Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Katalog
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
Bundesinnenministerium veröffentlicht Studie zum Identitätsdiebstahl und –missbrauch im Internet  (Archiv) 
Archiviert: 21.06.2010
Das Bundesinnenministerium hat heute eine neue Studie zum Identitätsdiebstahl und Identitätsmissbrauch im Internet veröffentlicht, die auf Initiative des Bundesinnenministeriums und im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik erstellt wurde. Autoren der interdisziplinären Studie sind Prof. Dr. Georg Borges, Prof. Dr. Jörg Schwenk, Prof. Dr. Carl-Friedrich Stuckenberg und Dr. Christoph Wegener.


Der "Diebstahl" und der anschließende Missbrauch der "entwendeten" Identitäten beschreibt ein relativ neues Kriminalitätsphänomen. Bis vor einigen Jahren wurde mittels des sogenannten "Phishing" vornehmlich das Abfischen von Online-Banking-Zugangsdaten beschrieben. Mittlerweile rückt die komplette digitale Identität des Nutzers in den Fokus der Internetkriminellen, beispielsweise die bei sozialen Netzwerken, E-Mail-Dienstleistern und Handelsplattformen verwendeten Identitäten. Die Thematik war auch Gegenstand der letzten Dialogveranstaltung von Bundesinnenminister Dr. Thomas de Maizière zu "Perspektiven deutscher Netzpolitik" am 01. Juni 2010.

Wesentliche Ergebnisse der Studie:

* Angriffe mit dem Ziel eines Identitätsdiebstahls werden heute weit überwiegend über Schadprogramme (sogenannte "trojanische Pferde") durchgeführt, die in der Lage sind, auch fortgeschrittene aktualisierte technische Abwehrmaßnahmen zu umgehen.

* In den Mittelpunkt des Interesses der Internetkriminellen rückt zunehmend die komplette digitale Identität der Internetnutzer. Neben Online-Banking-Zugängen können zum Beispiel auch die bei E-Mail-Dienstleistern, Packstationen, Auktions- und Handelsplattformen sowie bei Social-Network-Plattformen verwendeten Identitäten betroffen sein.

* Die Vorgehensweise der Täter hat sich in den letzten Jahren geändert: die Schadprogramme gelangen heute vorwiegend durch Schwachstellen im Betriebssystem bzw. in Softwarepaketen auf die Nutzer-PCs. 2009 wurden die meisten Systeme durch den bloßen Besuch von Internetseiten (sog. "drive-by-infection") und präparierte PDF-Dokumente angegriffen.

* Als Gegenmaßnahmen werden Standardsicherheitsmaßnahmen (Virenschutzprogramme, Firewall sowie regelmäßige Updates des Betriebssystems und der Anwendungen) vorgeschlagen. Notwendig sei zudem eine umfassende Aufklärung der Internetnutzer.

* Für die Zukunft wird prognostiziert, dass Identitätsdiebstahl und –missbrauch noch nicht absehbare Formen annehmen werden, da neue Techniken und Plattformen immer neue Angriffsszenarien ermöglichen.


Weitere Informationen zu der Veranstaltungsreihe "Perspektiven deutscher Netzpolitik" finden Sie unter http://www.e-konsultation.de/netzpolitik

--------------------------------------------

Tagungsbericht a-i3 / BSI – Symposium 2010


Am 27. und 28. April 2010 fand in Bochum das auch in diesem Jahr mit wieder über 130 Fachteilnehmern sehr gut besuchte 5. Symposium der a-i3 in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Thema
Sichere Identitäten, Daten und Dienste eCards – De-Mail – Cloud Computing – Patientendaten
statt.

Vertreter von Verwaltungsbehörden, Unternehmen, Wissenschaft, Politik und Verbänden diskutierten angeregt technische und rechtliche Fragen der Identitäts- und Datensicherheit. Themenschwerpunkte waren der Einsatz des neuen Personalausweises in E-Government und E-Business, Sicherheit im Cloud Computing, Sicherheit von Patientendaten im E-Health unter besonderer Betrachtung der Elektronischen Gesundheitskarte, sowie Trends und Haftung bei Identitätsdiebstahl und Identitätsmissbrauch.

Nachfolgend finden Sie den ausführlichen Tagungsbericht:


Tagungsbericht


Am 27. und 28. April 2010 trafen sich im Veranstaltungszentrum der Ruhr-Universität Bochum Vertreter aus Wirtschaft, Wissenschaft und Verwaltung zum 5. Interdisziplinären Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu dem Thema „Sichere Identitäten, Daten und Dienste“.
Gegenstand der Tagung war die Beleuchtung von eCards, De-Mail, Cloud Computing sowie Patientendaten aus technischer und rechtlicher Sicht.
Unterstützt wurden die Veranstalter des Symposiums von den Unternehmen Deutsche Telekom Laboratories, MarkMonitor sowie DenyAll Security Solutions. Medienpartner der Veranstaltung war die Zeitschrift Computer & Recht.

Das Symposium wurde von Prof. Dr. Peter A. Windel, dem Prodekan der Juristischen Fakultät der Ruhr-Universität Bochum, eröffnet. Im Anschluss richtete der Präsident des Oberlandesgerichts Hamm, Johannes Keders, ein Grußwort an die Veranstaltungsteilnehmer, in dem er insbesondere die Bedeutung der interdisziplinären Zusammenarbeit für die Fortentwicklung von Internetsicherheit in den Vordergrund stellte.

Frank W. Felzmann gab vor dem Beginn des ersten Themenschwerpunkts einen kurzen Einblick in die Tätigkeit des BSI, welches im Jahre 1981 gegründet wurde und mittlerweile etwa 500 Mitarbeiter beschäftigt. Prof. Dr. Georg Borges stellte sodann die Tätigkeit der a-i3 zu Identitäts- und Datensicherheit vor, die seit 2005 die interdisziplinäre Forschung auf dem Gebiet des Identitätsschutzes vorantreibt.

I. eCards – virtuelle Identitäten

Der erste Themenblock des Symposiums betraf aktuelle und künftige Entwicklungen des Identitätsmissbrauchs und -diebstahls und umfasste insgesamt sieben Vorträge.

1. Zunächst führte Frank W. Felzmann vom BSI in die Thematik ein und stellte die Entwicklung vom klassischen Bankraub über klassisches Phishing bis hin zum Diebstahl von Identitäten zur späteren Verwendung dar. In den Fokus der Angreifer rücken zunehmend Unternehmen des E-Commerce (z. B. Auktionsplattformen, Versandhändler) sowie das E-Government. Insgesamt sei eine Verlagerung der Angriffe weg vom klassischen Phishing zu beobachten, was nicht zuletzt auf der Aufklärungsarbeit von a-i3, BSI, Geldinstituten und den Medien beruhe.

2. „Aktuelle Angriffe auf Identitäten“ schilderte Christoph Fischer von der BFK EDV-Consulting GmbH, Karlsruhe. Er bestätigte die bereits von Felzmann nachgezeichnete Entwicklung vom klassischen Phishing bis hin zum Einsatz von intelligenter Malware. Hierbei rücken vermehrt Angriffe in den Vordergrund, bei welchen sich die Angreifer in Echtzeit Authentifizierungsdaten (z. B. PIN und TAN) verschaffen und sogleich einsetzen („Human-in-the-Middle-Angriffe“). Desweiteren bestünden Tendenzen, Free-Mail-Accounts zur Absendung von gefälschten „Hilferufen“ des Account-Inhabers, um dessen Kontakte zur Vornahme von Zahlungen zu veranlassen.

3. Prof. Dr. Jörg Schwenk und Dominik Birk vom Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum referierten im Anschluss zu gegenwärtigen Gefahren und hieraus resultierenden künftigen Angriffsszenarien.
Schwenk wies zunächst auf seit 2005 bestehende Sicherheitsrisiken im Zusammenhang mit sogenanntem XML-Wrapping hin, womit bereits ein erfolgreicher Angriff auf die amazon-Cloud unternommen worden sei.
Birk stellte im Folgenden moderne Infektionsroutinen sogenannter Web Exploit Toolkits (WETs) dar, wobei neben dem Internet Explorer und Mozilla Firefox vermehr auch Opera und Safari in die Angriffslinie geraten. Einen neuen Trend stellen Angriffe mittels Verseuchung der Suchmaschinen-Rankings dar (sog. SEO -Poisoning). Für das Jahr 2010 beispielsweise wird eine verstärkte Manipulation der Suchergebnisse für den Suchbegriff „FIFA WM 2010“ prognostiziert. Überdies, so Birk, geraten zunehmend Spielkonsolen-Accounts ins Visier der Angreifer.

4. Die strafrechtlichen Aspekte von Identitätsdiebstahl und Identitätsmissbrauch beleuchtete Prof. Dr. Carl-Friedrich Stuckenberg, LL. M. von der Universität des Saarlandes. Das Hauptproblem auf dem Gebiet des materiellen Strafrechts liege in der praktischen Anwendung bestehender Strafvorschriften auf immer neue Sachverhalte, wobei stets zu klären sei, ob das deutsche Strafrecht im Einzelfall überhaupt Anwendung finde. Desweiteren ergebe sich das praktische Problem der Strafverfolgung bei Tatbegehung im Ausland, wobei sich dies bei jeder Form von Internet-Straftaten stelle. Vereinzelte Gesetzesänderungen zur Erfassung der Internetkriminalität im Ausland dienten der Schließung von Schutzlücken, welche derzeit in Deutschland nicht zu befürchten seien. Stuckenberg hält daher die Schaffung neuer Straftatbestände nicht für erforderlich.

5. Mit der Haftung für Identitätsdiebstahl und -missbrauch befasste sich im anschließenden Vortrag Prof. Dr. Georg Borges, Ruhr-Universität Bochum. Ausgehend von dem Grundsatz, dass das haftungsrechtliche Risiko einer Täuschung grundsätzlich der Getäuschte trage, wurde auf das Problem von multiplen Täuschungen in komplexen Rechtsbeziehungen erörtert. Zur Rechtsunsicherheit trage außerdem bei, dass es derzeit keine systematische Regelung der Risikozuordnung gebe und somit Pflichten von Anbietern und Nutzern nur vereinzelt geregelt seien. Borges bejahte eine allgemeine Pflicht von Nutzern zur Sicherung der eigenen IT-Infrastruktur. Schließlich rückte der Anscheinsbeweis für die Urheberschaft von Handlungen in den Fokus der Darstellung. Borges vertrat hier, dass ein solcher Anscheinsbeweis nur bei hinreichend sicheren Authentisierungsverfahren in Betracht komme. Hierzu zähle nicht die Zugangssicherung mit einem Passwort oder ein einfaches PIN/TAN-Verfahren.

6. Einen Einblick in die Strafverfolgung konnte das Auditorium der Tagung bei dem nachfolgenden Referat von André Dornbusch, Bundeskriminalamt, gewinnen. Insgesamt verzeichnete das BKA im Jahr 2009 ca. 6.800 Fälle von Identitätsdiebstahl, wobei hiervon etwa 2.900 Fälle des klassischen Phishing registriert wurden – Tendenz steigend. Als neuen, bislang nicht genannten Trend nannte Dornbusch den Handel mit gestohlenen Immissionszertifikaten. Abschließend berichtete Dornbusch von Ermittlungen in dem Verfahren „1337-crew.to“, in welchem es bereits erste Ermittlungserfolge gegeben habe.

7. Mit dem Vortrag von Prof. Dr. Thorsten Holz, Ruhr-Universität Bochum, zum Thema „Angriffe auf Mobile Internet“ fand der erste Themenblock sein Ende. Im Verhältnis zur PC-Welt sei das Problem derzeit relativ gering, wenngleich bereits mehr als 400 Varianten von Mobile Malware bekannt seien. So konnten bereits Angriffe gegen das iPhone und gegen das App-Portal Android verzeichnet werden. Überdies sei künftig auch mit Angriffen auf das GSM-Netz zu rechnen, da die technischen Herausforderungen hierfür nicht mehr hoch seien. Als Fazit kam Holz dazu, dass proaktive Forschung und Entwicklung nötig seien, um die Gefahren so gering wie möglich zu halten.


II. E-Government – nPA und De-Mail

E-Government lautete das Thema des folgenden zweiten Blocks der Tagung. Inhaltlich ging es in acht Vorträgen um den neuen elektronischen Personalausweis sowie um die Einführung der De-Mail.

1. Mit einer Live-Demonstration aktuell getesteter Anwendungsbeispiele führte Prof. Dr. Georg Borges in die Thematik des Elektronischen Personalausweises ein. Am Beispiel der Online-Videothek wurden die Funktion der Altersverifikation sowie die Benutzeroberfläche des sog. Bürgerclients demonstriert.

2. Anschließend berichtete Jan Fromm von Fraunhofer FOKUS über den Stand der Anwendungstests für den neuen Personalausweis. Am 1. Oktober 2009 sei ein zentral koordinierter Anwendungstest mit 30 teilnehmenden Unternehmen gestartet worden, und am 1. Januar 2010 begann ein offener Anwendungstest, an dem sich interessierte Unternehmen beteiligen können. Bevor am 1. November 2010 der neue Personalausweis eingeführt wird, soll am 30. Juni 2010 eine Berichterstattung zum zentral koordinierten Anwendungstest erfolgen. Insbesondere die eID-Funktion des neuen Personalausweises sowie die Schnittstelle zur Anwendersoftware, dem sog. Bürgerclient, stehen derzeit auf dem Prüfstand, informierte Fromm die Tagungsteilnehmer.

3. Armin Lunkeit gab hiernach einen Einblick in die Entwicklung, den Aufbau und die Funktionen des Bürgerclients. Der Referent ist Mitglied der Geschäftsführung der Firma Open Limit, die den Bürgerclient entwickelt. Die Software eröffne die Nutzung der eID-Funktion des neuen Personalausweises sowie darüber hinaus die Möglichkeit zur elektronischen Signatur von Dokumenten. Ein besonderes Augenmerk bei der Entwicklung liege, so Lunkeit, auf der Gebrauchstauglichkeit, mithin auch auf Plattformunabhängigkeit und Barrierefreiheit. Endlich wurde das technische Integrationskonzept des Bürgerclients erläutert.

4. Die Architektur des neuen Personalausweises war im Anschluss Gegenstand der Ausführungen vor Dr. Kim Nguyen von der Bundesdruckerei. Den Vortrag seines Vorredners ergänzend erläuterte er die technischen Komponenten zur Abwicklung der Online-Authentifizierung, die einschlägigen technischen Richtlinien sowie die Funktionsweise des SAML Single Sign On-Protokolls, welches beim neuen Personalausweis zum Einsatz kommen wird. Im Rahmen einer abschließenden Sicherheitsbetrachtung zog Nguyen das Fazit, dass das größte verbleibende Risiko in dem Missbrauch von Daten durch Diensteanbieter bestehe. Dem müsse bei der Zertifikatvergabe verstärkt Rechnung getragen werden.

5. Rechtliche Aspekte der Zurechnung bei der Nutzung der eID-Funktion des neuen Personalausweises stellte Jan Möller vom Bundesinnenministerium in seinem Vortrag dar. Zu erwartende Fallgruppen mit rechtlichen Fragestellungen seien einerseits das Fehlschlagen der Authentifizierung sowie andererseits der Missbrauch der Authentisierungsmöglichkeit. In beiden Fällen sei zu klären, wer etwaige Schäden zu tragen hat. Wegen der Entwicklung durch dritte Anbieter sowie einer stetigen Fortentwicklung enthalte das neue Personalausweisgesetz keine eigenständigen Haftungsvorschriften, sondern lediglich zurechnungssteuernde Vorschriften sowie Verkehrs- und Sorgfaltspflichten.

6. Klaus-Dieter Wolfenstetter von der Deutsche Telekom AG präsentierte aktuelle und künftige Anwendungsfelder des neuen Personalausweises für sein Unternehmen. Als gegenwärtig realisierbaren „use case“ wurden die Angebote T-Home und die Nutzung von Freemail-Accounts genannt. Als künftiges Anwendungsmodell komme vor allem die mobile Nutzung des neuen Personalausweises in Betracht. Wolfenstetter bemängelte abschließend, dass eine Nutzung des nPA im Telekommunikationsgesetz (TKG) noch nicht vorgesehen sei.

7. Mit dem vorletzten Vortrag des zweiten Themenblockes gab Dr. Astrid Schumacher vom BSI einen ersten Einblick in das Thema „De-Mail“. Nach einem kurzen Überblick über die Entwicklung der De-Mail nannte die Referentin organisatorische und technische Sicherheitsmaßnahmen, welche zur Etablierung der De-Mail als sicheres Kommunikationsmedium vorgesehen sind. Die analoge Abbildung von herkömmlichen Postdienstleistungen durch die De-Mail sowie ein sechsmonatiges erfolgreiches Pilotprojekt in Friedrichshafen zeugen davon, dass sich die De-Mail ab voraussichtlich Ende 2010 breiter Akzeptanz rühmen können wird.

8. Die Schlagworte „Verbindlichkeit – Vertraulichkeit – Verlässlichkeit“ prägten die abschließenden Ausführungen von Dr. Andre Wittenburg, Deutsche Post AG. Der Brief im Internet ergänze die nationale E-Government-Strategie der Bundesregierung und habe daher einen erheblichen Nutzen für Bürger, Unternehmen und Behörden. Derzeit befinde sich die Entwicklung in einer Phase, in welcher das Kerngeschäft der Post um eine neue Plattform ergänzt werde. Um die von der deutschen Post angestrebte Verlässlichkeit zu erreichen, sei jedoch der Erlass von Gesetzen zur Schaffung der Rechtsverbindlichkeit von Kommunikation erforderlich.


III. Cloud Computing

Mit dem Themenblock zum Cloud Computing begann der zweite Tag des Symposiums. Nach der Begrüßung durch Prof. Dr. Rainer Martin, den Prodekan der Fakultät für Elektrotechnik und Informationstechnik, richtete Erika Stahl, Bürgermeisterin der Stadt Bochum, ein Grußwort an die Teilnehmer des Symposiums.

1. Einführend erläuterte Prof. Dr. Jörg Schwenk die Grundlagen des Cloud Computing. Die bereits etablierten Begriffe „Infrastructure as a Service“ (IaaS), „Platform as a Service“ (PaaS) und „Software as a service“ (SaaS) seien mögliche Ausprägungen und Bestandteile dessen, was in jüngerer Zeit unter dem Begriff des Cloud Computing erörtert werde. Eine einheitliche Definition gibt es allerdings bislang noch nicht. Das „Neue“ am Cloud Computing sei die nunmehr zentrale Frage, welcher Server bzw. welches Rechenzentrum die jeweiligen Daten beherbergt. Hieraus, so Schwenk, ergebe sich das Folgeproblem des erschwerten Datenschutzes. Herkömmliche Schutzmaßnahmen seien beim Cloud Computing nicht erfolgversprechend.

2. Mit Holger Sirtl von der Microsoft Deutschland GmbH konnten die Veranstalter für den Folgevortrag einen Referenten gewinnen, der aus Sicht eines Cloud-Diensteanbieters zu den Herausforderungen des Cloud Computing Stellung nehmen und gängige Lösungsansätze präsentieren konnte. Vor allem die Verteilung von Verantwortlichkeiten zwischen Anbieter und Nutzer sei aufgrund der Natur der Cloud komplex. Überdies berichtete Sirtl von der Tendenz zu sog. Hybrid Clouds, welche eine auf den einzelnen Anwender zugeschnittene Kombination aus Public Cloud und Private Cloud darstellt.

3. Einen nahezu konträren Blickwinkel vermittelte im Anschluss Alex Didier Essoh vom BSI, der Cloud Computing aus behördlicher Sicht beleuchtete. Vor allem befasste sich der Referent hier mit der Beantwortung der Frage, was aus behördlicher Sicht beim Cloud Computing hinsichtlich der Informationssicherheit zu beachten sei. Hierzu erfolgte eine detaillierte Sicherheitsanalyse, anhand derer – ausgehend von verschiedenen Gefährdungspotenzialen – Sicherheitsmaßnahmen erörtert wurden. Als Empfehlung des BSI zum Cloud Computing wird vorgeschlagen, eine umfassende Risikoabwägung vor der Nutzung von Cloud Computing vorzunehmen. Für kleine und mittlere Unternehmen bestehe jedenfalls die Chance, die Sicherheit im Unternehmen zu verbessern.

4. Technische Aspekte der Sicherheit sowie die Beweissicherung in der Cloud waren Schwerpunkte der anschließenden Ausführungen von Prof. Dr. Jörg Schwenk und Dr. Christoph Wegener von der a-i3.
Schwenk kam im ersten Teil auf die bereits in der Einführung angerissene Frage, ob herkömmliche Schutzmaßnahmen beim Cloud Computing wirksam seien, zurück und verneinte diese. Sodann zeigte er ausgehend von dem Einsatz von Webbrowsern als universelle Client-Software in der Cloud Sicherheitslücken auf. Die Lösung sieht er in der Verbesserung der Browser-Sicherheit.
Wegener widmete sich sodann der Forensik in der Cloud, die jedoch durch das Prinzip bedingt Schwierigkeiten birgt. Mit zunehmenden Einflussmöglichkeiten auf das die Cloud beherbergende System schwinde auch die Möglichkeit, verfügbare Daten integer zu sichern. Letztlich befinde man sich hinsichtlich der Forensik beim Cloud Computing in einem praktisch nicht lösbaren Zirkel, da nur bei Kontrolle über die Umgebung Zugriff auf beweisrelevante Daten genommen werden könnte. Diese Kontrollmöglichkeit setze jedoch die Transparenz der Systeme voraus, welcher regelmäßig das Interesse der Cloud Service Provider (CSP) an der Geheimhaltung ihrer Technik entgegenstehen wird.

5. Prof. Dr. Georg Borges wandte sich in dem folgenden Referat den Rechtsfragen des Cloud Computing zu, wobei er das Augenmerk vor allem auf vertragsrechtliche sowie auf datenschutzrechtliche Aspekte richtete. Unter Bezugnahme auf Rechtsprechung zu Application Service Providing (ASP), Rechenzentrumsverträgen und Webhostingverträgen ordnete Borges Verträge im Rahmen des Cloud Computing als typengemischte Verträge ein, welche als Mietverträge mit Elementen von Dienstverträgen zu qualifizieren seien. Im Vordergrund standen sodann datenschutzrechtliche Fragen. Borges vertrat hier, dass aus datenschutzrechtlicher Sicht die Voraussetzungen einer Auftragsdatenverarbeitung nach § 11 BDSG erfüllt sein können. Auch eine Auftragsdatenverarbeitung durch einen CSP in einem Staat, welcher weder EU noch EWR angehört, müsse möglich sein. Dies setze entweder ein hinreichendes Datenschutzniveau oder die Verwendung bestimmter, von der EU-Kommission verabschiedete Standardvertragsklauseln voraus
.


IV. Sicherheit im E-Health

Der letzte Themenschwerpunkt des Symposiums betraf die Frage nach Sicherheit im E-Health. Nach einer knappen Einführung von Prof. Dr. Jörg Schwenk führten Vertreter aus der Praxis in Fragen des „elektronischen Gesundheitswesens“ ein.


1. Zunächst stellte Viktor Krön von der Ärztekammer Nordrhein Funktionen und Anwendungsgebiete des elektronischen Ärzteausweises vor. Derzeit komme der Ausweis vor allem bei der Abrechnung mit Krankenversicherungen zum Einsatz. Überdies biete der Ausweis bei der innerärztlichen Kommunikation ein weiteres Anwendungspotenzial. Schließlich könne die tägliche Arbeit im Zusammenspiel mit der elektronischen Gesundheitskarte deutlich erleichtert werden. Hierbei sei allerdings wichtig, so Krön, dass die Strukturen neuerer Karten stets abwärtskompatibel bleiben.

2. Ingmar Lüdemann, DenyAll Security Solutions, führte als nächster Referent in die Problematik des Schutzes von Patientendaten ein. Nach einer kurzen allgemeinen Darstellung zur IT-Sicherheit beleuchtete er die Frage, mit welchen Sicherheitsmaßnahmen Patientendaten effektiv und kostengünstig vor aktuellen Angriffen geschützt werden können. Als wirksamste Maßnahme kommen heute Web Application Firewalls in Betracht, da reine Netzwerksicherheit heute nicht mehr ausreichend sei. Mit zwei Beispielen aus der Praxis belegte Lüdemann schließlich die Praxistauglichkeit der vorgeschlagenen Lösung.

3. Technische Lösungen und mentale Hürden des elektronischen Gesundheitswesens stellte Dr. Jörg Caumanns, Fraunhofer ISST, vor. Insbesondere erfolgte eine detaillierte Darstellung der Fallstudie zur elektronischen Fallakte (eFA), die derzeit als Peer-to-Peer-Netzwerk betrieben werde. Tragendes Prinzip der Datensicherheit sei die Pseudonymisierung. Caumanns ging insbesondere auf die technische Implementierung ein. Schließlich stellte er noch die europäische Fallstudie zum E-Healt, epSOS, vor. Als Fazit gelangte Caumanns dazu, dass die elektronische Fallakte viele neue Anwendungspotenziale bietet, jedoch bei Fehlen zentraler Durchlaufstellen der Daten keine neuen Angriffspotenziale in sich birgt.

4. Als letzten Referenten konnten die Veranstalter Tahar Schaa, Hewlett Packard GmbH, gewinnen. Schaa berichtete über praktische Herausforderungen und technische Umsetzung sicherer elektronischer Identifizierungsverfahren im Krankenhaus. Bei der Realisierung stünden Nachweissicherheit, Datenschutz und Effizienz im Vordergrund. Gleichzeitig müsse man auf die praktischen Gegebenheiten in Krankenhäusern reagieren. Vor allem die Unterstützung elektronischer Ärzteausweise sowie der elektronischen Gesundheitskarte böten die Möglichkeit, Arbeits- und Behandlungsprozesse im Krankenhaus zu optimieren.


V. Podiumsdiskussion: Datensicherheit in der Cloud

Zum Abschluss des a-i3/BSI-Symposiums 2010 fand eine Podiumsdiskussion statt. Unter der Moderation von Fabian von Keudell, Redakteur im Ressort „Praxis“ der CHIP Redaktion, wurde das Thema „Datensicherheit in der Cloud“ diskutiert.
Teilnehmer der Podiumsdiskussion waren Gerd Schön, Oracle Deutschland GmbH, Gerold Hübner, Microsoft Deutschland GmbH, Johannes Landvogt, Referatsleiter „Technologischer Datenschutz, Informationstechnik, Datensicherheit“ beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie Prof. Dr. Jan Jürjens, Fraunhofer ISST.

Die Podiumsteilnehmer stellten kurz ihre Thesen vor. Schön hält Cloud Computing für ein neues Wirtschaftsmodell, während Hübner betont, dass die Technik bereits seit etwa 20 Jahren am Markt sei. Prof. Dr. Jürjens hält den Einsatz von Cloud Computing für sinnvoll, man müsse es „nur noch sicher machen“. Schließlich vertrat Landvogt die provokante These, dass Cloud Computing „im Zweifel unzulässig“ sei.

Während der offenen Diskussion im Plenum trat eine gewisse Skepsis bezüglich des Datenschutzes in der Cloud zutage. Insbesondere die fehlende Kontrollierbarkeit der Daten rückte des Häufigeren in den Vordergrund. Der Auffassung von Landvogt, dass bei zunehmender Intransparenz zwangsläufig auch die Datensicherheit auf der Strecke bleiben müsse, hielt Hübner entgegen, dass die Philosophie des Cloud Computing gerade darin liege, dass dem Speicherort der Daten keine Bedeutung mehr zukommen solle.

Insbesondere bei der Frage, welche Leistungen beim Cloud Computing – etwa vom Anbieter Microsoft – erbracht würden, wurde die Diskussion auch auf das Thema Vertragsgestaltung gelenkt. Dies betraf auch die Frage des Exit-Managements, beispielsweise im Fall der Insolvenz des Cloud-Anbieters.
Die bereits von Prof. Dr. Stuckenberg in dessen Vortrag geschilderte Konstellation der erschwerten Strafverfolgung besorgte insbesondere Vertreter der Verfolgungsbehörden.

Insgesamt stimmte das Plenum jedoch darin überein, dass es sich beim Cloud Computing um eine – wenn auch nicht ausgereifte – Möglichkeit handelt, in Unternehmen wirtschaftlicher handeln zu können.

Prof. Dr. Georg Borges und Prof. Dr. Jörg Schwenk beendeten das Symposium mit einem kurzen Schlusswort.

Download-Info

PDF: Identitätsdiebstahl - Studie, Format: PDf, Umfang: 400 Seiten,   Identitätsdiebstahl - Studie
Format: PDf, Umfang: 400 Seiten,
Download - klick hier!


Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 0

Plus: , Neutral: , Minus: 0
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge
Hinterlassen Sie hier Ihre Informationen oder Anmerkungen, für andere Leser.
Jetzt ohne Anmeldung!

 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info