JurPC Web-Dok. 104/2008 - DOI 10.7328/jurpcb/2008236100

Paul Dienstbach *

Tagungsbericht   a-i3/BSI Symposium 2008:  Sicherheit von Internetportalen und Identitätsschutz — Bürgerportale — ePA — Crimeware — Haftung — Authentisierung. Bochum, 22. & 23. April 2008.

JurPC Web-Dok. 104/2008, Abs. 1 - 30


Am 22. und 23. April 2008 fand im Veranstaltungszentrum der Ruhr-Universität Bochum das 3. interdisziplinäre Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu dem Thema "Sicherheit von Internetportalen und Identitätsschutz" statt. JurPC Web-Dok.
104/2008,   Abs. 1
Diskutiert wurden die aktuellen rechtlichen und technischen Aspekte von Internetportalen, insbesondere auch von Bürgerportalen, des elektronischen Personalausweises (ePA) sowie die aktuelle Entwicklung bei Phishing & Pharming, Trojanern, Crimeware & Co. Auch die Verkehrssicherungspflichten des Internetnutzers sowie die Auswirkungen auf die Haftung durch die SEPA Richtlinie waren Gegenstand der Diskussion. Besondere aktuelle Relevanz erreichte die Tagung durch die von der Bundesregierung geplante Einführung des elektronischen Personalausweises ab Ende 2008 und die geplante Inbetriebnahme der Bürgerportale für den Zeitraum 2009/2010. Abs. 2
Zum nunmehr dritten Mal richteten die a-i3 und das BSI gemeinsam das interdisziplinäre Symposium aus und wie Vorjahr konnte der Kreis der Teilnehmer wieder erweitert werden. Über 140 Gäste aus der Bundesrepublik, Österreich und der Schweiz konnten die Organisatoren in Bochum begrüßen. Unter den Teilnehmern befanden sich Vertreter aus Wissenschaft, Politik, Wirtschaft, Verbänden, Behörden sowie Kommunen und der Verwaltung. Unterstützung erhielten die Veranstalter durch die Unternehmen SEC Consult, G DATA und Giesecke & Devrient. Abs. 3
Eröffnet wurde die Tagung am 22. April mit einem Grußwort des Dekans der juristischen Fakultät, Prof. Peter Windel. Prof. Georg Borges von der a-i3 und Thomas Biere vom BSI stellten den Teilnehmern die Tätigkeiten der beiden ausrichtenden Institutionen vor. Abs. 4
Die Einführung in die technischen Aspekte der Sicherheit von Internetportalen übernahm Herr Prof. Jörg Schwenk, Vorstandsmitglied der a-i3. Das Versenden von E-Mails weise, ebenso wie die Verwendung von Internetbrowsern, immer noch große Sicherheitslücken auf. Auch die jeweiligen Verschlüsselungssysteme seien momentan nur unzureichend in der Lage, diese Lücken zu schließen. Ähnlichen Bedenken begegneten Authentisierungsverfahren über Chipkarten wie sie für die Bürgerportale vorgesehen sind. Prof. Borges knüpfte in seiner Einführung in die rechtlichen Aspekte von Internetportalen an diese Sicherheitsrisiken an. Er nannte als zentrale Sicherheitsfragen bei Internetportalen die Risikoverteilung zwischen den Beteiligten und die Verbesserung der Sicherheit, um Rechtsverletzungen insbesondere durch Dritte verhindern zu können. Abs. 5
André Dornbusch vom Bundeskriminalamt erläuterte in seinem Vortrag die aktuelle Entwicklung bei Phishing und Identitätsdiebstahl. Sowohl die Zahl der Schadensfälle, als auch die Schadenshöhe bei Phishing-Angriffen seien im vergangenen Jahr erheblich angestiegen. Daneben sei auch von Bankenseite von einer Zunahme der Intensität der Angriffe berichtet worden. Auch sei zu beobachten, dass zur Anwerbung der Geldkuriere immer fortgeschrittenere Methoden entwickelt würden. Bei einigen besonders raffinierten Varianten seien Zweifel an der Erfüllung des subjektiven Tatbestandes der Geldwäsche durch den Geldkurier angezeigt. Auch in technischer Hinsicht entwickelten sich die Phishingmethoden immer weiter. Besonderes Aufsehen erregte ein Beispiel für diese Entwicklung, bei dem der Phisher nach der Übernahme eines Stock-Depots den Marktwert einer Aktie zu seinen Gunsten beeinflusst hatte. Bei dem bekannt gewordenen Realfall habe der Täter einen Gewinn von ca. 300.000 € erzielt. Insgesamt sei festzustellen, dass sich in diesem Bereich eine Art Dienstleistungsmentalität entwickele, die sich im Verkauf von sensiblen Daten oder zu kriminellen Zwecken einsetzbarerer Software äußere. Abs. 6
Die aktuelle Entwicklung der Haftung beim Phishing stellte Jens Bender vom Sparkassen- und Giroverband Hessen-Thüringen dar. Mangels wirksamen Überweisungsauftrages habe die Überweiserbank grds. keinen Anspruch auf Aufwendungsersatz gegen den Kunden der Opfer eines Phishing-Angriffs geworden ist. Zwar sei unter bestimmten Voraussetzungen eine Verlagerung des wirtschaftlichen Risikos auf den Kunden möglich. Für den Bereich des Phishings seien die diesbzgl. Voraussetzungen aber noch nicht eindeutig geklärt. Das LG Köln habe in einem jüngst ergangenen Urteil einen Schadensersatzanspruch des Opfers gegen den Geldkurier angenommen, der auf dessen strafbarer Geldwäsche basiere. Allerdings begegne der vom LG Köln angenommene Schaden auf Seiten des Kontoinhabers aus rechtlicher Sicht Bedenken. Interessant an dem Urteil sei vor allem, dass nach Ansicht des Gerichts dieser Schadensersatzanspruch durch ein Mitverschulden des Kontoinhabers gemindert werden könne. Die dazu vom LG getätigten Ausführungen, in denen die Sorgfaltspflichten des Onlinebanking-Kunden detailliert ausgeführt werden, seien grds. zu begrüßen. Beachte der Kunde diese Hinweise, müsse er wohl nicht für den entstandenen Schaden haften. Allerdings bestünden Zweifel daran, dass die Minderung nach § 254 BGB dem Finanzagenten zu Gute kommen solle. Abs. 7
Ebenfalls zur Haftung bei Phishing-Angriffen referierte Rechtsanwalt Dr. Peter Balzer von Balzer Kühne Lang Rechtsanwälte. Dr. Balzer beschäftigte sich speziell mit den Auswirkungen der SEPA Richtlinie auf diesen rechtlichen Komplex. Abs. 8
Der Anwendungsbereich der Richtlinie umfasse auch Regelungen zur Autorisierung von Zahlungsvorgängen sowie zur Haftung von Bank und Kunde in Fällen fehlender Autorisierung. Ähnlich wie bei der bisherigen nationalen Regelung führe die fehlende Zustimmung zur Transaktion bei einem Phishing-Angriff nach Art. 54 I der Richtlinie zur Unwirksamkeit. Informiere der Kunde die Bank umgehend über den erfolgten Angriff, habe er gegen diese einen Erstattungsanspruch. Die Eigenhaftung sei nach Art. 61 IV auf 150 € begrenzt. Eine weitergehende Haftung des Kunden ergebe sich aus Art. 61 II bei einer vorsätzlichen oder grob fahrlässigen Verletzung bestimmter Kundenpflichten. Die Frage ob Fahrlässigkeit vorliege, bestimme sich nach dem nationalen Recht. Zur beweisrechtlichen Problematik führte Dr. Balzer aus, dass die Bank wie bisher die Zustimmung des Kunden zu der Transaktion darlegen müsse. Allerdings komme bei der Verwendung z.B. des PIN/TAN Verfahrens wohl grds. ein Anscheinsbeweis in Betracht. Dieser werde durch die SEPA Richtlinie nicht ausgeschlossen, so dass die von Rechtsprechung und Literatur entwickelten Grundsätze zum Anscheinsbeweis weiter Bestand haben könnten. Dr. Balzer merkte an, dass nach seiner Einschätzung allerdings beim klassischen PIN/TAN Verfahren wegen des Phishings und ähnlichen Angriffen kein Anscheinbeweis für eine Überweisung mehr bestehe. Abs. 9
Nach den rechtlich ausgerichteten Vorträgen der Vorredner, präsentierte Ralf Benzmüller von der G DATA Software AG die technische Sicht auf die aktuelle Entwicklung von Crimeware. Beispiele für die Geschäfte die mit Malware betrieben würden seien die Vermietung von Botnetzen zur Spam-Versendung oder für DDoS Angriffe. Auch Identitätsdiebstahl, Adware und Dialer würden kommerziell eingesetzt, wobei letztere zumindest in Deutschland teilweise durch die sog. Abo-Fallen abgelöst worden seien. Im Bereich des Identitätsdiebstahls sei das Spear-Phishing besonders zu beachten. Diese Phishing-Mails seien z.B. durch Informationen aus sozialen Netzwerken individualisiert und zudem so schlüssig konzipiert, dass die Fälschung kaum zu entdecken sei. Ein Bsp. für diese Art von Angriffen sei eine Mitteilung an ein Unternehmen unter dem Namen eines Geschäftspartners, dass die Zahlungen zukünftig auf ein anderes, in Wahrheit dem Phisher gehörendes, Konto zu leisten seien. Abgesehen von diesen speziellen Formen des Phishing, gehe der Trend aber eher zum Datendiebstahl durch trojanische Pferde. Die Verbreitung der entsprechenden Malware erfolge zunehmend über Webseiten im Rahmen eines Downloads oder einer Drive-By Infektion. Dabei würden Sicherheitslücken im Browser und den Browser-Plugins ausgenutzt. Abs. 10
Auch Keylogger- und Screenlogger Programme, die teilweise legal vertrieben würden, seien verstärkt Mittel der Datendiebe. Daneben stellte Herr Benzmüller weitere Varianten des Trojanereinsatzes dar, u.a. das Session Hijacking, Browsermanipulation, das Kapern der Webkommunikation und sog. Sniffer. Die durch diese Angriffe erhaltenen Daten würden entweder von den Tätern selbst verwertet, in Online-Foren zum Kauf angeboten oder es werde dem Opfer in erpresserischer Absicht die Möglichkeit zum Rückkauf gegeben. Abs. 11
Im Anschluss referierte Dominik Birk, Student an der Ruhr-Universität, zu den Web Exploit Toolkits. Derzeit seien ca. 18 % der verwendeten Webseiten speziell zur Malwareverbreitung gefertigt. In 72 % der Fälle würden gehackte Websites zweckentfremdet. Die Preise für Web Exploit Toolkits lägen momentan zwischen 500 und 3000 $. Für die Zukunft seien noch effizientere und komplexere Web Exploit Toolkits zu erwarten. Zudem werde die Automatisierung in diesem Bereich weiter voran schreiten. Der Schutz werde daher zunehmend schwieriger werden. Maßnahmen wie Patching oder der Einsatz von Virenscannern würden nicht mehr unbedingt helfen. Abs. 12
Über die Bedrohungslage für lokale Netzwerke, sog. LAN, referierte Herr Martin Eiszner von SEC Consult in seinem Vortrag mit dem Titel "LAN vs. Internet - Services aus der Perspektive des Cyberkriminellen". In letzter Zeit sei eine Vielzahl von erfolgreichen Cyberattacken durchgeführt worden. Da die meisten Firmen mit solchen Attacken nicht an die Öffentlichkeit gehen würden, sei in diesen Zahlen jedoch nur die Spitze des Eisbergs zu sehen. Aktuell seien ca. 140 verschiedene Angriffsmethoden auf LAN Netzwerke bekannt. Diese reichten von Attacken durch Mitarbeiter oder nicht autorisiertes Personal bis hin zu dem Missbrauch von mangelhaften Webanwendungen, z.B. durch XSRF-Angriffe oder von Schwachstellen in der Netzwerk-Infrastruktur, z.B. UPnP. Für die Unternehmen sei die Erkenntnis wichtig, dass interne Backoffice-Applikationen denselben Bedrohungen ausgesetzt sind wie externe Applikationen im Internet. Eine Anwendung könne zudem nur als sicher gelten, wenn sie von Personen mit Hintergrundwissen nicht missbraucht werden kann. Die Einhaltung von Security-Standards und die Validierung durch Sicherheitsüberprüfungen sei daher auch bei internen Applikationen notwendig. Abs. 13
Dennis Werner, Rechtsanwalt bei der Kanzlei Trapp Brüggemann Kremer, beschäftigte sich im folgenden Vortrag mit den Verkehrspflichten der Internetnutzer. Da spezialgesetzliche Pflichten für Privatnutzer derzeit nicht definiert seien, stelle sich vorrangig die Frage der Verkehrspflichten im Rahmen des § 823 I BGB. Zu den durch § 823 I BGB geschützten Rechtsgütern zähle bei der Verbreitung von Schadprogrammen u.a. das Eigentum an den Daten sowie das Recht am eigenen Datenbestand. Bisher seien die Verkehrspflichten privater Internetnutzer von der Rspr. nicht ausdrücklich festgelegt worden. Da der Nutzer durch die Verbindung mit dem Internet aber eine beherrschbare Gefahrenquelle schaffe, lägen die dogmatischen Voraussetzungen für die Entstehung von Verkehrspflichten vor. Welche konkreten Pflichten sich daraus ergeben, hänge u.a. von den legitimen Erwartungen der betroffenen Verkehrskreise und der technischen und wirtschaftlichen Zumutbarkeit ab. Zu den zumutbaren Maßnahmen zählten daher grds. Virenschutzprogramme, vorinstallierte Firewalls, Updates von Betriebssystemen und Anwendungen sowie der vorsichtige Umgang mit E-Mails. Diese Grundsätze unterlägen jedoch dem Inhalt und Umfang nach einem ständigen Wandel. Abs. 14
Der Themenkomplex des elektronischen Personalausweises (ePA) wurde mit dem Vortrag von Dr. Jens Bender, BSI, eröffnet. Die Motivation für den ePA liege u.a. darin begründet, eine sichere Identifizierung für neue Technologien bereitzustellen, wie Online-Geschäfte, Finanztransaktionen und eGouvernment. Nach dem derzeitigen Planungsstand beinhalte das Konzept mehrere Funktionen: 1. die ePass Funktion, die nur für hoheitliche Kontrolle bestimmt sei, 2. die eID Funktion, die für eGouvernment und eBusiness verwendet werden könne und auf Wunsch deaktiviert werde, 3. die elektronische Signatur, die erst auf Wunsch des Inhabers aktiviert werde. Die eID Funktion könne dabei zur Online-Authentisierung genutzt werden, wobei der Nutzer die Kontrolle darüber behalte, dass nur die für den Geschäftspartner notwendigen Daten übermittelt werden. Der Nutzer müsse die Daten über die Eingabe eines PIN freigeben. Auf Seiten der Dienstanbieter müsse eine Zertifizierung vorliegen um die Daten auszulesen. Dieses Auslesen erfolge ausschließlich über einen verschlüsselten Kanal. Angriffe wie Phishing seien daher wesentlich erschwert. Der Diensteanbieter erhalte die Daten mit kryptographischer Sicherung könne diese Sicherung aber nicht weitergeben, so dass der Missbrauch erschwert werde. Um eine Sparsamkeit im Umgang mit den nutzerbezogenen Daten zu gewährleisten, könne der Anbieter einen Ausweis anhand eines Kennzeichens identifizieren, so dass eine erneute Übertragung der Daten entfalle. Da der Ausweis an unterschiedliche Anbieter verschiedene Kennzeichen liefere, könne kein Nutzerprofil durch das Zusammenführen von Daten erstellt werden. Abs. 15
Zum gleichen Themenkomplex trug Dr. Christian Böttger von DN-Systems mit seinem Vortrag "Der ePA - lobby driven security" vor. Ein Sicherheitsrisiko sei in dem für den ePA geplanten Radio Frequency Identification (RFID) Funkchip zu sehen. Es sei bei dieser Technologie möglich, Datenmanipulationen vorzunehmen oder die Informationen zwischen Transponder und Reader abzuhören. Auf diese Weise könnten Daten wie die User ID etc. von dem Angreifer erlangt werden. Vor all diesen Angriffsmöglichkeiten müsse der ePA geschützt werden. Außerdem könne durch eine Deaktivierung des Transponders die Erkennung von Objekten verhindert werden. Zum Thema der "lobby-driven Security" führte Dr. Böttger aus, dass sich Sicherheit nicht durch Mehrheitsbeschluss herbeiführen lasse. Für die Arbeit von Lobbyverbänden seien Kompromisse ein typisches Mittel. Dies passe aber nicht zu den Anforderungen die sich für die Sicherheit ergäben. Abs. 16
Prof. Alexander Roßnagel von der Universität Kassel befasste sich im Anschluss mit den Rechtsfragen des elektronischen Personalausweises. Gegenstand des Vortrags war insbesondere eine datenschutzrechtliche Bewertung der Authentisierungsfunktion des ePA. Die Freiwilligkeit sei, so Prof. Roßnagel, der grundlegende Aspekt des Datenschutzes. Die Möglichkeit, sich gegen die Authentisierungsfunktion zu entscheiden, sei daher zu begrüßen, auch wenn eine "Opt-In" Lösung grds. vorzugswürdig wäre. Auch die konkrete Nutzung der Funktion erfolge freiwillig und werde durch Besitz und Wissen abgesichert. Zu begrüßen sei auch, dass ein Zugriff auf die Daten nur durch zertifizierte Dienstleister möglich sei. Der Nutzer könne anhand des Zertifikates den Interaktionspartner identifizieren, erhielte eine gewisse Transparenz über die Datenverwendung und könne leichter eine Rechtsverfolgung anstrengen. Durch die Beschränkung der Zugriffszertifikate auf bestimmte Informationen würde zudem für eine Datensparsamkeit gesorgt. Die Authentisierungsfunktion könne jedoch die Sicherung eines elektronischen Dokuments nicht ersetzen, so dass aus Gründen der Beweissicherheit auch die Funktion der elektronischen Signatur erforderlich sei. Durch die Integration in den ePA sei die Infrastruktur für die elektronische Signatur gewährleistet, für die Umsetzung komme es dann auf die Nutzung durch die Wirtschaft an. Zu den offenen Problemen gehöre u.a., dass der mit diesen Funktionen ausgestattete ePA grds. nicht mehr als Pfand bei Behörden oder Hotels abgegeben werden könne und dass der Datenschutz durch die Erhebung weiterer Daten in Web-Formularen ungehindert fortgeführt werden könne. Abs. 17
Zum Abschluss des ersten Tages referierte Christian Zipfel von Giesecke & Devrient zur "Europäischen Bürgerkarte in der praktischen Anwendung". Die Bürgerkarte enthalte drei unterschiedliche Nutzungsmöglichkeiten, die Registrierungsfunktion, die Log-In Funktion für registrierte Nutzer und die Transaktions-Verschlüsselung. Die IT-Sicherheit sei durch die Verwendung der asymmetrischen Verschlüsselung und modifizierter Protokolle, sowie der bewährten 2-Faktor Authentisierung, bestehend aus Besitz und Wissen, gewährleistet. Zudem habe die Bürgerkarte eine hohe Benutzerfreundlichkeit, da der Card PIN den jeweiligen "User ID/Passwort", bzw. "PIN/TAN" Schutz ersetze. Durch den selektiven, von den Zugriffsrechten des Anbieters abhängigen Datenzugriff, werde auch der Datenschutz sichergestellt. Dies gelte auch durch die Kontrolle des Anwenders über den Datenzugriff. Abs. 18
Am zweiten Veranstaltungstag wurden die Gäste von dem Dekan der Fakultät für Elektrotechnik und Informationstechnik an der Ruhr-Universität, Prof. Rainer Martin begrüßt. Abs. 19
Den ersten Vortrag des Tages hielt Dr. Heike Stach vom Bundesministerium des Innern zur sicheren Kommunikation durch Bürgerportale. Derzeit sei die Kommunikation über E-Mail zwar weit verbreitet, zugleich aber aus zahlreichen Gründen unzuverlässig und unsicher. Als Reaktion darauf hätten größere Unternehmen die Kommunikation mit ihren Kunden in eine eigene Infrastruktur integriert, was neben hohen Kosten und einer Unübersichtlichkeit der vielfältigen rechtlichen Rahmenbedingungen, auch zahlreiche Passworte etc. für den Kunden mit sich bringe. Das Ziel sei daher, die elektronische Post so verbindlich und einfach zu gestalten, wie dies bei der Papierpost gegenwärtig der Fall ist. Dazu solle ein zentrales Postfach des einzelnen Bürgers eingerichtet werden, von welchem aus er sichere und authentische Kommunikation betreiben könne. Die Organisation dieser Postfächer solle von privaten Anbietern übernommen werden, die allerdings eine staatliche Zertifizierung benötigten. Ob ein D-Mail Account eröffnet werde, sei dem Bürger freigestellt. D-Mail Adressen sollten an einem besonderen Adresszusatz erkennbar sein. Je nach konkreter Anwendung könne der Absender zwischen den verschiedenen Authentisierungsniveaus "persönlich", "verbindlich" und "vertraulich" wählen. Die jeweilige Sicherheitsstufe sei für den Empfänger erkennbar. Als weitere Funktionen nannte Frau Dr. Stach die D-Mail-Ident-Funktion zur sicheren Übermittlung von Identitätsangaben, die an das Post-Ident Verfahren angelehnt sei sowie den D-Mail-Safe. Bürgerportale böten einen sicheren Kommunikationsraum im Internet, dem sich große Organisationen einfach anschließen könnten. Das Projekt sei politisch gut verankert, die Wirtschaft sei in die Planungen eng eingebunden, so dass für 2009/2010 mit der Realisierung des Vorhabens zu rechnen sei. Abs. 20
Zur Sicht der Industrie zu dem Projekt des Bürgerportals äußerte sich Klaus-Dieter Wolfenstetter von der Deutschen Telekom AG. Die Einführung des ePA sei für die nahe Zukunft geplant. Er solle nicht nur die Ausweis- und Passfunktion erfüllen, sondern auch eine ID-Funktion für eCommerce und eGouvernment enthalten. Die in dem Ausweis enthaltenen Identitätsdaten wie Name, Alter etc. könnten vom Unternehmer nach Freigabe des Nutzers abgerufen werden. Dabei könne der Nutzer jeweils die einzelnen Daten gesondert freigeben. Die Einsatzmöglichkeiten des ePA seien in der Identifizierung, der Authentisierung und der Registrierung bei Online-Angeboten zu sehen. Auch ein elektronischer Dokumentensafe gehöre zu dem geplanten Angebot. Als gegenwärtiges Beispiel für einen ersten Schritt hin zu einem Dokumentensafe nannte Herr Wolfenstetter den service-bw, bei dem schon heute Dokumente elektronisch gespeichert werden können. Die Anwendungsmöglichkeiten der ePA-Funktionen lägen z.B. im Bereich des Online-Banking, Internetversandhandels, Internetauktionen und dem Jugendschutz im Internet. Für das eGovernment sei eine elektronische Lohnsteuerkarte und die Authentisierung von elektronischen Formularen denkbar. Ziel müsse es sein, die Anbieter für die Nutzung dieser bereitgestellten Dienste zu interessieren. Dafür müsste die Vereinfachung des Kommunikationsprozesses dargelegt werden. Abs. 21
Thomas Biere vom BSI stellte im Anschluss das technische Konzept der Bürgerportale vor. Die Rahmenbedingungen für Bürgerportale beinhalteten den Betrieb durch staatlich zertifizierte private Anbieter, den rechtlichen Anforderungen entsprechende Sicherheitsanforderungen sowie die Möglichkeit zur Nutzung der Bürgerportale ohne zusätzliche Soft- oder Hardware. Neben den Basisdiensten enthalte das Bürgerportal einen Postfach- und Versanddienst, einen Identifizierungsdienst sowie einen Dokumentensafe, wobei die beiden letzteren nur in einer "light" Version vorlägen. Der im Rahmen des Bürgerportals verpflichtende Postfach- und Versanddienst biete analog zur Briefpost den Versandarten Einschreiben, Einschreiben mit Rückschein und Postzustellungsauftrag vergleichbare Möglichkeiten. Die Verschlüsselung der Nachrichten umfasse den vollständigen Nachrichtenbody und erfolge unmittelbar nach der Übertragung der Nachricht durch den Absender. Die Entschlüsselung wiederum finde erst unmittelbar vor der Übertragung an den Empfänger statt. Versand- und Zustellbestätigungen die durch das Portal erstellt würden, enthielten u.a. den aktuellen Zeitpunkt der Zustellung/ des Versands sowie die Metadaten der ursprünglichen Nachricht. Abs. 22
Die technischen Herausforderungen der Bürgerportale behandelte Dr. Christoph Wegener von der a-i3 in seinem Vortrag. Aufgrund der vorgegebenen Struktur, seien die Adressen der Teilnehmer am Bürgerportal vorhersagbar. Für Spam-Versender sei es daher ein Leichtes, valide E-Mail Adressen zu erstellen. Ebenfall günstig für Spamer sei es, dass Mails von D-Mail Adressen keine Spam-Filterung durchlaufen müssten. Durch Platzierung von Malware auf dem Rechner eines Accountinhabers könne somit ungefiltert Spam versendet werden. Zum Bereich der Empfangsbestätigung führe Herr Dr. Wegener u.a. aus, dass zwar die Zustellung beim D-Mail Anbieter bestätigt werde, nicht aber der Abruf durch den Nutzer. Ungelöst sei wie damit umgegangen werde, wenn nach der Zustellung durch technische Probleme oder durch Spam-Filter der Abruf des Nutzers verhindert werde. Im Zusammenhang mit dem Dokumentensafe sei u.a. problematisch, wie bei Verlust des Schlüssels durch den Nutzer reagiert werden könne. Existiert für diesen Fall ein Master-Schlüssel, könnte der Anbieter ohne Wissen des Nutzers auf die persönlichen Dokumente zugreifen. Ebenfalls interessant sei, was bei Verkauf eines Anbieters mit den gespeicherten Daten geschehe. Unter dem Gesichtspunkt der Sicherheit sei es zudem kritisch zu beurteilen, vertrauliche Dokumente auf einem im Internet stehenden Server bereitzustellen. Dies sei vergleichbar mit einem Tresor, der auf offener Strasse abgestellt werde. Die Server böten ein höchst attraktives und zudem zentrales Ziel für kriminelle Attacken. Abs. 23
Dr. Stefanie Fischer-Dieskau vom BSI widmete sich in ihrem Vortrag den Rechtsfragen der Bürgerportale. Bei der technischen Ausgestaltung der Bürgerportale sei die Orientierung an rechtlichen Zielvorgaben notwendig. Zu diesem Zweck sei eine Umsetzung der rechtlichen Anforderungen in konkrete Gestaltungsvorschläge sinnvoll. Soweit erforderlich, müsse ggf. eine Anpassung des Rechts an die veränderten technischen Rahmenbedingungen vorgenommen werden. Die Nachweisbarkeit des Zugangs einer Erklärung werde durch Versand-, Empfangs- und Lesebestätigungen gewährleistet. In diese Bestätigungen sei der Hashwert der Erklärung integriert, zudem versehe sie der Diensteanbieter mit einer qualifizierten Signatur. Auch die Einführung einer förmlichen Zustellbestätigung in Anlehnung an § 182 ZPO sei angedacht. Um die Authentizität der Nachrichten zu gewährleisten und die Nachricht dem Accountinhaber zurechnen zu können, müsse der Zugang zum Account besonders gesichert werden. Bei Eröffnung des Kontos müsse die Person eindeutig identifiziert werden, die späteren Anmeldungen sollten unter Verwendung von Besitz und Wissen erfolgen. Zudem sei bzgl. des Beweiswertes zwischen den verschiedenen Authentisierungsniveaus zu unterscheiden. Um die Vertrauenswürdigkeit des Angebots sicherzustellen, sei eine klare Gesetzgebung erforderlich. Diese müsse u.a. die Anforderungen an die Anbieter, Haftungsklausen und Regelungen für den Fall der Einstellung der Tätigkeit eines Providers enthalten. Abs. 24
Der folgende Vortrag von Dr. Frank Zimmermann, Hewlett-Packard International GmbH, befasste sich näher mit einem Teilaspekt der Bürgerportale, dem Dokumentensafe. Dr. Zimmermann bot den Teilnehmern einen Ausblick auf die Nutzungsmodelle dieses Konzepts. Im Rahmen der Bürgerportale sei auch die Möglichkeit angedacht, persönliche Urkunden und Dokumente zentral ablegen zu können. Diese sollten auf Anfrage einer Behörde dann zur Verfügung gestellt werden können. Eine Erweiterung dieses Nutzungsmodells könne durch die Funktionen der Digitalisierung von Urkunden und Dokumenten, der Beglaubigung und der Langzeitarchivierung erfolgen. Die beglaubigten Kopien könnten innerhalb elektronischer Verwaltungsprozesse oder optional auch im kommerziellen Bereich genutzt werden. Die Langzeitarchivierung stelle eine sichere Aufbewahrung der Dokumente außerhalb der eigenen vier Wände sicher. Entscheidend sei dabei, dass die Speicherung in einer Form erfolge, die auch die technische Entwicklung langfristig berücksichtigt. Das Vertrauen und die Akzeptanz der Bürger könne durch Freiwilligkeit der Nutzung, sowie einem hohen Maß an Vertraulichkeit und Datenschutz erlangt werden. Die technischen Lösungen für diese Funktionen, die Herr Dr. Zimmermann in seinem Vortrag teilweise näher darstellte, seien vorhanden. Abs. 25
Ergänzt wurden diese Ausführungen von Armin Wappenschmidt von der Secunet SwissIT AG, der das technische Konzept für Dokumentensafes vorstellte. Der Dokumentensafe sei eine wichtige Funktion der Bürgerportale. Die sichere Zustellung von Dokumenten müsse durch die Möglichkeit der sicheren Aufbewahrung ergänzt werden. Zunächst sei nur eine "light" Version des Dokumentensafes geplant. Dieser biete einen sicheren Webspace mit Bürgerportal-spezifischen Erweiterungen. Die Funktionen umfassten u.a. die Verwaltung der Dokumente, den Versand und Empfang, die automatische Prüfung auf Malware und die Verschlüsselung der Dokumente auf Anbieterseite. Auch eine Client-seitige Verschlüsselung sei grds. möglich. Mit einer möglichen anwenderfreundlichen und zugleich kostengünstigen Lösung, setze man gute Rahmenbedingungen für eine Marktetablierung des Dokumentensafes "light". Die Vorüberlegungen für den "großen" Dokumentensafe umfassten die Format- und Datenkonvertierung, den Erhalt der Beweiskraft von qualifiziert signierten Dokumenten und die Freigabe von Dokumenten für Dritte. Die Format- und Datenkonvertierung werde notwendig, da ältere Dateiformate teilweise nicht mehr unterstützt würden. Es gebe aber z.B. durch "TransiDoc" die technischen Möglichkeiten, eine rechtssichere Transformation signierter Dokumente vorzunehmen. Auch der Erhalt der Beweiskraft von qualifiziert signierten Dokumenten sei durch entsprechende Software möglich. Die Freigabe der Dokumente für Dritte sei nur unter einer entsprechenden Authentisierung und Autorisierung praktikabel. Fraglich sei noch welche Nachteile z.B. aus einer Fehlfunktion des Dokumentensafes entstünden. Was geschehe, falls z.B. ein notwendiger Zugriff aus technischen Gründen nicht erfolgen könne. Der Zugriff auf den fremden Dokumentensafe erfolge mittelbar, also über den eigenen Safe. Dieses Konzept erleichtere die Anwendung im Vergleich zu einem direkten Zugriff. Abs. 26
An diese Ausführungen anknüpfend referierte Prof. Gerald Spindler von der Georg-August-Universität Göttingen zu den Aspekten der Haftung von Portalbetreibern. Da es keinen feststehenden Begriff von Portalen gebe, müssten diese über ihre Funktionen definiert werden. Zu diesen zählten Kommunikation, Vermittlung von Web-Services, Inhaltdistribution und Hosting. Bei einer Fehlfunktion des Portals, durch die z.B. der Zugriff auf die gespeicherten Dokumente verhindert werde, könne der Nutzer einen Anspruch auf Schadensersatz gegen den Betreiber geltend machen. Eine solch zentrale Funktion könne grundsätzlich nicht durch AGB ausgeschlossen werden. Jedoch könne u.U. die Leistungsbeschreibung bzgl. der Pflichten des Anbieters entsprechend ausgestaltet werden. Um das Risiko des Betreibers zu kontrollieren, sei z.B. an die Vereinbarung von Haftungshöchstsummen zu denken. Diese müssten für den Kunden in jedem Fall aber gut erkennbar sein. Agiere der Staat selbst als Betreiber, komme eine zusätzliche Beschränkung der vertraglichen Gestaltung durch die grundrechtlichen Schranken hinzu, bspw. das Diskriminierungsverbot. Die Haftung ggü. Dritten werde vor allem auf den Gebieten der Verbreitung von Malware, Urheberrechtsverletzungen und strafbaren Inhalten relevant. Die Haftung der Betreiber werde dabei durch die §§ 8-10 TMG beschränkt. Der Schutz vor Hackern und Malware sei zwar grds. Aufgabe des Betreibers. Allerdings könne dies nur gelten, wenn das befallene Dokument während der Speicherung beim Betreiber verseucht werde, nicht wenn es schon in diesem Zustand zu ihm gelange. Aus den Grundsätzen der Störerhaftung ergebe sich, dass die Betreiber dafür Sorge tragen, dass keine verletzenden Inhalte auf den Server gestellt werden. Dies könnte gerade beim Abruf von Dokumenten zu einer Verantwortlichkeit der Betreiber, z.B. wegen Urheberrechtsverletzungen führen. Zugleich habe der Betreiber aber kaum Möglichkeiten, die Inhalte zu kontrollieren. Daher käme eine Exkulpierung des Betreibers in Betracht, wenn er nachweist, dass er den jeweiligen Stand der Technik beachtet hat. Abs. 27
Prof. Jörg Schwenk vom HGI stellte im Anschluss die technischen Aspekte der Authentisierung an Internetportalen dar. Zur Übermittlung geschützter Daten werde gegenwärtig regelmäßig die SSL-Verschlüsselung verwendet. Diese sei aber aus mehreren Gründen nicht mehr als sicher anzusehen. Eine Möglichkeit die Sicherheit beim Online-Banking zu verbessern, sei im Passmark Sitkey zu sehen. Der Nutzer gebe dabei seine geheimen Daten nur ein, wenn er ein persönliches Foto auf der Seite wieder erkenne. Die auch bei dieser Variante bestehenden Sicherheitslücken, ließen sich mit relativ einfachen Mitteln schließen. Um die immer größer werdende Vielfalt an Online-Passwörtern für den Nutzer beherrschbar zu machen, seien Single Sign-On Lösung von Interesse. Ebenfalls ein Schritt zu größerer Sicherheit, sei in einer Token-basierten Authentisierung zu sehen. Dies gelte aber nur, wenn die dabei generierte TAN transaktionsgebunden sei. Abs. 28
Zum Abschluss der Vorträge informierte Herr Prof. Georg Borges von der a-i3 über Rechtsfragen der Authentisierung an Internetportalen. Eine wesentliche Grundlage für die Wirksamkeit von Rechtsgeschäften und die Zuordnung von Handlungen sei die Authentizität (Echtheit) von Erklärungen. Diese Authentizität lasse sich nur über geeignete Authentisierungsprozesse herstellen. In einem Gerichtsprozess sei z.B. von wesentlicher Bedeutung, wer als Urheber einer Erklärung zu sehen sei. Dieser Nachweis könne über eine Indizienkette erfolgen. Diese beruhe auf der Annahme, dass nur der Inhaber des Accounts das Authentisierungsmedium verwenden konnte. Liege ein entsprechender Erfahrungssatz vor, komme auch der Anscheinsbeweis in Betracht. Von den unterschiedlichen Authentisierungsniveaus die für Bürgerportale geplant sind, komme wohl nur für die Stufen "hoch" und "sehr hoch" der Anscheinsbeweis in Betracht. Auch in Bezug auf Single Sign-On Verfahren könne der Anscheinsbeweis Anwendung finden. Allerdings sei der Beweiswert durch die Sicherheit der Single-Authentisierung begrenzt. Bzgl. der Schutzpflichten müsse zwischen gesetzlichen und vertraglichen unterschieden werden. Jeder der sich im Bereich des BDSG bewege, unterliege den dort geregelten Schutzpflichten. Daneben seien auch sektorspezifische Gesetze zu beachten, z.B. § 25a KWG für das Online-Banking. Vertraglich sei eine Bank bspw. verpflichtet, dem Kunden ein sicheres Online-Banking anzubieten. Bei der zur Ermittlung des Schutzniveaus erforderlichen Interessenabwägung, sei auch eine Kosten-Nutzen-Relation anzustellen. Außerdem sei auf die Wahrscheinlichkeit eines Angriffes und die Bedeutung der gefährdeten Interessen abzustellen. Abs. 29
Abgeschlossen wurde das Symposium durch die Podiumsdiskussion zum Thema "Sichere Kommunikation über Internetportale - Wunsch oder Wirklichkeit?". Unter der Leitung des IT-Sicherheitsexperte Thomas Maus als Moderator diskutierten Gert Metternich von T-Systems, der Vertreter des Bundesbeauftragten für Datenschutz Johannes Landvogt, der Vertreter des Landesbeauftragten für Datenschutz Roland Schlapka, Lutz Neugebauer als Vertreter der BITKOM und Frau Dr. Heike Stach vom Bundesministerium des Innern zu dieser Problemstellung. Frau Dr. Stach legte dar, dass die Zielsetzung bei den Bürgerportalen nicht eine höchstmögliche Sicherheit sei. Vielmehr müsse die Sicherheit auf einem akzeptablen und praktikablen Niveau gewährleistet werden, dass für eine große Anzahl von Fällen funktioniere. Roland Schlapka gab zu bedenken, dass aus datenschutzrechtlicher Sicht jede zentrale Lösung, wie bei den Bürgerportalen der Fall, zunächst auf Skepsis stoße. Er frage sich, wie lange die Freiwilligkeit der Teilnahme faktisch bestehen könne, und was dann für Leute gelte, die nicht die Möglichkeit hätten, die neuen Angebote wahrzunehmen. Außerdem würden zentrale Stellen ein beliebtes Ziel für Hackerangriffe darstellen. Der Meinung von Frau Stach, 100%ige Sicherheit könne nicht das Ziel für Bürgerportale sein, schloss sich Herr Neugebauer an. Allerdings müsse dies auch nach außen kommuniziert werden. Zudem müsse die technische Entwicklung auch nach der Einführung der Portale fortgeführt werden. Dem stimmte Herr Metternich im Grundsatz zu und verwies darauf, dass es auch im realen Leben eine vollkommene Sicherheit nicht gebe. Eines der größten Sicherheitsrisiken sei immer noch der Nutzer. Dennoch dürfe die Innovation durch derartige Bedenken nicht verhindert werden. Aus dem Publikum wurde die Frage eingeworfen was geschehe, wenn zertifizierte Papiere wie der ePA abhanden kommen. Frau Stach verwies darauf, dass es auch für derartige Fälle eine Regelung zur Sperrung der Daten geben werde. Nach Aussage von Dr. Jens Bender werde es eine Sperrliste geben, in die der Anbieter Einsicht nehmen könne. Dadurch entstehe eine höhere Sicherheit als bisher im realen Leben. Von dem Moderator wurde die Frage in die Runde geworfen, ob durch Angebote wie den ePA und Bürgerportale ein neuer Anreiz für Kriminelle geschaffen werde. Nach Aussage von Frau Dr. Stach bringe der ePA zunächst aber einen Sicherheitszuwachs, da bisher z.B. eine verlässliche Authentisierung kaum möglich sei. Aus dem Teilnehmerkreis wurde eingewandt, dass die Freiwilligkeit der eID-Funktion zweifelhaft sei. Verlange der Diensteanbieter ein hohes Sicherheitsniveau, entstehe damit ein quasi-Zwang auf den Bürger, die entsprechende Funktion zu nutzen. Prof. Borges griff diesen Einwand auf und führte aus, dass der Diensteanbieter nicht nur die Möglichkeit habe den Sicherheitstandart möglichst hoch anzusetzen, sondern in einigen Fällen dazu sogar verpflichtet sei. Dies sei ein notwendiger Baustein für die Nutzung im eGovernment und auch der Privatwirtschaft. Ein Teilnehmer stellte an Frau Dr. Stach die Frage, wie Ausländer ohne ePA die entsprechenden Angebote nutzen könnten. Frau Dr. Stach antwortete, dass für die Authentifizierung über Besitz und Wissen auch ein anderes Token als der ePA verwendet werden könne. Prof. Roth stellte die Frage, ob auch Menschen mit körperlicher Behinderung die Funktionen der neuen Angebote nutzen könnten. Dr. Bender legte dar, dass für diese Fragestellung die jeweilige Clientsoftware der entscheidende Punkt sei. Die Entwicklung derselben sei aber nicht Aufgabe der Bundesregierung. Prof. Borges wies auf den Vorschlag hin, verbindliche Sicherheitsbestimmungen durch ein IT-Sicherheitsgesetz zu regeln. Herr Metternich stimmt der Zielsetzung, eine höhere Sicherheit zu erreichen, im Grundsatz zu. Die gesetzliche Regelung sei aber mit Schwierigkeiten verbunden. Aus Sicht der IT-Industrie bestehe zudem die Gefahr, dass eine solche Regelung die Arbeit der Entwickler hemmen würde, so Lutz Neugebauer. Auf die mangelnde Effektivität einer rein deutschen Regelung wies Herr Schlapka hin. Herr Landvogt merkte an, dass eine solche Regelung grds. zu begrüßen sei. Gleichzeitig äußerte er aber Bedenken an der Umsetzbarkeit. Selbst innerhalb der Bundesressorts würden entsprechende Vorschläge des BSI teilweise nicht befolgt werden. Zur Frage der Kontrolle der zertifizierten Anbieter legte Frau Dr. Stach dar, dass keine ständige Kontrolle geplant sei. Allerdings finde eine Routinekontrolle alle zwei Jahre statt und die Aufsichtsbehörde habe ein darüber hinausgehendes Kontrollrecht. Auf die Frage, inwieweit die deutschen Regelungen für ausländische Server Anwendung finden könnten legte sie dar, dass die entsprechenden Server innerhalb der EU stehen müssten.
JurPC Web-Dok.
104/2008,   Abs. 30
* Dipl. Jurist Paul Dienstbach studierte bis 2006 Rechtswissenschaften an der Ruhr-Universität Bochum, ist wissenschaftlicher Mitarbeiter am Lehrstuhl von Professor Dr. Georg Borges (Lehrstuhl für Wirtschafts- und Handelsrecht, Recht der Medien und des elektronischen Geschäftsverkehrs), seit 2006 ist er Assistent der Geschäftsführung der Arbeitsgruppe Identitätsschutz im Internet (a-i3).
[ online seit: 17.06.2008 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Dienstbach, Paul, Tagungsbericht a-i3/BSI Symposium 2008: Sicherheit von Internetportalen und Identitätsschutz - Bürgerportale - ePA - Crimeware - Haftung - Authentisierung. Bochum, 22. & 23. April 2008. - JurPC-Web-Dok. 0104/2008