Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft Deutschlands Weg in die Informationsgesellschaft Deutscher Bundestag (Hrsg.) Sicherheit und Schutz im Netz
Sicherheit und Schutz im Netz Inhaltsverzeichnis A Auftrag und Durchführung der Arbeit der 13 Enquete-Kommission 1 Auftrag der Kommission 13 2 Zusammensetzung der Enquete-Kommission 15 Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" 3 Thema und Kontext der Schutzziele für Kinder und 19 Jugend, Verbraucher und Wirtschaft, Bürger, Staat und Verwaltung 4 Berührungspunkte der Schutzziele für Kinder und 27 Jugend, Verbraucher, Bürger, Wirtschaft, Arbeitswelt und Behörden B Berichtsteil: Sicherheit in der Informationstechnik 33 1 Ausgangslage 33 1.1 Risikopotentiale im privaten, geschäftlichen und 53 öffentlichen Bereich (Eindringen, Profilbildung und Manipulation von Daten) 1.2 Kulturelle und soziale Rahmenbedingungen 61 1.2.1 Mangelndes IT-Sicherheitsbewußtsein in der Gesellschaft 61 1.2.2 IT-Sicherheit als soziotechnische Systemgröße 64 1.2.3 Nichtwahrnehmbarkeit von Datenverarbeitungs- und Telekommunikationsvorgängen 66 1.2.4 Selbststeuernde IT-Systeme 67 1.2.5 Wachsende IT-Systemkomplexität 68 1.2.6 Handlungs- und Gestaltungsoptionen 70 1.2.7 IT-Sicherheit als Thema von Forschung und Lehre an der Hochschule 71 r NIEDERS. STAATS-U. UNIV.. I BIBLIOTHEK l GÖTTINGEN
1.2.8 Förderung von IT-Sicherheit als Bestandteil der Alltagskultur 73 1.3 Die politische Bedeutung der IT-Sicherheit 74 1.3.1 Information Warfare als Bedrohungspotential nationaler Sicherheit 76 1.4 Die wirtschaftliche Bedeutung von IT-Sicherheit 78 1.4.1 Einführende Bemerkungen 78 1.4.2 Die Ökonomie des digitalen Marktes 80 1.4.3 IT-Sicherheit und internationale Wettbewerbsfähigkeit 83 1.4.4 Wirtschaftsfaktor IT-Sicherheit und Datenschutz 86 1.4.5 Der Markt für IT-Sicherheit 87 1.4.6 Digitales Geld" 89 1.4.6.1 Wie blinde Signaturen zu digitalem Geld" werden 90 1.4.6.2 Wie sicher ist digitales Geld? 91 1.5 Rechtliche und organisatorische Rahmenbedingungen 92 der IT-Sicherheit 1.5.1 Notwendigkeit einer rechtlichen Regulierung 93 1.5.2 Derzeitige Rechtslage 96 1.5.3 Organisatorischer Rahmen 103 2 Ziele der IT-Sicherheit 107 2.1 Verfügbarkeit von Daten und Informationen, Sicherung 107 des Datenbestandes, Datenverkehr und Datenzugang 2.2 Integrität der Information und Kommunikation 108 2.3. Vertraulichkeit von Information und Kommunikation 109 2.4. Unbeobachtbarkeit 114 2.5 Transparenz und Interoperabilität 120 2.6 Zuordenbarkeit 121 3 Möglichkeiten der Technik 125 3.1 IT-Sicherheitsprobleme angewandter Informationstechnologie 126 3.1.1 Probleme aus technologischer Abhängigkeit 126 3.1.2 Betriebssysteme als entscheidende IT-Sicherheitsgröße 127 3.1.2.1 Optionen einer sicheren Gestaltung von Betriebssystemen 128
3.1.3. 3.1.4 3.1.5 3.1.6 3.2 3.2.1 3.2 2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.6.1 3.2.7 Anwendungsprogramme: Small is beautiful 129 Datenformate: Mehr Transparenz und Verfügbarkeit! 131 Risikopotentiale aus der Kombination bestehender Technik 133 Risikopotentiale aus neu entwickelter Technik 134 Schutzstrategien als Möglichkeiten der Technik" 137 Geprüfte IT-Sicherheit 138 IT-Grundschutz als Bestandteil eines IT-Sicherheitskonzeptes 140 IT-Sicherheitsausbildung 140 Schutz vor Angriffen aus dem Internet 141 Schutz digitalisierten geistigen Eigentums 142 Technische Schutzstrategie: Kryptographie 143 Steganographie 145 Technische Schutzstrategie: digitale Signatur 146 4 4.1 4.1.1 4.1.2 4.1.2.1 4.1.2.2 4.1.2.3 Bausteine einer modernen Sicherheitsinfrastruktur 149 Leitgedanke: Abwägung von Schutzwürdigkeit, 149 Gefährdungspotential und Aufwand Die digitale Signatur 152 Die Kryptographie 158 Der Streit um die Kryptographie 162 Krypto-Politik in Europa, den USA und Japan 163 Kryptopolitik international: Die US-Key-Recovery Initiative 166 4.1.2.4 Guidelines for cryptography policy - Die Position der OECD 170 4.1.2.5 Zusammenfassung und Bewertung 172 4.1.3 Abgrenzung zwischen Selbstregulierung, privater und staatlicher Verantwortung (Kompetenz des Regulierers) 173 4.1.3.1 Befähigung zum Selbstschutz als staatliche Aufgabe 174 4.1.3.2 Staatlich geförderte Rahmenbedingungen für Sicherheit und Schutz im Netz 175 4.1.3.3 Selbstregulierung als konstituierender Faktor des Internet 176 4.1.3.3.1 Die Internet Society (ISOC) 177 4.1.3.3.2 Das W3-Consortium 178
10 Vierter Zwischenbericht der Enquete-Kommission 4.1.3.4 Berührungspunkte zwischen Selbstregulierung und staatlichem Handlungsauftrag 179 4.1.4 Nationale und.internationale Aufgaben 181 4.1.4.1 Die Common Criteria 182 4.1.4.2 Die OECD Guidelines for the Security of Information Systems 185 4.1.4.3 Electronic Commerce, nationale und internationale Initiativen zur digitalen Signatur 186 4.1.4.3.1 Die Initiativen der Europäischen Kommission zur digitalen Signatur 187 4.1.4.3.2 Die Initiative der United Nations Commission on International Trade Law (UNCITRAL) 188 4.1.4.4 Electronic Data Interchange 189 4.1.4.5 NGOs und IT-Sicherheit in Netzen 192 5 Handlungsempfehlungen 197 Anhang 203 Auszug aus dem Gutachten über Künftige Anforderungen an die Kommunikationssicherheit in der Medizin" 203 C Zweiter Berichtsteil: Datenschutz 217 1 Bedeutung des Datenschutzes in Netzen 217 2 Der Begriff des Datenschutzes 219 2.1 Das Recht auf informationeile Selbstbestimmung 219 2.2 Das Fernmeldegeheimnis 221 2.3 Einschränkungen 221 3 Datenschutzrelevante Merkmale der Datenerhebung und 223 -Verarbeitung in Netzen 3.1 Gesteigerter Anfall personenbezogener Daten 223 3.2 Erleichterte Speicherung, Übermittlung, Verarbeitung und Zusammenführung personenbezogener Daten 225 3.3 Dezentraler und globaler Anfall personenbezogener Daten 225 3.4 Privater Anfall von personenbezogenen Daten 226
4. Risiken für das informationelle Selbstbestimmungsrecht 227 in Netzen 4.1 Überwachung 227 4.2 Profilbildung 228 4.3 Intransparenz der Datenerhebung und -Verarbeitung in Netzen 229 5 Möglichkeiten des Datenschutzes in Netzen 231 5.1 Selbstschutz. 231 5.2 Systemdatenschutz 233 5.3 Normativer Datenschutz 234 5.4 Selbstregulierung 235 6 Bereits erfolgte und bevorstehende Anpassungen im 237 deutschen Datenschutzrecht 6.1 Bereits erfolgte Reformen 237 6.1.1 Das Gesetz über den Datenschutz bei Telediensten und der Mediendienstestaatsvertrag 237 6.1.2 Das Telekommunikationsgesetz 241 6.1.3 Verordnung über den Datenschutz für Unternehmen, die Telekommunikationsdienstleistungen erbringen 244 6.1.4 Weitere für den Datenschutz in Netzen relevante Normen 244 6.2 Bevorstehende Anpassungen aufgrund europäischer Rechtssetzung 245 6.2.1 Die Datenschutzrichtlinie 246 6.2.2 Die ISDN-Datenschutzrichtlinie 247 6.2.3 Weitere für den Datenschutz in Netzen relevante Aktivitäten der EU 248 6.3 Bewertung und Empfehlungen der Enquete-Kommission 249 7 Internationales Datenschutzrecht 253 7.1 Internationale Abkommen und Aktivitäten 253 7.2 Bewertung und Empfehlungen der Enquete-Kommission 254 8 Außerrechtliche Lösungsansätze 255 9 Abschließende Empfehlungen 259
12 Vierter Zwischenbericht der Enquete-Kommission D - Dritter Berichtsteil: Strafrecht 263 1 Bedeutung des Strafrechts in Netzen 263 2 Der verfassungsrechtliche Rahmen des Strafrechts 265 3 Begriff der Kriminalität in Netzen 267 4 Umfang der Kriminalität in Netzen 269 5 Delikte 271 5.1 Wirtschaftsdelikte 271 5.2 Verbreitungsdelikte 274 5.3 Persönlichkeitsrechtsverletzungen 275 5.4 Sonstige Delikte 275 6 Täter 277 7 7.1 7.2 8 8.1 8.2 9 9.1 9.2 9.3 10 10.1 10.2 10.3 Bereits erfolgte Reformen Materielles Strafrecht Strafverfahrensrecht Aktueller Reformbedarf im deutschen Recht Materielles Strafrecht Strafverfahrensrecht Weitergehende Probleme und Lösungsvorschläge Anwendungsprobleme Nachweisprobleme Verfolgungs- und Durchsetzungsprobleme Außerrechtliche Lösungsansätze Technische und organisatorische Prävention Aufklärung Verbesseruns der Ausstattuna der Strafverfoleunesbehörden 279 279 281 283 283 284 289 289 291 295 297 297 298 299 11 Abschließende Empfehlungen 301