Arbeitsgruppe 4 Sicherheit und Vertrauen in IT und Internet 1. Bestandsaufnahme 2. Handlungsfelder 3. Lösungsvrschläge
1. Bestandsaufnahme Die Nutzung vn Infrmatinstechnlgien und Diensten der Infrmatinsgesellschaft ist Teil des Alltags swhl vn Unternehmen aller Größen als auch vn Privatpersnen gewrden. Ihr Einsatz schafft enrme wirtschaftliche wie auch gesellschaftliche Chancen, birgt aber auch immer wieder Risiken missbräuchlicher Nutzung. Diese können das Vertrauen in die Technlgien und die darauf basierenden Dienste schwächen und die Rechtssicherheit als eine Grundvraussetzung des elektrnischen Geschäftsverkehrs beeinträchtigen. Den Gefahren kann wirksam begegnet werden; Schutzmechanismen stehen bereit und werden frtlaufend weiterentwickelt, um sich neuen Bedrhungsptentialen anzupassen. Ein Erflg im Bemühen um stetig wachsende Sicherheit in der Nutzung vn IT und Internet kann aber nur durch Kperatin aller beteiligten Akteure erreicht werden, vn der Wirtschaft über die öffentliche Hand, die Wissenschaft, gesellschaftliche Gruppen bis zum Nutzer selbst. Dieses gemeinsame Engagement vranzutreiben, ist Ziel der Arbeitsgruppe Sicherheit und Vertrauen in IT und Internet. Mit dem Natinalen Plan zum Schutz der Infrmatinsinfrastrukturen hat sich auch die Bundesregierung ein weit reichendes Prgramm für die IT-Sicherheit gegeben. Der Plan basiert ebenfalls auf der gemeinsamen Verantwrtung vn Staat und Verwaltung, Wirtschaft und Industrie, Bürgerinnen und Bürger für IT-Sicherheit. Nur im intensiven Zusammenwirken kann eine erflgreiche Umsetzung gelingen. 2. Handlungsfelder Die Arbeitsgruppe hat die breite Vielfalt vn Sicherheitsfragen zu einer Agenda der mit besnderem Augenmerk zu adressierenden Handlungsfelder verdichtet. Dabei wurden flgende Themen identifiziert: Datensicherheit: Der Schutz der mit IT verarbeiteten Daten vr Verlust und unbefugtem Zugriff ist die Grundlage und zentrale Vraussetzung für die sichere und vertrauensvlle Nutzung vn IT. Besnders in Klein- und Mittelbetrieben wird die Bedeutung vn Datensicherheit aber meist unterschätzt und vernachlässigt, bwhl Sie vn entscheidender Bedeutung bei der Vermeidung vn Wettbewerbsnachteilen ist. Erstes Element der Datensicherheit ist der Schutz der vertraulichen Daten mittels Verschlüsselung vr dem Zugriff unberechtigter Persnen. Die Gefährdung entsteht z.b. durch den Verlust vn mbilen Geräten (Ntebk, Pcket PC) der auch
durch gezielte Datenspinage, mittels Viren, Würmer, Trjaner der snstige Spinageprgramme. Schließlich ist die Zugriffs- und Abhörsicherheit vn transprtierten Daten etwa im Bereich email, Vice-ver-IP der auch bei drahtlsen Internetzugängen wie WLAN sicherzustellen. Identitätsschutz: Die Feststellung der Identität vn Persnen durch ihre Identifizierungsdaten (wie z.b. Name, Anschrift, Benutzernamen der Kennwörter) und die Verwendung vn digitalen Identitäten sind vielfach Grundlage vn Aktivitäten im Internet. Gerade in der geschäftlichen Nutzung des Internets ist es vn zentraler Bedeutung, dass nur berechtigte Persnen Zugang zu Infrmatinen und Transaktinsmöglichkeiten haben. Die Identifizierungsdaten vn Persnen sind aber immer wieder Ziel vn Angriffen, um betrügerische Handlungen vrzunehmen der gar die Herrschaft über fremde Benutzerknten (z.b. im Bereich des Online-Bankings) zu gewinnen. Dies kann swhl zu erheblichem wirtschaftlichen Schaden führen als auch das Vertrauen der Nutzer in diese Anwendungen nachhaltig erschüttern. Die Frm der Angriffe ist vielfältig. Sie reichen vm Einsatz vn Trjanern zum Ausspinieren vn Kennwörtern über Phishing und Pharming bis hin zum Diebstahl einer fremden Identität für Internet-Aktivitäten der die Nutzung gefälschter Absenderangaben bei emails. Die Attacken setzen smit gleichermaßen an technischen, przeduralen als auch menschlichen Schwachstellen in der Nutzung des Internets an und erfrdern daher Maßnahmen auf verschiedenen Ebenen. Schutz vr Online-Betrugsfrmen: Transaktinssicherheit im elektrnischen Geschäftsverkehr kann nur erreicht werden, wenn der Nutzer hinreichend vr betrügerischen Aktivitäten geschützt ist. Ein angemessener Identitätsschutz ist dabei nur ein - wenn auch wichtiger Beitrag unter vielen. Daneben ist immer wieder eine Verlagerung vn auch ffline bekannten Betrugsmustern (Warenbetrug, Warenkreditbetrug, betrügerische Finanzanlagen, Nigeria-Spam/ Scam etc.) in elektrnische Medien zu bebachten und muss auch drt wirksam bekämpfbar sein, um das Vertrauen der Nutzer nicht zu gefährden. Gleiches gilt für den betrügerischen Einsatz spezifischer TK- und IT-Technlgien, wie zum Beispiel den Missbrauch vn Dialern. Jugendmedienschutz / Illegale Inhalte: Die Bekämpfung illegaler Inhalte wie Kinderprngrafie der rechtsextremer Hassprpaganda muss ein zentrales Element der Bemühungen um ein sicheres Internet sein. Gerade das deutsche Beispiel zeigt, dass hier ein intensives Zusammenwirken vn Staat, Unternehmen und gesellschaftlichen Akteuren auch in einem glbalen Medium greifbare Ergebnisse erzielen kann. Ein besnderes Augenmerk gilt zudem einem effektiven Jugendmedienschutz. Auch hier haben in Deutschland die etablierten Systeme der Selbstregulierung, teils in Frm der C-Regulierung mit staatlichen Stellen, bereits ein im internatinalen
Vergleich sehr gutes Schutzniveau erreicht. Alle diese Maßnahmen müssen schließlich vn einer stetigen Frtentwicklung der Medienkmpetenz, insb. bei Kindern und Jugendlichen swie deren Eltern und Lehrern, begleitet werden. Spam: Der Missbrauch der email-dienste zu Spamming führt zu erheblichen Effizienzeinbußen bei der Nutzung dieser Kmmunikatinstechnik. Gleiches kann in Zukunft anderen mdernen Kmmunikatinstechnlgien wie Mbile der Instant Messaging drhen. Deshalb ist es ntwendig, hier nicht nur mit reaktiven Maßnahmen wie effektiven Spam-Filtern die Beeinträchtigungen gering zu halten, sndern alles zu unternehmen, das Übel auch an der Wurzel zu packen, hne die legitime Nutzung des Mediums auch für legale Werbezwecke zu gefährden. Piraterie / Raubkpien / Urheberrechtsverletzungen: Als Flge der Digitalisierung verstärkt sich der Grad der Bedrhung geistigen Eigentums durch die Verbreitung und Nutzung unerlaubter Kpien. Der Piraterie vn Sftware, aber auch Medieninhalten wirksam Einhalt zu gebieten, gehört daher ebefalls zu einem sicheren wirtschaftlichen Umfeld für IT-Nutzung und Internet. 3. Lösungsvrschläge Die Gewährleistung vn Sicherheit und Vertrauen beim Umgang mit IT und Internet ist eine kntinuierliche Aufgabe, um den immer neuen Herausfrderungen zu begegnen. Erflg kann dabei nur erzielt werden, wenn nicht nur bjektiv gute Sicherheitsbedingungen geschaffen, sndern auch die Existenz und der richtige Einsatz vrhandener Schutzinstrumente den geschäftlichen wie privaten Nutzern vermittelt werden. Die Warnung vr Gefahren sllte stets auch mit dem Aufzeigen vn Lösungen für einen wirksamen Schutz und knkreten Hilfestellungen für den Nutzer verbunden werden. Dies wird die tatsächliche Anwendung vrhandener Sicherheitsmechanismen fördern und zugleich das subjektive Sicherheitsgefühl und damit auch das Vertrauen der Nutzer in die Infrmatinstechnlgie und Dienste der Infrmatinsgesellschaft stärken. In diesem Sinne wllen die in der AG versammelten Akteure zusammenwirken. Ein starkes Augenmerk sll dabei auf privaten Nutzern, gerade auch Cmputer-Neulingen, swie kleinen und mittelständischen Unternehmen liegen; hier besteht in besnderem Maße Aufklärungs- und Infrmatinsbedarf. Daher sieht die Arbeitsgruppe die Neuaufstellung der bisherigen Sicherheitsinitiative Deutschland sicher im Netz in Frm eines eingetragenen Vereins als ideale
Maßnahme, um eine übergreifende und auf Dauer angelegte Plattfrm für alle Fragen der Sensibilisierung und Aufklärung rund um IT- und Internetsicherheit zu schaffen. Als Gründungsmitglieder des Vereins sind die Verbände BITKOM und ec, die Freiwillige Selbstkntrlle Multimedia (FSM), das Deutsche Kinderhilfswerk, der TeleTrust Deutschland e.v. swie die Unternehmen Deutsche Telekm, der deutsche Sparkassenverlag, ebay, Micrsft, Utimac und Verisign mit dabei. Andere Organisatinen, darunter die weiteren Teilnehmer der Arbeitsgruppe Sicherheit und Vertrauen beim IT-Gipfel, prüfen aktuell, in welcher Frm sie bestmöglich zu dem gemeinsamen Ziel beitragen können. Die öffentliche Hand unterstützt nachdrücklich diese Initiative vn Wirtschaft, NGOs, Verbänden und Wissenschaft und wird die Arbeit des Vereins in enger Kperatin nach besten Kräften unterstützen. Die anbieter- und technlgieneutrale Initiative sllte zu einer zentralen Awareness- und Infrmatinsplattfrm für die Zielgruppe Bürger und KMU für alle Fragen der Sicherheit in Infrmatinstechnlgie und Diensten der Infrmatinsgesellschaft werden. Als Ausdruck der dauerhaften Unterstützung wird der Bundesinnenminister Dr. Schäuble die Schirmherrschaft des Deutschland sicher im Netz e.v. übernehmen. Neben dem Bundesinnenministerium wird insbesndere auch das Bundesamt für die Sicherheit in der Infrmatinstechnik (BSI) mit dem Verein kperieren. Der Verein wiederum wird mit seiner Arbeit die Bundesregierung bei der Umsetzung des Natinalen Plans zum Schutz der Infrmatinsinfrastrukturen für die Zielgruppe Bürgerinnen und Bürger swie kleine und mittelständische Unternehmen unterstützen. Der Deutschland sicher im Netz e.v. sll mit knkreten Maßnahmen, deren Realisierung einzelne Beteiligte in Frm vn Handlungsversprechen übernehmen, wesentliche Beiträge zu einer Steigerung vn Sicherheit und Vertrauen in IT und Internet leisten. Die perative Aufgabe des Vereins liegt insbesndere in der Stärkung des Bewusstseins für IT- und Internet Sicherheit durch Aufklären, Infrmieren, Sensibilisieren und das Bereitstellen vn Handlungsanweisungen. Die Infrmatinen und Handlungsempfehlungen sind auch gerade auf die Bedürfnisse vn Einsteigern der Cmputer- und Internetnutzung swhl in der jüngeren wie der älteren Generatin abzustellen. Dazu sllten auch nicht nur das Internet, sndern auch knventinelle Medien (z.b: Brschüren, Presse, Fernsehen) genutzt werden, um auch die besnders schutzbedürftigen Wenignutzer und Einsteiger zu erreichen. Hierzu gehört auch eine frühe Wissensvermittlung in Schulen und selbst Kindergärten zum sicheren Umgang mit neuen Medien und Cmputern. Ein bereits im Kindesalter geschaffenes Risikbewusstsein führt langfristig zu einem besseren Umgang mit digitalen Medien und etabliert ein Selbstverständnis der digitalen Sicherheit. Hierzu ist die Zusammenarbeit vn öffentlicher Hand und Wirtschaft in besnderer Weise erfrderlich, um über erste vielversprechende Prjekte hinaus eine Breitenwirkung zu erzielen.
Exemplarisch wurden an drei Risikgruppen knkrete Lösungsansätze zur Steigerung vn Sicherheit und Vertrauen in IT und Internet herausgearbeitet: Identitätsschutz: Der Identitätsschutz als ein wesentliches Element vn Sicherheit und Vertrauen in IT und Internet erfrdert technische, rganisatrische, rechtliche und nicht zuletzt edukative Maßnahmen. Zur Verbesserung des Identitätsschutzes durch technische Maßnahmen werden bereits erhebliche Anstrengungen unternmmen. S wurden in sicherheitskritischen Bereichen, z.b. Online-Banking, in Deutschland verbesserte Authentisierungsverfahren entwickelt (itan, mtan, etan), die im internatinalen Vergleich vrbildlich sind. Weitere Frtschritte sind durch die Einführung des elektrnischen Persnalausweises und die Förderung vn Bürgerprtalen im Rahmen des Prgramms E-Gvernment 2.0 zu erwarten. Auf der Ebene der Brwser bieten verschiedene Anbieter kstenlse Sftware zur Erkennung gefälschter Webseite an. Banken und E-Cmmerce-Anbieter verbessern die Aufklärung ihrer Kunden und werben verstärkt für den Einsatz vn Virenschutzprgrammen. Zur Infrmatin und Aufklärung der Nutzer platzieren etwa zahlreiche Anbieter und Verbände in ihren Internetangebten an prminenter Stelle Sicherheitshinweise, etwa zum Phishing. Behörden wie das BSI der das Bundeskriminalamt und Organisatinen wie Deutschland sicher im Netz der die Arbeitsgruppe Identitätsschutz im Internet e.v. (a-i3) klären durch Infrmatinsprtale über aktuelle Gefahren und Abwehrmaßnahmen auf und bieten sgar knkrete Beratungsangebte für Betrffene. Gesetzliche Maßnahmen wirken unterstützend, etwa mit Anpassungen des Cmputerstrafrechts. Weitere Anstrengungen können sich auf die Erarbeitung vn Verhaltensstandards für Anbieter (Sicherheit vn Websites) und Nutzer (z.b. Einsatz vn Virenschutz) richten, die die schwierige Balance zwischen hinreichender Sicherheit einerseits und der Vermeidung vn Nutzungsbarrieren andererseits wahren. Datensicherheit: Die Risiken und Angriffsmöglichkeiten im Bereich Datensicherheit sind vielfältig, s dass ein Bündel vn Maßnahmen ergriffen werden muss. Dabei sind die Anfrderungen im geschäftlichen Verkehr höher als im privaten Bereich, aber auch drt ist das Thema nicht zu vernachlässigen. Endgeräte bzw. Netzwerke müssen durch Firewalls und Virenschutz gegen Angriffe vn außen geschützt sein.. Klare Zugriffsregeln verbunden mit entsprechenden technischen Zugriffsschranken können sicherstellen, dass kein Missbrauch über den Zugriff auf bewegliche Trägermedien der durch interne Kräfte im eigenen Netzwerk erflgt. Besnderer Schutz ist für mbile Endgeräte der Speichermedien erfrderlich, um einen unberechtigten Zugriff auf die drt gespeicherten Daten bei Abhandenkmmen der Geräte zu verhindern. Auch beim Einsatz drahtlser Übertragungswege ist eine angemessene Verschlüsselung wichtig. Jede Zugriffsschutz- der Verschlüsselungstechnlgie kann nur dann wirksam schützen, wenn auch die eingesetzten Schlüssel sicher vr unbefugtem Zugriff verwahrt sind. Hier
bietet z.b. die Ablage der Schlüssel in zertifizierten Krypt-Smartcards der Hardware-Sicherheitsmdulen die ntwendige Sicherheit. Jugendmedienschutz: Vertrauen und Sicherheit in neue Medien wird langfristig nur durch ein effektives und an den Besnderheiten dieser Medien ausgerichtetes Jugendschutzsystem wachsen. Deshalb werden Anbieter auch weiterhin in kperativer Weise mit dem Staat swhl technische Mittel frtentwickeln, um einen besseren Kinder- und Jugendschutz zu ermöglichen, als auch durch Aufklärung und Infrmatin zur Nutzung dieser Mittel und vr allem zur Stärkung der Medienkmpetenz beitragen. Dies kann nur in einem kperativen Ansatz gelingen. Gemeinsame Plattfrmen wie Deutschland sicher im Netz haben daher einen Schwerpunkt auf die Förderung des Kinder- und Jugendschutzes gelegt. Das im Rahmen dieser Initiative gestartete Prtal Internauten.de ist nur ein Beispiel, wie Kinder, aber auch Eltern und Lehrkräfte auf die Gefahren neuer Medien vrbereitet werden können. Die laufende Evaluatin der geltenden Rechtslage zum Jugendmedienschutz auf Länder- und Bundesebene sllte zudem einen Beitrag dazu leisten, die Diskussin um eine Stärkung dieser Schutzmechanismen sachlich zu führen und auf tatsächlich zielführende Maßnahmen zu lenken. Teilnehmer der Arbeitsgruppe Sicherheit und Vertrauen in IT und Internet : ebay GmbH: Dr. Stefan Grß-Selbeck (Leitung) Bundesministerium des Innern: Staatssekretär Dr. August Hanning Bundesamt für die Sicherheit in der Infrmatinstechnik (BSI): Dr. Ud Helmbrecht Bundesverband Deutscher Banken e.v.: Dr. Waldemar Grudzien Bundesverband Infrmatinswirtschaft, Telekmmunikatin und Neue Medien e.v. (BITKOM): Dr. Mari Tbias Deutsche Telekm AG: Andreas Kindt Hewlett-Packard Deutschland GmbH: Edgar Aschenbrenner Micrsft Deutschland GmbH: Drthee Belz Ruhr-Uni-Bchum, Hrst-Görtz-Institut / Arbeitsgruppe Identitätsschutz im Internet e.v. (a-i3): Prf. Dr. Gerg Brges, Prf. Dr. Jörg Schwenk Utimac Safeware AG: Martin Wülfert