BMI-Netzpolitik
Das Bundesinnenministerium und der Beauftragte der Bundesregierung für Informationstechnik bieten vier Dialogveranstaltungen unter dem Titel "Perspektiven Deutscher Netzpolitik" an:
- Datenschutz und Datensicherheit im Internet (18.01.2010)
- Das Internet als Mehrwert erhalten
- Staatliche Angebote im Internet
- Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet
Ein Mitglied des AK Vorrat ist zu dem ersten, bereits feststehenden Termin eingeladen.
Auf dieser Seite sammeln wir Positionen, die in den Gesprächen ggf. angesprochen werden können.
1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)
Das Gespräch ist in zwei Diskussionsrunden mit den folgenden "Leitfragen" gegliedert:
- Herausforderungen der Informationsgesellschaft hinsichtlich Datenschutz und Datensicherheit im Internet
- Welche Anreize können Gesellschaft/Politik/Gesetzgeber setzen, um den Datenschutz im Internet und den Selbstdatenschutz zu verbessern?
- Welche Mittel können Provider und Diensteanbieter den Bürgern an die Hand geben, um ihre Daten und ihre IT besser zu schützen (Spamfilter, Virenschutz...)?
- Wie können Datensicherheit, Datensparsamkeit, Zweckbindung und Transparenz beim Umgang mit personenbezogenen Daten technisch unterstützt werden?
- Wie können Datenschutz und Datensicherheit von gehosteten Angeboten (Cloud-Computing) sichergestellt werden?
- Wie kann eine faire Aufgabenverteilung zwischen Staat, Anbietern und Bürgern bei der Datensicherheit aussehen?
- Handlungsoptionen der Politik
- Wie kann durch die Anpassung des Datenschutzrechts der Datenschutz im Internet gefördert werden?
- Welche Rollen können einer Stiftung Datenschutz zukommen?
- Wie können De-Mail und elektronischer Personalausweis als Angebote für besseren Selbstdatenschutz eingesetzt werden?
- Welche Rolle kann das BSI übernehmen, um die Datensicherheit im öffentlichen und nicht-öffentlichen Bereich zu fördern?
Bitte tragt eure Ideen zu diesen Fragen hier ein:
1. Herausforderungen der Informationsgesellschaft hinsichtlich Datenschutz und Datensicherheit im Internet
In seiner Einladung spricht der Bundesinnenminister die folgenden Punkte an:
- Zahlreiche Datenskandale in der Wirtschaft zeigten, dass die Datensicherheit defizitär sei, weil Unternehmen und Bürger zu sorglos mit persönlichen Daten umgingen
- Die Bürger seien mit dem Schutz ihrer IT und ihrer Kommunikation überfordert. Sie seien auf die Hilfe von Staat oder Providern angewiesen. De-Mail und elektronischer Personalausweis könnten eine sichere Kommunikation gewährleisten.
1.1. Welche Anreize können Gesellschaft/Politik/Gesetzgeber setzen, um den Datenschutz im Internet und den Selbstdatenschutz zu verbessern?
1.2. Welche Mittel können Provider und Diensteanbieter den Bürgern an die Hand geben, um ihre Daten und ihre IT besser zu schützen (Spamfilter, Virenschutz...)?
1.3. Wie können Datensicherheit, Datensparsamkeit, Zweckbindung und Transparenz beim Umgang mit personenbezogenen Daten technisch unterstützt werden?
1.4. Wie können Datenschutz und Datensicherheit von gehosteten Angeboten (Cloud-Computing) sichergestellt werden?
1.5. Wie kann eine faire Aufgabenverteilung zwischen Staat, Anbietern und Bürgern bei der Datensicherheit aussehen?
2. Handlungsoptionen der Politik
2.1. Wie kann durch die Anpassung des Datenschutzrechts der Datenschutz im Internet gefördert werden?
pab: Hier kann unser langjähriges Forderungspapier genannt werden.
2.2. Welche Rollen können einer Stiftung Datenschutz zukommen?
2.3. Wie können De-Mail und elektronischer Personalausweis als Angebote für besseren Selbstdatenschutz eingesetzt werden?
2.4. Welche Rolle kann das BSI übernehmen, um die Datensicherheit im öffentlichen und nicht-öffentlichen Bereich zu fördern?
2. Dialog "Das Internet als Mehrwert erhalten"
(noch keine Einladung)
3. Dialog "Staatliche Angebote im Internet"
(noch keine Einladung)
4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet"
(noch keine Einladung)
Optionen zum Schutz vor Netzkriminalität ohne Überwachung:
Ein marktwirtschaftlicher Mechanismus zur Durchsetzung solcher Ziele ist die Einführung eines Datenschutz-Audits, wie es etwa das Datenschutzzentrum Schleswig-Holstein bereits anbietet. Der Anreiz für Unternehmen, sich einer solchen Prüfung zu unterziehen, besteht in der Anerkennung von Kundenseite. Der Staat kann sich zudem auf den Kauf von geprüften Produkten beschränken. Weiterhin ist anzunehmen, dass freiwillige Prüfverfahren Auswirkungen auf die von Unternehmen zu zahlende Prämie für Versicherungen gegen Computerschäden haben, so dass auch auf diese Weise marktkonform Druck ausgeübt werden kann. Daneben könnte der Staat die Durchführung von Audits auch durch Gewährung von Steuervorteilen fördern. Mittelfristig kann sich dies für den Staat lohnen, weil ein verstärkter Selbstschutz auf Seiten der Wirtschaft die Eingriffsbehörden entlastet.
Auch die Einführung einer Pflichtversicherung für gewerblich betriebene, an das Internet angeschlossene Informationssysteme kommt in Betracht, zumal sich die Auswirkungen von Netzkriminalität oft auf Vermögensschäden beschränken[1]. Im Bereich der Arbeitsunfälle hat das deutsche Pflichtversicherungssystem zu einer enormen Steigerung des Sicherheitsbewusstseins geführt, was für die Effektivität einer möglichen Pflichtversicherung auch auf dem Gebiet der Telekommunikationsnetze spricht. Gegen Wirtschaftskriminalität sind bisher nur etwa ein Drittel der deutschen Unternehmen versichert[2].
Im Bereich national wichtiger Informationssysteme ist weiterhin die Einführung einer klassischen verwaltungsrechtlichen Genehmigungspflicht mit anschließender Überwachung der Computersysteme denkbar. Die Überwachung ließe sich turnusmäßig wie im Bereich der Kfz-Überwachung oder stichprobenartig wie bei der Lebensmittelüberwachung gestalten. Die Einhaltung verwaltungsrechtlicher Pflichten ließe sich mit der Androhung von Bußgeldern absichern. Das Recht der Ordnungswidrigkeiten ist vom Opportunitätsprinzip bestimmt und wirft daher die Gleichheitsfragen, die sich bei einer faktisch nur fragmentarischen Strafverfolgung stellen, nicht in gleichem Maße auf. Soweit man nicht in Anbetracht der vielfältigen Möglichkeiten der Eigenvorsorge ganz auf das Strafrecht verzichten möchte, kann man die Verfolgung von Straftaten im Bereich der Netzkriminalität im engeren Sinne wenigstens auf Fälle von besonderem öffentlichen Interesse beschränken und es ansonsten den Betroffenen (etwa gewerblichen Inhabern von Urheberrechten) ermöglichen, zivilrechtliche Verfahren zu betreiben.
Auch die Bürger lassen sich aktivieren, um die Einhaltung von Datensicherheitsregeln durch Organisationen sicherzustellen. So könnte den Kunden eines Unternehmens ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden. Weiterhin sind Mitarbeiter von Unternehmen und Behörden eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt. Eine starke Einbindung der Beschäftigten ist auch angesichts der Tatsache sinnvoll, dass ein Großteil der Schäden durch Computerkriminalität auf Mitarbeiter des geschädigten Unternehmens zurückzuführen ist[3]. Gerade Missbräuche innerhalb des eigenen Unternehmens lassen sich durch interne Maßnahmen relativ leicht feststellen und unterbinden[4].
In anderen Staaten geht eine Steuerungsfunktion zudem oft vom Zivilrecht aus. Dies funktioniert allerdings nur, wenn hinreichend hohe Schadenssummen drohen. Die USA kennen beispielsweise das Institut des „Strafschadensersatzes“ („punitive damages“) und das Instrument der Sammelklage („class action“). In Deutschland hat die Rechtsentwicklung auf dem Gebiet der Produkthaftung zu erheblichen Anstrengungen der Hersteller geführt, die auf dem Gebiet der Hard‑ und Softwaresicherheit in dieser Form nicht zu beobachten sind. Dies wird darauf zurückzuführen sein, dass die verschuldensunabhängige Haftung nach dem Produkthaftungsgesetz nur im Fall von Körper‑ und Sachschäden greift (§ 1 Abs. 1 S. 1 ProdHG), Netzkriminalität im engeren Sinne aber regelmäßig zu immateriellen Schäden führt. Schäden dieser Art sind auch von der deliktischen Haftung nach § 823 Abs. 1 BGB nicht erfasst. Insoweit könnte es nützlich sein, wenn Betroffene, denen Schäden wegen einer unsicheren Gestaltung von Computersystemen entstanden sind, gegen den Hersteller vorgehen könnten, ohne diesem ein Verschulden nachweisen zu müssen.
Im Internet sind Maßnahmen des Selbstschutzes von außerordentlich hoher Bedeutung[5]. Eine amerikanische Untersuchung kommt zu dem Ergebnis, dass Sicherheitslücken, welche sich verbreitete Viren zunutze machten, ausnahmslos schon über einen Monat lang bekannt waren, bevor es zu Schäden durch Ausnutzen der Lücken kam[6]. Auch die Angriffe, welche in den vergangenen Jahren kommerzielle Internetpräsenzen zum Ziel hatten, sind unter Ausnutzung alter und lange bekannter Sicherheitslücken ausgeführt worden. Allgemein sind im Bereich der Netzkriminalität im engeren Sinne viele Angriffe nur deswegen möglich, weil die Betroffenen ihre Systeme unzureichend eingerichtet haben oder nicht in Stand halten[7]. Dass Sicherheitslücken schon in der Zeit vor Bereitstellung einer Abhilfemöglichkeit ausgenutzt werden, ist selten, so dass sich Schäden durch Netzkriminalität im engeren Sinne in aller Regel effektiv durch Maßnahmen der Betreiber der Einrichtungen unterbinden lassen. Gerade wenn Computeranlagen kommerziell betrieben werden, sollten sie stets auf dem neuesten Stand gehalten werden. Da die Aufdeckung von Sicherheitslücken nach kurzer Zeit zur Bereitstellung einer kostenlosen Abhilfemöglichkeit durch den Hersteller führt („Updates“, „Patches“), ist dies ohne unzumutbaren Aufwand möglich. Naturgemäß setzt die sichere Gestaltung von Informationssystemen ein gewisses technisches Verständnis voraus, welches gerade Privatnutzern verstärkt vermittelt werden sollte.
...
Schäden durch Netzkriminalität im engeren Sinne sind mithin in hohem Maße durch technische und organisatorische Maßnahmen vermeidbar. Aber auch im Bereich der Netzkriminalität im weiteren Sinne, etwa in Fällen von Betrug und anderen Vermögensdelikten im Internet, lässt sich durch Sensibilisierung der Nutzer einiges erreichen. Oft wird nur allzu blauäugig auf Angebote eingegangen, deren Unseriosität erfahrene Nutzern sofort bemerkt hätten. Auch ein leichtsinniger Umgang mit persönlichen Daten wie Kreditkartennummern ist zu beklagen. Ein Entgegensteuern durch entsprechende Information erscheint sinnvoll. Die Anzahl der Fälle von Kreditkartenmissbrauch ließe sich zudem durch die Einführung eines günstigen, sicheren und einfachen bargeldlosen Zahlungssystems im Internet erheblich reduzieren. Auf Seiten der Wirtschaft ist davon auszugehen, dass sich die meisten Betrugsfälle zulasten von Unternehmen mit guten Sicherheits‑ und Kontrollmechanismen vermeiden lassen[8].
Hier ist nicht der Raum, um ausführlich zu analysieren, welche Maßnahmen im Einzelnen zur Verfügung stehen und welche Potenziale noch ausgeschöpft werden können. Diese Fragen sind unter anderem im Rahmen der G8 bereits behandelt worden[9]. Auf der Hand liegt jedenfalls, dass Ansätze zur Prävention, also insbesondere technische, strukturelle und aufklärende Maßnahmen, von vornherein umfassender angelegt sind als repressive Methoden, schon deshalb, weil sie nicht nur vor Schäden durch Straftaten schützen, sondern auch vor Schäden etwa durch Fahrlässigkeit, menschlichen Irrtum, Inkompetenz und höhere Gewalt[10].
- ↑ Seiten 157-171.
- ↑ PricewaterhouseCoopers, Wirtschaftskriminalität 2003 (I).
- ↑ Symantec, Symantec Internet Security Threat Report (I), 5 und Seiten 168-169.
- ↑ Symantec, Symantec Internet Security Threat Report (I), 5.
- ↑ Hassemer, Staat, Sicherheit und Information, 225 (244).
- ↑ Symantec, Symantec Internet Security Threat Report (I), 7 und 32.
- ↑ Sieber, COMCRIME-Studie (I), 204.
- ↑ CSI/FBI, 2002 Survey (I), 15; vgl. auch Kubica, Die Kriminalpolizei 9/2001 zu Möglichkeiten der Betrugsprävention.
- ↑ Vgl. die detaillierte Auflistung von Präventionsmöglichkeiten für jeweilige Gefahren bei G8 Workshop, Workshop 3 (I) sowie die Zusammenstellung bei G8 Workshop, Workshop 4 (I).
- ↑ Sieber, COMCRIME-Studie (I), 202 f.