Rezension erschienen in "PMD - Praxis medizin. Dokumentation" Ausgabe 1/1997, S. 19 Februar 1997(...) Das Buch ist für alle Pflichtlektüre, die sich mit der Realisierung und Einführung eines Informationssystems in Bereichen beschäftigten, in denen schützenswürdige Informationen relevant sind. (...)(...) Das zeigt den derzeitigen Stand der Bemühungen, die digitale Signatur für die Nutzer verläßlich zu machen. (...)
Was sind die technischen Möglichkeiten, aber auch die Sicherheits-Restriktionen von "Electronic Commerce" wirklich? Das Buch zeigt den State-of-the-Art zum Thema "Sicherheit des E-Commerce" auf der Grundlage konkreter Projekterfahrung unter Berücksichtigung aktueller Forschungsergebnisse.
Das Buch präsentiert die Ergebnisse einer Machbarkeitsstudie, die von der Bundesregierung in Auftrag gegeben wurde. Im Mittelpunkt stehen mögliche Funktionen eines Digitalen Personalausweises, die internationale Entwicklung vergleichbarer Projekte, technische Probleme und Risiken, Realisierbarkeit und Sicherheit eines solchen Ausweises, rechtliche Anforderungen und Gestaltungsvorschläge, Signatur und Biometrie, die organisatorische Umsetzbarkeit des Gesamtsystems sowie die wirtschaftliche Machbarkeit.
Marcus Heitmann untersucht, wie der Informationsaustausch zwischen Fahrzeugherstellern und Zulieferern der Automobilindustrie im Bereich F&E gegen den Zugriff Unbefugter abgesichert werden kann. Er identifiziert Einflussfaktoren und notwendige Voraussetzungen, um IT-Sicherheit in Unternehmen und in unternehmensubergreifenden Kooperationen gewahrleisten zu konnen. Dabei werden sowohl organisatorische als auch technische und wirtschaftliche Aspekte aus dem Blickwinkel der Praxis beleuchtet.
Der vorliegende Band zum Sicherheitsrisiko Informationstechnik und damit zur Informatiksicherheit spiegelt Positionen aus Deutschland und der Schweiz wider. Die zunehmende Bedeutung der Informatiksicherheit und die notwendige Sensibilisierung fUr Risiken der Informationstechnik bei fortschreitender Ver netzung in Staat und Wirtschaft wird von allen Autoren unterstrichen. Deshalb ist es ein Anliegen dieses Bandes, einerseits auf Analysen, MaBnahmen und Empfehlungen hinsichtlich Informatiksicherheit hinzuweisen sowie methodi sche Ansatze vorzustellen, die sich in der Unternehmenspraxis bewabren. Ande rerseits ist ftir eine Orientierung tiber staatliche Aktivitaten von Bedeutung, z.B. welche Prioritaten vom Bundesamt flir InJormatik in der Schweiz oder in Deutschland vom Bundesamt flir Sicherheit in der InJormationstechnik einge raumt werden. Zentrale Themen mit Blick auf Staat und Wirtschaft sind deshalb Verletzlich keit der Informationsgesellschaft, Informatiksicherheit und Bedrohungspoten tial, Technikfolgenabschatzung, Umsetzung von Sicherheitsstandards in Unter nehmen sowie Datenschutz und die Konsequenzen fur Datensicherheit. Die meisten der Autoren des vorliegenden Bandes waren an Workshops und Ta gungen zur Informatiksicherheit am Gottlieb-Duttweiler-Institut in Rtischlikon beteiligt. Aus der Bedeutung der Beitrage ist die Anregung erwachsen, diese Buchpublikation vorzulegen. Wir mochten uns an dieser Stelle bei den Autoren fUr ihr Engagement bedanken. Dariiber hinaus danken wir Andreas Schmitter ftir seine Layout-Unterstiitzung sowie Reinald Klockenbusch vom Verlag fur seine Anregungen, dieses Buchprojekt umzusetzen.
Deutsche Hacker im Sold des KGB, Computervirus blockiert Groj3rechner, Student schleuste Computervirus ein, Bundesbahn-Computer kassierte vorzeitig ah: Das sind nur ein paar Schlagzeilen aus der jiingefen Vergangenheit der EDV Branche. Hacker und Spione, Viren und Wiinner sind die neuen Schlagworte der EDV-Szene. Wo soviel Rauch ist, da muB auch Feuer sein. In der Tat sind die Probleme nicht Hinger zu leugnen. Deutsche Hacker sind im Auftrag des sowjetischen Geheimdienstes KGB in militarische Computer der USA eingedrungen. Auch die Computer der europliischen Forschungsinstitute und der Industrie sind vor ihnen nicht sicher. Wahrend des Goltkriegs wurde von franzosischen Zeitungen behauptet, die heimische Rustungsindustrie habe ihre an den Irak gelieferten WafIen so prapariert, daB sie im EmstfaII durch Viren unwirksam gemacht werden konnten. Ob ein Komchen Wahrheit in dieser Geschichte steckt, mag man bezweifeln. Auch gezielte Desinfonnation brauchtjedoch eine Basis, die wahr sein konnte. Viren verbreiten sich in den Redaktionen und in den BUros und fiihlen sich leider auch im PC zuhause. Datenverluste sind die Folge, und damit einhergehend ein immenser Vertrauensschwund. Hat die junge Branche ihre Unschuld verloren? Dieses Buch entstand, urn der weitgehend vorhandenen Unwissenheit uber diese neue Bedrohung abzuhelfen. Es wendet sich daher an aIle, die in der EDV und verwandten Gebieten Verantwortung tragen. Insbesonders sind angesprochen: AIle Manager und EDV-Chefs in der Industrie und in den Behorden, die Sicher heitsabteilungen der deutschen Industrie und ihre Mitarbeiter. Nicht zu vergessen ist die Revision, die Software-Entwicklung, die Qualitatssicherung und die Kon figurationskontrolle.
Magdalena Schmidt untersucht die Entwicklung des Grundsatzes der Verfügbarkeit für den strafrechtlichen Informationsaustausch in der Europäischen Union und Möglichkeiten zu seiner Umsetzung. Seit dem Haager Programm aus dem Jahr 2004 soll "der bloße Umstand, dass Informationen Grenzen überschreiten" nicht länger von Bedeutung sein. Die Untersuchung verschiedener technischer Umsetzungsmöglichkeiten für diesen Grundsatz zeigt, dass - insbesondere beim Datenschutz - umso größere Schwierigkeiten bestehen, je "verfügbarer" Informationen für die Strafverfolgungsbehörden sein sollen. Die Autorin analysiert bestehende datenschutzrechtliche Sekundärrechtsakte, wie z. B. die neue Datenschutzrichtlinie für Polizei und Justiz, und zeigt, dass diese nicht hinreichend sind. Daher erarbeitet sie Vorschläge für eine datenschutzkonforme sekundärrechtliche Verfügbarkeit.
Steffen Kroschwald bewertet den Einsatz von Cloud-Diensten im Mittelstand vor dem Hintergrund des Rechts auf informationelle Selbstbestimmung. Mit dem Cloud Computing lassen sich IT-Ressourcen wie Speicherplatz, Rechenleistung und Software effektiv bereitstellen. Dennoch halten sich viele Unternehmen angesichts daten- und geheimnisschutzrechtlicher Bedenken mit dem Gang in die Cloud zuruck. Der Autor untersucht den grund- und datenschutzrechtlichen Rahmen, in den eine Cloud-Nutzung einzuordnen ist. Hierauf aufbauend entwickelt er sowohl technische als auch rechtliche Gestaltungsvorschlage und Handlungsempfehlungen. Diese sollen bestehende Rechtsunsicherheiten beseitigen und eine rechtssichere und rechtsvertragliche Nutzung der Cloud ermoglichen.
Das Buch zeigt, wie das Vertrauen in E-Commerce durch realisierten Datenschutz gewonnen werden kann. Das Zauberwort heisst DASIT (DatenSchutz-In-Telediensten). Dahinter verbirgt sich eine konkrete Lösung, die praktisch erprobt, wirtschaftlich zumutbar und technisch umsetzbar ist. Der Vorteil: Mehr Akzeptanz bei den Kunden, mehr Kunden, mehr potenziell zufriedene Kunden.
Mit dem Beginn des neuen Jahrtausends werden die Themen um die Verläßlichkeit komplexer, vernetzter Systeme so virulent wie nie zuvor. Es sind Konzepte und Lösungswege gefragt, die sich in einer global vernetzten IT-Umgebung bewähren und gleichzeitig offen sind für Erweiterungen, mit denen neuen Herausforderungen an die IT-Sicherheit gegegnet werden kann. Im einzelnen geht es insbesondere um die folgenden sicherheitskritischen Themenbereiche: Elektronischer Handel, Virtualisierung des Geldes, rechtlich wirksame Geschäftsabläufe, Digitale Signaturen. Es geht ferner um Fragen des Copyrights im Zeitalter elektronisch verfügbarer Dokumente, neue Techniken bei der Nutzung des Internets zur Realisierung sicherer Kommunikation, schliesslich um die Vernetzung in extrem sicherheitssensitiven Bereichen wie z.B. bei der medizinischen Versorgung.Das Buch ist Ergebnis und Arbeitsgrundlage der GI-Tagung "VIS¿99 - Verläßliche IT-Systeme", die vom 22-24. September 1999 in Essen stattgefunden hat.
Das vorliegende Buch ist aus einem Gutachten für das Bundes ministerium für Wirtschaft und Technologie zu einem Konzept und einem Entwurf eines Gesetzes für ein allgemeines Daten schutzaudit hervorgegangen. Aufgabe des Rechtsgutachtens war es, aus verschiedenen alternativen Vorstellungen die Zielsetzung eines Datenschutzaudits zu entwickeln, zu prüfen, welche As pekte eines solchen Datenschutzaudits einer gesetzlichen Rah menregelung bedürfen, für diese eine Gesetzgebungskonzeption für ein Datenschutzaudit zu entwerfen und daraus einen ersten Entwurf eines Gesetzes für ein Datenschutzaudit zu erstellen. Das Gutachten und der Gesetzentwurf sind im Juni 1999 abge geben worden. Ursprünglich war der Auftrag auf ein Daten schutzaudit für Teledienste beschränkt. Kurz vor Fertigstellung des Gutachtens war in den regierungsinternen Entwurf der No velle zum Bundesdatenschutzgesetz eine Programmnorm für ein allgemeines Datenschutzaudit aufgenommen worden. Daraufhin war der Auftrag auf die Erarbeitung eines allgemeinen Daten schutzauditgesetzes erweitert worden. Der ursprüngliche Zu schnitt des Auftrags macht sich in dem vorliegenden Text inso weit noch bemerkbar, als Teledienste immer wieder beispielhaft als Anwendungsfeld für das Datenschutzaudit herangezogen werden.
Informationstechnische Systeme sind heute aus dem Leben nicht mehr wegzudenken. In relativ kurzer Zeit und in unterschiedlichsten Lebensbereichen hat der Gebrauch von IT-Systemen zu Abhängigkeiten zwischen diesen Systemen und dem erwarteten Funktionieren der automatisierten Prozesse geführt. Diese Wechselwirkungen sind verschieden groß, abhängig von den Eigenschaften des betreffenden IT-Systems, der Umgebung des IT-Systems sowie der Art und Intensität seines Gebrauchs. Ein Bewertungsmaßstab, den insbesondere Benutzer und Betreiber eines IT Systems an die erwartungsgemäße Unterstützung der automatisierten Prozesse anlegen, wird durch den Begriff Verläßlichkeit charakterisiert. Verläßlichkeit umfaßt ein Bündel von Systemeigenschaften, die über die klassischen Sicherheitsanforderungen der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen. Hinzu treten mindestens noch Forderungen bezüglich der Durchschaubarkeit der Wirkungen einer Benutzer-Aktion und umgekehrt der Rückverfolgbarkeit einer Wirkung zu den auslösenden Aktionen und Personen. Ein umfassendes Kriterium ist die Verantwortbarkeit der Nutzung eines IT Systems unter verschiedenen Aspekten wie z.B. der Wahrung von Persönlichkeitsrechten, sicherheitstechnischer Anforderungen oder der Realisierung von Unternehrnenszielen. Verläßlichkeitskriterien sind ein Schlüssel für das Vertrauen, das Benutzer und Betreiber in technische Systeme setzen. Sie sind damit zu Akzeptanzkriterien für technische Systeme geworden. Verläßlichkeitskriterien sowie Methoden und Techniken zur Durchsetzung von Verläßlichkeit sind bisher meist im eingeschränkten Kontext der Systemsicherheit diskutiert worden. Verläßlichkeit verlangt aber nicht nur Schutz vor unberechtigten Zugriffen auf Daten oderFunktionen, sondern z.B. auch die (mathematisch) beweisbare oder die (technisch) garantierbare Funktionalität eines Systems.
Die Aufgabe, die sich TeleTrusT gestellt hat, ist also zum Teil technischer Art; zum anderen - nicht weniger wesentlichen Teil - bietet sie eine juristische bzw. gesellschaftliche Problematik. Die technische Entwicklung soll nicht an der Welt des Rechts vorbeilaufen und dann, wenn sie in Gebrauch genommen wird, Probleme aufwerfen, die die Rechtsausübung erschweren. Vielmehr soll die Technik den rechtlichen Erfordernissen möglichst angepaßt werden. Aus diesem Grunde muß insbesondere die persönliche eigenhändige Unterschrift zum Vorbild für eine nicht weniger persönliche aber dem elektronischen Medium gemäße Unterschrift dienen. Die bekannten technischen Mechanismen sowie die systemarchitektonischen Vorkehrungen müssen deshalb auch in die Welt des Rechts hineingetragen und unter Juristen diskutiert werden; es müssen Wege gefunden werden, wie ihr Gebrauch in die unterschiedlichen nationalen Rechtssysteme eingebettet werden kann; an dieser Notwendigkeit führt kein Weg vorbei. Solche gesellschaftlichen und rechtlichen Forderungen an technische Systeme werden häufig zu spät gestellt. Das Recht muß dann in das Prokrustesbett einer an ihm vorbeientwickel ten Technik gelegt werden. Das soll durch die von TeleTrusT angestrebte Zusammenarbeit von Technikern und Juristen vermieden werden. Es fehlt aber noch eine tragfähige Verstän digungsbasis. Die von den beiden Autoren -beides Juriste- geleistete Arbeit soll dafür Grund . legen. Insbesondere soll sie Interesse anregen und zu einer fruchtbaren Diskussion führen. Das ist der Zweck, den TeleTrusT mit dieser Veröffentlichung verfolgt.
Jetzt zum Newsletter anmelden und tolle Angebote und Anregungen für Ihre nächste Lektüre erhalten.
Mit Ihrer Newsletter-Anmeldung erklären Sie sich mit unseren Datenschutzbestimmungen einverstanden.
