den Autoren fUr ihr Engagement bedanken. Dariiber hinaus danken wir Andreas Schmitter ftir seine Layout-Unterstiitzung sowie Reinald Klockenbusch vom Verlag fur seine Anregungen, dieses Buchprojekt umzusetzen.

erkannt wird.

Die Folgekosten verabschiedeter Gesetze und Verordnungen sind seit langem Gegenstand heftiger Auseinandersetzungen vor allem im politischen Raum. Dies gilt in be sonde rem MaBe fur die Ko­ sten, die auf Grund des Bundesdatenschutzgesetzes (BDSG) von der Wirtschaft zusatzlich getragen werden mussen. Bis jetzt la­ gen jedoch keine zuverlassigen Untersuchungen daruber vor, ob mit dem BDSG aus der Sicht der betroffenen Unternehmungen uber­ wiegend Nutzen verbunden ist, oder ob die betrieblichen Kosten die Nutzenaspekte bei wei tern uberwiegen. Eine besondere Aktuali­ tat erhalt diese Fragestellung angesichts der gegenwartigen No­ vellierungsdiskussion des BDSG. Hierbei durfen die Auswirkungen maglicher Gesetzesanderungen auf die Kostenbelastung der Unter­ nehmungen auf keinen Fall unberucksichtigt bleiben. Daher fuhrte das Betriebswirtschaftliche Institut fur Organisa­ tion und Automation an der Universitat zu Kaln (BIFOA) eine em­ pirische Untersuchung durch, urn einen Beitrag zur Versachlichung der Diskussion uber die betrieblichen Folgekosten des BDSG zu leisten. Die Ergebnisse dieser Untersuchung werden in dem vor­ liegenden Band veraffentlicht. Die Studie wurde ermaglicht durch die groBzugige finanzielle Unterstutzung der Ernst-Poensgen­ Stiftung, Dusseldorf: ihr gebuhrt unser ganz besonderer Dank. Bedanken machten wir uns ebenfalls bei den studentischen Mitar­ beitern des Projektes, Herrn stud.rer.pol. Peter Florenz und Herrn cand.rer.pol. Gerd Schumacher, fur die sorgfaltige Durch­ sicht des Manuskriptes sowie die Anfertigung aller Abbildungen und bei Frau Karin Katz fur die gewissenhafte Erledigung der um­ fangreichen Schreibarbeiten. Wir hoffen, daB der vorliegenden Publikation ein groBes Interes­ se entgegen gebracht wird.

unter dem Abschnitt der PrUfung der Zustandigkeit kraft Sachzusammenhangs konzentriert.

Deutsche Hacker im Sold des KGB, Computervirus blockiert Groj3rechner, Student schleuste Computervirus ein, Bundesbahn-Computer kassierte vorzeitig ah: Das sind nur ein paar Schlagzeilen aus der jiingefen Vergangenheit der EDV­ Branche. Hacker und Spione, Viren und Wiinner sind die neuen Schlagworte der EDV-Szene. Wo soviel Rauch ist, da muB auch Feuer sein. In der Tat sind die Probleme nicht Hinger zu leugnen. Deutsche Hacker sind im Auftrag des sowjetischen Geheimdienstes KGB in militarische Computer der USA eingedrungen. Auch die Computer der europliischen Forschungsinstitute und der Industrie sind vor ihnen nicht sicher. Wahrend des Goltkriegs wurde von franzosischen Zeitungen behauptet, die heimische Rustungsindustrie habe ihre an den Irak gelieferten WafIen so prapariert, daB sie im EmstfaII durch Viren unwirksam gemacht werden konnten. Ob ein Komchen Wahrheit in dieser Geschichte steckt, mag man bezweifeln. Auch gezielte Desinfonnation brauchtjedoch eine Basis, die wahr sein konnte. Viren verbreiten sich in den Redaktionen und in den BUros und fiihlen sich leider auch im PC zuhause. Datenverluste sind die Folge, und damit einhergehend ein immenser Vertrauensschwund. Hat die junge Branche ihre Unschuld verloren? Dieses Buch entstand, urn der weitgehend vorhandenen Unwissenheit uber diese neue Bedrohung abzuhelfen. Es wendet sich daher an aIle, die in der EDV und verwandten Gebieten Verantwortung tragen. Insbesonders sind angesprochen: AIle Manager und EDV-Chefs in der Industrie und in den Behorden, die Sicher­ heitsabteilungen der deutschen Industrie und ihre Mitarbeiter. Nicht zu vergessen ist die Revision, die Software-Entwicklung, die Qualitatssicherung und die Kon­ figurationskontrolle.

Originally presented as the author's thesis (doctoral)--Univ. Bochum, 2005.

Roland Steidle untersucht, wie Assistenzsysteme in einem verteilten System datenschutzkonform gestaltet werden können. Er leitet technische Gestaltungs- und rechtliche Regelungsvorschläge aus gesetzlichen Vorgaben ab und bietet neben allgemeingültigen Gestaltungsvorschlägen insbesondere auch solche, die sich aus dem Anwendungsbereich im betrieblichen Umfeld ergeben.

Constantin von Stechow untersucht, wie der Einsatz von Privacy Enhancing Technologies rechtlich und in der täglichen Umsetzung gefördert werden kann, um auch in Zukunft trotz der Veränderungen der Informations- und Kommunikationstechnologie einen bleibenden Ausgleich zwischen den öffentlichen und den privaten Interessen auf Informationsbeschaffung und dem Persönlichkeitsrecht des Einzelnen gewährleisten zu können.

Alexander Genz untersucht, welche Mindeststandards für den Transfer personenbezogener Daten aus der EU in Drittstaaten einzuhalten sind. Das Datenschutzrecht der USA wird ausführlich und differenziert dargestellt und die so genannte "Safe-Harbor-Lösung" zur Überbrückung der Defizite im US-amerikanischen Datenschutz wird analysiert und bewertet.

Nuriye Yildirim untersucht die durch das eGovernment bedingten Gefährdungen für die informationelle Selbstbestimmung und zeigt Lösungsmöglichkeiten auf der Grundlage einer verfassungsverträglichen Technikgestaltung auf. Des Weiteren nimmt sie eine datenschutzrechtliche Bewertung ausgewählter Probleme im eGovernment vor, so u.a. die Einordnung von Intermediären im eGovernment.

Christian Meyn untersucht, wie sich das Bedürfnis nach Sicherheit vor Kriminalität und Terrorismus mit der verlässlichen Nutzung offener Netze vereinbaren lässt. Er zeigt, dass ein Verschlüsselungsverbot bei der Kommunikation im Internet nicht mit dem Grundgesetz zu vereinbaren ist.

Dennis Kraft untersucht die sozialversicherungs- und datenschutzrechtlichen Rahmenbedingungen des Einsatzes von Informations- und Kommunikationstechnologien im deutschen Gesundheitswesen. Er weist auf die datenschutzrechtlichen Bedenken hin und zeigt die Notwendigkeit einer telematikspezifischen Datenschutzregelung auf.

Gegenstand der Arbeit ist die in der Praxis sich vollziehende Entwicklung zur Institutiona- sierung von Konzerndatenschutzbeauftragten, die im deutschen und europäischen Recht aber ¿ noch ¿ keine gesetzliche Anerkennung gefunden hat. Nach der europäischen Datenschutzrichtlinie können die Mitgliedstaaten regeln, dass die v- antwortlichen Stellen Datenschutzbeauftragte bestellen, die auf die Umsetzung des Dat- schutzrechts hinwirken. In diesem Fall kann auf die Vorlage eines Verfahrensverzeichnisses gegenüber den Aufsichtsbehörden verzichtet werden. Von dieser Möglichkeit haben neben der Bundesrepublik Deutschland Frankreich, Luxemburg, Schweden und die Niederlande Gebrauch gemacht. In der Bundesrepublik ist sogar in § 4f BDSG geregelt, dass jede nic- öffentliche Stelle, in der zehn Beschäftigte mit der automatisierten Verarbeitung personen- zogener Daten beschäftigt sind, einen Datenschutzbeauftragten bestellen muss. Die Kontrolle des Datenschutzes in der verantwortlichen Stelle durch einen selbst ernannten Datenschutzbeauftragten ist eine moderne Form der Selbstkontrolle. Sie entlastet den Staat und weist der verantwortlichen Stelle ein hohes Maß an Eigenverantwortung zu. Die Funktion des Datenschutzbeauftragten ist es, diese Verantwortung gepaart mit den erforderlichen Kenntnissen und Fähigkeiten an einer Stelle im Unternehmen zu bündeln, ohne damit die - samtverantwortung der Unternehmensführung für den Datenschutz zu nehmen. Aufgaben des Datenschutzbeauftragten sind, auf die Umsetzung des Datenschutzes hinzuwirken und sie zu kontrollieren, die Beschäftigten zu schulen, über Datenschutzfragen im Unternehmen zu kommunizieren und an der datenschutzgerechten Gestaltung von Informationstechniksys- men mitzuwirken.

Heiko Roßnagel diskutiert die Ursachen für den fehlenden Markterfolg elektronischer Signaturen. Er stellt mobile qualifizierte elektronische Signaturen als Alternative vor und zeigt unter welchen Voraussetzungen Investitionen in diese Technik für Mobilfunkanbieter und Zertifizierungsdienstleister sinnvoll sind.

Die Autoren präsentieren die Ergebnisse des interdisziplinären Forschungsprojekts ¿Verteilte Software-Agenten für sichere und rechtsverbindliche Aufgabendelegation in mobilen kollaborativen Anwendungen (VESUV)¿. Sie stellen Herausforderungen der Aufgabendelegation sowie Probleme und Lösungen für einen Workflow im E-Government und für Location Based Services im E-Tourismus vor. Für beide Anwendungsbereiche werden Vorschläge für eine Gestaltung der Systeme entwickelt, die den Kriterien der Sicherheit, der Rechtsverbindlichkeit und des Datenschutzes gerecht werden

Das Werk zeigt die Sicherheitsrisiken im elektronischen Handel und weist Wege, wie ein geeigneter Schutz sichergestellt werden kann. Insbesondere geht es um aktuelle Verfahren des elektronischen Handels wie Internetbanking, elektronische Kreditkartensysteme, Verrechnungssysteme, Scheckbasierte Systeme und Chipkartensysteme. Der Leser kann nach der Lektüre beliebige Electronic Commerce Lösungen hinsichtlich ihrer Sicherheit gegenüber Hackern beurteilen und entsprechend Vorsorge treffen.