Direkt zum Seiteninhalt springen
Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

IT-Sicherheit und Schutzrechte im Internet | APuZ 41/1999 | bpb.de

Archiv Ausgaben ab 1953

APuZ 41/1999 WWW. Neugier und Vernetzung. Ein kulturgeschichtlicher Essay Von der Generation X zur Generation @. Leben im Informationszeitalter Politik im Unterhaltungsformat. Zur Inszenierung des Politischen in den Bildwelten von Film und Fernsehen IT-Sicherheit und Schutzrechte im Internet

IT-Sicherheit und Schutzrechte im Internet

Franz Büllingen

/ 31 Minuten zu lesen

Zusammenfassung

Das Internet hat sich zu einer treibenden Kraft des wirtschaftlichen und sozialen Wandels entwikkelt. Je mehr Informationen über das neue Medium ausgetauscht und je mehr Transaktionen vorgenommen werden, um so mehr Bedeutung erhalten alle Fragen der IT-Sicherheit und der Gewährleistung von Schutzrechten. Es zeigt sich jedoch, daß die Übertragung bestehender Normen hinsichtlich des Schutzes der vertraulichen Kommunikation, des Eigentums, der Privatsphäre oder persönlicher Daten in offenen Netzwelten eine große Herausforderung darstellt. Um die Schutzziele der Verfügbarkeit, der Vertraulichkeit, der Integrität sowie der Zurechenbarkeit von Kommunikation im Internet zu gewährleisten, wurden in den vergangenen Jahren Technologien und Infrastrukturen sowie gesetzliche Rahmenbedingungen geschaffen. Kryptographie und digitale Signatur erweisen sich als geeignete Mittel, zur Verwirklichung der Sicherheit Elektronischer Zahlungssysteme, des Datenschutzes oder des Verbraucherschutzes beizutragen. Problemfelder bilden jedoch der hohe organisatorische Aufwand, die Kostenintensität sowie die großen Anforderungen an Anwender wie Nutzer. Da auch staatliche Maßnahmen in einem globalen Medium nur einen begrenzten Beitrag zur Wahrung der Schutzinteressen leisten können, müssen neue Wege zu einem aktiven Selbstschutzverhalten der Nutzer gefunden und beschritten werden.

I. Vorbemerkung

Die Informations-und Wissensgesellschaft gewinnt immer deutlichere Konturen. Seit mit der Einführung des World Wide Web (www) Anfang der neunziger Jahre eine komfortable graphische Benutzeroberfläche geschaffen wurde, ist das Internet zu einer treibenden Kraft des gesellschaftlichen und wirtschaftlichen Wandels geworden. Von einem ehemalig für wissenschaftliche und militärische Zwecke exklusiv genutzten Kommunikationsmedium hat sich das Internet auf der Basis eines einheitlichen Übertragungsprotokolls (TCP/IP) zu einem offenen, globalen Netz gewandelt und damit eine beispiellose Entwicklungsdynamik in Gang gesetzt. Gab es 1995 in Europa etwa 12 Mio. Online-Zugänge, so wird diese Zahl bis zum Jahr 2001 auf etwa 70 Mio. anwachsen. Weltweit werden dann 220 Mio. Nutzer Zugriff auf das Internet haben. Sinkende Preise für Verbindungsgebühren und Endgeräte, neue Zugangsmöglichkeiten über Fernsehen, breitbandigen Mobilfunk und Satellitenkommunikation sowie attraktivere Inhalte werden dazu beitragen, daß sich die Wachstumsdynamik des Internet in den nächsten Jahren weltumspannend fortsetzt.

Während zu Beginn der neunziger Jahre vor allem Unternehmen das Wachstum des Internet stimuliert haben, bestimmen in den letzten Jahren mehr und mehr die privaten Haushalte die Entwicklungsdynamik. Die Erschließung des Internet durch private Nutzer verwandelt es immer mehr zu einem Massenkommunikationsmittel, das bei breiten Schichten der Bevölkerung auf Interesse stößt Dominierte bislang der etwa dreißig Jahre alte, gut gebildete und überdurchschnittlich verdienende männliche Nutzer das Bild des „typischen“ Web-Surfers, so zeigt sich heute ein eindeutiger Trend zur „Normalisierung“ hinsichtlich der demographischen Zusammensetzung der Web-Gemeinde. Sowohl der Anteil der weiblichen als auch der älteren Nutzer wächst kontinuierlich.

Initiativen wie „Schulen ans Netz“ oder das „Virtuelle Altenheim“ tun ein übriges, um auch die ganz Jungen und die Senioren mit dem neuen Medium vertraut zu machen.

Angesichts dieser Entwicklung bestehen kaum Zweifel, daß die Entwicklung des Internet den Trend zur elektronischen Dienstleistungsgesellschaft verstärkt. Schon in wenigen Jahren werden große Umbrüche in den sozialen und ökonomischen Strukturen erwartet, wobei noch unklar ist, wie weit und wie tief diese reichen werden. In jedem Fall wird die wirtschaftliche Bedeutung von Informationen und Wissensbeständen aufgewertet. Schon heute wird etwa die Hälfte aller Erwerbstätigkeiten dem Informationssektor zugerechnet. Was derzeit teilweise noch exotischen Ausnahme-charakter besitzt, wird in wenigen Jahren für viele zum Alltag gehören: Beinahe alle Bereiche der Arbeit, der Bildung, des Konsums, der Kommunikation, der Wissenschaft und der Freizeit finden ihre Anwendungsentsprechungen im Internet -sei es komplementär oder substitutiv. Das Internet entwickelt sich zu einer universellen Kommunikationsplattform, die alle Bereiche des alltäglichen Lebens multimedial integriert: elektronisches Shopping in virtuellen Kauf-und Warenhäusern; Online-Bankgeschäfte von der Überweisung über den Aktienkauf bis hin zur Immobilienberatung; Internet-Telefonie, elektronische Post und elektronisches Publizieren; Video-und Audio-ondemand, die Rundfunk-und Fernsehinhalte weltweit verfügbar machen; öffentliche und kommerzielle Datenbanken und Archive; elektronische Dienstleistungen von Kommunen und Behörden; der Austausch medizinischer Daten und Beratungen zwischen Ärzten, Krankenkassen, Krankenhäusern; unterschiedlichste Formen der Telearbeit und virtuelle Organisationen von Unternehmen; neue Möglichkeiten der Bildung und des Lernens usw. Während die privaten Nutzer ihren Kommunikations-und Wissensbedarf sowie ihre Lebensgestaltung künftig zunehmend unter Einbeziehung des Internet praktizieren, werden Verwaltungen, Organisationen und Unternehmen das Internet zur Optimierung ihrer Geschäftsaktivitäten einsetzen. Das Ziel, die Effizienz von Organisationen zu erhöhen, Kosten einzusparen und dadurch Flexibilisierungs-und Rationalisierungspotentiale auszuschöpfen, bildet dabei die entscheidende Triebkraft der Internet-Ökonomie und macht Information und Kommunikation zu einem entscheidenden Wirtschaftsgut.

II. Gefahren und Risiken im Netz -eine neue Qualität

Mit der zunehmenden Abwicklung privater, kommerzieller und öffentlicher Kommunikation und dem Transport „virtueller Wirtschaftsgüter“ über offene Netzwerke wächst die Gefahr, daß Daten abgehört bzw. ausgespäht, verfälscht, zerstört oder mißbraucht werden. Die Digitalisierung von Daten bringt es mit sich, daß es kein „Original“ mehr gibt, sondern daß diese beliebig oft kopiert, eingesehen und auch verändert werden können, ohne daß der Empfänger einer Nachricht dies unbedingt bemerken muß. Für den Transport über Telekommunikationsnetze werden Informationen zusammengefaßt, mit einer Adresse versehen und an den nächsten Vermittlungsrechner weitergeleitet. Dort werden sie geordnet und dann Paket für Paket an den Adressaten weitergereicht. Dabei ist es aus Gründen der Verfügbarkeit und Zuverlässigkeit häufig notwendig, bestimmte Datenpakete zu duplizieren oder zu vervielfältigen, damit eine Botschaft auf jeden Fall vollständig ankommt. Während des Transports bietet das Internet weder eine dem Briefgeheimnis entsprechende Schutz-möglichkeit noch ist -aufgrund der Anonymität des Netzes -eine sichere Identifikation des Absenders möglich Die noch mangelhafte IT-Sicherheit ist allerdings kein Versäumnis der Internet Service Provider, sondern ein Ergebnis der Tatsache, daß das Internet ursprünglich nicht für geschäftliche Transaktionszwecke konzipiert worden ist.

Im Internet werden nicht nur Nachrichten verschickt, sondern es sind auch Zugriffe auf Informationen und Programme anderer Rechner möglich, die erst die Durchführung von vielfältigen geschäftlichen, behördlichen und privaten Transaktionen erlauben. Dabei können nicht nur vorhandene Daten und Programme abgerufen, sondern auch manipuliert und Informationen unbemerkt eingespeist werden. Zwar werden heute viele dieser Rechner durch eine elektronische Schutzwand (Firewall) oder Paßworte gegen ein unbefugtes Eindringen von außen abgesichert, ihre Überwindung ist jedoch keinesfalls unmöglich.

Vor diesem Hintergrund finden sich in der Medienberichterstattung immer häufiger . Berichte über erfolgreiche Angriffe im Bereich der soge-nannten Computerkriminalität. Wegen eines Computerhacks z. B. blieben im Oktober 1997 126 000 Haushalte in San Francisco mehrere Stunden ohne Strom. Zuerst hatten die Angreifer das Alarmsystem des Energieversorgungsunternehmens ausgeschaltet, anschließend gelang es ihnen auch, die Stromversorgung zu unterbrechen 1998 gelang es Hackern, auf dem Rechner einer US-amerikanischen Großbank ein Programm („Trojanisches Pferd“) zu installieren, das nach einer bestimmten Zeit selbständig Daueraufträge einrichtete und Geldtransaktionen auf deren Konten vornahm. Im gleichen Jahr wurde die Browser-firma Yahoo Opfer eines Erpressungsversuchs. Die Hacker hatten auf dem Yahoo-Server einige WWW-Seiten geändert und drohten mit der weltweiten Zerstörung von Computeranlagen, wenn der zuvor verurteilte Hacker-Star Kevin Mitnick nicht umgehend aus dem Gefängnis entlassen würde Kosten in Höhe von über 100 Mio. US-Dollar verursachte das Virus „Internet Worm“, das 1999 zahlreiche Verbindungsrechner befiel und vorübergehend die Kommunikation Tausender Unternehmen lahmlegte Im Frühjahr 1999 wurde die amerikanische Börse von einer Aktienmanipulation heimgesucht. Eine gefälschte Seite im Finanzteil von Yahoo berichtete darüber, daß die Firma „Pargain Technologies“ von einem israelischen Konkurrenten übernommen werde. Noch am gleichen Tag stiegen die Aktien dieser Firma um über 30 Prozent in die Höhe. Als sich diese Meldung kurze Zeit später als eine Fälschung herausstellte, sank der Aktienkurs auf das Niveau vom Vortag ab. Experten schätzen die Verluste der Anleger auf mehrere hundert Mio. US-Dollar. Ebenfalls im Frühjahr wurde die deutsche Staatsanwaltschaft gegen eine neue Form der Internet-Piraterie aktiv. Das neue Kompressionsverfahren MP 3 ermöglichte es, Musikstücke ohne größeren Zeitaufwand aus dem Netz herunterzuladen Zahlreiche Musikfans wandelten mit MP 3 Musiktitel ihrer CDs in Dateien um und stellten diese unter Umgehung des Urheberrechtsschutzes ins Netz. Der Bundes-verband der Phonographischen Wirtschaft geht davon aus, daß allein 1998 der dadurch verursachte Schaden rund 20 Mio. DM betrug.

Diese Liste von Mißbrauchs-oder Betrugsfällen ließe sich beliebig verlängern. Daß es sich bei diesen Vorkommnissen nicht nur um spektakuläre Einzelfälle handelt, macht die US-amerikanische Verbraucherschutzorganisation National Consumer League in ihrem jüngsten Bericht deutlich. Danach wurden bislang sechs Millionen US-Bürger Opfer von Kreditkartenbetrug aufgrund von Zahlungen über das Internet Experten gehen davon aus, daß Informationen über Vorkommnisse insbesondere im Bereich der Industriespionage und der Schwerkriminalität nicht in die Öffentlichkeit gelangen und der wirtschaftliche Schaden allein in der Bundesrepublik bereits die Milliardengrenze übersteigt Aber auch andere Formen wie das systematische Sammeln persönlicher Daten durch Adressenhändler oder das unerwünschte Zusenden von Werbematerial („spamming“) gehören zu den Online-Risiken. Die Beispiele zeigen, daß das Internet fast alle Formen abweichenden und kriminellen Verhaltens reproduziert Die neue Qualität besteht jedoch darin, daß durch den Netzeffekt wesentlich mehr Personen oder Organisationen betroffen sein und Täter sehr viel leichter ihre Spuren verwischen können.

III. Schutzziele der IT-Sicherheit im Internet

Die zunehmende Nutzung und die wachsende Verfügbarkeit von Informationen und Dienstleistungen einerseits sowie die zunehmenden Mißbrauchsmöglichkeiten andererseits machen deutlich, daß der Kommunikationsraum Internet hinsichtlich der Übertragung bestehender rechtlich-regulatorischer Normen grundlegende Fragen aufwirft. Begriffe wie Eigentum, Vertrauen, Persönlichkeitsschutz, Privatsphäre, Datenschutz oder Sicherheit, die im öffentlichen Leben auf den gesetzlichen Rahmen des Strafrechts, des Haftungsrechts, des Daten-, Jugend-oder Verbraucherschutzes, aber auch auf der Macht kultureller Traditionen sowie individuellen Erfahrungen basieren, erfahren in offenen Netzwelten eine grundlegende Relativierung oder Umdeutung. Dies gilt nicht nur im Hinblick auf die neue Qualität der Mißbrauchsformen, sondern auch in bezug auf die Internationalisierung des Problems. Aspekte der IT-Sicherheit und der Vertrauensgenerierung gewinnen damit grundsätzlich an gesellschaftlicher Bedeutung. Es stellt sich daher die Frage, wie diese in offenen Netzwerken erzeugt und gewährleistet werden können. Ohne IT-Sicherheit, darin, sind sich alle Experten einig, werden viele der hohen Erwartungen enttäuscht werden, da ohne diesen vertrauensbildenden Faktor Verbraucher und Unternehmen vor dem Schritt in die digitale Ökonomie zurückschrecken werden Vor einigen Jahren hat daher eine Diskussion über die schützenswerten Ziele in der Informationsgesellschaft begonnen. Im Verlaufe dieser Sicherheitsdiskussion haben sich vier allgemein anerkannte Schutzziele zur Abwehr der neuen Kommunikationsrisiken herausgebildet: die Verfügbarkeit, die Vertraulichkeit, die Integrität sowie die Zurechenbarkeit.

1. Verfügbarkeit

Verfügbarkeit ist dann gegeben, wenn auf Informationen und Systemressourcen jederzeit zurückgegriffen werden kann. Die zunehmende Abhängigkeit von einer funktionierenden Datenverarbeitungs-und Übertragungstechnik hat sich in den vergangenen Jahren nachhaltig durch Ausfälle von DV-und Kommunikationsanlagen bemerkbar gemacht, insbesondere dann, wenn zugleich auch die Funktionstüchtigkeit anderer Infrastruktursysteme oder die Betriebsabläufe von Organisationen und Unternehmen gestört oder unterbrochen wurden Die Verfügbarkeit ist daher ein zentrales Merkmal der IT-Sicherheit, deren Gewährleistung als ein kontinuierlicher Prozeß aufgefaßt wird.

Dieses prozessuale Verständnis von IT-Sicherheit ist deshalb wichtig, weil sich in den letzten Jahren gezeigt hat, daß mit der wachsenden Bedeutung von Software und dem gleichzeitigen Bedeutungsverlust der Hardware für Kommunikationsanlagen die systeminhärenten Risiken zunehmen. Experten gehen davon aus, daß jedes größere Softwarepaket zwischen 1, 5 und 2, 5 Prozent fehlerhafter Anweisungen enthält Auf der anderen Seite wurde und wird das Verfügbarkeitsziel häufig auf die technischen Sicherheitsaspekte reduziert. Empirische Untersuchungen zeigen, daß Irrtum und Nachlässigkeit von Mitarbeitern, Mangel an Sicherheitsbewußtsein, die Nichtnutzung von Schutzmöglichkeiten oder fehlende Notfallpläne immer noch die häufigsten Ursachen für die Infragestellung von Verfügbarkeit sind

2. Vertraulichkeit

Die Anforderung an die Vertraulichkeit stellt den Bezug zum Datenschutz her. Sie soll dazu dienen, daß unberechtigte Dritte weder von Daten noch von Kommunikationsprozessen Kenntnis erlangen. Während der Schutz der Vertraulichkeit zumindest auf nationaler Ebene auf einem breiten rechtlichen, wenngleich reformbedürftigen Fundament steht, gibt es im internationalen Rahmen noch einen großen Harmonisierungsbedarf hinsichtlich des Datenschutzes. Ein besonderes Problemfeld ergibt sich daraus, daß jede Bewegung eines Nutzers im Internet Datenspuren hinterläßt, die erfaßt und ausgewertet werden können Sollen Nutzer die Möglichkeiten zum elektronischen Einkauf in vollem Umfang ausschöpfen können, so müssen sie die Gewißheit haben, daß ihre kommunikativen Handlungen nicht beobachtet werden können. Es müssen also Möglichkeiten geschaffen werden, daß Nutzer ohne Preisgabe ihrer Identität Dienstleistungen und Produkte erwerben können. Daß diese Identität für viele kommerzielle Anbieter von großem Wert ist, weil sie sich zur Generierung von Kundenprofilen eignet, weist auf das Dilemma zwischen Kundenorientierung („Customisation“) und dem Schutz der Privatsphäre hin. Die Vision einer zunehmenden Individualisierung von Dienstleistungen und der Verkauf maßgeschneiderter Produkte läßt sich nur dann realisieren, wenn Anbieter -im Rahmen von Data-Warehousing -über möglichst viele und differenzierte Informationen ihrer Kunden verfügen. Insbesondere das Konzept sogenannter „Intelligenter Agenten“, d. h. elektronischer Butler, die Nutzern die mühevolle und zeitraubende On-line-Suche abnehmen sollen, läßt sich nur realisieren, wenn eine bestimmte Grundmenge persönlicher Daten verfügbar ist. Die Kunden werden diese jedoch nur dann zur Verfügung stellen, wenn ein Mißbrauch ausgeschlossen ist.

3. Integrität

Die Integrität von Daten ist dann gegeben, wenn Informationen auf ihrem Weg von der Informati-onsquelle bis hin zum Adressaten nicht verändert bzw. nur zulässige Modifikationen vorgenommen wurden. Dieses Schutzziel ist deshalb von Bedeutung, weil der Adressat einer Botschaft oder einer Bestellung die Gewißheit haben soll, daß ihn das entsprechende Dokument unverfälscht erreicht. Was in der „Papierwelt“ formell durch die eigenhändige Unterschrift dokumentiert wird, benötigt in der elektronischen Welt eine Entsprechung, ein digitales Siegel bzw. eine digitale Signatur. Mit der Schaffung digitaler Signaturen wird es möglich, Dokumente in einer Weise zu siegeln, daß jede Verletzung ihrer Integrität durch Manipulation dem Empfänger offenkundig wird.

Bevor digitale Signaturen jedoch dieselbe Beweiskraft wie eigenhändige Unterschriften besitzen, müssen Implementierungsanforderungen festgelegt werden, unter denen sie als ausreichend sicher gelten und einer natürlichen Person einwandfrei zugeordnet werden können. Neben dem Identitäts-und Echtheitsnachweis müssen digitale Signaturen durch besondere Darstellung zugleich zwei weitere Merkmale aufweisen, um ihre Funktionsweise der handschriftlichen Unterschrift anzupassen: Sie müssen eine Warneigenschaft aufweisen, um „blindes“ Unterschreiben zu verhindern, und sie müssen eine Billigungseigenschaft besitzen, um dem Signierenden zu verdeutlichen, daß er mit seiner Signatur dem Inhalt eines Dokumentes zustimmt

4. Zurechenbarkeit

In einer von Anonymität geprägten Netzwerkumgebung gehört die sichere Zurechenbarkeit von Kommunikationsbeziehungen zu den Grundvoraussetzungen der Internet-Ökonomie. Zurechenbarkeit bedeutet, daß sich Kommunikationsprozesse und -Inhalte auch später noch verbindlich nachweisen und zuordnen lassen. Besonders bei kommerziellen Transaktionen sind unabstreitbare Garantien dafür wichtig, daß jemand bestimmte Nachrichten wie z. B. Bestellungen oder Stornierungen tatsächlich selbst empfangen bzw.fristgerecht erhalten hat. Auch für die Sicherung der Zurechenbarkeit kann die digitale Signatur eingesetzt werden.

IV. Durch Sicherungsinfrastruktur zur Vertrauenskultur

Es herrscht weitgehende Übereinstimmung dahin gehend, daß sich der elektronische Handel und der Dienstleistungsvertrieb über das Internet nur dann voll entfalten werden, wenn eine ausreichende Datensicherheit und ein zufriedenstellender Persönlichkeitsschutz verwirklicht werden. Die Hürden auf dem Weg in eine sichere Internet-Ökonomie werden derzeit allerdings noch als beträchtlich eingeschätzt Trotz dieser skeptischen Einschätzung der Online-Sicherheitslage stehen heute zahlreiche Schutzmöglichkeiten zur Verfügung. Zum einen sind vielfältige technische Hilfsmittel am Markt erhältlich, sogenannte Kryptographie-oder Verschlüsselungsprogramme, die den Nutzern den Schutz und die Vertraulichkeit ihrer Daten, Transaktionen usw. ermöglichen. Zum anderen hat der Gesetzgeber durch die Verabschiedung des Teledienstedatenschutzgesetzes (TDDSG), des Signaturgesetzes (SigG) oder durch die Bestimmungen des Mediendienstestaatsvertrags entsprechende rechtliche Rahmenbedingungen geschaffen, die es Nutzern erlauben, ihre Schutzrechte wahrzunehmen.

1. Kryptographie und Kryptokontroverse

Als Lehre von den Geheimschriften und ihrem Gebrauch wurde die Kryptographie durch die Informatik zum wichtigsten Instrument der IT-Sicherheit gemacht. Die Methode der Kryptographie besteht darin, die zu schützenden Daten nach einem bestimmten mathematischen Muster (Algorithmus) zu verschlüsseln und damit für Außenstehende unlesbar zu machen. Beim Entwurf von Kryptosystemen kommt es vor allem darauf an, den Aufwand an Rechenzeit und Speicherplatz, den ein Unbefugter benötigt, aus chiffrierten Daten ohne Kenntnis des Schlüssels die Original-daten zurückzugewinnen, möglichst groß zu gestalten. Für die Sicherheit von Kryptosystemen spielen also Fragen der statistischen Wahrscheinlichkeit, der Komplexität, der Algebra und der Zahlentheorie eine zentrale Rolle

In den achtziger Jahren entwickelten die US-Amerikaner Rivest, Shamir und Adleman den nach ihnen benannten RSA-Algorithmus, der seither in vielen frei verfügbaren und kommerziellen Verschlüsselungsprogrammen Verwendung findet. Das bekannteste auf ihm basierende Programm ist Pretty Good Privacy (PGP), daß sich vor allem bei privaten Nutzern eine Spitzenstellung erobert hat. Sein Urheber, Phillip Zimmermann, entwickelte Mitte der siebziger Jahre auf der Basis von RSA eine Verschlüsselungsmethode, die mathematisch kaum zu entschlüsseln ist. PGP basiert auf einem als sehr sicher geltenden, bis zu 1 024 Bit langen Schlüssel und enthält neben der eigentlichen Verschlüsselung auch ein Modul zum Erzeugen digitaler Signaturen. Zu seiner schnellen und über die Landesgrenzen hinausgehenden Verbreitung trug -trotz seiner Unhandlichkeit -vor allem bei, daß es unentgeltlich als sogenannte Freeware vom Netz heruntergeladen werden kann Durch PGP erhielten die Nutzer offener Kommunikationsnetze schon in den Anfängen des Internet ein IT-Sicherheitsniveau, das bis dahin nur Militärs und Geheimdiensten verfügbar war

Genau diese Tatsache aber führte dazu, daß sich der Bekanntheitsgrad von PGP noch erheblich steigerte. Kryptographie als Massenware machte -aus der Sicht der Polizei, der Geheimdienste und mancher Politiker -den Cyberspace zu einem unkontrollierbaren Bereich, der Kriminellen oder Terroristen einen idealen Kommunikationsraum zu bieten schien. Die Möglichkeit einer sicheren Kommunikation berührt daher essentiell die Interessen des Staatsschutzes im Bereich der inneren und äußeren Sicherheit. Es verwundert daher nicht, daß die US-Regierung wenige Monate nach dem Erscheinen von PGP diese Methode zu einer „Angelegenheit der nationalen Sicherheit“ erklärte, den Export der Verschlüsselungsalgorithmen verbieten ließ und mit weiteren Nutzungseinschränkungen die sogenannte „Kryptokontroverse“ auslöste Zimmermann überstand die nachfolgende Anklage vor einem US-Gericht weitgehend unbeschadet. Der anschließende Versuch der US-Regierung aber, Nutzungsbeschränkungen gesetzlich zu verankern und beispielsweise in jedem Verschlüsselungsprogramm eine Hintertür für Abhörmöglichkeiten, die sogenannte Key Escrow, einzubauen, zog sich über viele Jahre hin, scheiterte schließlich und ist im Kern bis heute nicht gelöst Im Kryptographiestreit stehen Bürger-rechte gegen Behördenrechte. Das Problem ist, daß globale Datennetze von Nationalstaaten nicht mehr kontrolliert werden können. Wenn der Staat aber seine Bürger im neuen Sozialraum nicht mehr schützen kann, so lautet die Argumentation von Bürgerrechtlern, dann muß er sie statt dessen zum Selbstschutz befähigen.

Der Gegensatz zwischen notwendigen Staatsschutzinteressen und den berechtigten Forderungen von Bürgern und Unternehmen nach vertrau-lieber Kommunikation bildet daher ein Dilemma, dessen befriedigende Lösung im Prinzip noch aussteht Besonders heftig diskutiert wurde in diesem Zusammenhang die Key-Recovery-Lösung. Bei diesem Verfahren werden zu jedem Kryptoprogramm Nachschlüssel bei einer neutralen Institution, einer „Trusted third Party“, hinterlegt. Bei Verdachtsmomenten kann durch gerichtliche Verfügung darauf zurückgegriffen und können die entsprechenden Dokumente dechiffriert werden. Allerdings wirft Key Recovery viele praktische Fragen auf: Nicht nur müssen Millionen von Schlüsseln sicher verwaltet und das Personal kontinuierlich hohen Sicherheitsanforderungen unterworfen werden, sondern es entstehen auch gewaltige Kosten Zudem setzt sich immer mehr die Erkenntnis durch, daß eine Schlüsselhinterlegung keine wirksame Hürde gegen kriminelle Energie darstellt. Heute stehen zahlreiche Ausweichmöglichkeiten zur Verfügung, bei denen Nachrichten in digitalen Bilddateien (durch Steganographie) versteckt werden können, ohne daß diese je zu entdecken wären.

Infolge dieser Debatte haben einstige Befürworter in Ländern wie Frankreich inzwischen von der Idee der Schlüsselhinterlegung Abschied genommen und sind auf die Vorstellungen der OECD und der EU eingeschwenkt, nach der die Kryptographie weitestgehend den Mechanismen des Marktes überlassen bleiben soll. Mittlerweile ist die Bedeutsamkeit der IT-Sicherheit für die Entwicklung der digitalen Ökonomie unumstritten, und kaum ein Land scheint mehr bereit zu sein, seine Entwicklung zur Informationsgesellschaft durch eine restriktive Kryptopolitik aufs Spiel zu setzen.

Auch in der Bundesrepublik scheint sich eine liberale Position zugunsten der uneingeschränkten Nutzung von Kryptographie durchzusetzen Nach jahrelanger Kontroverse, bei der insbeson-dere das Innenministerium für eine einschränkende Regulierung und eine Schlüsselhinterlegung eintrat, wird in einem „Eckwertepapier“ der jetzigen Bundesregierung der Schutz der Nutzer und die informationeile Selbstbestimmung als Leitprinzip der IT-Sicherheit betont. Die freie Verfügbarkeit von Verschlüsselungsprodukten soll danach in Deutschland nicht eingeschränkt werden, zumal ein Mißbrauch von Krypto-Produkten nach den Erkenntnissen der Regierung bisher kein ernsthaftes Problem für die Strafverfolgungsbehörden darstellt. Hinzu kommt, daß diese Entscheidung die Wettbewerbsfähigkeit der inzwischen prosperierenden deutschen Softwareindustrie unterstützt Durch eine Bestandsaufnahme nach zwei Jahren soll die Möglichkeit offengehalten werden, einer gegenläufigen Entwicklung frühzeitig begegnen zu können

2. Digitale Signatur

Während die Verschlüsselung im wesentlichen dem Ziel des Schutzes der Vertraulichkeit dient, zielt die digitale Signatur auf den Schutz der Integrität und den Nachweis der Urheberschaft von elektronischen Dokumenten. Auch die digitale Signatur basiert auf kryptographischen Verfahren. Die sichere Übermittlung von Dokumenten zwischen unbekannten Partnern wird durch soge-nannte Public-Key-Verfahren ermöglicht. Der Absender eines Dokuments verschlüsselt dieses mit einem privaten Schlüssel, über den nur er verfügt und der ihn eindeutig identifiziert. Zu jedem dieser privaten Schlüssel gehört ein öffentlicher Schlüssel, der -ähnlich wie in einem Telefonbuch -in einem frei zugänglichen On-line-Verzeichnis abgerufen werden kann Hat der Nutzer seine elektronische Mitteilung verschlüsselt verschickt, so sucht der Empfänger den öffentlichen Teil des Schlüssels heraus und entschlüsselt die Botschaft mit Hilfe einer Software. Läßt sich das Dokument entschlüsseln, so erhält er die Gewißheit, daß es tatsächlich vom Besitzer des privaten Schlüssels stammt und nach der Signierung nicht verändert wurde. Soll nun zusätzlich die Authentizität der öffentlichen Schlüssel sichergestellt werden, bedarf es einer Sicherungsinfrastruktur mit einem sogenannten „Vertrauenswürdigen Dritten“, der die Zuordnung einer Person zu einem öffentlichen Schlüssel durch ein Zertifikat bestätigt.

Durch die Verabschiedung des Signaturgesetzes im August 1997 hat die Bundesrepublik international eine Vorreiterrolle übernommen Ziel des Gesetzes ist es, die rechtlichen Voraussetzungen und Anforderungen festzulegen, unter denen eine digitale Signatur als sicher gelten kann. Sie hat sich dabei leiten lassen von höchstmöglicher technischer Sicherheit und betrachtet die Zertifizierung der Dienstleister als hoheitliche Aufgabe, der sie durch eine zweistufige Sicherungshierarchie Rechnung trägt. Eine sogenannte Wurzelinstanz, die bei der Regulierungsbehörde für Telekommunikation und Post angesiedelt ist, zertifiziert und überwacht private Dienstleistungsunternehmen, die ihrerseits Signaturzertifikate an die Endkunden vergeben. Der Nutzer kauft sich ein Chipkartenlesegerät und erhält gegen eine jährliche Gebühr von ca. 100 DM eine Smart Card mit Signatur und zugehöriger persönlicher Identifikationsnummer (PIN).

Bei der Verabschiedung des Gesetzes wurde kritisiert, daß das hohe Sicherheitsniveau der deutschen Signgturlösung und die dadurch verursachten Kosten die Verbreitung der digitalen Signatur behindere. Dies könne dazu führen, daß Deutschland sich international isoliere und den Implementationsprozeß eher bremse als beschleunige. Daß diese Befürchtung nicht ganz unbegründet war, belegt die gegenwärtige Marktsituation. Tatsächlich finden derzeit weniger sichere, aber erheblich preiswertere Signaturlösungen etwa von Global Sign oder Verisign im Markt große Verbreitung. Eine Richtlinie zur elektronischen Signatur, die die Europäische Union vorausssichtlich im Herbst 1999 verabschieden wird, zielt auf deren schnelle Markteinführung und befürwortet deshalb den Wettbewerb zwischen der sehr sicheren Lösung nach Signaturgesetz und sicheren Lösungen privater Anbieter. Der Richtlinie zufolge müssen sich die „Vertrauenswürdigen Dritten“ keinem öffentlichen Genehmigungsverfahren unterziehen. Wer ein Zertfikat öffentlich vertreibt oder dafür einsteht, haftet bei Schäden nach den einzelstaatlichen Haftungsregelungen. Damit soll Sicherheit nicht durch ein aufwendiges Verfahren, sondern über Haftungsregeln, also über Marktmechanismen durchgesetzt werden. Die EU-Mitgliedsländer haben eine Frist von 18 Monaten, die Regelungen in nationalstaatliches Recht umzusetzen.

Freilich ist auch die EU-Richtlinie nicht ohne Tükken. Die Problematik der Anbieterhaftung etwa hinsichtlich der Haftungstatbestände, des haftenden Kapitals oder einer entsprechenden Versicherung muß noch spezifiziert und in die nationalen Haftungsregeln eingepaßt werden. Nicht ohne Folgeprobleme bleibt auch die pauschale Gleichstellung der elektronischen Signatur mit der handschriftlichen. So müssen allein in Deutschland rund 3 000 Einzelgesetze geändert und über 80 von 400 Vorschriften der Abgabenordnung angepaßt werden, um deren Funktionalität in der elektronischen Welt zu gewährleisten. Auch befürchten Unternehmen eine Überformalisierung, da der überwiegende Teil wirtschaftlicher Transaktionsprozesse formfrei, d. h. z. B. per Telefon oder per Fax, erfolgt

Obwohl schwächere Lösungen derzeit den Markt für Signaturen beherrschen, darf nicht vergessen werden, daß alle „verkammerten“ Berufe wie Steuerberater, Wirtschaftsprüfer, Anwälte oder Notare, zahlreiche sicherheitssensible Bereiche wie der Medizinsektor, hochwertige geschäftliche Transaktionen und insbesondere die öffentlichen Verwaltungen und Behörden eine Hochsicherheitssignatur benötigen. Es bleibt daher ein Verdienst der deutschen Gesetzgebung, durch das Signaturgesetz für diese Bereiche eine vorbildliche Lösung geschaffen zu haben. Da das Signatur-gesetz vom Gesetzgeber angesichts der Dynamik von Technik und Märkten experimentell gestaltet worden ist, sollte angesichts der Marktdominanz schwächerer Lösungen der Staat erneut die Initiative ergreifen und durch breite Initiierung und Förderung von Pilotprojekten dazu beitragen, die Anwendbarkeit und Nützlichkeit der Hochsicherheitslösung zu demonstrieren 3. Datenschutz

Im Zentrum des Datenschutzes steht die Vertraulichkeit persönlicher Daten. Durch ein Urteil des Bundesverfassungsgerichts im Jahre 1983 wurde jedem Bürger das Recht zugesprochen, grundsätzlich selbst die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Die Verwirklichung des Rechts auf informationelle Selbstbestimmung ist in offenen Netzen jedoch mit erheblichen Schwierigkeiten verbunden, da alle Bewegungen und Transaktionen Spuren hinterlassen, die erfaßt und ausgewertet werden können. Während der Datenschutz ursprünglich den Bürger vor staatlichen Übergriffen schützen sollte, verlagert sich sein Fokus durch das Internet immer mehr auf das Verhältnis von privaten Nutzern und kommerziellen Unternehmen. Ohne besondere Vorkehrungen können kommerzielle Datensammler Datenprofile mit einer großen Tiefenschärfe entwickeln, so daß in manchen Medien bereits die Gefahr des „gläsernen Nutzers“ beschworen wird

Als besonders problematisch gelten in diesem Zusammenhang sogenannte Data-Warehouse-Konzepte, mit deren Hilfe heterogene Nutzerdaten verknüpft und detaillierte Profile für unterschiedliche Geschäftsfelder -wie etwa den Vertrieb, das Marketing, die Kundeninformation oder die Werbung -bereitgestellt werden können Aus der Sicht des Datenschutzes wird dieses Konzept vor allem dann problematisch, wenn diese Daten von dritter Seite -etwa einem Reiseunternehmen -erworben, mit eigenen Beständen verknüpft und auf diese Weise Kundenprofile („Data-Mining“) erzeugt werden, die das Verhalten einer Person mit hoher Genauigkeit abbilden. Eine solche Verknüpfung personenbezogener Daten ist mit dem Grundrecht auf informationelle Selbstbestimmung zwar nicht vereinbar, sie wird jedoch immer mehr zur gängigen Praxis

So verweist der Bundesdatenschutzbeauftragte, Joachim Jakob, im 17. Tätigkeitsbericht auf eine Untersuchung, der zufolge heute jeder Bundesbürger über 18 Jahre allein 52 mal in Unternehmens-datenbanken erfaßt ist Dazu kommen der öffentliche und der nichtkommerzielle Bereich.

Diese Datenbestände werden im Rahmen von Erhebungen, sogenannten Haushaltsbefragungen, aber auch durch systematische Erfassung der Kommunikationsaktivitäten beständig ergänzt und erweitert. Datenschutzexperten sind sich daher einig, daß es immer mehr darauf ankommt, daß Nutzer für die neue Situation sensibilisiert werden und lernen, ihre Daten selbst zu schützen. Begriffe wie IT-Selbstschutz oder Selbstdatenschutz signalisieren die Eigenverantwortung des Nutzers.

Die Risiken der Erstellung von Nutzerprofilen führen dazu, daß das Interesse an einer anonymen Nutzung offener Kommunikationsnetzwerke immer größer wird. Die Anonymität zum Schutz persönlicher Daten und die persönliche Authentisierung, wie sie bei Transaktionen erforderlich ist, bilden dabei nicht notwendigerweise einen Gegensatz. Durch das Teledienstedatenschutzgesetz z. B. wurde ein Weg aufgezeigt, bei dem Nutzer die Möglichkeit erhalten, bei der Online-Kommunikation ein Pseudonym in Anspruch zu nehmen. Pseudonyme Kommunikation bedeutet, daß Nutzer alle Aktivitäten ausführen können, ohne daß diese Aktivitäten der Adresse des Nutzers zugeordnet werden können. Dieses Pseudonym wird gegen Gebühr durch eine vertrauenswürdige Stelle vergeben, die bei Bedarf allerdings -etwa bei Verdacht auf Straftaten -die Identität des Nutzers aufdecken muß Die Verwendung von Pseudonymen stellt neben der Kryptographie eine der wichtigsten Möglichkeiten des Selbstschutzes in offenen Netzwerken dar, da sie darauf zielt, möglichst wenig persönliche Daten preiszugeben.

Die durch die neuen Kommunikationsmedien herbeigeführte Situation hat dazu beigetragen, daß das Bundesdatenschutzgesetz als bislang wichtigster rechtlicher Bezugsrahmen seine Bedeutung als Auffang-und Querschnittgesetz weitgehend eingebüßt hat. Wichtigste Ziele der kürzlich auf der Basis der EU-Datenschutzrichtlinie in Angriff genommenen Novellierung des Datenschutzgesetzes sind u. a. die Verwirklichung der Datensparsamkeit, des durch die Telearbeit immer wichtiger werdenden Arbeitnehmerdatenschutzes, die Weiterentwicklung von Anonymität und Pseudonymität sowie die Erweiterung des Systemdatenschutzes Daß auch die weltweite Harmonisierung zum Datenschutz noch aussteht und hohe Hürden zu überwinden hat, zeigt die Verabschiedung eines neuen Industriestandards in den USA. Dort haben führende Handels-, Computer-und Kreditkarten-firmen sich auf den gemeinsamen Standard für das elektronische Bezahlen, den Electronic Commerce Modeling Standard (ECML) geeinigt Wichtige persönliche Daten von Kunden werden dabei ohne ernsthafte Schutzmaßnahmen im Netz abgelegt bzw. in Suchmaschinen eingebaut. Es ist nur eine Frage der Zeit, bis dieser Standard auch in Europa verfügbar ist. Die Umsetzung von ECML steht jedoch in direktem Widerspruch zur EU-Richtlinie zum Schutz personenbezogener Daten. Beim letzten Zusammentreffen amerikanischer und europäischer Unterhändler im Mai 1999 konnten sich beide Seiten auf kein gemeinsames Vorgehen zum Datenschutz verständigen. Nun versuchen markt-mächtige Unternehmen durch ECML einen Standard durchzusetzen, und es bleibt abzuwarten, ob sich dessen weltweiter Sogwirkung andere Regelungssysteme zu widersetzen vermögen.

4. Verbraucherschutz

Allein für den Geschäftsverkehr mit Verbrauchern in Form von Online-und Teleshopping wird ein Umsatzpotential von bis zu 60 Mrd. DM vorausgeschätzt Dieses Potential kann jedoch nur realisiert werden, wenn die Bedingungen des elektronischen Shopping denen des alltäglichen Einkaufs annähernd gleichgestellt werden. Bei der Herstellung von Vertrauen in geschäftlichen Beziehungen spielt der Schutz des Endkonsumenten und die Minimierung von Risiken eine zentrale Rolle. Der Käufer einer Ware will sicher sein, daß der Verkäufer auch tatsächlich derjenige ist, der er zu sein vorgibt; daß die Ware die gewünschte Qualität aufweist; daß sie tatsächlich geliefert wird; daß der Preis dem Endpreis entspricht; daß seine Daten nicht an andere Unternehmen weitergegeben werden oder daß er nicht mit unerwünschter E-Mail-Werbung überflutet wird. Aus den neuen Möglichkeiten elektronischer Medien ergibt sich somit die Notwendigkeit einer kontinuierlichen Rechtsanpassung. So ist z. B. die Pflicht zur klaren und wahren Preisangabe für Angebote in elektronischen Medien durch Art. 8 und 9 Informations-und Kommunikationsdienste-Gesetz (IuKDG) sowie durch die Änderung der Preisangaben neu geregelt worden. Auch ergibt sich durch den Mediendienste-Staatsvertrag die Pflicht zur klaren Kennzeichnung von Werbung. Hinsichtlich der von den Nutzern zu zahlenden Entgelte für Telekommunikationsdienstleistungen ist durch die Telekommunikations-Kundenschutzverordnung (TKV) Rechtssicherheit geschaffen worden. Handlungsbedarf besteht insbesondere im Hinblick auf das Verbraucherkreditgesetz sowie Fragen der Haftung und der Umsetzung der Fernabsatzrichtlinie die die Europäische Kommission verabschiedet hat. Angesichts der Globalität der Datennetze bedarf es ferner einer internationalen Harmonisierung des materiellen Verbraucherschutzrechts und der Vereinfachung der internationalen Rechtsdurchsetzung. Dabei muß die Möglichkeit der Verbraucher verbessert werden, nationales Recht sowie einen Gerichtsstand im Heimatland wählen zu können

5. Elektronische Zahlungssysteme

Die Möglichkeiten des Electronic Commerce im Internet können vor allem dann vollständig ausgeschöpft werden, wenn alle Stufen einer geschäftlichen Transaktion -d. h. von der Informationssuche über die Geschäftsvereinbarung und den Vertragsabschluß bis hin zum Bezahlen -elektronisch vollzogen werden können, ohne dabei das Medium zu wechseln (z. B. Zahlen per Nachnahme). Aus der Perspektive der Vereinfachung und Optimierung von Konsumhandlungen verspricht digitales oder elektronisches Geld daher die Senkung der mit einer Transaktion verbundenen Kosten. Derzeit werden in Deutschland und in vielen anderen Ländern vor allem von Banken, Kreditkarten-unternehmen und Softwarehäusern zahlreiche Versuche durchgeführt, neue Formen elektroni-sehen Geldes zu generieren und deren Funktionstüchtigkeit zu überprüfen Als eine unter der Führung von VISA und Master Card als besonders sicher geltende technische Spezifikation gilt die Secure Electronic Transaction (SET) Die SET-gestützte Kreditkartenzahlung wird derzeit von über 80 Banken in 16 Ländern erprobt. SET soll nicht nur sicher gegen Fälschungsangriffe sein, sondern auch die Vertraulichkeit der Finanzdaten gewährleisten und die Zahlungsintegrität zu jedem Zeitpunkt sicherherstellen. Grundlage von SET ist der sichere Austausch der Kreditkartendaten unter Nutzung des Public-Key-Verfahrens RSA. Auch bei dieser Lösung übernimmt ein Trust Center, in diesem Fall die Gesellschaft für Zahlungssysteme (GZS), die Rolle einer Clearing-Stelle, die die Identität der Marktteilnehmer prüft und eine PIN erteilt. Im Rahmen einer SET werden bei jedem Kauf-oder Überweisungsvorgang durch Prüfroutinen die Zuverlässigkeit der Angaben kontrolliert und entsprechende Zahlungsfreigaben erteilt. Die gegenseitige Authentifikation aller beteiligten Akteure erfolgt durch digitale Signaturen. Wie bei anderen Hochsicherheitslösungen, so gilt auch bei SET, daß mit wachsender Sicherheit die Komplexität und damit die Anfälligkeit zunehmen. So wird bei SET von Transaktionszeiten von bis zu einer halben Minute berichtet. Zudem stellt SET aufgrund seiner hohen infrastrukturellen Anforderungen ein relativ kostenintensives Verfahren sowohl für die Banken als auch für die Kunden dar, da dieser Standard aufwendig zu implementieren ist. Hohe Kosten aber schrecken in der gegenwärtigen Phase viele potentielle Anwender ab. Da SET als offener Standard konzipiert ist und die Anonymität potentieller Kunden gewährleistet, gehen zahlreiche Experten dennoch davon aus, daß SET sich -trotz noch vorhandener technischer Probleme -zu einem häufig genutzten Instrument für den elektronischen Zahlungsverkehr entwickeln wird, zumal die Banken als markt­ mächtige Akteure diese Verfahren auch im internen Gebrauch einsetzen werden.

Im Gegensatz zu den oben geschilderten gesetzlichen Aktivitäten entwickeln sich sichere elektronische Geldmittel im wesentlichen nach den Kriterien des Marktes. Dies bedeutet, daß ihre Einführung mit einem erheblichen Zeitaufwand verbunden sein wird. Denkt man daran, daß für die Einführung von Homebanking der Startschuß vor 15 Jahren gegeben wurde und 1998 lediglich vier Millionen Konten (etwa fünf Prozent) online geführt werden, so wird deutlich, daß bis zur selbstverständlichen und sicheren Möglichkeit für elektronisches Bezahlen noch einige Jahre vergehen werden.

V. Fazit

Die neuen Möglichkeiten elektronischer Medien bringen wachsende Herausforderungen an die IT-Sicherheit und den Datenschutz mit sich. Die technische Entwicklung neuer Kommunikationsmöglichkeiten verläuft so schnell, daß der Gesetzgeber vor großen Schwierigkeiten steht, den neuen Risiken des Internet durch die Anpassung alter oder die Schaffung neuer Gesetze zu begegnen. Auch sind die Möglichkeiten, illegale Verhaltensweisen im Internet etwa durch Staatsanwaltschaften und Polizei zu bekämpfen, angesichts der Internationalität der Probleme (unterschiedliche Kulturen, Gesetzgebungen, technische Ausrüstungen etc.) nur schwer zu realisieren. Der Staat sollte daher die Möglichkeiten zum Selbstschutz der Nutzer, z. B. hinsichtlich der Kryptographie, uneingeschränkt fördern Die Anwendung dieser Selbstschutzmöglichkeiten macht es jedoch erforderlich, daß der Nutzer sowohl über ein hinreichendes Problembewußtsein als auch über eine gewisse Kompetenz verfügt, die oft nicht immer nutzerfreundlich gestalteten Sicherheitstechniken in alltäglichen Kommunikationszusammenhängen einzusetzen. Es ist daher zum einen eine Didaktik des Selbstschutzes erforderlich, welche selbstverständlicher Bestandteil aller computerbezogener Fortbildungsmaßnahmen sein sollte. Nur sachgerechte, verständliche und gut zugängliche Informationen leisten hierzu einen Beitrag. Denkbar wäre bei-spielsweise eine Verpflichtung der Internet Provider und Diensteanbieter, ihre Kunden über die Risiken zu informieren und zuverlässige Schutz-vorkehrungen wie Werbe-E-Mail-Filter oder Antivirensoftware anzubieten. Zum anderen aber muß auch der Nutzer, will er selbstverständlich in offenen Netzwelten kommunizieren, sich über die möglichen Risiken bewußt werden und Vorkehrungen treffen: Er muß wissen, wann er sein informationelles Selbstbestimmungsrecht gefährdet, welche Daten er ungeschützt übertragen darf, wann er persönliche Daten preisgibt, oder wann er Gefahr läuft, für sein Geld keine Gegenleistung zu erhalten. IT-Sicherheit jedenfalls ist nicht nur eine Frage des Einsatzes sicherer Hard-und Software, einer hochentwickelten Sicherungsinfrastruktur, eines gesetzlichen Schutzrahmens oder des kundenfreundlichen Verhaltens von Online-Anbietern, sondern vor allem auch eine Frage des aktiven Selbstschutzverhaltens der Nutzer

Fussnoten

Fußnoten

  1. Bei einem Anschlußpreis von 50, -DM im Monat sind 80 Prozent der deutschen Haushalte bereit, sich einen Internet-Anschluß zuzulegen. Vgl. Frankfurter Allgemeine Zeitung (FAZ) vom 29. 7. 1999, S. 25.

  2. Vgl. z. B. die Homepage der Initiative „Schule ans Netz“: http: //Externer Link: http://www.san-ev.de.

  3. Vgl. z. B. die Ergebnisse der AG 5: „Senioren in der Informationsgesellschaft“, die im Rahmen des Forum Info 2000 erarbeitet wurden, Bonn 1998.

  4. Vgl. dazu auch: Jürgen Wilke, Multimedia. Strukturwandel durch neue Kommunikationstechnologien, in: Aus Politik und Zeitgeschichte, B 32/96, S. 3 ff.

  5. So beantragten z. B. im Frühjahr 1999 die deutschen Vertreter des Usenet, AOL vom Usenet auszuschließen mit der Begründung, daß die Verteilung von Freistunden-CDs beliebigen Teilnehmern den Schreibzugriff erlaube, ohne daß diese sich identifizieren müßten.

  6. Der Begriff IT-Sicherheit (= informationstechnische Sicherheit) bezeichnet die sichere Verarbeitung und Kommunikation von Daten in IT-Systemen und wird meist als Oberbegriff für die interdisziplinäre Befassung mit Aspekten der Computersicherheit, der Datensicherheit, der Netz-sicherheit, der Kommunikationssicherheit, des Datenschutzes etc. verwendet. Vgl. dazu: Heinrich Kersten, Sicherheit in der Informationstechnik. Einführung in Probleme, Konzepte und Lösungen, München-Wien 1995.

  7. Vgl. Internet News, in: http: //Externer Link: http://www.infosec. ch/faelle/infonews. htm.

  8. Vgl. Datenschutzberater vom 15. 1. 1998, S. 17.

  9. Derzeit sind etwa 40 000 verschiedene Viren bekannt. Schon für die nahe Zukunft wird mit einer Verdoppelung gerechnet. Vgl. Lutz Becker, Die Virenflut rollt weiter, in: Zeitschrift für Kommunikations-und EDV-Sicherheit. (1999) 3, S. 6 ff.

  10. Vgl. Anonymer Genuß. Nahezu jeden Hit gibt es im Internet, in: Wirtschaftswoche, Nr. 18 vom 29. 4. 1999.

  11. Vgl. http: //nclnet.org/NCLSURV 5. HTM. Weitere Berichte über Angriffsfälle und Informationen finden sich unter http: //Externer Link: http://www.infosec. ch/faelle/fall... htm., sowie The Risks Digest, Volume 19, Issue 58, in: http: //catless. ncl.uk/Risks/19. 58. html#sub.

  12. Vgl. die Rede des Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dirk Henze, am 17. Mai 1999 in Bad Godesberg anläßlich des 6. Deutschen IT-Sicherheits-Kongresses. Laut Datamonitor beträgt der durch mangelnde IT-Sicherheit weltweit verursachte Schaden über 16 Mrd. US-Dollar (Datamonitor „Internet/Extranet Security -Executive Summary" 1997, S. 5).

  13. Vgl. Franz Büllingen, Das Internet als Leitbild für globale Kommunikation?, in: Manfred Mai/Klaus Neumann-Braun (Hrsg.), Von den „Neuen Medien“ zu Multimedia. Gesellschaftliche und politische Aspekte, Baden-Baden 1998, S. 54 ff. Als problematisch gilt auch die über das Internet intensivierte Wirtschaftsspionage. So wurde inzwischen nachgewiesen, daß das von den USA und Großbritannien betriebene Echelon-System sowohl zum Abhören der Partnerstaaten als auch der dort ansässigen Industrieunternehmen eingesetzt wird. Vgl. z. B. „Im Visier der Daten-jäger“, in: FAZ vom 2. 6. 1998, sowie „Hintertür für Spione“, in: Die Zeit vom 19. 7. 1998, ferner den Bericht der Arbeitsgruppe STOA des Europäischen Parlaments: „Interception Capabilities 2000“.

  14. Vgl. hierzu z. B. die Richtlinien der OECD. Oryptography Policy. The Guidelines and the Issues, Washington, D. C. 1998, S. 19 ff.

  15. Auch die Sicherung der Verfügbarkeit von Kommunikationsinfrastrukturen im nationalen Maßstab ist ein brisantes Thema, dem derzeit noch zu wenig Beachtung geschenkt wird.

  16. Vgl. Deutscher Bundestag (Hrsg.), Vierter Zwischenbericht der Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft -Deutschlands Weg in die Informationsgesellschaft“ zum Thema: Sicherheit und Schutz im Netz, Drucksache 13/11002, Bonn 1998, S. 19 f.

  17. Vgl. Anette Hillebrand/Franz Büllingen/Olaf Dickoph/Carsten Klinge, Informations-und Kommunikationssicherheit in kleinen und mittleren Unternehmen, Bad Honnef 1997, sowie Gerd Hunnius, So schätzen DV-Anwender ihre Sicherheit ein, KES-Utimaco-Sicherheitsstudie 1998.

  18. So protokollieren z. B. Websites bei jedem Besuch neben der IP-Adresse eines Nutzers die Uhrzeit des Zugriffs, die aufgerufenen Webseiten, alle vorher besuchten Seiten einschließlich der Querverweise sowie den verwendeten Browser und die Art des Betriebssystems. Eine andere Möglichkeit, Daten über Kunden zu gewinnen, sind konfigurierbare Einstiegsseiten. Als Gegenleistung dafür, daß der Kunde seine persönlichen Interessen kundgibt, erhält dieser den schnellen Zugriff auf ihn interessierende Inhalte. Der Besucher muß sich dafür explizit mit Name und Paßwort einloggen.

  19. Vgl. Annette Hillebrand/Franz Bütlingen. Durch Sicherungsinfrastruktur zur Vertrauenskultur: Kritische Erfolgs-faktoren und regulatorische Aspekte der digitalen Signatur, Bad Honnef 1998.

  20. So verwiesen bei einer Erhebung zu den Hemmnissen des Elektronischen Geschäftsverkehrs 70 Prozent der befragten Unternehmen auf regulatorische Defizite bei signierten Verträgen, 67 Prozent hielten Fragen der Haftung und des Copyrights für ungeklärt, und 60 Prozent meinten, daß im WWW keine sicheren Zahlungsmöglichkeiten existierten und auch die Beweisbarkeit von Transaktionen nicht möglich sei. 64 Prozent nannten den fehlenden Datenschutz als Hemmnis, 60 Prozent gaben Vertrauensprobleme mit den Kommunikationspartnern an, und 57 Prozent waren von der Integrität der Datenübertragung nicht überzeugt. Vgl. Günter Müller/Detlef Schoder, Electronic Commerce -Hürden, Entwicklungspotential, Konsequenzen. Ergebnisse aus der Electronic Commerce Enquete, Arbeitsbericht Nr. 137/März 1999 der Akademie für Technikfolgenabschätzung, Stuttgart. S. 27 ff.

  21. Prinzipiell gilt kein Krypto-System als sicher. Man muß daher den Aufwand zur Entschlüsselung in eine Dimension treiben, die es aus praktischen und wirtschaftlichen Gründen erheblich erschwert, einen Code zu knacken. So verschlüsselten Rivest, Shamir und Adleman 1977 einen Text mit einem 430 Bit langen Schlüssel und boten demjenigen 100 US-Dollar, dem es gelingen würde, den Text zu entschlüsseln. Erst sieben Jahre später machte sich ein internationales Team mit über 1 600 Computern an die komplexe Arbeit. Sie brauchten schließlich mehr als acht Monate an Rechenzeit, bis es ihnen gelang, den Text zu dechiffrieren.

  22. Z. B. unter: http: //Externer Link: http://www.quadralay.com/www/Crypt/PGP/pgp 00. html. Weitere Hinweise und Antworten auf häufig gestellte Fragen finden sich bei der Newsgroup: alt.security. pgp.

  23. In den Anfängen des Internet basierte die „secret key cryptography“ darauf, daß sich der Sender und der Empfänger einer Nachricht auf einen Schlüssel verständigen mußten. Beide verfügten über den gleichen Schlüssel, weshalb diese Lösung als symmetrisch bezeichnet wird. Diese Vereinbarung war jedoch nur sicher, wenn man sich persönlich zur Übergabe des „private key“ traf. In kleinen Gruppen ließ sich dieser Austausch bewältigen, bei größeren jedoch wurde er zu einem unlösbaren Problem. Mit Hilfe der Kryptographie wurde daher ein „public key'-Verfahren entwikkelt, bei dem zwei Schlüssel verwendet werden: ein privater Schlüssel zum Schließen und ein öffentlicher zum Öffnen einer Nachricht. Durch dieses asymmetrische Verfahren können auch Sender und Empfänger abhörsicher miteinander kommunizieren, die sich nicht kennen. Zur Funktionsweise des „public key-Verfahrens“ vgl. Abschnitt IV. 2. Digitale Signaturen.

  24. Seit Ende der achtziger Jahre ist in den USA der Export von Verschlüsselungssoftware generell verboten. Lediglich einfache Datenschlüssel mit 40-Bit-Technologie sind davon ausgenommen. 56-Bit-Schlüssel, die als nur wenig sicherer gelten, dürfen nur exportiert werden, wenn innerhalb von zwei Jahren die Hinterlegung eines Nachschlüssels („Key Recovery“) erfolgt. Bei den heute üblicherweise verwendeten 128-Bit-Schlüsseln müssen US-Firmen vor der Erteilung einer Ausfuhrgenehmigung über einen entsprechenden Key-Recovery-Mechanismus verfügen.

  25. Im internationalen Bereich halten die USA an Export-verboten für Hochsicherheitslösungen und an der Forderung der Schlüsselhinterlegung fest. So forderte die US-Justiz-ministerin Janet Reno im Mai 1999 das Bundesjustizministerium auf, sich für die Kontrolle der im Internet frei verfügbaren Kryptosoftware einzusetzen. Experten befürchten als Folge der US-Kryptopolitik, daß US-Behörden praktisch in allen Staaten Zugriff auf Verschlüsselungsverfahren haben.

  26. Vgl. Bert-Jaap Koops, der von der Kryptokontroverse als einem Problem ohne echte Lösung spricht: The Crypto Controversy. A Key Conflict in the Informations Society, The Hague -London -Boston 1999.

  27. Allerdings wird in der politischen Diskussion um den Einsatz von Key Recovery oft übersehen, daß es z. B. in Unternehmen sinnvoll sein kann, Verfahren zur Schlüsselhinterlegung zu implementieren, da sonst -z. B. bei Verlust des Schlüssels -auch die verschlüsselten Daten verloren sind. Ein von der Europäischen Union gefördertes Projekt mit dem Namen KRISIS befaßt sich daher mit Möglichkeiten zur Rekonstruktion von Kryptoschlüsseln in Organisationen. Vgl. Fachverband Informationstechnik, Einsatz von Kryptographie in Unternehmen -Ein Leitfaden, Heft Nr. 68, 1998.

  28. Vgl. Bundesministerium für Wirtschaft und Technologie, Eckpunkte der deutschen Kryptopolitik, in: Tages-nachrichten vom 7. 6. 1999. Vgl. dazu auch die Sicherheits-Website des BMWI unter http: //Externer Link: http://www.sicherheit-im-internet.de/home. html.

  29. Vgl. Kryptographie. Glücksfall für die Europäer, in: Diebold Management Report. Nr. 8/9-98, S. 8-11

  30. Vgl. http: //Externer Link: http://www.sicherheit. im. internet.de. Unklar bleibt derzeit der Fortgang des EU-weiten Überwachungsvorhabens „Enfopol 98“, das die Abhörpraxis der Behörden in den Mitgliedstaaten synchronisieren und auf das Internet sowie auf satellitengestützte Kommunikationsnetze ausweiten soll. Nach heftigem Protest von Verbänden und Daten-schützern wurde die Enfopolberatung durch den Ministerrat verschoben. Experten halten eine Lösung für möglich, bei der auf permanente Überwachungsschnittstellen verzichtet wird und sich die Behörden mit einer nachträglichen Analyse von Kommunikationsdaten auf richterlichen Beschluß hin begnügen (vgl. Handelsblatt vom 21. 6. 1999).

  31. Da bei der Signaturbildung durch den Absender ein anderer Schlüssel eingesetzt wird als bei der Signaturprüfung durch den Empfänger, spricht man von einem asymmetrischen Verfahren.

  32. Das Signaturgesetz wurde 1998 durch eine Signaturverordnung und einen Maßnahmenkatalog ergänzt, in denen die technischen und organisatorischen Spezifikationen für den Aufbau einer Sicherungsinfrastruktur festgelegt werden.

  33. Vgl. Fachverband VDMA/ZVEI, Positionspapier zum deutschen Signaturgesetz und der europäischen Richtlinie zu elektronischen Signaturen (Entwurf), April 1999.

  34. Vgl. Franz Büllingen, Zeit für die digitale Signatur, in: Newsletter des WIK, Nr. 35, Bad Honnef, Juni 1999.

  35. Vgl. z. B. Uwe Buse/Cordt Schnibben, Der nackte Untertan, in: Der Spiegel, 27/1999, S. 112-124.

  36. Vgl. Ingo Hönicke, Das Warehouse-Konzept schürt die Angst vor dem gläsernen Bürger, in: Computer-Zeitung vom 3. 7. 1997.

  37. Vgl. Deutscher Bundestag (Anm. 16), S. 22 f.

  38. Vgl. Tätigkeitsbericht 1997 und 1998 des Bundesbeauftragten für den Datenschutz -17. Tätigkeitsbericht -Deutscher Bundestag, Drs. 14/850 vom 4. 4. 1999, Bonn 1999.

  39. Vgl. Gesetz zur Regelung der Rahmenbedingungen für Informations-und Kommunikationsdienste (Informationsund Kommunikationsdienstb-Gesetz -IuKDG), insbesondere Artikel 2, Gesetz über den Datenschutz bei Telediensten (Teledienstedatenschutzgesetz -TDDSG), Bundesgesetzblatt vom 28. 7. 1997.

  40. Vgl. Tätigkeitsbericht (Anm. 38), S. 20 f.

  41. Der ECML-Standard funktioniert wie ein elektronischer Geldbeutel. Verbraucher müssen einmal ihre persönlichen Daten eingeben, anstatt sie bei jedem Einkauf neu zu hinterlegen. Name, Adresse und Kreditkartennummer werden auf einem Browser oder Server im Web gespeichert (http: //www ecml.org). ECML ist lizenzgebührenfrei und gilt international.

  42. Vgl. Bundesministerium für Wirtschaft, Elektronischer Geschäftsverkehr. Initiative der Bundesregierung, Stand Oktober 1997, S. 59.

  43. Die EU-Fernabsatzrichtlinie beinhaltet ein allgemeines Widerrufsrecht für im Fernabsatz geschlossene Verträge sowie umfangreiche Informationspflichten (z. B hinsichtlich der Lieferkosten, der Steuern etc.) für Anbieter von kommerziellen Diensten. Zur Umsetzungsproblematik und Kritik vgl. Deutscher Bundestag (Hrsg.), Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft -Deutschlands Weg in die Informationsgesellschaft“ zum Thema: „Verbraucherschutz in der Informationsgesellschaft“, Drs. 13/11003, Bonn 1998, S. 19.

  44. Vgl. Deutscher Bundestag, ebd., S. 16 ff.

  45. Vgl. Knut Böhle/Ulrich Rhiem, Elektronisches Geld und Internet-Zahlungssysteme. Innovationen, Mythen, Erklärungsversuche, in: TA-Datenbanknachrichten, Nr. 2, Juni 1998, S. 40-54, sowie auch die übrigen Beiträge des Schwerpunktthemas „Elektronisches Geld und Internet-Zahlungssysteme“.

  46. Andere Verfahren, die sich derzeit in der Erprobung befinden, sind CyberCash, das Micropaymentverfahren Cyber-Coin, First Virtual, Ziplock oder Redi-Charge; vgl. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), Elektronischer Zahlungsverkehr -Folgen fehlender oder unzureichender IT-Sicherheit, Ingelheim 1998. Niemand ist jedoch derzeit in der Lage, zu prognostizieren, welches System sich letztlich durchsetzen und die notwendige Akzeptanz bei Anwendern und Nutzern finden wird.

  47. Vgl. Deutscher Bundestag (Anm. 43), hier insbesondere das Kapitel 6. 2 '„Förderung des verbraucherbezogenen Selbstschutzes“, S. 23.

  48. Einschlägige Informationen zur IT-Sicherheit können Nutzer auf der Web-Site des BSI unter http: //Externer Link: http://www.bsi.de sowie der Web-Site des Computer Emergency Response Teams (GERT) unter http: //Externer Link: http://www.cert. -dfn.de/dfncert/dfncert. html abrufen. Vgl. auch die Web-Site des BMWI (Anm. 28).

Weitere Inhalte

Franz Büllingen, Dr. rer. soz., geb. 1954; Leiter der Forschungsabteilung „Kommunikation und Innovation“ am Wissenschaftlichen Institut für Kommunikationsdienste (WIK) Bad Honnef. Veröffentlichungen u. a.: Development Trends of Socio-Structural Frameworks and Future Telecommunications Services, in: F. Büllingen (Hrsg.), The Future European Telecommunications User, Bad Honnef 1995; Strategisches Informations-und Innovationsmanagement. Möglichkeiten und Potentiale der Technikfolgenabschätzung, in: H. Bernd (Hrsg.), Jahrbuch Telekommunikation, Berlin 1998; Von der handschriftlichen zur elektronischen Unterschrift. Erfolgs-und Diffusionsfaktoren digitaler Signaturen, in: H. Kubicek u. a. (Hrsg.), Multimedia @Verwaltung. Jahrbuch Telekommunikation und Gesellschaft, Bd. 7, Heidelberg 1999; (Hrsg.) Technikfolgenabschätzung und Technikgestaltung in der Telekommunikation, Königswinter 1996.