DUD REPORT

Redaktion: Helmut Reimer

DuD Report LfD Sachsen – Anhalt: 9. Tätigkeitsbericht

Übersicht ƒ LfD Sachsen – Anhalt: 9. Tätigkeitsbericht ƒ Schirmherrschaft des BMI bestätigt: Verein Deutschland sicher im Netz ƒ Projekt „Verbraucherrechte in der digitalen Welt“ ƒ EDÖB: Evaluation 2009 ƒ Frankreich: Internetgesetz (loi Hadopi) in Kraft ƒ Forschungspreis des Europäischen Forschungsrates (ERC) vergeben ƒ Deutschland beginnt den Wirkbetrieb des ICAO Public Key Directory ƒ gematik zertifiziert ICW Healthcare Connector ƒ Soziale Netzwerke mit mangelndem Fair-Play ƒ Symposium zur Sozialen Funktion verdeckter Kommunikation ƒ Datenschutzportal im Internet ƒ Datenschutz auf Knopfdruck ƒ it-sa Benefiz engagiert sich bei Deutschland sicher im Netz e.V. ƒ Sparkasse Worms-Alzey-Ried nutzt „chipTAN comfort“-Verfahren ƒ Rössing zum International Vice President der ISACA gewählt ƒ Bekanntheit und Leistung werden beim Virenschutz großgeschrieben ƒ Deloitte-Studie: „The time is now – 2009 Life Sciences & Health Care Security Study“ ƒ Rasante Zunahme von Spam-Mails mit Kurz-URLs ƒ secunet: SINA Virtual Workstation B erhält BSI-Zulassung für VS-NfD ƒ Secardeo: Neue Komplettlösung für PDF-Signaturworkflows ƒ Zertificon virtualisiert Email-Verschlüsselungslösung ƒ Veranstaltungsbesprechung ƒ Fachkonferenz DuD 2009, 8. und 9. Juni 2009 in Berlin ƒ Buchbesprechung ƒ Pehl, Dirk: Die Implementation der Rasterfahndung. ƒ Alexander Roßnagel (Hrsg.): Allgegenwärtige Identifizierung? ƒ Veranstaltungskalender

DuD t Datenschutz und Datensicherheit

Der dem Landtagspräsidenten überreichte 9. Tätigkeitsbericht betrifft den Zeitraum vom 1. April 2007 bis 31. März 2009, aktuelle weitere Entwicklungen in Land und Bund wurden bis Anfang Juli berücksichtigt. Der Datenschutz ist seit 2007 aus seiner Defensivrolle gekommen. Dazu haben die brisanten Vorhaben der Vorratsdatenspeicherung und der heimlichen Online-Durchsuchung beigetragen wie auch Datenskandale in der Wirtschaft zu Lasten von Verbrauchern und Arbeitnehmern. Doch die Überwachungsgesellschaft, angestoßen auch durch das ambivalente, oft fahrlässige Verhalten der Menschen selbst, wird stetig intensiver. Der 9. Tätigkeitsbericht greift solche Entwicklungen auf und gibt Empfehlungen für besseren Datenschutz; dazu zählen u.a.: ƒ Maßhalten bei Eingriffsbefugnissen ƒ Mehr Datenschutzbewusstsein bei allen Akteuren ƒ Technischer Systemdatenschutz ƒ Verstärkung der Schulbildung und politischen Bildung zu Themen der Privatheit und Selbstbestimmung als Werte und Bedingung von Demokratie ƒ Effektive unabhängige Datenschutzaufsicht ƒ Grundlegende Modernisierung des Datenschutzrechts unter Einbeziehung des Mediums Internet (Die kleine Datenschutznovelle des Bundes vom Juli 2009, die das Listenprivileg beim Adresshandel nur etwas abschwächte, reicht natürlich nicht aus.) Kritik von Datenschützern an staatlichen Vorhaben und Maßnahmen dient der Akzeptanz des Rechtsstaats. Das Vertrauen, das dieser erwarten darf, setzt vertrauensbildende Maßnahmen voraus wie die Beachtung des Gebots der Datensparsamkeit. Beratung und Kontrolle der Datenschützer wirkt dabei unterstützend mit. Wer Datenschutz so denkt, kann ihn auch nicht mehr als Hindernis disqualifizieren. Denn Grundrechte gelten nicht nur dann, wenn sie nicht stören. Viel wird über neue Informations- und Kommunikationstechnologien, etwa beim eGovernment, verhandelt, doch zu wenig

8 | 2009

über Grundrechte und deren vorrangige Bedeutung nachgedacht. Der Bericht stellt eine Zusammenfassung der in den beiden letzten Jahren geleisteten Beratungs- und Kontrollarbeit des Landesbeauftragten und der Mitarbeiterinnen und Mitarbeiter seiner Geschäftsstelle dar. Der Bericht dient zugleich der Öffentlichkeitsarbeit und ist mittels vieler Einzelbeispiele, Hinweise und Fundstellen eine Handreichung für Behörden und behördliche Datenschutzbeauftragte. In einem Anlagenteil sind Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder und darüber hinaus der Europäischen und Internationalen Datenschutzkonferenz zu zahlreichen wichtigen datenschutzpolitischen und datenschutzrechtlichen Grundsatzthemen und kritisch kommentierten Einzelvorhaben enthalten. Schwerpunkte in den Jahre 2007 bis 2009 betrafen: ƒ Technische Belange des Datenschutzes, IT-Dienstleistungen der Landesverwaltung ƒ Beratung des Parlaments, z.B. beim Hundegesetz und Kinderschutzgesetz ƒ Justizvollzugsanstalt Burg ƒ Schulunterrichte und Lehrerfortbildung ƒ Namensnennung in Gedenkstättenausstellung des „Roten Ochsen“ in Halle (Saale) ƒ Datensuchlauf im Ministerium für Landwirtschaft und Umwelt. Bei einer Reihe von Vorgängen gab es erhebliche datenschutzrechtliche Verstöße, die nur aufgrund gewisser Abhilfemaßnahmen nicht förmlich beanstandet wurden: ƒ Studierendendaten der Otto-von-Guericke-Universität Magdeburg im Internet ƒ Videoüberwachung am Hasselbachplatz in Magdeburg ƒ Videoüberwachung im Justizzentrum in Magdeburg. Die auffällige Zunahme von Videoüberwachung ist ein Zeichen für den fortschreitenden Präventionsstaat, der unverhältnismäßig alle Menschen ohne Verdachtsmomente erfasst. Doch die Mahnungen des Bundesverfassungsgerichts werden 25 Jahre nach dem Volkszählungsurteil von 1983

509

DUD REPORT

strikter. Niemand muss sich rechtfertigen, wenn er seine Privatsphäre verbergen will. Der Landesbeauftragte warnt daher stets: Achtung! Grundrechte! Der Schutz des Persönlichkeitsrechts dient dem Schutz vor Gefährdungen durch Recht und Technik. Auch wenn sich das Verständnis von Privatheit stark gewandelt hat, ist die freie Gesellschaft mit gläsernen Menschen unvereinbar.

Schirmherrschaft des BMI bestätigt: Verein Deutschland sicher im Netz Das Bundesministerium des Innern hat am 05. Juni 2009 die Fortführung der seit Juni 2007 bestehenden Schirmherrschaft mit dem Verein „Deutschland sicher im Netz e.V.“ beschlossen. Der als Ergebnis des ersten IT-Gipfels im Jahr 2007 gegründete Verein trägt mit seinen Mitgliedern zu einer vielschichtigen Aufklärung zum Thema IT-Sicherheit bei. In seinem Schreiben an den Vorstandsvorsitzenden des Vereins, Herrn Prof. Dieter Kempf, teilt Bundesinnenminister Dr. Wolfgang Schäuble mit, dass die in den letzten zwei Jahren gemeinsam durchgeführten Initiativen das Thema IT-Sicherheit stärker in das Bewusstsein der Bürgerinnen und Bürger gebracht haben. Aber auch kleine und mittelständische Unternehmen können über den Verein Informationen über einen sicheren Umgang mit dem Internet und der IT bekommen. Bundesinnenminister Schäuble dankt dem Verein für die bisher geleistete Arbeit und begrüßt die Fortsetzung dieser vertrauensvollen Zusammenarbeit. In den vergangenen Jahren hat Deutschland sicher im Netz unter anderem Dialoge zwischen Experten aus Wirtschaft, Wissenschaft und Verwaltung zum Thema „Aufklärung und Sensibilisierung im Zeichen der IT-Sicherheit“ initiiert und sich bei der Stärkung der Medienkompetenz von Kindern und Jugendlichen durch die „Internauten-Initiative“ mit der Einführung des Medienkoffers engagiert. Unter www.dsin. de erhalten Kinder, Jugendliche, Eltern, Lehrer und alle anderen interessierten Bürgerinnen und Bürger Informationen, wie sie ihr Verhalten im Internet sicher gestalten können. Außerdem ist unter dieser Adresse die Internetbeschwerdestelle erreichbar, die Beschwerden über illegale und schädigende Internetinhalte annimmt.

510

Der Bundesinnenminister weist in seinem Schreiben weiter darauf hin, dass das Thema IT-Sicherheit in den nächsten Jahren weiter an Bedeutung gewinnen wird. Es bedarf daher verlässlicher Partner, die die Bundesregierung in ihrer Arbeit engagiert unterstützen. Eines der IT-Leuchtturmprojekte der Bundesregierung, den elektronischen Personalausweis, der im November 2010 eingeführt wird, will der Verein medienwirksam unterstützen und somit auch weiterhin einen wesentlichen Beitrag zur Verbesserung der IT- und Internetsicherheit leisten.

Projekt „Verbraucherrechte in der digitalen Welt“ Am 01. Januar 2009 startete das Projekt „Verbraucherrechte in der digitalen Welt“ des Verbraucherzentrale Bundesverbandes. Es wird finanziell gefördert vom Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz. Ziel des Projekts ist, die Verbraucher zu befähigen, sich sicher im Internet zu bewegen und aktiv zu partizipieren. Hierfür sind eine breit angelegte Aufklärungs- und Informationskampagne geplant und die rechtliche Überprüfung von Internetangeboten und Internetportalen. Knapp zwei Drittel der deutschen Bevölkerung nutzen regelmäßig das Internet: Suchmaschinen, Webmail-Dienste, Auktionsplattformen und Nachschlagewerke sind Teil des Alltags vieler Verbraucher und aus diesem nicht mehr hinweg zu denken. Das gesellschaftliche Leben verlagert sich zunehmend in virtuelle Lebensräume wie Soziale Netzwerke, Blogs, Instant Messenger und Spiele-Portale. Die digitale Welt bietet den Verbrauchern jedoch nicht nur die Vorzüge einer unkomplizierten Kommunikation und Vereinfachung des Alltags. Bei der Nutzung einiger Plattformen stehen die Verbraucher vor zivil- und datenschutzrechtlichen Problemen. Welche Angaben sind wirklich notwendig? Welche Pflichten hat der Anbieter? Gefahren wie Datenmissbrauch, sogenannte Identitätsdiebstähle, Cyber-Mobbing und Hacking sind real und verunsichern die Nutzer. Auch Kinder und Jugendliche geraten ins Visier geschäftstüchtiger oder gar krimineller Internet-Anbieter. Der Internetmarkt bietet der Wirtschaft neue Formen unterschiedlichster, teils rechtlich unzulässiger Geschäftsmodelle.

Die intensive Aufklärung der Öffentlichkeit und eine stärkere Sensibilisierung der Nutzer im Umgang mit Angeboten und Diensten im Internet sind daher erforderlich. Über die projektbezogene Internetseite www.surfer-haben-rechte.de wird Verbrauchern und Multiplikatoren ab Sommer 2009 ein breites Informationsangebot zum Thema bereit gestellt. Darüber hinaus wird der Verbraucherzentrale Bundesverband beispielhaft Angebote im Internet einer rechtlichen Überprüfung unterziehen und gegebenenfalls auf Unterlassung klagen. Das vom Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz finanziell geförderte Projekt hat eine Laufzeit von zwei Jahren.

EDÖB: Evaluation 2009 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat den Auftrag, dem Bundesrat über Vollzug, Wirksamkeit und Umsetzungskosten des Öffentlichkeitsgesetzes Bericht zu erstatten. Der erste Bericht, laut Gesetz drei Jahre nach Inkrafttreten des Gesetzes fällig, liegt nun vor. Aus Gründen der Objektivität entschied sich der EDÖB, eine externe Stelle mit der in Art. 19 BGÖ vorgeschriebenen Evaluation zu beauftragen. Evaluationsbericht des IDHEAP

Der EDÖB hat im Sommer 2008 das L‘Institut de hautes études en administration publique (IDHEAP) damit beauftragt, die Evaluation durchzuführen. Das IDHEAPTeam baute seine Untersuchung auf Dokumentenanalysen und qualitativen Interviews auf. Es konsultierte eine große Anzahl der Öffentlichkeitsberater der Bundesverwaltung und eine Expertengruppe bestehend aus Personen aus dem Journalismus, dem universitären Umfeld und einigen hohen Departementsvertretern. Nun liegen die umfassenden Resultate vor. Zum einen folgert das Evaluationsteam, dass sowohl die für die Umsetzung getätigten Investitionen wie auch die jährlichen Kosten für die Gesuchsbehandlung sehr bescheiden sind. Zum anderen nennt es mehrere Elemente, die darauf hindeuten, dass es eine positive Entwicklung in Bezug auf die Zugänglichkeit amtlicher Dokumente gibt. Gleichzeitig zeigen die Experten des IDHEAP Verbesserungspotential in zahlreichen Bereichen auf. Basierend auf den Ergebnissen ihrer Evaluation formulierten sie ihre Empfeh-

DuD t Datenschutz und Datensicherheit

8 | 2009

DUD REPORT

lungen für eine transparente Bundesverwaltung. IDHEAP-Evaluationsbericht (Auszüge): www.edoeb.admin.ch/dokumentation/00652/01405/index.html?lang=de Begleitbericht des EDÖB

In seinem Begleitbericht an den Bundesrat teilt der EDÖB die Befunde des Evaluationsteams großmehrheitlich. Nach drei Jahren Erfahrung kommt er zum Schluss, dass die Umsetzung des Öffentlichkeitsprinzips in der Bundesverwaltung grundsätzlich den Erwartungen entspricht, die Bundesrat und Parlament während des Gesetzgebungsprozesses geäußert haben. Auch der EDÖB ortet beim Vollzug einige Schwachstellen und zeigt in seinem eigenen Bericht auf, in welchen Bereichen er Handlungsbedarf sieht. Begleitbericht des EDÖB an den Bundesrat: www.edoeb.admin.ch/dokumentation/00652/01405/index.html?lang=de

Kommunikationsmöglichkeiten des Internets zu haben. Art. 5 und 11 des Gesetzes ermöglichten es einer Kommission, den Internetzugang zu beschränken oder gänzlich zu unterbinden. Eine solche Befugnis dürfe aber keiner Behörde übertragen werden, ein solcher Eingriff könne höchstens durch Gerichte vorgenommen werden. Das Gesetz trat daher ohne die umstrittenen Eingriffsmöglichkeiten des Staats in Kraft. Das Verfassungsgericht hat sie allerdings nicht für gänzlich unzulässig erklärt, sondern verlangt, dass nur Gerichte solche Eingriffe anordnen dürfen. Es bleibt daher abzuwarten, ob der am 23.6.2009 ernannte französische Kulturminister Frédéric Mitterrand das Vorhaben weiter betreibt und einen den verfassungsrechtlichen Vorgaben angepassten neuen Gesetzesentwurf vorlegen wird. Prof. Dr. Joachim Gruber D.E.A. (Paris I), Westsächsische Hochschule Zwickau

Joachim Gruber

Frankreich: Internetgesetz (loi Hadopi) in Kraft Im französischen Gesetzblatt (Journal officiel) vom 13.6.2009 wurde das neue französische Internetgesetz verkündet, das im allgemeinen Sprachgebrauch in Frankreich „loi Hadopi“ genannt wird. Namensgeber des Gesetzes, das eigentlich „loi no. 2009669 favorisant la diffusion et la protection de la création sur internet“ heißt, ist die mit diesem Gesetz geschaffene neue Behörde (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet, abgekürzt Hadopi). Deren wichtigste Aufgabe ist es, gegen das unerlaubte Herunterladen urheberrechtlich geschützter Werke aus dem Internet vorzugehen. Dieses Gesetz war in der Öffentlichkeit stark umstritten. Hauptstreitpunkt war die in den Art. 5 und 11 des Gesetzes enthaltene Befugnis der Verwaltung, bei Verstößen gegen das Urheberrecht den Internetzugang des Delinquenten zu kappen. In einer Entscheidung vom 10.6.2009 (Az. 2009580 DC) hat das französische Verfassungsgericht (Conseil constitutionnel) die entsprechenden Bestimmungen in Art. 5 und 11 des Gesetzes aufgehoben. Es begründete diese Aufhebung damit, dass die Meinungsfreiheit durch Art. 11 der Erklärung der Menschen- und Bürgerrechte von 1789 geschützt werde. Diese Freiheit beinhalte heutzutage angesichts der Bedeutung des Internets auch die Freiheit, Zugang zu den DuD t Datenschutz und Datensicherheit

Forschungspreis des Europäischen Forschungsrates (ERC) vergeben Das European Research Council hat den Saarbrücker Informatik-Professor Michael Backes mit dem ERC Starting Grant ausgezeichnet. Dieser hoch dotierte Preis wird seit 2007 an international herausragende Nachwuchswissenschaftler vergeben, um ihnen exzellente Forschungsbedingungen zu ermöglichen. Die auserwählten Wissenschaftler müssen auf ihrem Forschungsgebiet schon frühzeitig außergewöhnliche Leistungen vorweisen können. Michael Backes, ist seit 2006 Professor für Informationssicherheit und Kryptographie an der Universität des Saarlandes. Vor zwei Jahren hat die Max-Planck-Gesellschaft (MPG) außerdem Michael Backes zum Max Planck Fellow ernannt. Mit der Auszeichnung verbunden ist die Leitung einer Arbeitsgruppe am Max-Planck-Institut für Softwaresysteme am Standort Saarbrücken. Im Mittelpunkt der Forschungen von Prof. Michael Backes stehen die Informationssicherheit und moderne Kryptographie. Dazu gehört zum Beispiel die Frage, wie neuartige kryptographische Verfahren und Beweistechniken das Internet und die mobile Datenübertragung sicherer machen können. Mit dem ERC Grant möchte Professor Backes an der so genannten „End-to-EndSecurity“ forschen. Dabei sollen neue Methoden und Werkzeuge entwickelt werden,

8 | 2009

die dabei helfen, dass man informationstechnische Produkte von den ersten Ideen, über „Entwürfe auf dem Reißbrett“ bis hin zur Entwicklung und dem Test des lauffähigen Programms sicher gestaltet. Michael Backes ist Mitverfasser von mehr als 80 internationalen Veröffentlichungen in diesen Bereichen. Außerdem war er Mitglied und Vorsitzender von Programmausschüssen verschiedener internationaler Konferenzen und Workshops der Informationssicherheit und der Kryptographie. Der erst 31-jährige Michael Backes stammt aus dem Saarland und hat in Saarbrücken Informatik und Mathematik studiert und über ein Thema der Informationssicherheit promoviert. Anschließend forschte er drei Jahren lang auf diesem Gebiet im IBM-Forschungslabor in Zürich. Dort war er verantwortlich für die Forschung im Bereich der Sicherheit von Web Services sowie der Verknüpfung der maschinell durchführbaren Analyse von Sicherheitsprotokollen mit der zugrunde liegenden Kryptographie. Das European Research Council ist der Förderung europäischer Spitzenforschung gewidmet. Die ERC Starting Grants wurden erst zum zweiten Mal vergeben. Weitere Informationen: http://erc.europa.eu und www.infsec.cs.uni-sb.de.

Deutschland beginnt den Wirkbetrieb des ICAO Public Key Directory Als erster Staat in Europa hat Deutschland damit begonnen, Echtdaten für die Kontrolle der Chipsignatur im elektronischen Reisepass (ePass) in das ICAO Public Key Directory (PKD) einzustellen. Damit ist ein entscheidender erster Schritt zum weltweiten sicheren Einsatz des ePass bei automatisierten Grenzkontrollen und bei der biometriegestützten Identitätssicherung getan. Die Internationale Zivilluftfahrt-Organisation der Vereinten Nationen ICAO hat das Public Key Directory Anfang 2007 in Betrieb genommen. Das PKD ist ein weltweiter elektronischer Verzeichnisdienst für Zertifikate, die die Überprüfung der Echtheit und Unverfälschtheit des Chips in elektronischen Reisepässen bei Grenzkontrollen und anderen hoheitlichen Überprüfungen im Inland erleichtern. Die technischen Arbeiten zur Anbindung des Bundesamtes für Sicherheit in der Informationstechnik an das PKD wurden nunmehr abgeschlossen,

511

DUD REPORT

so dass mit dem Laden der Echtdaten in das PKD begonnen werden konnte. Der in Deutschland seit dem 1. November 2007 ausgestellte elektronische Reisepass enthält einen kontaktlosen Chip, auf dem die biografischen Daten der Passdatenseite wie beispielsweise Name, Vorname, sowie das Lichtbild und zwei Fingerabdrücke des Inhabers gespeichert sind. Der Chip ist mit einer elektronischen Signatur gegen Verfälschung der gespeicherten Daten geschützt. Daneben ist es möglich festzustellen, ob der Chip illegal gegen eine Komplettfälschung ersetzt wurde. Ohne die Mitwirkung des Inhabers können die biografischen Daten und das Lichtbild nicht ausgelesen werden (Basic Access Control). Das Auslesen der Fingerabdrücke ist nur möglich, wenn der auslesenden Stelle (z. B. Grenzkontrolle) dazu im Vorfeld eine ausdrückliche Genehmigung der Bundesrepublik Deutschland erteilt wurde (Extended Access Control). Mit den im PKD eingestellten Daten ist das Auslesen der Fingerabdrücke nicht möglich. Das PKD vereinfacht den Austausch der Zertifikate zur ePass- Prüfung erheblich. Nach einem sicheren Erstaustausch können alle folgenden Aktualisierungen elektronisch über das PKD erfolgen. Zudem erfolgt vor der Freigabe zum Abruf eine Prüfung der im PKD enthaltenen Daten auf Einhaltung der technischen Spezifikationen. Diese Maßnahmen sparen langfristig erhebliche Ressourcen und sichern die Qualität.

gematik zertifiziert ICW Healthcare Connector Die gematik, Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, hat den ICW Healthcare Connector based on SINA für den Online-Einsatz in den offiziellen Gesundheitskarten-Testregionen freigegeben. Damit lassen sich die Versicherten-Stammdaten (z.B. Name, Krankenversicherungsnummer, Versicherten- und Zuzahlungs-Status) auf der elektronischen Gesundheitskarte (eGK) online aktualisieren. Der ICW Healthcare Connector based on SINA ist eine gemeinsame Entwicklung von InterComponentWare AG (ICW) und secunet Security Networks AG (secunet). Das ProOnline-VSDD Szenario beschreibt die praxisnahe Erprobung der Online-Prüfung und -Aktualisierung der Versichertendaten in den Testregionen. Mit der Freigabe durch die gematik kann jetzt der Versichertenstammdatendienst (VSDD) – ein 512

zentraler Bestandteil der Telematik-Infrastruktur – im Feldtest eingesetzt werden. Der Versicherte weist mit seinen Versicherten-Stammdaten (VSD) nach, dass er vertragsärztliche Versorgungsleistungen in Anspruch nehmen darf. Der Arzt nutzt die VSD als Abrechnungsgrundlage mit der Kassenärztlichen Vereinigung bzw. der Gesetzlichen Krankenversicherung. Im Rahmen des AOK Hausarztprogramms in Baden-Württemberg nutzt bereits etwa die Hälfte der rund 3000 teilnehmenden Ärzte einen ICW Healthcare Connector und die dahinter liegende Infrastruktur zur hochsicheren O nline Abre chnung ihrer Leistungen und die Möglichkeit einer tagesaktuellen Verordnung von Medikamenten. Der ICW Healthcare Connector kann remote verwaltet und aktualisiert werden. Hierdurch entfallen aufwendige und den Praxisablauf störende Vor-Ort-Einsätze. Durch die Anbindung an MehrwertdienstePlattformen ermöglicht er darüber hinaus die sichere Kommunikation mit weiteren eHealth-Online-Diensten. Der ICW Healthcare Connector based on SINA vereint höchste Sicherheitsstandards mit Strom sparender Technologie und ansprechendem Design. Er kommt ohne aktive Kühlung aus und arbeitet deshalb völlig geräuschlos. Er ist auf der Basis der SINATechnologie von secunet entwickelt worden, mit der seit langem hochsichere Verbindungen über öffentliche Netze realisiert werden: Zahlreiche Behörden im In- und Ausland schützen damit ihren Datenverkehr. ICW entwickelte die Hardware, die Fertigung erfolgt ausschließlich in Deutschland. Weitere Informationen unter www.icw.de.

Soziale Netzwerke mit mangelndem Fair-Play Der Verbraucherzentrale Bundesverband (www.vzbv.de) nimmt die Anbieter Sozialer Netzwerke ins Visier. Gegen die Plattformen MySpace, Facebook, lokalisten.de, wer-kennt-wen.de und Xing leitete der Verband Unterlassungsverfahren ein. „Die Bedeutung Sozialer Netzwerke nimmt stetig zu. Jetzt müssen die Betreiber ihre Hausaufgaben in Sachen Verbraucherschutz machen“, so Vorstand Gerd Billen. Die Aktion wird koordiniert vom neuen vzbv-Projekt „Verbraucherrechte in der Digitalen Welt“. In der Kritik stehen Vertragsbedingungen und Datenschutzbestimmungen, die Nut-

zer benachteiligen und den Betreibern weitgehende Rechte einräumen. Gegenstand der aktuellen Verfahren sind insbesondere Regelungen zur umfassenden Datennutzung und -verarbeitung. Diese erfolgen oft ohne Einwilligung des Nutzers und weit über den eigentlichen Zweck hinaus. Verbraucher wissen oft nicht, worauf sie sich mit der Zustimmung zu den Geschäftsbedingungen und Datenschutzregelungen einlassen. Weitreichende Klauseln zur Datenverarbeitung seien selbst dann problematisch, wenn die Anbieter angeben, davon keinen Gebrauch zu machen. Anbieter könnten von den Daten ohne Zustimmung und Wissen der Nutzer intensiv Gebrauch machen – zum Beispiel Verhaltensdaten der Benutzer auswerten, ohne dass diese hiervon etwas wissen oder Profildaten Dritten zugänglich machen. Der Verbraucherzentrale Bundesverband fordert die Anbieter auf, Voreinstellungen für die Datennutzung schon bei der Registrierung nutzerfreundlich zu gestalten. Dies gelte zum einen für jede Form der Werbung. Zum anderen aber müssten die Verbraucher auch darüber entscheiden können, ob sie möchten, dass ihre Daten über Suchmaschinen aufzufinden sind. Auch beim Urheberrecht liegt hier einiges im Argen: einige Anbieter lassen sich laut AGB vom Nutzer umfängliche Rechte an von ihnen erstellten Inhalten übertragen. Daraufhin können sie mit den Inhalten nach Belieben verfahren, etwa könnte ein Privatfoto ungefragt in einer Zeitung oder im Fernsehen landen. Außerdem behalten sich einige Anbieter das Recht vor, „aus beliebigen Gründen“ Inhalte zu löschen oder gar „ohne vorherige Mitteilung“ und „ohne Angabe von Gründen“ den Zugang für Mitglieder zu sperren. Soziale Netzwerke sind für Millionen Menschen weltweit attraktiv: Der Weltmarktführer Facebook zählt weltweit mehr als 200 Millionen Nutzer, davon in Deutschland 3,25 Millionen. Bei Wer-Kennt-Wen sind laut Betreiber derzeit 6,5 Millionen Nutzer angemeldet, bei Lokalisten laut Betreiber mehr als 3 Millionen Nutzer. Xing nennt knapp 2,7 Millionen Mitglieder in Deutschland. Der Verbraucherzentrale Bundesverband hat zusammen mit mehr als 80 internationalen Verbraucherschutzverbänden im Mai 2009 ein Papier mit Forderungen an die Betreiber Sozialer Netzwerke und die Politik erarbeitet. Es ist in englischer Sprache auf der Webseite des Trans Atlantic Consumer Dialogue abrufbar.

DuD t Datenschutz und Datensicherheit

8 | 2009

DUD REPORT

Symposium zur Sozialen Funktion verdeckter Kommunikation Das Ilse Arlt Institut veranstaltet in Kooperation mit dem Institut für IT Sicherheitsforschung der Fachhochschule St. Pölten im Rahmen des Kiras Sicherheitsforschungsprojektes „StegIT“ ein Symposium zu „Steganografie und Technikfolgen“ am 24. September 2009. Neben Referaten von u.a. Mag. Dr. Walter Peissl (Akademie der Wissenschaften) und Univ. Prof. Dr. Ina Wagner (Institut für Gestaltungs- und Wirkungsforschung der TU Wien) findet zum Abschluss der Veranstaltung eine Podiumsdiskussion statt. Unter der Moderation von Dr. Wolfgang Vyslozil, Rektor der FH St. Pölten, diskutieren mitunter der grüne Abgeordnete Dr. Peter Pilz, ao. Univ. Prof. Gerald Steinhardt (Dekan der Fakultät für Informatik der TU Wien), Generalleutnant Peter Prechtl (Vollzugsdirektion) sowie VertreterInnen des BMI und BMLV. Über den Ablauf des Symposiums, die ReferentInnen und Organisatorisches informiert die Symposiums-Website: http://inclusion.fhstp.ac.at/symposium.

le in ihrem Sachverhalt dargestellt. Es wird auch aufgezeigt, wie sich nach Auffassung der Datenschutzbehörden die Verantwortlichen bei Beachtung der gesetzlichen Vorgaben datenschutzkonform hätten verhalten müssen. In der nun online zur Verfügung stehenden Dokumentensammlung sind derzeit über 160 der bislang rund 400 veröffentlichten Tätigkeitsberichte der auf Landes- und Bundesebene agierenden amtlichen Datenschützer gesammelt. Das Portal wird kontinuierlich aktualisiert. Zugleich wird es schrittweise bis in die Frühzeit der Datenschutzgesetzgebung (1970) vervollständigt. Damit ist ZAfTDa.de eine nützliche Adresse für Recherchen zu unterschiedlichen Zwecken. Das Internetportal bietet eine schnelle und praktische Hilfe für Datenschutzbeauftragte im öffentlichen Dienst und der Privatwirtschaft, für Behördenund Unternehmensleitungen, Personalvertretungen, die Fachpresse, Wissenschaftler und Forschungseinrichtungen sowie interessierte Laien. Das Zentralarchiv ist im Internet unter den Adressen www.fh-giessen- friedberg.de/zaftda und www.zaftda.de zu finden.

Datenschutzarchiv im Internet

Datenschutz auf Knopfdruck

An der Fachhochschule Gießen-Friedberg ist ein Zentralarchiv eingerichtet worden, das alle Tätigkeitsberichte von Datenschutzbeauftragten der Länder und des Bundes unter einer zentralen Adresse online zugänglich macht. Die Publikationen der Aufsichtsbehörden für den Datenschutz sind dort ebenfalls abrufbar. Hajo Köppen, der Datenschutzbeauftragte der FH Gießen-Friedberg, leitet an der Hochschule das Projekt „Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz (ZAfTDa)“. Als Gründe für die Einrichtung des neuen Internetportals nennt er: „Die Tätigkeitsberichte sind eine wahre Fundgrube für alle, die sich aus beruflichem, wissenschaftlichem und auch privatem Interesse mit Datenschutzfragen befassen. Das ZAfTDa schafft erstmals eine zentrale Zugangsmöglichkeit auf die Datenschutzberichte.“ Eine Vielzahl von Datenschutzproblemen, wie sie in der behördlichen und betrieblichen Praxis auftreten, wird in den erfassten Tätigkeitsberichten beschrieben. Dabei sind nicht nur die verschiedenen Fäl-

Im BWRmed!a-Verlag ist die erste Marktübersicht von Software für Datenschutzbeauftragte erschienen. Darüber informieren die Autoren vom Arbeitskreis „Software“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. Am Markt tummeln sich zahlreiche Softwaretools, die dem Datenschutzbeauftragten dafür ihre Unterstützung anbieten. Die Bandbreite der Programme reicht von einfachen Verzeichnisgeneratoren bis zu netzwerkfähigen Paketen für Konzerndatenschutzbeauftragte oder Mehrmandantenlösungen für externe Berater. Bisher fehlte eine Marktübersicht, die dem zukünftigen Nutzer die Auswahl erleichtert. Für diese Aufgabe hat sich ein Arbeitskreis im Berufsverband gebildet und im BWRmed!a-Verlag einen Partner für die Veröffentlichung gefunden. Durch die Befragung von über 250 Datenschutzbeauftragten wurden im Vorfeld die Erwartungen und besonderen Anforderungen der Anwender ermittelt. Nach umfangreichen Tests und Vorführungen liegt im Ergebnis eine Dokumentation vor, die 15 am Markt verfügbare Angebote beschreibt und vergleicht.

DuD t Datenschutz und Datensicherheit

8 | 2009

Die Übersicht ist im BWRmed!a Verlag erhältlich. Mitglieder des BvD und Abonnenten von „Datenschutz aktuell“ erhalten die Dokumentation zu Sonderkonditionen. Link zum Shop: http://www.bwr-media.de/ shop/detail/?aid=2003310&cID=107&prodGr oup=Buch.

it-sa Benefiz engagiert sich bei Deutschland sicher im Netz e.V. Deutsche Studenten sind unzufrieden mit den Lehrangeboten ihrer Hochschulen zum Thema IT-Sicherheit. Über 60 Prozent der Studenten der Informatik und benachbarter Studiengänge wünschen sich mehr bzw. andere Lehrveranstaltungsangebote. Zu diesem Ergebnis kam die Studie zur ITSicherheit, einem von der Software AG getragenen DsiN-Handlungsversprechen. Gemeinsam mit Neumitglied it-sa Benefiz e.V. bringt Deutschland sicher im Netz e.V. (DsiN) auf der neuen IT-Sicherheitsmesse itsa im Oktober 2009 in Nürnberg Studenten, Professoren und IT-Wirtschaft zusammen. Geplant sind ein MesseCampus mit offenen Vortragsforen und der anschließende Besuch bei ausgewählten Ausstellern zum Thema IT-Sicherheit. Neben Kontakten für Diplomarbeiten und Praktika soll die Messe den Studierenden den Stellenwert der IT-Sicherheit im Bereich der Informatik und für ihre weitere Karriereplanung vermitteln. Auch Unternehmen können ihre Kontakte in die Wissenschaft und zu potentiellen Mitarbeitern intensivieren. Gegründet wurde it-sa Benefiz e.V. mit Unterstützung der SecuMedia Verlags-GmbH, die 2009 erstmals die IT-Sicherheitsmesse it-sa in Nürnberg veranstalten wird. Der Verein it-sa Benefiz e.V. hat das Ziel, Wissenschaft und Forschung sowie Bildung und Erziehung im Bereich IT-Sicherheit zu fördern. Insbesondere fördert der Verein das Fachgebiet IT-Sicherheit innerhalb des Informatik-Studiums sowie die Sensibilisierung für Gefahren der Informationstechnik und des Internets im Rahmen von Aus- und Fortbildung.

Sparkasse Worms-Alzey-Ried nutzt „chipTAN comfort“Verfahren Die Sparkasse Worms-Alzey-Ried ist bundesweit eines der ersten Kreditinstitute, dessen Privatkunden mit dem so genann513

DUD REPORT

ten „chipTAN comfort“-Verfahren ab sofort eine neue Sicherheitstechnologie für das Online-Banking nutzen können. Zusammen mit dem Geschäftsführer der KOBIL Systems GmbH (www.kobil.com), Ismet Koyun, stellte Sparkassendirektor Franz Horch das Verfahren in der praktischen Anwendung in Worms vor. Beim chipTAN-Verfahren wird keine Liste mit Transaktionsnummern (TAN) mehr benötigt. Stattdessen kommt die gewohnte SparkassenCard gemeinsam mit einem handlichen Lesegerät zum Einsatz. Um das Verfahren nutzen zu können, ist eine entsprechende Freischaltung durch die Bank erforderlich. Über den PC-Bildschirm werden Transaktionsdaten, wie z.B. Empfängerkontonummer und Betrag, über optische Sensoren automatisch in das Lesegerät übernommen und im Display nochmals zur Kontrolle und Bestätigung angezeigt. So kann der Nutzer die Richtigkeit der an die Sparkasse übertragenen Auftragsdaten einfach kontrollieren. Auf dem goldenen Chip der gesteckten Karte wird dann eine TAN errechnet und im Display des Lesegerätes angezeigt. Diese wird, wie beim heutigen Verfahren bereits angewendet, in das entsprechende Feld der Überweisungsvorlage in den Computer eingegeben. Jede TAN wird für eine spezielle Transaktion berechnet und kann auch nur für diese einmalig genutzt werden.

Rössing zum International Vice President der ISACA gewählt Rolf v. Rössing CISA, CISM, CGEIT, vormals Partner und derzeit externer Berater der KPMG, wurde anlässlich der internationalen Konferenz der ISACA (Information Systems Audit and Control Association) in Los Angeles am 21. Juli 2009 in sein Amt als International Vice President im Vorstand berufen. ISACA ist ein gemeinnütziger Berufsverband mit über 86000 Mitgliedern aus den Berufsfeldern IT-Governance, Prüfung und Informationssicherheit und ist in mehr als 160 Ländern vertreten. V. Rössing übernimmt erneut das Mandat im Stiftungsrat des IT Governance Institute, der Forschungsstiftung des Verbands. Das ITGI wurde 1998 errichtet, um die Ausrichtung der Informationstechnologie auf die Unternehmensziele zu fördern. Der 1969 gegründete Verband entwickelt international anerkannte Standards für die IT-Prüfung, unterstützt die weltweite Fort514

bildung und erteilt die Zertifizierungen zum Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) sowie Certified in the Governance of Enterprise IT (CGEIT). ISACA ist überdies Herausgeber des international anerkannten COBIT-Framework für IT-Governance und des Val IT Framework, des maßgeblichen Standards für IT-Wertschöpfung und Management IT-gestützter Geschäftsprozessoptimierung. Ebenfalls in ihr Amt in Vorstand und Stiftungsrat berufen wurden sieben weitere ITExpertinnen und -experten. Emil d´Angelo CISA, CISM, Senior Vice President of Corporate Data Security bei der Bank of Tokyo Mitsubishi, übernimmt das Amt des International President. In den Vorstand wiedergewählt wurden George Ataya CISA, CISM, CGEIT, CISSP, Professor an der Solvay Business School (Belgien); Yonosuke Harada CISA, CISM, CAIS, Exective Director der InfoCom Research Inc. (Japan); José Angel Peña Ibarra CGEIT, Parter bei Alintec (Mexiko); Kenneth L. Vander Wal CISA, CPA, vormals Partner bei Ernst & Young (USA). Ria Lucas CISA, CGEIT, Manager bei Telstra Corporation Ltd. (Australien) wurde als Vice President neu in die Gremien gewählt. Einzelheiten zu allen genannten Personen und mehr Informationen zu ISACA sind unter www.isaca.org/board verfügbar.

sich aufgrund der Markenbekanntheit oder Erkennungsrate für einen Virenschutz entscheiden, legen gut sechs Prozent (586 Teilnehmer) hauptsächlich Wert auf zusätzliche Features. So sollte ihrer Meinung nach eine Antivirensoftware neben dem Basisschutz über weitere Funktionen wie Online-Backup, Firewall und andere Features verfügen. Diesen Anwendern bietet Avira beispielsweise mit seiner Premium Security Suite neben dem kompletten Sicherheitspaket auch Schutz gegen Ad- und Spyware, Dialer, Phishing sowie Spam. Die Suite sichert Emails und schützt das System zudem mit Firewall und WebGuard. Bei der aktuellen Bedrohungslage aus dem Internet legen die Verbraucher insgesamt inzwischen ein hohes Sicherheitsbewusstsein an den Tag: Nur sechs Prozent der Befragten (532 Teilnehmer) gaben an, sich nicht mit Virenschutz auseinanderzusetzen. Eine kleine Minderheit von fünf Prozent legt bei ihrer Auswahl der Schutz-Software nur Wert auf Äußerlichkeiten und entscheidet sich für die Antivirensoftware, die mit einer übersichtlichen Oberfläche und intuitiven Bedienung aufwartet.

Bekanntheit und Leistung werden beim Virenschutz großgeschrieben

Unternehmen und Institutionen aus dem Life Science- und Gesundheitssegment stellen mehr und mehr die Datensicherheit ins Zentrum ihrer Bemühungen. Dabei verfügen insbesondere europäische Anbieter über eine formal festgelegte, dokumentierte Sicherheitsstrategie. Im Unterschied zu anderen Playern aus aller Welt sorgen sie sich dabei eher vor externen als internen Sicherheitsrisiken – obwohl auch hier menschliches Versagen zu den drei meistgefürchteten zählt. Große Sorgen machen fast allen Verantwortlichen die Budgets: Sie wachsen deutlich langsamer als die Bedrohungen. Das zeigt die Deloitte-Studie „The time is now – 2009 Life Sciences & Health Care Security Study“, die den Branchen-Status-quo in puncto IT-Sicherheit analysiert. Dazu wurden weltweit die relevanten Hersteller, Dienstleister und Organisationen aus dem Life-Science- und Gesundheitssektor befragt. Bei den untersuchten Unternehmen (Life Science, Gesundheitswesen und Krankenkassen) hat die Bedeutung des CISO (Chief Information Security Officer) über die letz-

In einer Umfrage auf www.free-av.de im Mai 2009 verrieten 9.325 Surfer Avira, nach welchen Kriterien sie ihren Virenschutz auswählen. Die internationale Resonanz zeigt, dass die Anwender besonders den Lösungen etablierter Marken vertrauen. Als ebenso wichtiges Entscheidungskriterium führen die Teilnehmer gute Erkennungsraten bei Malware an. Den Umfrageergebnissen zufolge ist für 34 Prozent (3.207 Teilnehmer) besonders die über lange Zeit etablierte und vertrauenswürdige Marke ausschlaggebend. Mit 33 Prozent (3.077 Teilnehmer) entscheiden sich fast genau so viele Anwender anhand der in Tests erzielten Erkennungsraten von Viren. Darüber hinaus bringt die Umfrage zu Tage, dass sich bei der Auswahl ihres Virenschutzes rund 16 Prozent auf den Rat von Bekannten oder Freunden verlassen. Im Gegensatz zum Großteil der Befragten, die

Deloitte-Studie: “The time is now – 2009 Life Sciences & Health Care Security Study”

DuD t Datenschutz und Datensicherheit

8 | 2009

DUD REPORT

ten Jahre erheblich zugenommen – jedoch in unterschiedlichem Ausmaß: Bei den LifeScience-Unternehmen verfügt mehr als die Hälfte über einen CISO, bei den Gesundheitsanbietern sind es gute 70 Prozent, bei den Krankenkassen hingegen nur 40 Prozent. Charakteristisch für alle ist die kaum vorhandene Konvergenz von physischen und technologischen Sicherheitskonzepten. Bei den Life-Science-Unternehmen fließen die meisten Mittel in Infrastruktur und den Beratungsbereich – nur 30 Prozent verfügen dabei über ein eigenes IT-Sicherheitsbudget, gerade einmal 12 Prozent können ein voll entwickeltes Datenschutzprogramm vorweisen. 60 Prozent der Gesundheitsanbieter haben ein allgemeingültiges Rahmenkonzept für Informationssicherheit, denn mehr als in den anderen Segmenten mussten diese Unternehmen in der Vergangenheit Sicherheitsvorfälle mit Schäden in Millionenhöhe hinnehmen. Die Krankenkassen sehen als bedeutendste Herausforderung die Verbindung von Informationssicherheit mit geschäftlichen Belangen. Darüber hinaus liegt bei nahezu allen Befragten ein Schwergewicht auf der Compliance. Angst vor Mitarbeiterversagen und zu knappen Budgets Spartenübergreifend fürchten sich die Unternehmen und Institute am stärksten vor Datenverlust – vor allem infolge menschlichen Versagens. Entsprechende Sicherheitstechnologien sind bislang jedoch nur teilweise implementiert. Auch das Engagement externer Partner (Outsourcing) insbesondere im Life-Science-Segment stellt aus Sicht der Betroffenen ein erhebliches Risiko dar. Alarmierend ist die Tatsache, dass die finanzielle Ausstattung den steigenden Gefahren immer weniger gerecht wird. Der komplette Report steht unter www.deloitte.com zur Verfügung.

Rasante Zunahme von Spam-Mails mit Kurz-URLs Spam-Mails sind ein Thema von gestern? Von wegen: Wie der Sicherheitsexperte MessageLabs jetzt warnt, nehmen SpamNachrichten mit verkürzten Webadressen derzeit rapide zu. Sie machen, so MessageLabs, mittlerweile mehr als zwei Prozent des gesamten Spam-Aufkommens aus. Viele der beliebten sozialen Netzwerke wie Facebook, StudiVZ und Co. beschränken die Zeichenanzahl für Statusmeldungen DuD t Datenschutz und Datensicherheit

und Nachrichten. Die Nutzung von GratisKurz-URL-Diensten, die lange Webadressen in kürzere umwandeln, hat deshalb rasant an Bedeutung gewonnen. Spammer nutzen dies für ihre Zwecke. Die kurzen URLs helfen Cyberkriminellen, die wahre Zieladresse zu verbergen, auf die ahnungslose Internetnutzer beim Draufklicken geleitet werden. Das Risiko, seinen Rechner dadurch mit Drive-by Malware zu infizieren oder auf Spam-Seiten zu landen, ist enorm. Das Botnetz sDonbotTM nutzt diese Methode und verbreitet so etwa fünf Milliarden Spam-E-Mails pro Tag. Anwender sollten bei Links jeglicher Größe daher extrem vorsichtig sein. Mehr unter: www.lewispr.de.

secunet: SINA Virtual Workstation B erhält BSIZulassung für VS-NfD Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der SINA Virtual Workstation B die Zulassung für die Übertragung und Verarbeitung von VS – Nur für den Dienstgebrauch erteilt. Die neue „B“ Linie der SINA Virtual Workstation ist speziell auf die Verarbeitung von Daten mit mittlerem Schutzbedarf ausgerichtet. Die Zulassung wurde am 15. Juni 2009 erteilt. Die nationale Zulassung schließt die NATO RESTRICTED Zulassung ein. Im nationalen Einsatz können auch RESTREINT UE eingestufte EU-Daten verarbeitet und übertragen werden. Neben der neuen Produktlinie „B“ gibt es weiterhin die SINA Virtual Workstation, die ab sofort den Zusatz „S“ trägt. Sie ist für Anwendungen im Hochsicherheitsbereich geeignet und vom BSI bis zum Zulassungsgrad VS-VERTRAULICH zugelassen. Die SINA Virtual Workstation B wird als Bundle mit Notebook-Hardware, SINA Authentifizierungstoken und vorinstallierter SINA Software geliefert und ist verfügbar. Die in der SINA Virtual Workstation umgesetzte Sicherheitsphilosophie basiert auf der vollständigen Kapselung sämtlicher Komponenten, die mit sensiblen Daten in Berührung kommen. Die Basis bildet das sichere Betriebssystem SINA Linux und ein verschlüsseltes Dateisystem. Durch die Virtualisierungstechnik können beliebige Gastbetriebssysteme inklusive Anwendungssoftware betrieben werden. Bei Verlust oder Diebstahl des Rechners sind die Daten vor unbefugtem Zugriff geschützt. Weitere Informationen unter: www.secunet. com.

8 | 2009

Secardeo: Neue Komplettlösung für PDF-Signaturworkflows pdfGate Workflow ermöglicht zusammen mit den Windows Sharepoint Services 3.0 und MS Office 2007 die Ablösung langwieriger Unterschriftsvorgänge mit Papier durch elektronische Workflows mit digital signierten PDF-Dokumenten. Mit der benutzerfreundlichen und sicheren Lösung können Zeit und Kosten gespart sowie Compliance-Vorgaben erfüllt werden. Das neue Komplettpaket besteht aus Softwarekomponenten, die bereits bei PKI-Anwendern zusammen mit unterschiedlichen Workflow- und DMS-Systemen im Einsatz sind. Neu ist die für Signaturprozesse optimierte Workflowsteuerung auf der Basis der kostenfreien Windows Sharepoint Services (WSS). Mit dem enthaltenen Add-In für MS Office 2007 pdfGate Authorizer wird bereits bei der Erstellung des PDF-Dokuments festgelegt, wer, wo und in welcher Reihenfolge das Dokument unterschreiben soll. Zudem können pro Unterzeichner ein oder mehrere Stellvertreter angegeben werden. Das PDF wird den Beteiligten durch den Workflowserver mit der Komponente pdfGate Sequencer und WSS in der festgelegten Reihenfolge bereitgestellt. Die Teilnehmer können mit Hilfe des Signatur-Applets pdfGate Approver durch einfache PIN- oder Passworteingabe in dem vorbereiteten Feld signieren. Dies geschieht, bis alle benötigten Unterschriften erfolgt sind. Dabei besteht für jeden Teilnehmer auch die Möglichkeit der expliziten Ablehnung der Signatur. Ist der Workflow beendet, erhält der Initiator eine Nachricht. Die Signaturprüfung erfolgt durch pdfGate Verifier, der die Resultate nachvollziehbar in einem strukturierten XML-Bericht aufzeichnet und nach Abschluss des Workflows dem Autor bereitstellt. Die kostengünstige Software-Suite pdfGate Workflow kann nahtlos in eine Windowsumgebung integriert werden. Unsere erfahrenen Mitarbeiter unterstützen die Anwender bei der Installation der Software und ermöglichen so eine rasche Inbetriebnahme. Mit dieser Lösung können unsere namhaften Kunden die Durchlaufzeiten ihrer Unterschriftsprozesse drastisch reduzieren. Weitere Informationen erhalten Sie unter www.secardeo.de.

515

DUD REPORT

Zertificon virtualisiert EmailVerschlüsselungslösung Der Ruf nach Einsparpotenzialen ist in Krisenzeiten besonders laut. Die ideale Ausschöpfung von IT-Ressourcen ist hier oft ein zentraler Bestandteil der Kostenstrategie. Diesem Konzept folgend stellt Zertificon für Unternehmen ein neues Mitglied der Z1 SecureMail-Familie vor: die „Virtual Appliance“. Sie wurde mit dem Fokus auf hohen Komfort und Einfachheit, Effizienz sowie Kosteneinsparungen konzipiert und ermöglicht so einen wirtschaftlichen Einsatz der E-Mail-Verschlüsselungslösungen. Verfügbar ist die „Z1 Appliance SMA V“ für die Plattformen VMware und Xen. Bei der Z1 Appliance-Serie handelt es sich um eine Ready-to-Run- Plattform, die einen einfachen und effizienten Betrieb der Z1Produkte zur E-Mail-Verschlüsselung und Signatur ermöglicht. Die Produkte sind damit als Komplettlösung – kombiniert mit einem Betriebssystem und leistungsfähiger Hardware sowie speziellen ApplianceFunktionalitäten – erhältlich. Die Serie besteht aus verschiedenen Geräten, die alle Zielgruppen von SOHOs bis hin zu größeren Unternehmen und Organisationen adressieren. Das Einsatzspektrum reicht von Einzelinstallationen bis hin zu hochverfügbaren, skalierbaren Clusterlösungen. Virtualisierung für eine dynamische E-MailInfrastruktur Die neue Z1 Virtual Appliance rundet ab sofort das Zertificon-Lösungsportfolio ab. Sie bietet durch die bewährte Z1 Appliance Management Software (in der neuen Version 1.3) den gleichen Bedienkomfort und wirtschaftlichen Betrieb wie die anderen Hardware-Modelle. Features sind z.B. das vollautomatisierte Software- und Sichertheits-Updatesystem sowie die SNMP-Integration. Gerade im Bereich E-Mail-Verschlüsselung spielen Faktoren wie Ausfallsicherheit, Verfügbarkeit und Leistung eine übergeordnete Rolle. Durch unsere Z1 Virtual Appliance stellen wir dies nach dem Motto `Ressources as a Service´sicher. Mehr Informationen sind unter www.zertificon.com zu erhalten.

Veranstaltungsbesprechung Helmut Reimer, Marie-Theres Tinnefeld Fachkonferenz DuD 2009, 8. und 9. Juni 2009 in Berlin

Das Thema Datenschutz ist seit den Skandalen, die selbst renommierte Unterneh516

men betreffen, ein besonderer Schwerpunkt vieler Veranstaltungen unterschiedlicher Couleur. In dieser Arena hat die Fachkonferenz Datenschutz und Datensicherheit (DuD) einen herausragenden Stellenwert: Sie verbindet seit 11 Jahren das inhaltliche Konzept der Veranstaltung mit der Zielgruppe der Fachzeitschrift DuD. Die Organisation der Computas-Fachkonferenz „DuD 2009“ wurde wieder kundig von Gisela Gheus und ihrem Team durchgeführt, die Moderation lag bei den DuD-Mitherausgebern Johann Bizer und Dirk Fox. Die über 100 Teilnehmer (darunter fast 40 neue Gesichter) kamen überwiegend aus dem Kreis der Datenschutzbeauftragten. In seinem Eröffnungsvortrag befasste sich der Ende 2008 für weitere 5 Jahre berufene Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar mit der „Modernisierung des Datenschutzrechts“. Er machte deutlich, dass es sich dabei um eine Baustelle handelt, auf der seit fast zwei Legislaturperioden so gut wie nichts geschehen ist. Auch wenn es dafür Gründe geben mag , sie können nicht darüber hinwegtäuschen, dass in der Sache ein Bauherr mit Durchsetzungskompetenz fehlt. Der Europäische Datenschutzbeauftragte Peter J. Hustinex unterstütze in seinem Vortrag die Forderung von Schaar nach einer Fortschreibung des Datenschutzes in einer durch die Digitaltechnik und das Internet sich ändernden Welt. In seinem Betrag befasste er sich mit dem Thema „Datenschutz im Lichte des Vertrags von Lissabon und die Konsequenzen für heutige Regelungen“, die eine säulenübergreifende Dimension haben.. Er zeichnete die wichtigsten Änderungen im Vertrag auf, die insbesondere auch Auswirkungen auf den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen haben. Er machte deutlich, dass der Vertrag eine allgemeine für alle Bereiche geltende Datenschutzvorschrift einführt und damit das Ende eines bis dato zweigeteilten Datenschutzes für die EU einläutet. Im Gespräch ist auch eine Revision der allgemeinen EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Ein besonderer Schwerpunkt der Konferenz lag auf dem seit Jahren immer noch nicht eigenständig regulierten Bereich des Arbeitsnehmerdatenschutzes. Der kluge Nestor des Datenschutzes Spiros Simitis befasste sich mit diesem heiklen Thema und interpretierte kritisch die vorgesehene Regelung zum Arbeitnehmerdatenschutz im Bundesdatenschutzgesetz (§ 32 BDSG), die

möglichen Folgeänderungen und die jeweiligen Begründungen. Die neue Norm könne jedenfalls kein Ersatz für das dringend notwendige eigenständige Arbeitnehmerdatenschutzgesetz sein. Das sensible Thema „Umgang mit Gesundheitsdaten im Unternehmen“ bereitete Joachim Rieß (Daimler, Konzernbeauftragter für den Datenschutz) mit profunder Sachkenntnis und praxisnah auf. Die „Tücken der Videoüberwachung“ am Arbeitplatz stellte Michael Neumann (Datenschutzbeauftragter Deutsche BP AG) anhand übersichtlich gestalteter Fälle aus der Rechtsprechung dar. In seinen Ausführungen wurde deutlich, dass gerade auch in diesem Bereich eine normenklare Regelung fehlt. Wie bei Rieß zeigten sich aber auch die Potenziale der betrieblichen Mitbestimmung und der Datenschutzbeauftragten, die durch entsprechende gesetzliche Rahmenbedingungen an Wirkkraft gewinnen könnten. Es ist unmöglich in dieser Veranstaltungsbesprechung auf die Beiträge aller Referenten/Referentinnen einzugehen. Für das breite Spektrum der behandelten Themen hier einige Beispiele. Die Datenschutzbeauftragte der Deutschen Post Gabriele Krader konnte in ihrem Beitrag Binding Corporate Rules & Mutual Recognition keinen positiven Impuls über die Auswirkungen von Genehmigungsverfahren vor Aufsichtsbehörden liefern. Trotz der umfangreichen Bemühungen der Artikel-29-Gruppe der europäischen Datenschutzbeauftragten um ein Genehmigungsverfahren mit europäischem Charakter , ist in der Praxis festzustellen, dass infolge der Wechselwirkung der zuständigen Behörden in den einzelnen Staaten der Anforderungskatalog ständig wächst und am Ende ein ‚Standardvertrag der besonderen Art‘ stehen könnte, der die Flexibilität des Vorgehens erheblich reduziert. Leider wird an einem solchen Beispiel das Vorurteil bestätigt, dass Datenschutzziele durch übersteuerte bürokratische Anforderungen geschwächt werden. Sehr deutlich ging der Landesbeauftragte für den Datenschutz Schleswig-Holstein Thilo Weichert auf die längst bestehenden praktischen Probleme mit der informationellen Selbstbestimmung und mit Inhaltsdaten im Internet ein . Einen besonderen Impuls setzte er dabei durch den Hinweis, dass die Grundrechte der freien Meinungsäußerung, der Informationsfreiheit und Pressefreiheit im geltenden BDSG nicht ausreichend berücksichtigt sind, obwohl

DuD t Datenschutz und Datensicherheit

8 | 2009