DUD REPORT
noch nicht aktiv werden können, sind in der Cloud zumeist Informationen über ihn verfügbar. In den Top 10 der auf Anwendercomputern entdeckten Schwachstellen nahm die Verwundbarkeit eines Microsoft-Produktes Rang acht ein. Insgesamt nahmen die Schwachstellen in Adobe-Produkten fünf Positionen in der Zehnerliste ein – davon auch Rang eins und zwei. Der gesamte Malware-Report für das erste Quartal 2011 kann komplett unter www.viruslist.de eingesehen werden.
Microsoft Security Intelligence Report: Hacker nehmen Internetnutzer als Sicherheitslücke ins Visier Der am 12.05.2011 veröffentlichte Microsoft Security Intelligence Report zeigt: Die Sicherheit von Softwareprodukten nimmt zu. Deshalb nutzen Cyberkriminelle immer häufiger Social-Engineering-Methoden wie Phishing, Adware und bösartige Sicherheitssoftware (Rogue-Software), um Internetnutzern wirtschaftlich zu schaden und persönliche Daten zu stehlen. In Deutschland liegt die Rate infizierter Computer bei 5,3 von 1000 überprüfter Systeme (weltweit: 8,7). Die Zahl der Phishing-Attacken über soziale Netzwerke und Gaming-Webseiten ist weltweit um mehr als 1.200 Prozent gestiegen. Verbesserte Softwaresicherheit führt zu immer intelligenteren Angriffsmethoden von Cyberkriminellen, um Internetnutzern wirtschaftlich zu schaden. Das zeigt die zehnte Ausgabe des halbjährlichen Security Intelligence Reports, den die Microsoft Trustworthy Computing Group heute veröffentlichte. Für die Analyse wurden Daten von weltweit mehr als 600 Millionen Computern untersucht und für den Zeitraum von Juni bis Dezember 2010 ausgewertet. Die Ergebnisse zeigen: Das Verhalten von Internetkriminellen geht auseinander. Zum einen gibt es technisch hochentwickelte Angriffe auf lukrative Ziele, um politische Effekte oder große Auszahlungen zu erzielen. Zum anderen setzten die Hacker immer öfter auf so genanntes Social Engineering und versuchen mit scheinbar seriösen Marketingkampagnen und Produktwerbung Verbraucher auf infizierte Webseiten zu locken und Schadsoftware auf ihren Computern zu installieren, um so kleinere Beträge von vielen Menschen zu erbeuten. 508
In Deutschland waren 5,3 von 1000 bereinigten Rechnern mit bösartiger Software (Malware) infiziert. Damit hat sich die Infektionsrate im Vergleich zum Vorjahreszeitraum (2,2 von 1000 überprüfter Systeme) deutlich erhöht. Dennoch liegt Deutschland unter dem weltweiten Durchschnitt von 8,7 von 1000 infizierten Computern. „Mit dem Security Intelligence Report bietet Microsoft eine gute Analyse über die Vorgehensweisen von Internetkriminellen, die hilft den Schutz für die Verbraucher zu verbessern und die Sicherheit der Produkte zu steigern“, sagt Axel Oppermann, Senior Advisor bei der Experton Group. „Die Zahlen belegen wie wichtig es ist, dass Internetnutzer ihre Computer schützen, indem sie aktuelle Softwareprodukte nutzen und Sicherheitsprogramme verwenden.“ Hacker täuschen Nutzer mit Adware und gefälschter Sicherheitssoftware Die Studie belegt, dass sechs der zehn weltweit am stärksten gewachsenen Schadprogrammgruppen zu den Kategorien Rogue-Software, hierbei handelt es sich um gefälschte Sicherheitssoftwareangebote, und Adware zählen. Die Zahl der entdeckten Adware stieg vom zweiten Quartal zum vierten Quartal 2010 um 70 Prozent. Entscheidend für den Anstieg waren neue Programme wie JS/Pornpop und Win32/ ClickPotato, die Verbraucher mit gefälschten Werbeanzeigen im Browser zu infizierten Webseiten und Downloads locken. ClickPotato greift dafür auf das Surfverhalten des Nutzers zurück. Eine weitere Methode der Cyberkriminellen, um persönliche Daten und Geld von nichts ahnenden Nutzern zu erschleichen, sind gefälschte Sicherheitssoftwareangebote. Programme wie Win32/Spyro ähneln sehr seriösen Softwareprodukten und täuschen Schutz vor. Einmal angeklickt installiert sich die Software von selbst auf dem System, um Daten auszuspähen. 2010 konnte Microsoft fast 19 Millionen Computer vor falschen Sicherheitssoftwareanwendungen schützen. Soziale Netzwerke und Gaming-Seiten entwickeln sich zu beliebten Angriffspunkten Ebenso entwickeln sich Soziale Netzwerke und Online-Spielewebseiten zu immer beliebteren Angriffsflächen für so genannte Phishing-Attacken, um an Passwörter und persönliche Daten der Nutzer zu gelangen. Das hinterhältige an dieser Methode: die eigenen Freunde und Kollegen werden
als vermeintliche Absender von PhishingNachrichten missbraucht. Insgesamt macht die Zahl der Phishing-Attacken über soziale Netzwerke mittlerweile 84,5 Prozent aller Phishing-Angriffe aus. Im Vorjahreszeitraum waren es lediglich 8,3 Prozent. Weitere Informationen finden Sie unter: http://www.microsoft.com/...
Veranstaltungsbesprechung Matthias Pocs Tagung „Datenschutz in Europa“ am 5.6. Mai 2011 in Stuttgart Aus dem Anlass, dass die EU-Kommission ihr Gesamtkonzept für den Datenschutz in der EU (KOM(2010)609 endg.) veröffentlichte, trafen sich Experten des Datenschutzrechts am 5. und 6. Mai auf der Tagung „Datenschutz in Europa“. Die Veranstalter Alcatel-Lucent Stiftung für Kommunikationsforschung, Institut für Europäisches Medienrecht und Landesanstalt für Kommunikation Baden-Württemberg hatten sich zum Ziel gesetzt, das Thema „Recht und Technik in der Novellierung der europäischen Datenschutzrichtlinie“ zu diskutieren. Nach einer Begrüßung durch den Präsidenten der Landesanstalt Langheinrich und Direktor der Alcatel-Lucent Stiftung Klumpp leitete der wissenschaftliche Direktor des Instituts für Europäisches Medienrecht Roßnagel die Fachdiskussion zur Modernisierung des Datenschutzes ein. Bereits vor zehn Jahren, als Roßnagel, Garstka und Pfitzmann vom BMI beauftragt wurden, sei der Modernisierungsbedarf erkannt worden. Damals wie heute seien drei Bereiche für die Neufassung des Rechtsrahmens maßgeblich: die Vereinfachung des Datenschutzrechts, seine Ausrichtung an der Risikoadäquanz sowie seine Durchsetzung. Diesbezügliche Rechtsfragen seien eng mit den Ausführungen der Kommission verbunden. Dazu gehörten die Fragen: ob die zwei Ziele der Richtlinie – Datenschutz vs. freier Datenverkehr – miteinander vereinbar sind, ob ihre Regelungen für eine starke Harmonisierung nicht zu abstrakt sind, wie die Modernisierungen in Deutschland und Europa koordiniert werden können, wie Datenschutz bei einer Globalisierung der Datenverarbeitung gewährleistet werden soll und was die Aufgaben des europäischen Datenschutzrechts sind. Nicht als Frage, sondern als Forderung formulierte Roßnagel die Wahl des Harmonisierungsgrads. Eine Vollharmoni-
DuD t Datenschutz und Datensicherheit
7 | 2011
DUD REPORT
sierung dürfe nicht Ziel der künftigen Richtlinie sein, weil damit innerstaatlich weder datenschutzfreundlichere noch innovationsfördernde Regelungen eingeführt werden dürften. Außerdem würden die technischen Spezifika in die abstrakten Begriffe einfließen und aufweichen. In ihrem Vortrag referierte Dehmel von der BITKOM aus Sicht der Internetwirtschaft. Anschließend betrachtete Krisch von EDRi (European Digital Rights) die Novellierung aus Datenschützersicht. Danach stellte der LfD S-H Weichert dar, wie das EU-Datenschutzrecht den Schutz der informationellen Selbstbestimmung verbessern kann. Als Gegengewicht erörterte die KonzernDSBe der Deutschen Post Krader Ansätze, den Datenverkehr in Europa zu verbessern. Zum Abschluss des ersten Tages diskutierten Albrecht (MdEP), Debatin (Ohio University), Dehmel, Hornung (Universität Passau) und Weichert sowie das Publikum übergeordnete Fragen der Datenschutz-Novellierung. So wolle z. B. das EU-Parlament vermeiden, dass das Schutzniveau unter das der gegenwärtigen Richtlinie fällt. Hinsichtlich der Grundrechtecharta – die Rechtsgrundlage der künftigen Richtlinie – müsse man abwarten, wie sich der EuGH mit dem EGMR abstimmen und ob es Rechtsakte der EU aufheben wird. Zudem stellten die Teilnehmer Ansätze für die Modernisierung vor. Aktuelle Fragen wie Cloud Computing erforderten intelligente Verfahrensregeln für den Datenschutz. Außerdem müssten die Aufsichtsbehörden fachlich so kompetent sein, dass sie sich an große Unternehmen heranwagen. Ferner wurde vorgeschlagen, wirtschaftliche Anreize durch die Strafbarkeit von Datenschutzverstößen zu schaffen, und Betroffenen Rechte zu gewähren, ohne dass sie einen monetären Schaden beweisen müssen. Darüber hinaus könne Medienkompetenz nur gestärkt werden, indem die Funktionsweise der Technik sichtbar gemacht wird. Neben dem Gesamtkonzept der Kommission wurden am zweiten Konferenztag das Thema „Datenschutz durch Technik“ sowie zwei speziellere Datenschutzthemen diskutiert. Zunächst zeigte Waidner (CASED) die technischen Möglichkeiten für die Umsetzung von Privacy by Design und Privacy Enhancing Technologies. Danach stellte Hornung in seinem Vortrag dar, welche Anforderungen an Hersteller und Anwender zu stellen sind, um Technik datenschutzfreundlicher zu gestalten. Im nächsten Block referierte Ory (Arbeitsgemeinschaft Privater Rundfunk) zur Modernisierung DuD t Datenschutz und Datensicherheit
des Redaktionsdatenschutzes, bevor Debatin Konzepte der Medienkompetenz und des Selbstdatenschutzes in sozialen Netzwerken vorstellte. Schließlich fasste Roßnagel die Vorträge und Diskussionen zusammen. Statt konkreter Ergebnisse stellte er einen vielfältigen Modernisierungsbedarf fest und griff einzelne Ergebnisse heraus. Ein zentraler Diskussionspunkt war die Wahl des Harmonisierungsgrads bei der Novellierung. Während Roßnagel aus den oben genannten Gründen meint, dass weder eine Verordnung noch eine vollharmonisierende Richtlinie das zu wählende Instrument ist, wurden auch Argumente für eine starke Harmonisierung angeführt. So wurde z. B. auf die Mängel der Richtlinienumsetzung, das Scheitern des Safe Harbor-Abkommens sowie die Stärkung des Binnenmarkts durch Rechtssicherheit hingewiesen. Insgesamt hätte jedoch klarer zwischen Harmonisierung und Präzisierung getrennt werden müssen. Der Anmerkung, dass die künftige Richtlinie nur auf bewährten Erfahrungen der Mitgliedstaaten beruhen sollte und daher spezifische Regelungen, z. B. zu Datenpannen, nicht für die Zukunft festlegen könne, wurde widersprochen. Dies sei keine Frage der Harmonisierung, sondern der Präzisierung. Für abstrakte Begriffe und Prinzipien wäre z. B. eine Vollharmonisierung wünschenswert. Dem wurde wiederum entgegnet, dass abstrakte Begriffe aufgrund kultureller Unterschiede uneinheitlich ausgelegt werden. Das Ziel der Tagung, Recht und Technik in der Novellierung der europäischen Datenschutzrichtlinie zu diskutieren, wurde erreicht. Schade war, dass nur die Befürchtung, das deutsche Datenschutzrecht würde künftig beschnitten, ausgedrückt wurde. Unerwähnt blieb, dass z. B. mit dem Prinzip „Privacy by Design“ mehr Schutz gefordert würde als durch das Prinzip der Datensparsamkeit. Entsprechend müsste Deutschland sein Schutzniveau so heben, dass alle Grundsätze des Datenschutzes durch Technik durchgesetzt werden. Man hätte sich auch einen Beitrag aus Sicht des polizeilichen Datenschutzes gewünscht, welchen die Richtlinie erstmals regeln wird. Zusammenfassend lässt sich festhalten, dass die Tagung „Datenschutz in Europa“ wertvolle Einblicke in die aktuelle Modernisierungsdiskussion verschaffte. Die Ergebnisse werden die künftige Diskussion prägen; hoffentlich auch in Brüssel, wo die Kommission nach Durchführung einer Folgenabschätzung im Laufe dieses Jahres Rechtsvorschriften vorschlagen wird.
7 | 2011
Buchbesprechung Christoph Schnabel Spindler, Gerald; Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, Verlag C. H. Beck, 2. Aufl. 2011, 1858 S., 298,- €. Der Spindler/Schuster ist angetreten, der „Medien-Palandt“ zu werden und hat sich damit nicht weniger als den Inbegriff aller juristischen Kommentare zum Vorbild genommen. Das Werk enthält in insgesamt 14 Teilen die wichtigsten Vorschriften aus BDSG, BGB, JMStV, MarkenG, RStV, SigG, StGB, TKG, TMG, UrhG und Abschnitte zum internationalen Privatrecht und zur „elektronischen Presse“. Das UWG ist im Gegensatz zur ersten Auflage nicht mehr enthalten. Das Strafrecht aufzunehmen, ist eine sinnvolle Entscheidung, das Computerstrafrecht unverzichtbarer Teil des „Rechts der elektronischen Medien“. Allerdings kann der Versuch, von der Volksverhetzung über das Verbreiten kinderpornographischer Schriften bis zum Computerbetrug und den allgemeinen Teil alle wesentlichen Regelungen auf rund 50 Seiten zu kommentieren, wohl kaum gelingen. Kein Praktiker wird es sich leisten können, auf die Großkommentare zu verzichten und kritische Fragen nur mithilfe des Spindler/Schuster zu beantworten. Das TKG gehört zum „Recht der elektronischen Medien“ und stellt das umfangreichste Kapitel. Allerdings sind auch die dafür zur Verfügung stehenden rund 400 Seiten im Vergleich zu anderen TKG-Kommentaren knapp bemessen. Die 50 Seiten für die wichtigsten Vorschriften des BDSG hätte man sich sparen können. Dem Signaturrecht wird angesichts seiner geringen praktischen Bedeutung mit knapp 100 Seiten überraschend viel Platz eingeräumt. Seine Stärken hat der Spindler/Schuster dort, wo er etwas bietet, das es ansonsten nicht gibt oder zumindest nicht in dieser Form. Letzteres betrifft zum Beispiel die sinnvolle Zusammenstellung der für den elektronischen Geschäftsverkehr wichtigsten BGB-Vorschriften. So werden das Namensrecht (§ 12) und das Deliktsrecht (§ 823) zwar nicht vollständig dargestellt, aber die relevanten Inhalte zum Beispiel für das Domainrecht und den Schutz vor Spam lassen sich finden, ohne dass man sich durch Informationen über Verkehrsunfälle wühlen muss. Neu enthalten ist das UrhG, welches auf 150 Seiten in Auszügen kommentiert wird. 509