Martin Hossenfelder *Tagungsbericht: a-i3/BSI Symposium 2009: |
| Am 23. und 24. März 2009 fand im Veranstaltungszentrum der Ruhr-Universität Bochum das 4. interdisziplinäre Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu dem Thema "Identitätsschutz in E-Government und E-Business" statt. | JurPC Web-Dok. 143/2009, Abs. 1 |
| Es wurden aktuelle rechtliche und technische Aspekte des elektronischen Personalausweises (ePA), der DE-Mail, von Bürgerportalen sowie die aktuelle Entwicklung des Cloud Computing diskutiert. Auch die durch Malware bestehenden Bedrohungsszenarien waren Gegenstand der Diskussion. Unterstützung erhielten die Veranstalter durch die Unternehmen Hewlett-Packard, Microsoft und ebay. | Abs. 2 |
| Die Tagung wurde am 23. März vom Rektor der Ruhr-Universität Bochum, Prof. Dr. Elmar W. Weiler, eröffnet. Zudem richtete der Dekan der Juristischen Fakultät, Prof. Dr. Martin Burgi, ein Grußwort an die Teilnehmer der Veranstaltung. Prof. Dr. Georg Borges von der Ruhr-Universität Bochum stellte als Sprecher des Vorstands der a-i3, zusammen mit Bernd Kowalski, Abteilungsleiter im BSI, die Tätigkeiten der beiden ausrichtenden Institutionen zu den Themen der Tagung vor. | Abs. 3 |
| Die Einführung in die technischen Themen des Symposiums übernahm Prof. Dr. Jörg Schwenk, Vorstandsmitglied der a-i3 von der Ruhr-Universität Bochum, mit einem Vortrag zum Thema Webapplikationen und Identitätsschutz, wobei die Entwicklung des Cloud Computing und die damit verbundenen Probleme für virtuelle Identitäten vorgestellt wurden. Daran anknüpfend stellte Prof. Dr. Borges in seiner Einführung die rechtlichen Fragestellungen des "künftigen Internets" anhand von ePA, DE-Mail und Cloud Computing vor. Aus Juristischer Sicht sei insbesondere von Bedeutung, wie ausreichend Rechtssicherheit hergestellt werden könne. | Abs. 4 |
| Dr. Marian Margraf vom Bundesministerium des Inneren gab einen Überblick über den Stand des ePA-Projekts und erläuterte die geplanten Authentisierungsverfahren. Der ePA habe mehrere Funktionen. Verpflichtend enthalte er ein digitales Lichtbild, welches ausschließlich für Identitätsfeststellungen der berechtigten Behörden vorgesehen sei, fakultativ könnten die Fingerabdrücke hinterlegt werden. Auf Wunsch des Bürgers könne zudem kostenfrei die elektronische Identität als "Internetausweis" angeboten werden. Schließlich sei mit Zusatzkosten eine qualifizierte elektronische Signatur integrierbar. Die leitende Sicherheitsidee sei, dass zwischen Bürger und Diensteanbieter stets ein gegenseitiger Identitätsnachweis vorgesehen ist. | Abs. 5 |
| Daran anschließend stellte Klaus-Dieter Wolfenstetter von der Deutschen Telekom AG den ePA aus der Sicht der Industrie dar, wobei insbesondere die Leistungsmerkmale des elektronischen Identitätsnachweises und die Arbeit im Rahmen des IT-Gipfels im Vordergrund standen. Die eID-Funktion des ePA enthalte einen hochsicheren Speicher für persönliche Daten in Meldeamtsqualität und ermögliche es dem Nutzer zu bestimmen, welche Daten er weiterleiten will. | Abs. 6 |
| Andrea Klenk von der media transfer AG berichtete von den Komponenten und Prozessen bei der Ausgabe und Nutzung des ePA. Dabei wurden die Aufgaben der Bürgerbüros aufgezeigt und dargestellt, dass ein Sperrdienst eingerichtet wird. Zudem berichtete Frau Klenk von dem Campuspilotprojekt in Darmstadt. An der Universität Darmstadt wird der ePA in zahlreiche universitäre Vorgänge, wie etwa die Notenabfrage und die Raumorganisation, eingebettet, um dessen Funktionen zu testen. | Abs. 7 |
| Aufgrund der krankheitsbedingten Abwesenheit von Frau Dr. Heike Stach vom BMI referierten Dr. Marian Margraf, Klaus-Dieter Wolfenstetter und Andrea Klenk über die die Kommunikation mit DE-Mail und ePA. Zum Kostenfaktor führte Dr. Margraf aus, dass der ePA nicht soviel, wie ein elektronischer Reisepass, kosten werde, die Zugangssoftware kostenlos sei und dass ein Lesegerät für ca. 9 - 10 € verkauft werden wird. | Abs. 8 |
| Aus kommunaler Sicht berichtete Lars Terbeck vom HABIT der Stadt Hagen zur Integrierung des ePA in E-Government-Prozesse. Im Rahmen des Projekts Rathaus21 testet die Stadt Hagen den Einsatz des ePA als Pilot-Kommune. Ziel des Projekts ist es den ePA in die verwaltungstechnischen Abläufe der Stadt Hagen zu integrieren. Herr Terbeck führte aus, dass der ePA den Zugang zu Behörden erleichtere, die Abläufe vereinfache, Zeit und Geld spare, aber sich erst noch durchsetzen müsse. | Abs. 9 |
| Darauf hin zeigte Ralf Benzmüller von den G DATA Security Labs aus technischer Sicht die Gefahr browserbasierter Angriffe. Durch die Entwicklung des Web 2.0 würde Malware insbesondere durch sog. Scareware, soziale Netzwerke und Drive-by-Downloads weiterverbreitet. Darüber hinaus stellten Cross Site Scripting und Cross Site Request Forgery aktuelle Bedrohungen dar. Schließlich berichtete Herr Benzmüller von der Anfälligkeit browserbasierter Applikationen und den Schwachstellen bei der Passwortsicherheit. | Abs. 10 |
| Dr. Christoph Wegener von der a-i3 und Dominik Birk vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum referierten über Suchmaschinen-Hacking. Sehr detaillierte Suchkriterien z. B. der Suchmaschine Google erlaubten es unzählige Daten und Informationen von Internetseiten zu finden, die zumeist gar nicht für die Öffentlichkeit bestimmt seien. Daraus zogen die Redner den Schluss, dass sensible Daten nicht ins Internet gestellt werden dürften, dass Verschlüsselung benutzt werden solle und die eigene Domain regelmäßig überprüft werden müsse. | Abs. 11 |
| Im Anschluss beleuchtete Bernd Kowalski vom BSI den ePA aus europäischer Perspektive. In diesem Rahmen wurden die Einsatzfelder des ePA aufgezeigt. Zudem wurde die Neureglung des Personalausweisgesetzes, die Schaffung technischer Richtlinien und die europäische Perspektive im Zusammenhang mit dem Programm STORK (= Secure Identity Across Borders Linked) erläutert. Der ePA existiere nach den jetzigen Planungen in dieser Art nur in Deutschland, soll aber die anderen Beitrittsländer beeinflussen um einheitliche Standards zu produzieren. | Abs. 12 |
| Aus rechtlicher Sicht referierte in Folge Prof. Dr. Dirk Heckmann von der Universität Passau über Vertraulichkeit und Zurechenbarkeit persönlicher Identitätsmerkmale. Der IT-Einsatz unterliege einem verfassungsrechtlichen Rationalitätsgebot, was nicht zuletzt durch die Wahlcomputerentscheidung des Bundesverfassungsgerichts bestätigt worden sei. IT-Sicherheitsgewährleitung müsse sich stets an den vier Aspekten Wissen, Vertrauen, Kontrolle und Verantwortung messen lassen. Der ePA diene als Mittel zur rechtssicheren Authentifizierung. | Abs. 13 |
| Zum Abschluss des ersten Tages stellte Prof. Dr. Alexander Roßnagel von der Universität Kassel das Gesetz zu Bürgerportalen vor. Zielsetzung der Bürgerportale sei es eine sichere und geschützte Infrastruktur im Internet zu gewährleisten. Das Bürgerportalgesetz schaffe dafür die nötige Infrastruktur. Auf Rechtsfolgenseite ergäben sich Zustellungsnachweise, Anscheinsbeweise und Zugangseröffnungen. | Abs. 14 |
| Am zweiten Tag wurde die Veranstaltung durch ein Grußwort der Oberbürgermeisterin der Stadt Bochum, Frau Dr. Ottilie Scholz, eröffnet. | Abs. 15 |
| Danach berichtete André Dornbusch vom Bundeskriminalamt über aktuelle Trends des Identitätsdiebstahls. Das klassische Phishing sei durch die Weiterentwicklung des Online-Banking, insbesondere durch die flächendeckende Einführung des iTan-Verfahrens, weitestgehend ausgestorben. Aktuelle Malware könne allerdings auch das iTan-Verfahren umgehen. Aktuell sei der Einsatz von Warenagenten in Verbindung mit der Übernahme eines ebay-Accounts und der Verwendung einer dhl-Packstation ein aktuelles Bedrohungsszenario. Des Weiteren sei UKash, welches eine Art prepaid-Zahlungsmittel im Internet darstellt, eine Möglichkeit für Cyberkriminelle an Geld zu kommen. Darüber hinaus veranschaulichte Herr Dornbusch die Möglichkeiten des Kreditkartenhackings. Schließlich zeigte er auf, dass IP-Adressen heute so manipuliert werden können, dass sie ihre Rückverfolgungsfunktion zu verlieren drohen. | Abs. 16 |
| Aus datenschutzrechtlicher Sicht informierte daraufhin Dr. Martin Meints vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein über Datendiebstahlsfälle in den Jahren 2008 und 2009. Im Rahmen einer Fallanalyse betonte er die Anfälligkeit von Callcentern im Umgang mit personenbezogenen Daten. Dabei betonte Dr. Meints die ökonomischen Hintergründe des Datenhandels. Zudem analysierte er den Datenschutzskandal bei der Telekom und kam zu dem Schluss, dass sicherheitsrelevante Gesichtspunkte enorm missachtet wurden. Ein wirksamer Zugangs-, Zutritts- und Zugriffsschutz, die Beachtung des Need-to-know-Prinzips, die Deaktivierung nicht benötigter Programmfunktionen und insbesondere die Absicherung externer Schnittstellen (z. B. USB) sei zur Verhinderung solcher Missstände unumgänglich. | Abs. 17 |
| Als nächstes eröffnete Tahar Schaa von Hewlett-Packard den Vortragsblock rund um Cloud Computing. Cloud Computing beschreibe IT-Dienste, die losgelöst von konkreter Infrastruktur angeboten werden. Speicherplatz, Datenbanken, Webanwendungen und End-Benutzer Software könnten demnach direkt aus dem Internet bezogen werden, ohne das der Nutzer eigene Ressourcen zur Verfügung stellen müsse. In diesem Rahmen werde der Zugriff überwiegend über den Webbrowser erfolgen. Dieses Konzept offenbare enorme Einsparungsmöglichkeiten und die Möglichkeit eines schnelleren Unternehmensaufbaus. Die aufgrund des zwischenstaatlichen Betriebs nationale Grenzen überquerenden Rechtsbeziehungen brächten aber rechtliche Risiken mit sich. | Abs. 18 |
| Daran anschließend ging Tom Köhler von Microsoft auf die Zukunft von digitalen Identitäten im Cloud Computing ein. Der Schutz der digitalen Identität bedürfe sicherer Authentisierungsvorgänge. Identitäten im Cloud Computing müssten einfach und sicher verifizierbar, interoperabel, kontextgebunden und benutzerzentriert verwaltet werden können. Durch sog. Information Cards bzw. die Nutzung von Identity Cards könne Akzeptanz durch Einfachheit erreicht werden. Zudem würden solche Sicherheitssysteme Internetnutzern gegen viele Formen von Phishing und Betrug schützen. | Abs. 19 |
| Zu Sicherheitsaspekten im Umgang mit Cloud Computing referierte Prof. Dr. Jörg Schwenk von der Ruhr-Universität Bochum. Die Nutzung des Cloud Computing verändere das Anforderungsprofil an den Schutz virtueller Identitäten, da die Identität nun global und nicht mehr nur lokal zu schützen sei. Firewalls und Antiviren-Software würden in diesem Bereich an ihre Grenzen stoßen. Entscheidende Bedeutung habe aus sicherheitstechnischer Sicht der Browser. Probleme entstünden insbesondere, weil DNS unsicher sei und SSL und SOP nicht miteinander interagieren würden. Die zentrale Herausforderung bestehe darin Verschlüsselung und Schlüsselmanagment sowie verbesserte Browsersicherheit zu implementieren. | Abs. 20 |
| Schließlich stellte Prof. Dr. Georg Borges von der Ruhr-Universität Bochum Rechtspflichten zur Gewährleistung von Datensicherheit dar. Dabei wurde die Haftungsverteilung bei Phishing, Datendiebstahl, W-LAN, Malware-Verbreitung, Telemedizin und Cloud Computing erörtert. Bei Schadensereignissen, die durch Eingriffe Dritter (z.B. Internetkriminalität) entstehen, seien Schutzpflichten der Beteiligten von großer Bedeutung. Derartige Schutzpflichten bestünden auch in Bezug auf Schädigungen durch vorsätzliches Handeln Dritter, was etwa die Ausnutzung ungesicherter W-LAN-Netze zeige. Zu den Pflichten des Internetnutzers gehöre beispielsweise Passwörter und andere Authentisierungsmedien (z.B. Chipkarte) hinreichend vor dem Zugriff Dritter zu schützen. Anbieter von Diensten im Internet, ebenso Hersteller von Produkten, hätten die Pflicht, die Dienste und Produkte hinreichend sicher zu gestalten. So dürften beispielsweise sensible Daten nicht unverschlüsselt auf Disketten per Post versandt werden und W-LAN-Router seien mit vorinstalliertem Zugriffsschutz auszuliefern. Grundsätzlich sei der Pflichtenstandard an der Zumutbarkeit zu messen. | Abs. 21 |
| Den Abschluss des zweitätigen Symposiums bildete die Podiumsdiskussion zum Thema "Daten- und Identitätsschutz im Web 2.0". Als Teilnehmer konnten die Veranstalter Dr. Marian Margraf vom BMI, Dr. Martin Meints vom ULD Schleswig-Holstein, Tom Köhler von Microsoft und Tahar Schaa von Hewlett-Packard gewinnen. Unter der Moderation von Armin Barnitzke, stellvertretender Chefredakteur der Computer Zeitung, führten die vier Podiumsteilnehmer in kurzen Statements in das Thema ein, wobei die Frage im Raum stand, ob das Konzept des Datenschutzes veraltet sei. Die Podiumsteilnehmer sahen zwar Novellierungsbedarf. Das grundsätzliche datenschutzrechtliche Konzept sei aber weiterhin notwendig. Zudem wurden auf die Probleme und Herausforderungen für den Datenschutz im Web 2.0 eingegangen, wobei hervorgehoben wurde, dass Cloud Computing einen regulatorischen Rahmen benötige. Teils wurde der situationsabhängige Bedarf datenschutzrechtlichen Schutzes betont, da Datenschutz bis zu einem gewissen Grad Typenfrage sei. Bedauernswert sei, dass sich wohl eine Mehrzahl an Nutzern erst "die Finger verbrennen" müsse bis erkannt werden würde, wie viele Informationen über den einzelnen im Netz stehen. Auf die Frage nach wirksamen datenschutzrechtlichen Schutzmöglichkeiten plädierten die Podiumsteilnehmer für eine Strukturveränderung hin zu vom Nutzer beeinflussbaren kontextbezogenen Anfragen. Ein Welt-IT-Recht werde es zwar nicht geben. Eine ISO-Zertifizierung sei aber ein erster Schritt in die richtige Richtung. Als nächstes wurde erläutert, ob der ePA das Web 2.0 retten könne. Das Podium war der Meinung, dass der ePA ein Fortschritt sei und unterstrich, dass er ein Exportschlager werden könne. Zudem würde der ePA den Stand der Technik weiterentwickeln. Durch das Publikum wurde die Einführung des ePA aus sicherheitstechnischer Sicht kritisch betrachtet. Es wurde gemahnt, dass sich in den letzten zwanzig Jahren datenschutzrechtlich nichts verbessert habe. Prof. Dr. Georg Borges entgegnete dem und verwies auf die legislative Arbeit der letzten zehn Jahre, wobei die Impressumspflicht und das Fernabsatzrecht beispielhaft genannt wurden. Zum Abschluss der Podiumsdiskussion wurde in den abschließenden Statements mehr gesellschaftliche Aufklärung über die Bedeutung von virtuellen Identitäten gefordert. | Abs. 22 |
| Schließlich beendeten Prof. Dr. Georg Borges und Prof. Dr. Jörg Schwenk die
Veranstaltung mit einem Schlusswort.
| JurPC Web-Dok. 143/2009, Abs. 23 |
| * Der Autor ist wissenschaftliche Hilfskraft am Lehrstuhl für Bürgerliches Recht deutsches und internationales Handels- und Wirtschaftsrecht insbes. Recht der Medien und der Informationstechnologie an der Juristischen Fakultät der Ruhr-Universität Bochum bei Prof. Dr. Georg Borges. Zudem arbeitet er für die Arbeitsgruppe Identitätsschutz im Internet (a-i3) im Bereich Öffentlichkeitsaufklärung. |
| [ online seit: 14.07.2009 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Hossenfelder, Martin, a-i3/BSI Symposium 2009: Identitätsschutz in E-Government und E-Business Bürgerportale – ePA – Cloud Computing – Datensicherheit - JurPC-Web-Dok. 0143/2009 |
