magazinJULI/2

013

DIVSI

SELBSTREGULIERUNG IM DATENSCHUTZ –

CHANCEN, GRENZEN, RISIKEN, HERAUSFORDERUNGEN

SICHERHEIT ALS KULTURPROBLEM: VIER EXPERTEN

LIEFERN DISKUSSIONSSTOFFIm Fokus: Cybercrime, Sicherheitsmanagement, sichere Identitäten und eine grundsätzliche Betrachtung: Was heißt eigentlich Sicherheit

im Internet?

BRAUCHT DEUTSCHLAND EINEN DIGITALEN KODEX?

Neues Projekt gestartet. Öffentliche Auftakt-veranstaltung in München

PRISM und die Folgen

DIVSI – BLITZUMFRAGE

2 3

Die achte RegelDu sollst nicht falsch Zeugnis reden wider deinen Nächstenauf anonymen Plattformen.

Die neunte RegelDu sollst die Verantwortung für Dein Tun nicht auf andere abschieben.

Die zehnte RegelDu sollst nicht begehren deines Nächsten Hardware.

Wie fein stünde es um unsere Welt im Allgemeinen und umunsere digitale Welt im Besonderen, wenn die Sache denn soeinfach wäre. Doch leider ist die Realität eine andere. Natürlichsind solche Empfehlungen, die der spielerischen Theorie ent-sprungen sind, im harten praxisorientierten Alltag naiv, welt-fremd und zum Scheitern verurteilt.

Umso wichtiger, dass sich DIVSI mit dem Berliner ThinkTank iRights.Lab aufgemacht hat, diese grundlegende Fragenach dem Digitalen Kodex zunächst einmal überhaupt ins Bewusstsein der Öffentlichkeit zu rücken. In der analogen Welthaben sich Verhaltensregeln im Laufe von Jahrzehnten oderJahrhunderten im gesellschaftlichen Austausch entwickelt. ImInternet fehlen diese Strukturen – noch. Dies gilt für alle Bezie-hungen zwischen den gesellschaftlichen Gruppen der Nutzer,der Unternehmen und des Staates. Prüfen wir also, ob sich gültige Spielregeln für die Digitale Welt finden lassen.

Das Schwerpunkt-Thema dieses Magazins möchte ich mit„Sicherheit als Kulturproblem“ umschreiben. Vier Insider lieferndiskussionswürdige Ansichten zu diesem komplexen Themen-feld. Im Einzelnen beleuchten wir Cybercrime, Sicherheits-management, die Notwendigkeit sicherer Identitäten und wagenuns auch an eine grundlegende Erörterung des Begriffs „Sicherheit“.

Selbstregulierung im Datenschutz - Wo und wie sehen Siehier Chancen, Grenzen, Risiken? Diese Frage habe ich gleichdoppelt gestellt. Und Antworten aus zwei sehr unterschied-lichen Blickwinkeln erhalten. Peter Schaar schreibt, der Bundesbeauftragte für Datenschutz und Informationsfreiheit.Und es schreibt auch Patrick von Braunmühl, Geschäftsführerdes gemeinnützigen Vereins Selbstregulierung Informations-wirtschaft (SRIW).

Ich wünsche Ihnen informative Unterhaltung mit demneuen „DIVSI magazin“ und würde mich über Reaktionen sehrfreuen.

Jürgen SelonkeChefredakteur DIVSI magazin

Alle reden über PRISM (Planning Tool for Resource Integra-tion, Synchronization and Management), das einst superge-heime US-Überwachungsprojekt. DIVSI wollte es genau wissen:Wie beeinflusst dieser Lauschangriff unser Internet-Verhalten?Beeinflusst er es überhaupt? Eine SINUS-Blitzumfrage bringtKlarheit und liefert neuen Diskussionsstoff.

Und noch eine gewichtige Frage: Braucht Deutschlandeinen Digitalen Kodex? Auf Initiative von DIVSI hat sich ein Teamhochkarätiger Experten dieses facettenreichen Problems ange-nommen. Wir dürfen gespannt sein, welche Antwort und welchemöglichen Empfehlungen am Ende präsentiert werden.

Ich bin schon fertig, habe die Kernfrage mit „Ja“ beantwor-tet und meinen persönlichen Digitalen Kodex aufgeschrieben.Okay, die Grundstruktur stammt von einem weltweit bekanntenKlassiker. Aber Anleihen bei etwas Altbewährtem sollten erlaubtsein. Also, bitteschön:

Die erste RegelDas Internet ist wichtig in unserer Zeit, aber es gibt danebenauch andere Dinge.

Die zweite RegelDu sollst die Digitale Welt nicht über das reale Leben stellen.

Die dritte RegelDu sollst nicht nur am Bildschirm kleben.

Die vierte RegelDu sollst unsichere Nutzer von Deinem Wissen profitieren lassen.

Die fünfte RegelDu sollst niemanden im Netz abzocken.

Die sechste RegelDu sollst nicht fremde Mails oder Konten ausspionieren.

Die siebente RegelDu sollst nicht Daten stehlen, um damit Unrecht zu begehen.

INHALT4 BRAUCHT DEUTSCHLAND EINEN DIGITALEN

KODEX?DIVSI hat ein neues Projekt gestartet. Im Interviewerläutert Direktor Matthias Kammer die hochge-steckten Ziele

6 HOLISTISCHES SICHERHEITSMANAGEMENT BRAUCHT TRANSPARENZKarsten Nohl, weithin anerkannter und bekannterKryptograph, erläutert exklusiv, warum die Internet-Branche vom Gesundheitssystem lernen kann

8 SELBSTREGULIERUNG IM DATENSCHUTZ –CHANCEN, GRENZEN, RISIKENPeter Schaar, der Bundesbeauftragte für den Datenschutz, plädiert für klare gesetzliche Rahmenbedingungen

11 SELBSTREGULIERUNG IM DATENSCHUTZ –CHANCEN, GRENZEN, HERAUSFORDERUNGENSRIW-Geschäftsführer Patrick von Braunmühlfragt, warum bei uns alle Details im Gesetz stehenmüssen und bietet andere Lösungsvorschläge

14 BLITZUMFRAGE: PRISM UND DIE FOLGENStecker raus und besser kein Internet mehr? Das SINUS-Institut hat für DIVSI bundesweit ein höchst brisantes Thema unter die Lupe genommen

16 SICHERHEIT IM INTERNET – WAS HEISST DASEIGENTLICH?Göttrik Wewer schildert wissenschaftlich-philosophisch, warum viele Menschen das Internet unverändert skeptisch betrachten undwas Abhilfe bringen könnte

20 CYBERCRIME KEIN AUSNAHMEVERBRECHENMEHRAutor Arne Schönbohm gilt als einer der führen-den Sicherheitsexperten. Er warnt: Die Zukunft ist smart – und nicht ungefährlich

23 DARUM BRAUCHEN WIR SICHERE IDENTITÄTENBundesdruckerei-Chef Ulrich Hamann skizziert,wie sichere Lösungen zu schaffen sind und empfiehlt interdisziplinär angelegte Projekte

26 AKTUELLE BÜCHER

PRISM, der Digitale Kodex undSicherheit als Kulturproblem

Web: www.divsi.deE-Mail: info@divsi.de

Anfragen DIVSI magazin:Michael SchneiderLeitung KommunikationTel.: + 49 40 226 369 895 E-Mail: michael.schneider@divsi.deE-Mail: presse@divsi.de

Wissenschaftliche Leitung: Joanna SchmölzTel.: + 49 40 226 369 896E-Mail: wissenschaft@divsi.de

Wir haben unseren Verteiler für das DIVSI magazinaktualisiert und ergänzt. Bitte teilen Sie uns unterden o.a. Mailadressen mit, falls Sie künftig auf dasMagazin verzichten möchten.

Haben Sie Fragen oderwünschen weitere Informationen?

IMPRESSUM

Herausgeber:Deutsches Institut für Vertrauen undSicherheit im Internet (DIVSI)Matthias Kammer, DirektorMittelweg 14220148 Hamburg

Chefredaktion:Jürgen Selonke (V.i.S.d.P.)

Autoren: Ulrich Hamann, Dr. Karsten Nohl,Peter Schaar, Arne Schönbohm, Patrick von Braunmühl, Dr. GöttrikWewer

Realisation: PubliKom KommunikationsberatungGmbH, Hamburg

Bildnachweis: Google, CSM Stock, SRIW, TrendONE,BSSBucet, Christian Back

Verbreitete Auflage:ca. 7.500 ExemplareAbgabe kostenlos

4 5

Als was stufen Sie die digitale Welt ein:Vorübergehende Zeiterscheinung, Tum-melplatz für Abzocker, unerlässlichesÜbel oder Heilsbringer?

„Auf jeden Fall als etwas, für das sichein positives Engagement lohnt. Sicher istdie digitale Welt bereits als globaler Kulturraum etabliert. Und keineswegsnur als vorübergehendes Phänomen. Wirstehen am Anfang einer Entwicklung, vonder niemand sagen kann, wo sie endet.Entsprechend differenzieren sich die Formen des Miteinanders der Akteure imNetz noch aus. Wir wollen unseren Teildazu beisteuern, dass es tatsächlich einMiteinander wird. Dazu gehört auch dieSuche nach einem möglichen DigitalenKodex.“

Wie soll das Vorhaben praktisch umge-setzt werden?

„Wir haben in einer Reihe informati-ver Vorgespräche mit dem Berliner ThinkTank iRights.Lab zunächst den Arbeits-rahmen abgesteckt. Inzwischen sinddiese Experten mit der Realisierung beauftragt. Sie werden bis zum Frühjahr2014 bundesweit eine umfangreiche Evaluierung und Erörterung durchführen.“

Welche Fragen sollen insgesamt ge-klärt werden?

„Die Liste ist zu lang, um hier alle zuerwähnen. Deshalb nur ein paar Bei-spiele: Brauchen wir neue soziale Regeln,die untereinander gelten sollen? Lässtsich verbindlich festlegen, wie man künf-tig miteinander umgeht, um Internet-Missbrauch auszuschließen? WelcheVerantwortung sollen Nutzer, Unterneh-men und der Staat in der digitalen Weltkünftig übernehmen? Sind neue sozialeSpielregeln fern von rechtlicher Regulie-rung in der Gesellschaft erforderlich? Ichbin überzeugt, dass wir alle – also Nutzer,Wirtschaft und Staat – gut beraten sind,uns mit solchen bislang meist nicht gestellten Fragen zu beschäftigen.“

Was erhoffen Sie sich im Endergebnisvon einem Digitalen Kodex?

„Er wird ein wichtiger Baustein fürden gemeinsamen zukünftigen Umgangim Netz sein. Schon unsere im Frühjahrvorgelegte Entscheider-Studie beispiels-weise hat offengelegt, dass die Internet-Macher den Nutzer in der Verantwortungsehen. Ihm wird der Schwarze Peter zugeschoben. Dabei räumen die Ent-

scheider gleichzeitig ein, dass dem Nutzer meist die Kompetenz hierfür fehlt.Allein dieser Widerspruch macht deut-lich, dass es irgendwo hakt. DIVSI siehtsich deshalb in der Pflicht, Blickwinkelfür ein besseres Miteinander aufzu-zeigen.“

Was wird DIVSI nach Abschluss der Untersuchungen veröffentlichen? DenDigitalen Kodex als eine moderne Artder „zehn Gebote“, an die sich dann alle Player halten sollten?

„Ich glaube, das wäre wenig sinnvoll.Denn auch die zehn Gebote sind längstnicht für alle verbindlich. Wird die Frage

nach einem Digitalen Kodex in der erstenPhase mit Ja beantwortet, wollen wir unsdaran machen, einzelne Themenfelder inweiteren Projektphasen zu vertiefen. Ent-scheidend ist dabei nicht, neue Regelnaufzuschreiben, sondern sie zunächst ineiner breiten Öffentlichkeit zu ‚erarbeiten’.“

Gibt es bereits andere prominente Mit-streiter für dieses DIVSI-Vorhaben?

„Ich erwähne hier unseren Schirm-herrn Prof. Dr. Roman Herzog. Bereits beider Vorstellung der Entscheider-Studiehat er Gedanken geäußert, die in dieseRichtung weisen. Roman Herzog damals:

‚Um das Vertrauen ins Internet, in die mitihm eröffneten Chancen und Möglich-keiten nicht zu verspielen, brauchen wireine breite Diskussion darüber, welcheverbindlichen Spielregeln hier gelten sollen. Wir brauchen Leitplanken, die unsauf dem richtigen Weg halten. Ein DigitalerKodex, von allen Verantwortlichen getra-gen, könnte ein Weg dahin sein’. Genauauf diesem Weg sind wir jetzt unterwegs.“

Wie lautet Ihr Fazit von der öffentlichenAuftaktveranstaltung in München?

„Mir hat die spontane Zusage derprominenten Experten signalisiert, dasshier eine Sache von allgemeinem Inte-

resse angeschoben wurde. Es ist jetzt unsere Aufgabe, die daraus gewonnenenAnregungen in das Projekt einfließen zulassen.“

Werden nach München weitere öffent-liche Veranstaltungen folgen?

„Sie sind selbstverständlich festerBestandteil des gesamten Vorhabens.Hamburg und Berlin sind dabei dienächsten Stationen. Details dazu werdengerade abgestimmt. Alle Informationenzum Projekt sind immer und aktuell aufder DIVSI-Website www.divsi.de/kodex zufinden.“

München – Vor einem hochkarätig besetzten Podium und zahlreichen inte-ressierten Zuhörern eröffnete DIVSI Direktor Matthias Kammer (r.) im Mün-chener Oberangertheater die offizielleAuftaktveranstaltung für ein neues Pro-jekt des Instituts. Geklärt werden solldabei eine schlichte Frage, deren Beant-wortung gleichwohl überaus komplex ist:Braucht Deutschland einen DigitalenKodex? Zehn Fragen und Antworten ver-deutlichen, worum es insgesamt geht.

DIVSI stößt bundesweit eine neue Diskussion an. Großer Erfolg bei der ersten öffentlichen Info-Veranstaltung in München. Direktor Matthias Kammer erklärt im Interviewausführlich die Hintergründe.

BRAUCHT DEUTSCHLANDEINEN DIGITALENKODEX?

Welche grundsätzliche Überlegungsteckt hinter der Fragestellung?

Matthias Kammer: „Geschäftsmodelle,die auf dem Internet basieren, boomenwie kaum in einer anderen Branche. Oftjedoch mit bösen Überraschungen für dieNutzer. Die Macher schieben die Verant-wortung dafür den Verbrauchern zu. Die

wiederum sehen häufig den Staat in derPflicht, für ihren Schutz zu sorgen. Dochder Gesetzgeber kennt auch keine Patentlösung. Ein Kreislauf, den es zu

stoppen gilt. Hinter allem steckt die womöglich entscheidende Frage in unse-rer zunehmend digitalisierten Welt: Wirt-schaft, Politik, Nutzer – wer übernimmtdie Verantwortung im Netz? Für diesesProblem wollen wir Lösungsansätze finden und fragen deshalb nach dem Digitalen Kodex.“

In Bezug auf das Internet lassen sich danegative Töne heraushören. Wird DIVSIzu einem Bekämpfer des Mediums?

„Ganz im Gegenteil. Wir wollen nurgetreu unserem eigenen Selbstverständ-nis dazu beitragen, dass die Nutzung desInternets für alle sicherer wird. Auf derPlusseite stehen bislang die vielen Mög-lichkeiten, die mit dem Internet für neuegeschäftliche und private Sphären er-schlossen werden konnten. Technischgibt es praktisch kaum noch Grenzen. Gerade deswegen ist es höchste Zeit, imInteresse der weiteren Entwicklung desInternets Verantwortlichkeiten zu klären.

Wir stehen am Anfang einer Entwicklung, von der niemand sagen

kann, wo sie endet.

PROJEKT

In ihrer Keynote kritisierte Dr. Jeanette Hofmann, Gründungsdirektorin am Alexan-der von Humboldt Institut für Internet und Gesellschaft in Berlin, unter anderem diegroßen Plattform-Anbieter, die in ihren AGBs beispielsweise das Grundrecht derMeinungsfreiheit beschränken, damit sie nicht in die Haftung genommen werdenkönnen.

6 7

Sicherheit wird heutzutage hauptsäch-lich als technische Abwehr von Angriffenverstanden. In der Konsequenz verur-sachen Angriffe, welche technische Barrieren durchdringen, oft hohen Schaden. Es lohnt sich, vom Gesund-heitssystem zu lernen: Wir braucheneinen holistischen Sicherheitsbegriff, umHacking-Schäden zu minimieren. Die oftgestellte Frage „Sind wir sicher?“ ist ineinem technisch zunehmend unüber-schaubaren Umfeld immer schwierigerzu beantworten. Oft ist nicht einmal klar,nach welcher Sicherheit überhaupt ge-fragt wird, und wie sie zu quantifizierenist: Sprechen wir von der Wahrschein-lichkeit von Hacking-Angriffen, überunser Wissen darüber oder über denAufwand, den wir treiben, um sie zu ver-hindern?

Eine Annäherung an den Sicherheits-begriff könnte vom Schaden ausgehen:Sicher ist, wer keinen Schaden erleidet.Mit einer solchen Rückwärtsdefinitionwird zum einen klar, dass Sicherheit nichtallein ein technisches Thema sein kann.Es müssen auch finanzielle, geschäft-liche, kulturelle, psychologische undemotionale Komponenten im Sicherheits-management berücksichtigt werden.

Schaden zu verhindern, also „mehrSicherheit“ herzustellen, kann somit keinetechnische Disziplin bleiben, und solltestattdessen als Überbegriff alle zur Scha-densvermeidung notwendigen Phaseneines Prozesses umfassen. Drei solcherPhasen sind das Vermeiden technischerSchwachstellen, das Aufspüren von Hacking-Mustern und das Abmildern derFolgen erfolgreicher Hacking-Angriffe.

Jede dieser Phasen hat in der Theoriedas Potenzial, jeglichen Schaden kom-plett zu verhindern: Wenn alle Angriffe jeweils verhindert oder sofort entdecktoder im Effekt maximal gemildert werden,entsteht kein Schaden.

Die Beschränkung auf eine der Disziplinen – zum Beispiel die technischeSchwachstellenbeseitigung – wäre einTrugschluss aus dieser theoretischen Betrachtung, da die praktische Ausprä-gung jedes einzelnen der drei Schutz-schilde immer unvollständig und löchrigbleiben wird. Zudem haben Schutzmaß-nahmen einen abnehmenden Grenzertrag:Drei hintereinander geschaltete „80-Pro-zent-Lösungen“ in den drei Disziplinenwerden meist günstiger sein als eine einzelne „90-Prozent-Lösung“; und inSumme weit effektiver.

Akzeptable Schadensminimierung –und somit „hohe Sicherheit“ – wird daherin der Praxis meist nur erreicht, wenn

alle Schutzschilde aufgebaut werden, imgleichzeitigen Eingeständnis, dass derenLöcher immer wieder durchlässig für Hacking-Versuche sind. Nur in Kombina-tion der drei Schilde sinkt die Wahr-scheinlichkeit für den Hacker, in jedemein passendes Loch zu finden.

Beim Schutz unserer Gesundheit hatsich eine sehr ähnliche Herangehens-weise zur holistischen Schadensminimie-rung bewährt: Es gibt keinen einzelnenFaktor, an dem sich messen lässt, ob einMensch gesund bleiben wird; genau wiees keinen eindeutigen Indikator gibt, obeine Firma Opfer eines Hacker-Angriffswird.

Dennoch haben sich Methoden undSysteme etabliert, Gesundheit zu erhal-ten. Auch diese sind meist in drei Schutz-stufen gegliedert: Prävention, Behand-lung und Rehabilitation.

In der Prävention ist jeder dazu angehalten, selbst „richtig“ zu handelnund andere zu positivem Verhalten zubringen: Wir essen ausgewogen, achtendie Straßenverkehrsordnung und meidenInfektionsherde. In der IT-Sicherheit wird

zu „Gutverhalten“ durch Sicherheits-Policies auf Unternehmensebene unddurch Sicherheitsgesetze auf Gesell-schaftsebene angehalten – leider oft ineffektiv. Zur Prävention gehört ebensodas Abwehren von Angriffsversuchen:Was für unsere Gesundheit Vitamin C,weiße Blutkörper und Magensäure leisten,wird in der virtuellen Welt von Firewalls,Virenscannern und Positivlisten erreicht.

Die Behandlung, also das Erkennenerfolgreicher Angriffe, ist vom Fieber-thermometer bis zum Arztbesuch zentra-ler Bestandteil unseres Gesundheits-Managements. In der IT sind die entspre-chenden Disziplinen des Sicherheits-Monitorings und der Forensik weit weni-ger verbreitet. Branchenbeobachtersehen hier den wichtigsten Aufholbedarfum den aktuell beobachteten gezieltenAngriffen, etwa aus China oder den USA,

etwas entgegnen zu können. In der Reha-bilitation werden die Folgen von Angriffengemindert. Ähnlich wie in der Reha-Klinikoder in der psychologischen Aufbereitungmuss oft in kleinen Schritten und überlange Zeit durch ÖffentlichkeitsarbeitSchadenspotenzial abgebaut werden.

Energie bringen Firmen vor allem fürPrävention auf; die anderen beiden Hand-lungsfelder werden im Vergleich vernach-lässigt. Das effektiv erreichte Schutz-niveau steht daher in schlechtem Verhält-nis zum Aufwand: Ein einziger erfolg-reicher Angriff richtet viel Schaden anund lässt getätigte Investitionen obsoleterscheinen.

Bei der Diagnose/Behandlung vonHacking-Angriffen besteht derzeit dasgrößte Schutzvakuum. Dies zeigt sich inder täglichen Arbeit von Sicherheits-managern oft darin, dass bei jeder ge-naueren Betrachtung erfolgreiche An-griffe detektiert werden. Das resultie-rende „Tal vor dem höheren Berg“schreckt viele vor der Aufgabe ab – in derKonsequenz bleiben Organisationen lieber im Dunkeln.

Eine ähnliche Situation wäre in derGesundheit nicht hinzunehmen: Bei jedemunregelmäßigen Arztbesuch zufällig miteiner schweren Krankheit diagnostiziertzu werden, wäre inakzeptabel – sehr vielregelmäßigere Untersuchungen die logischnotwendige Konsequenz. Das gleicheUmdenken steht den Firmen in weitenTeilen noch voraus: Mut zur Diagnose undMut zum Eingeständnis der eigenen Ver-wundbarkeit gehören aber unabdingbarzum holistischen Sicherheitsmanage-ment – wie der Arztbesuch zum langen, gesunden Leben.

Sicherheitsmanager sollten imnächsten Schritt hinterfragen, ob Angriffehinter dem ersten Schutzschild entdecktwerden und falls dies nicht durchweg derFall ist, die nötige Transparenz her-stellen. Technische Werkzeuge wie IPS-Systeme sind schnell verfügbar, benöti-

gen aber in bester Detektivmanier bei derInterpretation der Indizien spezifischesWissen über die zu schützenden Daten-werte.

Das Aufdecken der bisher „unterdem Radar“ erfolgten Angriffe führt kurz-fristig zu mehr Arbeit und wird – wie derZahnarztbesuch nach langer Zeit – nichtgern angegangen. Die Behandlung undRehabilitation des Schadens ist aber zurholistischen Schadensbegrenzung unum-gänglich.

Karsten Nohl (*1981), promovierter Kryptograph, leitet einenRisk-Management Think Tank in Berlin. Er studierte von 2001 bis 2004Elektrotechnik an der FachhochschuleHeidelberg. 2005 bis 2008 promovierteer an der University of Virginia überImplementable Privacy for RFID-Systems. Seine Arbeit erforscht auf-kommende Risiken für kritische Datenund Infrastrukturen; oftmals durch das Ausprobieren relevanter Angriffs-vektoren bei DAX30-Unternehmen.

HOLISTISCHES SICHERHEITS-MANAGEMENTBRAUCHT TRANSPARENZPrävention, Behandlung, Rehabilitation: Warum es sich durch-aus lohnt, vom Gesundheitssystem zu lernen, um Angriffe aufdas Netz zu erschweren.

Von Dr. Karsten Nohl

WISSENSCHAFT

Was für unsere Gesundheit Vitamin C,weiße Blutkörper und Magensäure

leisten, wird in der virtuellen Welt von Firewalls, Virenscannern und

Positivlisten erreicht.

Allensbach-Umfrage für DIVSI

Freiheit versus Regulierung

Hamburg – Das Themenumfeld zwischenFreiheit und Selbstbestimmung im Gegen-satz zu Sicherheit und Regulierung im Internet wird eine aktuelle Allensbach-Umfrage ausloten, die DIVSI jetzt initiierthat. Das Institut für Demoskopie Allens-bach (IfD) ist für diesen Themenbereichauch als Herausgeber der seit 1997 jährlicherscheinenden „Allensbacher Computer-und Technik-Analyse“ (ACTA) ein idealerPartner.

DIVSI-Direktor Matthias Kammer: „Die Erkenntnisse werden voraussichtlich einkonstrastreiches Gesamtbild zur aktuellenEinschätzung der Bevölkerung bei der per-sönlichen Internet-Nutzung ergeben. DieErkenntnisse dürften für Wirtschaft, Politikund Zivilgesellschaft gleichermaßen von Interesse sein.“

Die Umfrage wird bundesweit repräsenta-tive Ergebnisse erbringen. Als mögliche Fragenkomplexe sind angedacht:

• Ist die Freiheit im Internet zu groß?• Wie viel Freiheit verträgt das Internet?• Ist das Internet schon heute ein rechtsfreier Raum?

• Ist das Internet für Normalbürger nochbeherrschbar?

Daneben wird die Umfrage auch sicher-heitsrelevante Komplexe sowie die Fragenach Verantwortlichkeiten ansprechen.Rund 1.500 repräsentativ ausgewählte Bun-desbürger ab 16 Jahren werden in die Um-frage einbezogen. Die Ergebnisse sollen imSpätsommer vorliegen.

NEWS

8 9

Immer wieder wird – insbesondere sei-tens der Wirtschaft – das hohe Lied derSelbstregulierung gesungen. Besonderslautstark wird für Selbstregulierung ge-worben, wenn sich abzeichnet, dass derGesetzgeber verbindliche Regeln setzenoder bestehende Vorschriften verschär-fen will. So konnte es eigentlich nichtverwundern, dass die am 25. Januar2012 von der Europäischen Kommissionvorgelegten Vorschläge zur Reform desEuropäischen Datenschutzrechts dieDebatte über Ansätze zur Selbstregulie-rung beim Datenschutz angefacht haben.Auch die Bundesregierung schreibt derSelbstregulierung eine bedeutendereRolle zu.

I. Hehrer Anspruch – Ernüchternde Realität

Auch beim Datenschutz hat der Ge-setzgeber wiederholt nach Versprechender Wirtschaft, bestimmte Probleme mit-tels Selbstregulierung zu lösen, auf an-gekündigte gesetzliche Vorgaben ver-zichtet. Mit ernüchternden Ergebnissen.

Zur Erinnerung: Das Bundesdaten-schutzgesetz hat bereits vor zwölf Jahrendas Instrument der Selbstregulierung zurFörderung des Datenschutzes eingeführt.Mit Umsetzung der EG-Datenschutzricht-linie 95/46/EG wurde in § 38a BDSG eineVorschrift aufgenommen, die es Wirt-schaftsverbänden ermöglicht, der zu-ständigen Aufsichtsbehörde Verhaltens-regeln (Codes of Conduct) vorzulegen.Damit verband der Gesetzgeber die Vor-stellung, dass sich die Wirtschaft interneRegeln gibt, die die notwendigerweiseabstrakt gehaltenen Vorschriften desBundesdatenschutzgesetzes konkretisie-ren. Die datenschutzrechtlichen Regelun-gen sollten auf diesem Weg besser zuhandhaben sein. Verhaltensregeln solltenden verantwortlichen Stellen durch Stan-dardisierung die Anwendung des Daten-schutzrechts erleichtern, den Betrof-fenen mehr Klarheit bei der Wahrneh-mung ihrer Rechte schaffen und die Tätigkeit der Aufsichtsbehörden verein-fachen.

Dieser Ansatz hat sich in der Praxisbislang aber nicht wirklich bewährt. Abgesehen von einem Sonderfall für diePresse (§ 41 Abs. 1 BDSG) ist es erst imJahre 2012 erstmalig gelungen, mit dem

Code of Conduct der Versicherungswirt-schaft eine Selbstregulierung nach § 38aBDSG auf den Weg zu bringen, und selbsthier ist noch nicht sicher, ob diese Selbst-regulierung praktische Bedeutung ent-falten wird.

Weitere Versuche, Verhaltensregelnzu etablieren, blieben bislang erfolglos.Zwei prominente Beispiele seien genannt:Der so genannte Geodaten-Kodex des

Branchenverbandes BITKOM und die ge-plante Selbstregulierung für sozialeNetzwerke.

Der Geodaten-Kodex sollte einen datenschutzgerechten Umgang mit „Pa-noramadiensten“ (wie z. B. Google StreetView oder Bing Street Side) sicherstellen,um die vom Bundesrat geforderten ge-setzlichen Regeln für diese Dienste zuvermeiden. Das Bundesministerium desInnern hatte am 20. September 2010 an-gekündigt, der Branchenverband BITKOMwerde einen Geodaten-Kodex erarbeitenund diesen nach § 38a BDSG mit den Datenschutzaufsichtsbehörden abstim-men. Auf jeden Fall sollte – so das Bundes-innenministerium – der Gesetzgeber eineso genannte rote Linie definieren, diebeim Umgang mit personenbezogenenDaten im Internet nicht überschritten

werden dürfe. Im Ergebnis gab es wedereine anerkannte Selbstregulierung nochdas „Rote-Linie-Gesetz“. BITKOM legtezwar mit dem Geodaten-Kodex Verhal-tensregeln vor, die aber nach Auffassungder Datenschutzaufsichtsbehörden dengesetzlich vorgesehenen Standard unter-schreiten und sogar hinter der vomMarktführer Google für seine Dienst„Street View“ zugesagten Schutzmecha-

nismen zurückbleibt. Der Geodaten-Kodex wurde schließlich am 1. März 2011in Kraft gesetzt, ohne ihn den Aufsichts-behörden vorzulegen. Selbst für diesenbescheidenen Kodex dauerte es nochetwa eineinhalb Jahre, bis die formalenund organisatorischen Voraussetzungenzu seiner Umsetzung geschaffen waren.Immerhin in einem Punkt war die Ankün-digung zur Selbstregulierung erfolgreich:

Weder das vom Bundesrat geforderteumfassende Gesetzgebungsverfahrennoch das vom Bundesministerium des Innern angekündigte Rote-Linien-Gesetzwurden weiter verfolgt.

Ähnlich bei Facebook & Co.: Als sichim Jahre 2011 die öffentliche Debatte umden Datenschutz in sozialen Netzwerkenzugespitzt hatte, ergriff das Bundes-innenministerium die Initiative zur Selbst-regulierung dieses Bereichs. Seitdem be-raten verschiedene Branchenvertreterüber einen Kodex für den Datenschutz insozialen Netzwerken. Die Arbeiten andiesen Verhaltensregeln kommen indesnur sehr langsam voran. WesentlicheBranchenvertreter haben sich darausverabschiedet, so dass selbst bei einemerfolgreichen Abschluss der Arbeitenkaum damit zu rechnen ist, dass sich an

der Praxis der Marktführer aus den USAetwas ändert.

Woran liegt es, dass das Konzept derSelbstregulierung im Datenschutz sowenig erfolgreich ist?

Dies hat aus meiner Sicht verschie-dene Ursachen: In Politik und Wirtschaftist die Vorstellung weit verbreitet, das In-strument der Selbstregulierung könneDefizite bei der Gesetzgebung ausglei-

ANSICHTSSACHE Von Peter Schaar

Es gibt großes Einvernehmen, in welchen Feldern der Netzpolitik

Handlungsbedarf besteht.

SELBSTREGULIERUNG IM DATENSCHUTZ – CHANCEN, GRENZEN, RISIKENFür die Anerkennung von Verhaltensregeln und den Umgangmit Ihnen sollte es klare gesetzliche Rahmenbedingungengeben. Auch in Bezug auf mögliche Rechtsfolgen.

Selbstregulierung kann – sinnvoll eingesetzt – durchaus einen wichtigen

Beitrag zur Verbesserung der Datenschutzpraxis leisten.

1110

chen und Regelungen zur Erhebung, Ver-arbeitung und Nutzung personenbezoge-ner Daten überflüssig machen. Hier liegtaber ein Irrtum vor. § 38a BDSG dienteben nicht dazu, neues Datenschutzrechtzu schaffen und privaten oder öffent-lichen Stellen neue Befugnisse zur Daten-verarbeitung zu geben. Die wesentlichenVorgaben zum Umgang mit personen-bezogenen Daten muss der Gesetz-geber festlegen. Dabei kann er auch Ver-fahren und Regelungsgegenstände fürdie Selbstregulierung bestimmen, wiedies etwa in § 38a BDSG zur Konkretisie-rung des Datenschutzrechts der Fall ist.

II. Was kann und sollte Selbstregulierung leisten?

Selbstregulierung kann – sinnvolleingesetzt – durchaus einen wichtigenBeitrag zur Verbesserung der Daten-schutzpraxis leisten. Dies gilt vor allemdann, wenn die Selbstregulierung derKonkretisierung abstrakter gesetzlicherBestimmungen dient. Denkbar sind etwabranchenspezifische Regeln, die die indem jeweiligen Wirtschaftszweig typi-scherweise auftretenden Datenverarbei-tungsprozesse konkret beschreiben undklare Handlungsanweisungen geben.Verhaltensregeln könnten sich auch aufbestimmte wiederkehrende Verarbei-tungssituationen beziehen, für die sie denkonkreten Ablauf im Rahmen der gesetz-lichen Bestimmungen verbindlich fest-legen, etwa im Hinblick auf die Mecha-nismen zur elektronischen Einwilligungoder hinsichtlich der Gestaltung von Datenschutzinformationen im Internet.

Auch wenn Verhaltensregeln keineneuen materiell-rechtlichen Befugnissezur Verarbeitung personenbezogenerDaten schaffen können, sollte es für dieAnerkennung von und den Umgang mitVerhaltensregeln klare gesetzliche Rah-menbedingungen geben, sowohl im Hin-blick auf die Regelungsprozesse als auchin Bezug auf mögliche Rechtsfolgen („regulierte Selbstregulierung“).

Unternehmen müssen zudem An-reize haben, Selbstregulierungsmecha-nismen zu etablieren und sich diesen zuunterwerfen. Solche Anreize fehlen imderzeitigen Datenschutzrecht weitgehend– sicherlich auch eine Ursache für die nurzögerliche Erarbeitung von Verhaltens-regeln nach § 38a BDSG.

Unabhängig davon können Selbst-regulierungs-Kodizes bereits jetzt eineSenkung des Compliance-Aufwandes bewirken: Einheitliche Standards erleich-tern den Unternehmen die Anwendungder gesetzlichen Bestimmungen. Zudemwird durch klare und nachvollziehbareStandards das Vertrauen der Kunden undNutzer gestärkt, da diese den Umgangmit ihren Daten viel leichter einschätzenkönnen.

III. Europäische Perspektive

Auch auf EU-Ebene ist die Selbst-regulierung keine Erfolgsstory, wie dasBeispiel Online Behavioural Advertising

Von Patrick von Braunmühl

Nationale Gesetze zur IT-Sicherheit undzum Datenschutz stoßen angesichts kur-zer Innovationszyklen und immer neuerdigitaler Produkte, die grenzüberschrei-tend genutzt werden, zunehmend anGrenzen. Instrumente der Selbstregulie-rung können den gesetzlichen Rahmenergänzen und konkretisieren. Sie ermög-

lichen eine schnellere und flexiblere Reaktion auf neue Herausforderungen.Selbstverpflichtungen der Wirtschaftkönnen einen wichtigen Beitrag liefernzu dem Anliegen, das Vertrauen der Bür-ger zu stärken und gleichzeitig bürokra-tische Hürden und Markteintrittsbarrie-ren zu verhindern. Gleichzeitig ist dasThema Selbstregulierung stark um-stritten, teilweise aufgrund des extrem weiten und in sich widersprüchlichen Begriffs, teilweise aufgrund von Reputa-tionsproblemen, welche ineffiziente oderstrukturell mangelhafte Selbstregulie-rung in anderen Branchen hervorrief.

Beim Begriff „Selbstregulierung“drängt sich vielen das berühmte Sprich-wort „den Bock zum Gärtner machen“

zeigt: Die von der European AdvertisingStandards Alliance (EASA) und vom Inter-net Advertising Bureau Europe (IAB) vor-gelegten Best-Practice-Empfehlungenwurden von den europäischen Daten-schutzbehörden nicht als ausreichendangesehen.

Die in Art. 38 des Entwurfs der EU-Datenschutz-Grundverordnung enthal-tene Vorschrift zur Selbstregulierungenthält zwar einige positive Ansätze, eswäre jedoch wünschenswert, die Verfah-ren der Anerkennung und der Kontrollevon Selbstregulierungsmechanismen un-mittelbar in der Verordnung näher auszu-gestalten und dabei dem EuropäischenDatenschutzausschuss eine stärkereRolle zuzuweisen.

ANSICHTSSACHE

Peter Schaar (* 1954) ist seit dem 17. Dezember 2003 Bun-desbeauftragter für den Datenschutz,seit dem 1. Januar 2006 auch Bundes-beauftragter für die Informationsfrei-heit. Der diplomierte Volkswirt hattezuvor ein Datenschutzberatungsunter-nehmen gegründet und bis 2002 dasAmt des stellvertretenden Dienststel-lenleiters beim Hamburgischen Beauf-tragten für den Datenschutz bekleidet.Für sein Buch „Das Ende der Privat-sphäre“ erhielt Schaar 2008 den Preisder Friedrich-Ebert-Stiftung „Das poli-tische Buch“. Zudem unterrichtet erals Lehrbeauftragter an der Fakultätfür Mathematik, Informatik und Natur-wissenschaften der Universität Hamburg.

1 Dies betrifft insbesondere den Vorschlagfür eine Verordnung des Europäischen Par-laments und des Rates zum Schutz natür-licher Personen bei der Verarbeitung perso-nenbezogener Daten und zum freien Daten-verkehr (Datenschutz-Grundverordnung),KOM(2012) 11 endgültig

2 Vgl. etwa die Ergebnisse der vom Bundes-ministerium des Innern und dem Alexandervon Humboldt Institut für Internet und Ge-sellschaft veranstalteten Konferenz zum Da-tenschutz im 21. Jahrhundert, bei der sichein Panel ausschließlich mit der Selbstregu-lierung beschäftigte; vgl. Arbeitspapier„Selbstregulierung und wettbewerbsrechtli-che Elemente im Datenschutz der Zukunft“,http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/Datenschutz/ergebnisse_panel_3_de.pdf?__blob=publicationFile, abgerufen am 14.6.2013

3 Vgl. die Gesetzesbegründung zu § 38aBDSG, BT-Drs. 14/4329, S. 46

4 BR-Drs. 259/10

5 Vgl. Freiwillige Selbstkontrolle Multimedia(FSM), Projekt Kodex Soziale Netzwerke,Closing Report, April 2013,http://www.fsm.de/ueber-uns/veroeffentlichungen/FSM_Closing_Report_SocialCommunities.pdf, abgerufen am 14.6.2013

6 http://www.easa-alliance.org/binarydata.aspx?type=doc/EASA_BPR_OBA_12_APRIL_2011_CLEAN.pdf/download

7 Siehe Working Paper 188 der Artikel-29-Gruppe, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/ 2011/wp188_en.pdf

SELBSTREGULIERUNG IM DATENSCHUTZ –CHANCEN, GRENZEN, HERAUSFORDERUNGENInstrumente und Zielsetzungen müssen klar benannt werden. AuchMindestanforderungen sind zu definieren, die eine glaubwürdige Umsetzung von Selbstverpflichtungen sicherstellen.

12 13

auf. Tatsächlich wird kaum jemand Kin-der ihren eigenen Fernsehkonsum oderAutofahrer die Verkehrsvorschriften regeln lassen wollen. Auch wenn es umMarktversagen in der Wirtschaft geht, istes wenig wahrscheinlich, dass die betei-

ligten Marktakteure das Problem durchSelbstregulierung beheben werden.

Daher ist es wichtig, Selbstregulie-rung nicht als Allheilmittel zu verstehen,sondern klare Grenzen aufzuzeigen. DieBegriffe „Ko-Regulierung“ oder „regu-lierte Selbstregulierung“ haben den Vor-teil, dass sie keine Verdrängung staat-licher Verantwortung implizieren, son-dern ein sinnvolles Ineinandergreifen vongesetzlichem Rahmen und ergänzendenbzw. konkretisierenden Regeln durchSelbstverpflichtungen der Wirtschaft beinhalten. Voraussetzung ist in beidenFällen die Feststellung, dass Regulierungzur Einschränkung individueller Frei-heiten überhaupt notwendig ist und welches das dafür geeignete mildesteMittel ist.

Unter „Selbstregulierung“ fällt eineVielzahl unterschiedlicher Instrumenteprivater Regelsetzung oder Durchset-zung. Die Regeln können verbindlich oderunverbindlich, unternehmensintern oderbranchenübergreifend, technisch, verhal-tensbezogen oder ethischer Natur sein.Gleichwohl begegnet man in den Medienund in politischen Diskussionen nicht selten einer pauschalen Ablehnung von

Selbstregulierung. Begründet wird dieszum einen mit der Gefahr einer „Privati-sierung des Rechts“ und zum anderenmit dem Verweis auf Beispiele in anderenBranchen, bei denen sich Verhaltensko-dizes auf reine Absichtserklärungen

beschränken, Beschwerden nicht vorge-sehen sind und im Falle eines Verstoßeskeinerlei Konsequenzen drohen. Daherist es wichtig, Instrument und Zielsetzungklar zu benennen und gleichzeitig Mindestanforderungen zu definieren, dieeine glaubwürdige Umsetzung von Selbst-verpflichtungen sicherstellen.

Bei Datenschutz und Datensicherheitgeht es vor allem um Anforderungen andie Technik und um Verhaltensregeln. Imtechnischen Bereich ist Selbstregulie-rung in Form der Normung seit Jahr-zehnten erfolgreich etabliert und durchüberwiegend industriefinanzierte Nor-mungsorganisationen institutionell ver-ankert. Zum Abbau von Handelshemm-nissen sind technische Normen heute

ganz überwiegend international ausge-richtet, ganz im Gegensatz zum Ord-nungsrecht.

Innerhalb der EU gilt der sogenannte„New Approach“, wonach EU-Richtliniensich auf „wesentliche Anforderungen“ anProdukte beschränken. Diese werdendurch Normen konkretisiert, deren An-wendung grundsätzlich freiwillig ist. Einwichtiger Anreiz zur Befolgung der Normbesteht in der gesetzlichen Annahme,dass die Anwendung der Norm gleichzei-tig die Konformität mit der entsprechen-den EU-Richtlinie impliziert.

Bei den Verhaltensregeln ist es nochein weiter Weg bis zum Reifegrad dertechnischen Regulierung. Gerade inDeutschland ist nach wie vor eine Regu-lierungskultur vorherrschend, nach deralle Details im Gesetz stehen müssen.Gesetzliche Vorschriften zum Daten-schutz verteilen sich auf eine Vielzahl vonBundes- und Landesgesetzen. Gleich-zeitig leidet das Datenschutzrecht untereinem massiven Vollzugsdefizit. Anstatthinzunehmen, dass eine vollständigeUmsetzung einschlägiger Datenschutz-vorschriften eher die Ausnahme und einPrivileg von Großkonzernen ist, könnteauch hier ein System der Ko-Regulierungder bessere Weg sein. Voraussetzungwäre allerdings ein anderer Umgang allerAkteure mit der möglichen Rolle von Verhaltenskodizes als Teil des Ordnungs-rahmens für Datenschutz und Daten- sicherheit. Dabei können wir in Deutsch-land von internationalen Erfahrungen ler-nen, die unter anderem in Großbritan-

nien, Niederlande und den skandinavi-schen Ländern gemacht wurden, die tra-ditionell stärker auf Selbstregulierungsetzen.

Die Politik würde gut daran tun, mehrAnreize zur Entwicklung und Umsetzungvon Verhaltenskodizes zu setzen. Ein Anreiz könnte wie bei der technischenNormung in der Annahme der Gesetzes-konformität bei nachgewiesener Umset-

zung eines Kodex bestehen. Eine andereMöglichkeit analog dem Jugendmedien-schutz wäre die Zurückhaltung der Auf-sichtsbehörden im Anwendungsbereichvon Verhaltenskodizes, soweit diese imRahmen einer funktionierenden Selbst-kontrolle der Wirtschaft durchgesetztwerden. Dies setzt natürlich die vorherigePrüfung eines Kodex auf dessen Geset-zeskonformität und eine formale Aner-kennung voraus.

Die in § 38a BDSG vorgesehene An-erkennung von Verhaltenskodizes beimDatenschutz hat sich allerdings nicht alspraxistauglich erwiesen, da Prüfungs-maßstab und Verfahren nicht eindeutig

sind. Diese müssten genauer beschrie-ben werden und die Entscheidung der zu-ständigen Aufsichtsbehörde solltegerichtlich überprüfbar sein. Gleichzeitigsollten Mindestanforderungen an Verhal-tenskodizes gestellt werden, um un-seriöse Ansätze von vornherein auszu-schließen. Dazu gehören:

• Einbeziehung von Aufsichtsbehör-den und anderen relevanten Stakeholdern(mindestens Gelegenheit zur Stellung-nahme)

• Abdeckung eines relevanten Anteilsdes vom Kodex erfassten Marktsegmentsdurch die Unterzeichner

• Verbindlichkeit des Kodex für Un-terzeichner (Absichtserklärungen reichennicht)

• Nachhaltige Finanzierung der mitder Überwachung des Kodex beauftrag-ten Stelle

• Beschwerdeverfahren für Betrof-fene und unabhängiger Beschwerdeaus-schuss, der Verstöße sanktionieren kann

Neben diesen politischen Rahmen-bedingungen ist auch bei vielen Unter-nehmen ein Umdenken erforderlich. Derverbreitete Ansatz, Selbstregulierung alskurzfristiges Mittel zur Abwehr unmittel-bar bevorstehender Gesetze zu sehen, istnicht zielführend. Eine Früherkennunggesellschaftlicher Herausforderungen fürneue Produkte und Innovationen und dieDefinition entsprechender Spielregelnkönnte Medien-Skandalen oder politi-schem Aktionismus von vornherein denWind aus den Segeln nehmen. Als Bei-trag zum Risikomanagement und zurImageverbesserung wäre dies im lang-fristigen Interesse der Unternehmen und

wäre gleichzeitig ein geeignetes Mittel,die Regulierungsdichte mittelfristig zureduzieren. Im Umwelt- und Sozialbe-reich werden entsprechende „CorporateSocial Responsibility“-Strategien von Investoren erwartet und sogar bei derBerechnung des Markenwertes berück-sichtigt.

Aufsichtsbehörden und Verbraucher-verbände wiederum sollten Selbstregu-lierungsinitiativen der Wirtschaft alsBeitrag zum Abbau des Vollzugsdefizitswillkommen heißen und konstruktiv anihnen mitwirken, statt sie pauschal zukritisieren. Beim Anerkennungsverfahrennach § 38a sollten keine Bedingungengestellt werden, die deutlich über die ge-setzlichen Anforderungen hinausgehen.

Patrick von Braunmühl (* 1967) ist Geschäftsführer des gemeinnützi-gen Vereins Selbstregulierung Infor-mationswirtschaft (SRIW), dessen Zieldie Förderung von Datenschutz undVerbraucherschutz durch Instrumenteder Selbstregulierung ist. Gründungs-mitglieder sind der ITK-Verband BIT-KOM sowie führende Unternehmen derInternet-Branche. Bis Mai 2012 warvon Braunmühl in Indien als Leiter desProjektes „Nachhaltiger Konsum undVerbraucherschutz“ der DeutschenGesellschaft für Internationale Zusam-menarbeit (GIZ). Dabei beriet er die indische Regierung zu verbraucher-politischen Themen und führte Pilot-projekte zum Aufbau IT-gestützter Ver-braucherberatungs- und Schlichtungs-stellen durch. Vor 2009 hat er unteranderem als Mitglied der Geschäfts-leitung bei Cisco Deutschland, alsstellvertretender Vorstand beim Bun-desverband der Verbraucherzentralensowie bei der Bertelsmann AG gear-beitet.

Gerade in Deutschland ist nach wie vor eine Regulierungskultur

vorherrschend, nach der alle Details im Gesetz stehen müssen.

Die vorgesehene Anerkennung von Verhaltenskodizes

beim Datenschutz hat sich allerdings nicht als praxistauglich erwiesen.

1514

US-Geheimdienstes bekannt. Nur 32 Pro-zent gaben an, davon noch nichts gehörtzu haben.

Matthias Kammer: „Im Hinblick aufdas grundsätzlich verschlechterte Sicher-heitsgefühl gilt auch, dass die Menschen

sich umso stärker verunsichert fühlen, jemehr Details sie über die Affäre kennen.Gleichzeitig erbrachte unsere Blitzum-frage allerdings keinerlei Anzeichendafür, dass es eine Alternative seinkönnte, künftig ohne Internet zu leben.“

Hamburg – Der Abhörskandal, den ame-rikanische und britische Sicherheits-behörden ausgelöst haben, hat das Sicherheitsgefühl der Deutschen im Internet deutlich verschlechtert. Das belegt eine repräsentative Studie desDeutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI), die geradein Hamburg vorgestellt wurde. Danachgaben 39 Prozent der Befragten an, siefühlten sich bei ihren Aktivitäten unsi-cherer als zuvor.

DIVSI Direktor Matthias Kammer beider Präsentation der Umfrage-Ergeb-nisse im Rahmen einer Pressekonferenz:„Diese signifikante Verschlechterungdürfen wir nicht ignorieren. Es könnteeine allgemeine Vertrauenskrise im Um-gang mit dem Internet drohen. Und esspricht einiges dafür, dass die Zahl derVerunsicherten noch ansteigt. Eine sol-che Krise dürfte auch Auswirkungen aufdie Wirtschaft und die Konjunkturhaben.“

Seit Wochen schon erschütternPRISM und seine Folgen die Öffentlich-keit. Vor diesem Hintergrund hatte DIVSIdas renommierte Heidelberger SINUS-Institut mit einer Blitzumfrage beauf-tragt: Wie wirken sich Überwachungs-maßnahmen von elektronischen Datenauf die Nutzung von Online-Angebotenaus?

Insgesamt wurden hierzu bundes-weit 2.016 Menschen der deutschen Online-Bevölkerung ab 16 Jahren in einerrepräsentativen Online-Erhebung inter-viewt. Immerhin 68 Prozent der Befrag-ten ist das PRISM-Programm des

Allerdings hat bereits jetzt schon fastjeder Fünfte (18 Prozent) sein Verhaltenbei der Nutzung des Internets geändert.Vor allem im Umgang mit Online-Diens-ten wollen diese User sich vorsichtigerverhalten. Vier von zehn schränken sogar

bereits ihren Umgang mit sozialen Netz-werken ein. Und sie wollen künftig versu-chen, lieber auf deutsche bzw. euro-päische Internet-Plattformen zuzugreifen.Die Entwicklung geht eindeutig zu Lastenvon Plattformen, die in den USA zuhause

sind. 38 Prozent der genannten Gruppewollen diese künftig weniger besuchen.

Dr. Silke Borgstedt, Direktorin Sozial-forschung beim SINUS-Institut: „Mitdieser Umfrage kann erstmalig zeitnahaufgezeigt werden, wie sehr die aktuellenAbhör- und Datenschutzskandale das Sicherheitsgefühl der Deutschen im Internet erschüttern. Die deutsche Bevöl-kerung gilt im internationalen Vergleichals besonders sensibel, wenn es um ihrepersönlichen Daten geht. Die Ergebnisseunserer Befragung bestätigen dies nichtnur. Sie zeigen darüber hinaus, dass die

aktuellen Abhörskandale die Sensibilitätsogar noch verstärken und mittelfristigVerhaltensänderungen in der Internet-Nutzung erwarten lassen."

83 Prozent der Deutschen wollenstaatlichen Sicherheitsorganen nur dannMaßnahmen zur Internet-Überwachung

erlauben, wenn diese einer richterlichenKontrolle unterliegen.

Jeder Zweite meint dabei, dass deut-sche Sicherheitsorgane grundsätzlichdurchaus Zugriff auf private Daten habendürfen. Ein klares Nein zeigt sich da-gegen zum Datenzugriff aus dem Aus-land. 84 Prozent der Befragten sind striktdagegen, dies fremden Sicherheits-behörden zu gestatten.

Die größte Kompetenz, sich vorÜberwachungsangriffen zu schützen,sehen die Internet-Nutzer bei sich selbst.41 Prozent sind überzeugt, dass es für sie

am besten ist, entsprechende Maßnah-men persönlich vorzunehmen. Auch Sicherheitsbehörden (38 Prozent) sowiedie staatlichen Datenschutzbeauftragten (36 Prozent) werden ebenfalls als kompe-tent erachtet.

Randergebnisse der DIVSI PRISM-

Blitzumfrage: Nur jeder Dritte (31 Pro-zent) würde eigenen Familienangehöri-gen den Zugriff auf seine privaten Datengestatten. Damit rangieren sie in der Ein-schätzung deutlich hinter den Sicher-heitsorganen.

Krankenkassen und Finanzämterstehen in der öffentlichen Einstufung besonders schlecht da. Nur acht bzw.zehn Prozent der Befragten würden Ver-tretern dieser Institutionen gestatten, aufprivate Daten zuzugreifen. Noch kriti-scher auf der Negativliste werden Arbeit-geber beurteilt. Lediglich drei Prozent

der Befragten würden ihnen einen Daten-zugriff erlauben.

Eine Blitzumfrage von DIVSI zeigt: Das Sicherheitsgefühl derDeutschen im Internet hat sich dramatisch verschlechtert. Drohendurch diese Entwicklung jetzt sogar Auswirkungen auf unsereWirtschaft und die Konjunktur?

PRISM UND DIE FOLGEN

BLITZUMFRAGE

Ja, sicher Eher schon Eher weniger Nein Weiß nicht

„Wer sollte Ihrer Meinung nach Zugriff auf die privaten Daten von Bürgerinnen und Bürgern im Netz haben dürfen?“

Familienangehörige 9% 22% 14% 52%

DeutscheSicherheitsbehörden 12% 38% 15% 33%

Meldebehörden 61%5% 16%16%

Ausländische Sicherheitsbehörden 14% 70%11%

Deutsche Finanzämter 7% 72%16%

Krankenkassen 6% 77%13%

Ausländische Finanzämter 86%9%

Vereine und Verbände 85%11%

Arbeitgeber 8% 88%

Basis: 2.016 Fälle

Recht auf Zugriff auf private Daten

Sicherheitsgefühl im Internet

Basis: 2.016 Fälle Fälle

33%

6%

Weiß nicht

Eher weniger

Ja, sehr

Nein, gar nichtJa, etwas

4%

24%

34%

„Hat sich in den letzten Monaten Ihr Sicherheitsgefühl im Internet verschlechtert?“

1716

SICHERHEIT IM INTERNET – WAS HEISST DAS EIGENTLICH?Täglich werden 30.000 Schadpro-gramme entwickelt. Es kommtdarauf an, die Risiken vernünftigzu managen. Bei richtiger Vor-sorge sind bis zu 90 Prozent derStandard-Angriffe vermeidbar.

GESELLSCHAFT

der sich damit schon einmal beschäftigthat. Nicht jede Straftat wird zur Anzeigegebracht. Bei Mord ist das Dunkelfeld relativ klein, beim Schwarzfahren ziem-lich groß. Diebstähle werden häufig nicht

deshalb zur Anzeige gebracht, weil manhofft, die Täter zu finden, sondern weilVersicherungen das erwarten. Versiche-rungsbetrug wiederum soll längst Volks-sport sein. Hingegen mündet nicht jederverbale Disput auf unseren Straßengleich in einer Schlägerei oder einer Anzeige.

Schlägereien sind im Internetschwierig; Verunglimpfungen, Verleum-

Von Dr. Göttrik Wewer

Aus der Kriminologie wissen wir, dassman zwischen dem subjektiven Sicher-heitsgefühl der Menschen und der objek-tiven Sicherheitslage unterscheidenmuss. Beide sind selten deckungsgleich.Dass die Lage schlimm ist, also Krimina-lität weit verbreitet, aber die meistenMenschen sich dennoch sicher fühlen, istkaum zu erwarten. In der Regel ist dieStimmung – also das Gefühl, Opfer einerStraftat werden zu können – schlechterals die Lage, also das tatsächliche Risiko, Opfer einer Straftat zu werden.Wenn objektive Sicherheit und subjektiveSicherheit zu weit auseinander klaffen,bekommen Regierungen ein Problem.Gefühle lassen sich nämlich nicht mitStatistiken bekämpfen.

Wenn man wissen will, wie sichersich die Menschen im Internet fühlen,dann muss man sie befragen. Wenn manwissen will, wie sicher sie im Internet tat-sächlich sind, dann muss man die Fällezählen, in denen sie geschädigt wurden,also Statistiken erstellen. Dazu gehören

eine gewisse Systematik und bestimmteKriterien, nach denen Fälle erfasst undzugeordnet werden. Wenn man das überlängere Zeiträume macht, lassen sichTrends entdecken.

Statistiken müssen nicht vollständigsein. Dinge können übersehen, falscheingeordnet und nicht erfasst werden.Dass es bei der Kriminalstatistik Grau-zonen gibt und ein Dunkelfeld, weiß jeder,

Besondere Sorgen bereiten Staat und Wirtschaft die Attacken auf

kritische Infrastrukturen.

Göttrik Wewer (*1954) studierte Politikwissenschaft, Soziolo-gie, Volkswirtschaftslehre, ÖffentlichesRecht und Neuere Geschichte inBraunschweig und Hamburg. Er warvon 2001 bis 2003 Staatssekretär imniedersächsischen Kultusministeriumund 2003 bis 2006 im Bundesministe-rium des Innern, danach Staatsrat für Bildung und Wissenschaft bzw. für Inneres und Sport in Bremen und späterGeschäftsführer der Nationalen Anti-Doping-Agentur (NADA). Seit 2010 istWewer Vice President E-Governmentbei der Deutsche Post Consult GmbH.

1918

dungen und Beleidigungen jedoch leicht.Der Ton in manchen Ecken des Netzes istgrob und ziemlich unhöflich und ein„Shitstorm“ baut sich schnell auf. Daraufmit einer Anzeige zu reagieren, wäre inden meisten Fällen unklug. Nicht nur,weil man sich gern hinter Anonymitätoder Pseudonymen versteckt. Obwohl esim Netz weit mehr Leute mitbekommen,wenn jemand beleidigt wird, als wennsich zwei auf der Straße streiten, dürftedas Dunkelfeld bei solchen Vorfällen des-halb sehr groß sein. Das muss man be-denken, wenn man Statistiken zur Sicher-heit im Internet betrachtet.

Man kann die Anzeigen zählen, diebei der Polizei eingehen, oder die Angriffeauf die Computer von Behörden, Unter-nehmen oder Privatleuten. Für bestimmteUnternehmen gibt es in bestimmten Fällen Meldepflichten bei Hacker-An-griffen, aber längst nicht für alle und erstrecht nicht für die Bürger. Insofern dürftedas Dunkelfeld hier relativ groß sein.

Unternehmen sperren sich gegeneine Veröffentlichung von Angriffen ausdem Internet, um nicht zusätzlich zu demvielleicht ohnehin eingetretenen Schadenauch noch einen Imageschaden zu erlei-den. Kunden werden verunsichert, wennsie hören, dass jemand versucht, in dieDatenbestände einzudringen. Das allesspricht dafür, dass alle Zählungen derAngriffe auf Computer eher die Spitze desEisbergs beschreiben und nicht ein voll-ständiges Lagebild.

Besondere Sorgen bereiten Staat undWirtschaft dabei die Attacken auf kriti-

sche Infrastrukturen, die im schlimmstenFall das Wirtschaften, Arbeiten undLeben lahm legen können. Um das mög-lichst zu verhindern, hat die Bundesre-gierung eine nationale Cyber-Sicher-heits-Strategie entwickelt und eine Allianz Cyber-Sicherheit mit der Wirt-schaft gegründet.

Nach Michael Hange, dem Präsiden-ten des Bundesamtes für die Sicherheitin der Informationstechnik (BSI), lässtsich Sicherheit im Netz heute kaum mehrrealisieren – angesichts von täglich ent-

wickelten 30.000 Schadprogrammen, Angriffen hoher Qualität und Intensitätsowie fortschreitender Digitalisierungund Cyber-Spionage. Wenn sich die Risiken schon nicht ausschalten ließen,dann käme es besonders darauf an, sievernünftig zu managen, sagte er auf demKongress „Informationssicherheit stär-ken – Vertrauen in die Zukunft schaffen“.Achtzig bis neunzig Prozent der Stan-dard-Angriffe seien vermeidbar, wennman entsprechende Vorsorge betreibe.

Nach der Polizeilichen Kriminalsta-tistik für 2012, die kürzlich vorgelegt wor-den ist, ist die Cyberkriminalität, alsoStraftaten, die unter Ausnutzung moder-ner Informations- und Kommunikations-techniken verübt werden, gegenüber demVorjahr wiederum gestiegen: um 7,5 Pro-zent auf 63.959 Fälle, „bei einem vermut-lich erheblichen Dunkelfeld“.

Trotz des zu vermutenden Dunkelfel-des deuten die Zahlen darauf hin, dassbisher nur sehr wenige Menschen per-

sönlich Opfer von Kriminellen im Internetgeworden sind. Aber alle nehmen natür-lich wahr, wenn Unternehmen Daten gestohlen oder Daten ungefragt weiter-gereicht werden. Wenn die Menschen gefragt werden, was ihnen im Internetbesonders wichtig ist, dann rangiert „Sicherheit“ meist ganz oben, dicht ge-folgt von „Datenschutz“ und „Daten-sicherheit“. Ihre Wünsche sagen aber nurbedingt etwas darüber aus, ob sie sichselbst sicher fühlen.

Besonders sicher wollen die Men-schen sein, wenn es um das eigene Geldgeht. So zählen für die Nutzer beim Online-Banking mit Abstand am meistenSicherheit (96 Prozent) und Datenschutz(94 Prozent). Diese hohen Werte haben

sich in den letzten Jahren kaum verän-dert und dürften auch künftig auf diesemNiveau bleiben. Das legt jedenfalls die aktuelle Studie „Online-Banking: Mit Sicherheit! Vertrauen und Sicherheits-bewusstsein bei Bankgeschäften im Internet“ nahe, die TNS Infratest für dieInitiative D21 erstellt hat. Rund ein Viertelder Befragten meidet Online-Banking,weil man Angst vor Betrug hat.

Von denjenigen, die solche Angebotenutzen, fühlen sich hingegen achtzig Pro-

zent sicher. Das mag auch damit zusam-menhängen, dass nur ganz wenige,nämlich zwei Prozent, tatsächlich schongeschädigt worden sind. Und bei denmeisten davon lag der Schaden unter 200Euro. Risiken werden durchaus gesehen,aber man ist kaum bereit, für mehr Sicherheit zu zahlen, sondern erwartet,dass die Banken kostenlos für Sicherheitsorgen. Immer weniger schützen auchihre eigenen Geräte durch geeigneteMaßnahmen.

Bei den Gründen, das Internet nichtzu nutzen, stehen Datenschutzbedenken(67,5 Prozent) und Sicherheitsbedenken(59,1 Prozent) an erster und dritter Stelle,zeigt sich aber bei einigen (30,3 Prozent)auch eine diffuse Angst vor dem Internet.

Datenschutz und Datensicherheitreichen nicht aus, dass die Menschen sichsicher fühlen. Sie sind dafür eine notwen-dige, aber keine hinreichende Bedingung.Sonst müsste „Sicherheit“ kein eigen-ständiger Punkt in der Skala der Wün-sche sein. Richtig sicher fühlen kann mansich im Internet erst dann, wenn manseine Rechte gegenüber denen, die sieverletzen, notfalls einklagen kann(Rechtssicherheit), wenn man den Provi-der wechseln und seine Daten jederzeitmitnehmen kann (Wahlfreiheit) und wennman einen offenen Zugang hat, um Kom-petenzen zu erwerben und Vertrauen auf-zubauen (soziale Sicherheit). So langedas in der virtuellen Welt nur einge-schränkt der Fall ist, dürfte „Sicherheit“weiter ganz oben auf der Wunschlistebleiben.

Wenn die Menschen gefragt werden, was ihnen im Internet besonders

wichtig ist, dann rangiert „Sicherheit“meist ganz oben.

Sicherheit ist mit 96 Prozentbeim Online-Banking das wichtigste Kriterium.

Mit 94 Prozent rangiert derDatenschutz bei elektronischen Bank-geschäften an zweiter Stelle.

Rund 25 Prozentmeiden Online-Banking, weil sie Angst vor Betrug haben.

Für 67,5 Prozent der Internet-verweigerer sind Datenschutzbedenkender entscheidende Grund für die Nicht-nutzung des Internets.

Ideen für den neuen Personalausweis gesucht

Eine Chance für kreative Köpfe

Berlin – Welche neuen Anwendungsmög-lichkeiten für den Personalausweis könntenUnternehmen und Behörden künftig anbie-ten, um unseren Alltag einfacher, sichererund effizienter zu machen? Diese Frage sollder dieses Jahr zum zweiten Mal stattfin-dende „eIDEE – Wettbewerb für den digita-len Handschlag“ beantworten.

Der Wettbewerb bietet kreativen Unterneh-mern und Entwicklern, Studenten und Mit-arbeitern öffentlicher Institutionen dieGelegenheit, mit ihren innovativen Ideendie Zukunft mit zu gestalten. Mitmachen isteinfach: Die „eIDEE“ und ihren potenziel-len Nutzen in ein paar Sätzen beschreibenund via Web-Formular (www.digitaler-

handschlag.de) bis zum 18. August 2013einreichen. Eine achtköpfige Experten-Jury kürt diebesten Ideen und verleiht die Preise EndeNovember 2013 im Rahmen einer festlichenVeranstaltung in Berlin. Die technische undrechtliche Machbarkeit der Idee sowie dasAlter der einreichenden Personen oder Un-ternehmen entscheiden darüber, für welchePreiskategorie sich die Teilnehmer qualifi-zieren. Als Hauptgewinn winkt die Umsetzung derIdee mit Unterstützung der Bundesdrucke-rei im Wert von 10.000 Euro. Auf die Ge-winner in den Preiskategorien Innovations-,Nachwuchs- und Publikumspreis wartenspannende Preise der eIDEE-Partner biwBank für Investments und Wertpapiere AG,ergobag GmbH und DriveNow. Mit Hilfe der Online-Ausweisfunktion kön-nen Bürger zudem aus einer Vorauswahl derJury über den Publikumspreis abstimmen.Förderer von eIDEE sind Deutschland sicher im Netz e. V., Fraunhofer Innova-tionscluster „Next Generation ID“ und derVerein Sichere Identität Berlin-Branden-burg e. V.Schon mehr als 22 Millionen Bürger habenheute den Personalausweis im Scheckkar-tenformat. „Mit unserem Ideenwettbewerbwollen wir viele neue Einsatzmöglichkeitenfür den Personalausweis aufspüren, so dassBürger, Unternehmen und Verwaltungendas große Potenzial, das der Personalaus-weis und seine Online-Funktionen bieten,künftig im digitalen Alltag mehr und mehrnutzen können“, sagt Ulrich Hamann, Vor-sitzender der Geschäftsführung der Bundes-druckerei GmbH und Jurymitglied. https://www.digitaler-handschlag.de/presse/bilder

NEWS

Grundgesetz und Digitales Zeitalter:

Passt das noch zusammen?Hamburg – Es ist eine hochbrisante Frage,die DIVSI in einem neuen Projekt untersu-chen lässt: Ist unser Grundgesetz zur Bewäl-tigung der Herausforderungen des digitalenZeitalters geeignet? Das Kieler Lorenz-von-Stein-Institut für Verwaltungswissenschaf-ten ist mit der Untersuchung beauftragt. DieLeitung haben Prof. Dr. Utz Schliesky sowieDr. Sönke E. Schulz. Welche Auswirkungendie zunehmende Digitalisierung von Daten-,Informations- und Wissensbeständen sowiedes gesamten alltäglichen und gesellschaft-lichen Lebens auf das Rechtssystem hat,konnte bisher in der Rechtswissenschaftnoch nicht umfassend geklärt werden. Diesgilt vor allem für die verfassungsrechtlicheEbene. Das vorliegende Projekt will sichdaher insbesondere dem Grundgesetz zu-wenden.Das Projekt soll im Wesentlichen dreiSchwerpunkte analysieren:

• Darstellung des historischen Kontextes desGrundgesetzes und seiner Normen, derneuen Herausforderungen und Bedro-hungslagen für den Grundrechtsschutz unddaraus ableitbar die Formulierung der Fra-gestellung, inwieweit Grundgesetz undGrundrechte als Lösungsinstrumente geeig-net erscheinen.

• Analyse des Normbestandes des Grundge-setzes unter Berücksichtigung der Verände-rungen von IT und Internet, wobei eineKombination von einer „Breitenanalyse“(alle Normen des Grundgesetzes) und ein-zelner „Tiefenanalysen“ (einzelne Normenoder Norm-Komplexe im Detail) realisiertwerden soll. Fragestellung: Ist das Grundge-setz in guter digitaler Verfassung?

• Detailanalyse zur Betrachtung der Grund-rechtsfunktionen und zur Klärung derFrage, inwieweit diese geeignet sind, adä-quate (staatliche) Antworten auf die neuenHerausforderungen zu geben. Die Fragestel-lung gilt dem werteorientierten Umgangmiteinander im Netz und seinen verfas-sungsrechtlichen Bezügen.

Nach dem jetzigen Zeitplan sollen die Arbeiten endgültig im Juni nächsten Jahresabgeschlossen sein.

NEWS

2120

Bereiche der Gesellschaft – insbesondereaber für die Wirtschaft und im öffentli-chen Raum – von immer größerer Bedeu-tung ist. In einer Zeit, in der allein eineFalschmeldung eines gehackten Twitter-Accounts zu einem kurzfristigen Einbruchder Börse führen kann, sollten wir unsfragen: Wie sicher ist das Netz eigent-

lich? Welche Bedrohungslage ergibt sichfür Deutschland und seine Wirtschaft?Und: Wie kann mit der neuen digitalenBedrohung umgegangen werden?

Die aktuelle Cyber-Gefahrenlage

Die Bedrohungslage im Cyberspaceist sehr dynamisch. Getrieben von politi-schen Entwicklungen, juristischen Ent-

scheidungen, unternehmerischen Inno-vationen und der Aggressivität der Krimi-nellen verändert sie sich. Während es einigen Cyber-Kriminellen um puren digitalen Aktivismus (sog. „Hacktivismus“wie bei Anonymous) geht, verfolgen andere finanzielle oder rufschädigendeMotive.

Täglich werden dabei neue Schwach-stellen gefunden, allein 2012 wurdenrund 37 Millionen(!) neue Schadpro-gramme entdeckt. Die genauen Schäden,die jährlich durch Cybercrime verursachtwerden, sind schwer zu beziffern, dochallein in Deutschland gehen Experten voneinem Schadenspotenzial zwischen 20und 50 Milliarden Euro aus.

Allein Computer-Sabotage und Daten-

Deutschland ist Ziel und Relaisstation für Cyber-Angriffe.

KEIN AUSNAHME-VERBRECHEN MEHRWie kann mit der neuen digitalen Bedrohung umgegangen werden? Expertenschätzen das jährliche Schadenspotenzial auf bis zu 50 Milliarden Euro. Deshalbsollten wir endlich begreifen: IT-Sicherheit geht uns alle an.

CYBERCRIME

Von Arne Schönbohm

„Sehr geehrter Kunde, aufgrund derhohen Malware Anschlag auf unsere Da-tenbank haben wir unsere SSL zur Hilfeverhindern unbefugten Zugriff auf Ihronline-Konto verbessert. Während die-ses Vorgangs Ihr Konto möglicherweisevorübergehend deaktiviert. Wir bittenSie, überprüfen und aktualisieren Sie IhrKonto um Permanent HerunterfahrenIhres Kontos zu vermeiden. ÜberprüfenSie und aktualisieren Sie Ihr Konto.“ Sooder so ähnlich muten Phishing-Mails an– dies hier übrigens eine echte – , überdie versucht wird, an Daten eines Inter-net-Nutzers zu gelangen, um diese an-schließend für einen Identitätsdiebstahlzu gebrauchen. Doch die Trickkiste der

Cyber-Kriminellen ist selbstverständlichweit vielfältiger und reicht vom digitalenKreditkarten-Klau über die Manipulationvon Medien bis hin zum Eindringen in mi-litärische Entwicklungspläne durch aus-ländische Geheimdienste – wie zuletztder Fall von Cyber-Spionage chinesischerHacker, denen es gelang, Konstruktions-pläne von US-Waffensystemen zu stehlen.In einer Zeit, in der das Internet uns dieferne Welt näher bringt, Geschäftsmög-lichkeiten eröffnet, Waren und Dienst-leistungen jederzeit zugänglich macht,steigt auch die Bedrohung, die vomWorld Wide Web ausgeht.

Zahlreiche Gesetzesinitiativen aufBundes- und EU-Ebene beweisen dabei,dass das Thema Cyber-Sicherheit für alle

veränderung haben in Deutschland um 84 Prozent zugenommen, so der Bran-chenverband BITKOM. Gerade Mittel-ständler verhalten sich hier noch rechtarglos, obwohl sie laut Symantec InternetSecurity Threat Report 2013 inzwischenim Zentrum der Angriffe stehen. Zu ge-ringe Sicherheitsvorkehrungen führenzum Abfluss von Patenten, Kunden- undBankdaten.

Allein im vergangenen Jahr zielten 50Prozent aller gezielten Angriffe auf Unter-nehmen mit weniger als 2.500 Mitarbei-tern. Doch eine weitere Bedrohung lauertin den Unternehmen selbst: Hier stellenunzufriedene und korrumpierbare Mit-arbeiter eine ebenso große Gefahr dar wiedas Outsourcing der IT-Abteilung, wasnicht zuletzt der im Dezember 2012 offen-gelegte Datenklau im Bundesministeriumfür Gesundheit durch einen externen IT-Dienstleister bewiesen hat. In einer ver-netzten und interdependenten Welt kannder (IT-bedingte) Ausfall eines Produkteszu Folgeschäden für nachgeordnete In-dustrien führen. Fällt beispielsweise imBaukastensystem eines Automobilkon-zerns ein wichtiger Bestandteil eines Zu-lieferers weg, kann es so zur Ver-langsamung – wenn nicht gar dem Still-stand – der ganzen Produktion kommen.

Und auch, wenn viele Attacken bisherunentdeckt bleiben: Deutschland ist Zielund Relaisstation für Cyber-Angriffe.Auch in Zukunft ist keine wirkliche Ver-besserung der Lage in Sicht. Gerade mitdem Vormarsch mobiler Endgeräte steigtdie Gefahr, Opfer der eigenen IT zu wer-den, da sich viele Nutzer nicht um denausreichenden Schutz ihrer Geräte be-mühen. Mit zunehmender Digitalisierungbleibt diese Entwicklung jedoch nicht aufden privaten Bereich beschränkt. Zukünf-tig werden uns vor allem Entwicklungenwie E-Government, smart grids und smarthealth vor neue Herausforderungen stellen. Die Zukunft ist smart – und nichtungefährlich.

Cyber-Sicherheit muss Bestandteildeutscher Unternehmenskultur

werden

Aus der dargestellten Gefahrenlageim Cyberspace wird offensichtlich: IT-Sicherheit geht uns alle an. Dabei solltenicht außer Acht gelassen werden, dasshundertprozentige IT-Sicherheit beinaheunmöglich – oder überhaupt nur durch

2322

Von Ulrich Hamann

Kleine mobile Alleskönner wie Smart-phones, Tablet-PCs oder Netbooks erlauben es, immer und überall online zusein. Sie verändern unsere Art zu inter-agieren und zu konsumieren – und dasist eine Herausforderung für die IT-,Daten- und Identitätssicherheit. Heutewerden Smartphones weniger zum Tele-fonieren benutzt, sondern zur Kommuni-kation über das Internet. Wer sich hiernicht optimal schützt, hat verloren. DennCybercrime – oder auf deutsch: Com-puterkriminalität – ist schon längst einMilliardengeschäft und gilt als moderneGeißel der Menschheit. Eine Million Bürger auf der Welt, schätzt die EU-Innenkommissarin Cecilia Malmström,werden täglich Opfer derartiger Delikte.Pro Jahr verursachen Kriminelle laut

EU-Kommission damit weltweit Kostenvon 290 Milliarden Euro – Tendenz stei-gend. Mittlerweile werde mit Cyber-Straftaten sogar mehr Geld verdient alsmit Drogenhandel, sagt der deutsche IT-Experte Arne Schönbohm.

ID-Diebstahl ist lukrativ

Gerade der Diebstahl digitaler Iden-titäten ist zum lukrativen Geschäftschlechthin avanciert: Heute greifenDiebe meist die persönlichen Daten über„Trojanische Pferde“ ab, die sie unbe-merkt auf den Rechnern platzieren undverkaufen ihre Beute über virtuelleMarktplätze der Untergrund-Ökonomieweiter. Die spanische IT-Beratung Panda-Labs hat für das Jahr 2011 allein 50 spe-zielle Online-Stores für den illegalenHandel mit elektronischen Identitäten ge-

DARUM BRAUCHEN WIR SICHERE

IDENTITÄTENComputer-Kriminalität gilt als moderne Geißel der Menschheit.Im Kampf dagegen geht die Bundesdruckerei einen eigenen Weg,um sichere Lösungen für die Zukunft zu schaffen. Vernetztes Arbeiten in interdisziplinär angelegten Projekten ist angesagt.

CYBERCRIMERisikomanagement, berichtete das Han-delsblatt im Mai 2013. Zudem können Unternehmen und deren IT-Verantwort-liche zur Haftung verpflichtet werden,wenn IT-Sicherheitsstrukturen nur unzu-reichend umgesetzt worden sind. Ein Sicherheitscheck – wie eben beschrieben –hilft, dabei die Haftungsrisiken zu min-dern, Investitionssicherheit zu gewähr-leisten und Reputationsverlust zu ver-hindern.

Die zunehmende „Internetisierung“ist weder aufzuhalten noch wegzudenken.Umso wichtiger wird es, nicht die Augenvor den aus ihr resultierenden Gefahrenzu schließen. Lösungen müssen jetztaktiv angegangen werden. So wurde alsInitiative zur Verbesserung der Cyber-Sicherheit im August 2012 der Cyber-Sicherheitsrat Deutschland e.V. gegrün-

det, der zum Zweck hat, Unternehmen,Behörden und politische Entscheidungs-träger im Bereich Cyber-Sicherheit zu be-raten und durch eine bessere Vernetzungund die Erarbeitung konkreter Lösungendie Cyber-Sicherheit zu erhöhen.

Der Verein wurde gegründet, da es inDeutschland bis dato keine Instanz gab,die sich ausschließlich auf Cyber-Sicher-heit konzentrierte. Dieser Ansatz ermög-licht es uns, aufgrund unseres umfassen-den Netzwerks im internationalen Kon-text, alle Akteure zusammenzubringen:Potenzielle Opfer von Cybercrime ebensowie Täter. Schließlich endet der Cyber-raum nicht an den Landesgrenzen.

Cyber-Sicherheit ist Standortfaktorund Investitionsgrundlage und muss Bestandteil unserer Unternehmenskulturwerden. Dazu braucht es auf Ebene derPolitik jedoch richtige Anreize, gesetz-liche Rahmenbedingungen und eine effi-zientere Strafverfolgung. Nichtsdestotrotzwird jeder Einzelne – egal ob Privatpersonoder Unternehmen – gefordert sein,selbst aktiv zu werden und Verantwortungzu übernehmen, anstatt auf den Staat zuhoffen.

die Entkopplung vom Netz realisierbar –ist. Es geht also nicht um die kompletteVermeidung von Risiken, sondern viel-mehr darum, eine effiziente und wirt-schaftliche Abwehrstrategie zu etab-lieren: Risikomanagement statt Risiko-vermeidung.

Abseits des politischen Aktionismusund trotz verschiedenster Initiativen istklar, dass Unternehmen in diesem Kon-text auch selbst tätig werden müssen. DieMaßnahmen, die hierbei ergriffen werdenkönnen, sind vielfältig. So hat die BuCETShared Services AG beispielsweise den‚Cyber Security Check 2.0‘ entwickelt, deres ermöglicht, innerhalb kürzester Zeiteine Einschätzung der aktuellen IT-Sicherheitslage eines Unternehmensbzw. einer Behörde zu geben. Darüber hinaus werden jedoch auch potenziellezukünftige Gefahren eruiert und konkreteHandlungsanweisungen für eine ganz-heitliche Sicherheitsstrategie gegeben.

Immer mehr Kredit- und Finanzinsti-tute verlangen inzwischen von ihren Kun-den nicht nur Bilanz und Steuerbescheid,sondern auch Nachweise für das Cyber-

Arne Schönbohmstudierte Internationales Managementin Dortmund, London und Taipeh. Von1995 bis 2008 war er für EADS tätig,zuletzt als Vice President Commercialand Defence Solutions. Seit Dezember2008 ist er Vorstand der BSS BuCETShared Services AG. Des Weiteren istArne Schönbohm Sicherheitsexperte,Berater verschiedener politischer Ent-scheidungsträger auf Bundes- undLandesebene, Präsident des Cyber-Sicherheitsrates Deutschland e.V., Mit-glied der Cyber Security CoordinationGroup sowie Autor diverser Veröffentlichungen.

Computerbrille sorgt für Ärger

Missbrauch der Technik?

Hamburg – Was speichert die Google-Brilleund wer hat Zugriff auf diese Daten? WiePeter Schaar, der Bundesbeauftragte für denDatenschutz, mitteilte, bitten Datenschutz-beauftragte aus der ganzen Welt in einemgemeinsamen Brief an Google-Chef LarryPage um genauere Informationen zum Pro-jekt Google Glass.Sie wollen darin wissen, welche Informatio-nen Google über die Nutzer seiner Internet-Brille sammeln, was der Konzern damit tunund welche Daten er an Dritte weitergebenwill. Google Glass könnte im nächsten Jahrauf den Markt kommen. Der US-Konzern hatte die mit kleiner Kamera, Mikrofon und Kompass ausgestat-

tete Brille vor gut einem Jahr erstmals vor-gestellt. Das Display der Brille befindet sichin einem Winkel der Brillengläser, gesteuertwird die Brille mit Sprachbefehlen undKopfnicken. Über ein verbundenes Smart-phone werden außerdem GPS-Positions-daten verarbeitet.Die Datenschützer fordern Google auf,schon bei der Entwicklung auf eine daten-schutzfreundliche Gestaltung des Systemszu achten. Auch soll der Konzern erklären,wie Google damit umgeht, dass die Nutzervon Google Glass künftig problemlos unbe-merkt Daten über Andere sammeln könn-ten. Das aktuelle Schreiben unterzeichnetendie Datenschutz-Beauftragten der EU-Staaten, Australiens, Neuseelands, Kanadas,Mexikos und Israels.Bedenken über das Projekt hatten auchschon US-Kongressabgeordnete geäußert.Sie verlangten ebenfalls Antworten darauf,was die internetfähige High-Tech-Brille fürden Datenschutz und die Privatsphäre derBürger bedeute.

NEWS

Die zunehmende„Internetisierung“

ist weder aufzuhalten noch wegzudenken.

24 25

Handlungsempfehlungen vorgelegt

Privatheit im Internet

München – acatech, die Deutsche Akademieder Technikwissenschaften, bezieht im Rah-men ihrer Schriftenreihe „acatech POSI-TION“ aktuell Stellung zur „Privatheit imInternet – Chancen wahrnehmen, Risikeneinschätzen, Vertrauen gestalten“.

Unter der Leitung von Prof. Dr. Dr. h.c. Johannes Buchmann hat dabei eine Projekt-gruppe im Team mit zahlreichen Mitarbei-tern eine Bestandsaufnahme erarbeitet, diein Handlungsempfehlungen zu den FeldernBildung, Recht, Wirtschaft und Technikmündet. Die Experten: „Mit seinen digitalenMarktplätzen, Suchmaschinen, sozialenNetzwerken und vielen anderen Dienstenkann das Internet zur Verwirklichunggrundlegender europäischer Werte beitra-gen: freie Selbstbestimmung, politische Partizipation und wirtschaftliches Wohler-gehen der Menschen. Allerdings bezahlendie Nutzer Internet-Dienste häufig mitDaten statt mit Geld, wodurch ihre Privat-heit infrage gestellt wird.“ Angesichts dieserSpannung will acatech zeigen, wie eine Internet-Kultur entwickelt werden kann, diees erlaubt, die Chancen des Internets wahr-zunehmen und dabei die Privatheit derMenschen schützt. „Privatheit im Internet“

kommt zu dem Schluss, dass drei Bedin-gungen erfüllt sein müssen, damit ange-messene Privatheit im Internet realisiertwerden kann:

• Nutzungskompetenz

• Gestaltungsmöglichkeit

• Vertrauenswürdigkeit

Dies könne durch eine Kultur der Privatheiterreicht werden, die Bildung, Recht, Wirt-schaft und Technik umfasst.Bildung sorgt dafür, dass die MenschenChancen und Risiken des Internets sowieihre Rechte kennen. So können sie Präfe-renzen für ihren Umgang mit Privatheit imWeb entwickeln und diese entsprechend ge-stalten. Das Recht setzt verbindliche Regeln.Diese Regeln müssen technisch umsetzbarsein, um erfüllt werden zu können. Sie rich-ten sich an Wirtschaft, Behörden und Nut-zer. Die Akteure beachten die rechtlichenVorschriften und weitere Regeln, die ange-messene Privatheit ermöglichen, und wer-den so vertrauenswürdig.

Aus den gewonnenen Erkenntnissen lassensich nach Ansicht von acatech vier Thesenableiten, die zur Entwicklung einer Kulturder Privatheit im Internet führen können.

Diese Schlussfolgerungen könnten dem-nach eine Grundlage für konkrete Hand-lungsempfehlungen bilden:

• Das Internet unterstützt die Verwirk-lichung der grundlegenden Werte „freieSelbstbestimmung“, „demokratische Parti-zipation“ und „wirtschaftliches Wohler-gehen“.

• Mangelnde Privatheit schränkt die Ver-wirklichung dieser Werte ein.

• Privatheit im Internet soll so gestaltet wer-den, dass die grundlegenden Werte optimalverwirklicht werden können.

• Dies kann durch eine Kultur der Privatheiterreicht werden, die Bildung, Recht, Wirt-schaft und Technik umfasst.

In der Reihe „acatech POSITION“ beziehtdie Deutsche Akademie der Technikwissen-schaften regelmäßig Stellung zu technikwis-senschaftlichen und technologiepolitischenZukunftsfragen. Die Positionen richten sichan Entscheidungsträger in Politik, Wissen-schaft und Wirtschaft sowie die interes-sierte Öffentlichkeit. Die Positionen werdenvon acatech-Mitgliedern und weiteren Experten erarbeitet und vom acatech-Präsidium autorisiert und herausgegeben.

NEWS

zählt. Bereits neunzig Prozent der Daten-diebstähle gehen laut Norton Cyber-crime-Report des Software-AnbietersSymantec direkt auf das Konto organi-sierter krimineller Banden.

Noch ist es überaus schwierig, Iden-titätsdieben das Handwerk zu legen. Fastein Drittel der weltweit für den erwähntenSymantec-Report befragten Opfer gabenan, dass ihr Fall nicht geklärt werdenkonnte. Die Folgen für die Bestohlenen

sind gravierend: Rechnungen für Waren,die sie nicht bestellt haben, Schuldenein-träge bei der Schufa oder gar Haftbefehlefür Taten, die sie nicht begangen haben.Im Schnitt müssen Opfer von Online-Delikten 28 Tage Arbeit und 250 Euro investieren, um die Folgen eines Identi-tätsdiebstahls zu beseitigen.

Mit Initiativen wie dem geplanten Cybercrime-Abwehrzentrum der Euro-päischen Union will die Politik die Kräfteim Kampf gegen die Online-Betrügerbündeln. Den Boden entziehen könnteman ihnen aber wohl nur, wenn auch dieInternet-Nutzer mitziehen: Indem sie ihreRechner bestmöglich vor Angriffen ausdem Netz schützen und persönlicheDaten mit mehr Vorsicht im Internetpreisgeben. Laut einer Untersuchung zurMediennutzung des BundesverbandesBITKOM e. V. veröffentlichten im Jahr

2011 fast die Hälfte der Deutschen per-sönliche Daten in sozialen Netzwerken.Obwohl gerade diese Foren als Goldgrubefür Identitätsdiebe gelten.

Nur sichere Identitäten bieten effektiven Schutz

Umgeben von Begriffen wie CloudComputing, Smart Living, Smart Grids,M2M-Kommunikation und NFC ist inzwi-schen eine steigende Sensibilisierung vonBürgern und Unternehmen bei Fragendes Datenschutzes und der Kommuni-kations- und Identitätssicherheit zu ver-zeichnen. Vorsichtsmaßnahmen, wie er-höhte Aufmerksamkeit, regelmäßig ge-wechselte Passwörter und ein Antiviren-Programm auf dem Smartphone reichenmeines Erachtens aber nicht aus, umseine Daten zu sichern.

Einen effektiven Schutz vor Betrug inder Online-Welt bietet aus meiner Sichtnur der zweifelsfreie Nachweis von Iden-titäten. Denn Vertrauen ist die Basis fürsichere Transaktionen – in der analogenwie in der digitalen Welt. Es geht darum,die Identität von Personen zu schützenund Transaktionen sowie Kommuni-kationsprozesse im Netz sicherer zu ge-stalten.

Ein Weg dahin ist die Nutzung desneuen Personalausweises mit seiner Online-Ausweisfunktion. Der deutschePersonalausweis gilt als sicherste elek-tronische Identitätskarte weltweit undspielt durch seine Internet-Funktion beimManagement von Zugriffsrechten in derOnline-Welt eine wichtige Rolle. Anbietervon Internet-Dienstleistungen und deren

Nutzer können sich dank des neuen Per-sonalausweises gegenseitig ausweisen,so dass beide Seiten verbindlich wissen,mit wem sie es zu tun haben und dass diePerson auf der anderen Seite tatsächlichdie ist, für die sie sich ausgibt. Der Aus-weis und entsprechende elektronischeServices ermöglichen künftig auch dieverbindliche elektronische Unterschrift.Die eID-Karte und moderne elektronischeBürgerdienste ersparen den Weg ins Rat-haus und machen unabhängig von Öff-nungszeiten. Außerdem ermöglicht derneue Personalausweis ein sicheres Log-in und ersetzt die unsichere Variante mitBenutzername-Passwort-Authentifizie-rung.

Alle für alles und überall

Wir sind also schon einen großenSchritt voran gekommen bei der Aufgabe,elektronische Kommunikation und Trans-aktion komfortabel abzusichern. Dennochstehen wir erst am Anfang. Schaut mansich an, welche Bedürfnisse die Men-schen in Bezug auf die Arbeitswelt derZukunft oder die Weiterentwicklung vonITK-Technologien haben, dann ist derSchutz von Identitäten das zentraleThema. Die Menschen weltweit wünschensich zukünftig mehr Individualität, Mobi-lität und Flexibilität, ob im Privatlebenoder in der Arbeitswelt. Es geht darum,Wissen miteinander zu schöpfen und zu

teilen, Erfahrungen auszutauschen, Netz-werke zu pflegen und Technologien sorg-los, intuitiv und komfortabel nutzen zukönnen – Stichwort „Alles für alle undüberall“. Das geht nicht ohne Sicherheitund Vertrauen.

Die aktuelle Zukunftsstudie 2013 des„Münchner Kreises“, einer gemeinnützi-gen übernationalen Vereinigung für Kom-munikationsforschung, bestätigt dies.TNS Infratest hat dafür Internet-Nutzer inunterschiedlichen Regionen der Welt

befragt, wie wichtig ihnen in typischen Lebenssituationen aus den vier Themen-bereichen Arbeit, Mobilität, Medien undE-Government bestimmte Trends undEntwicklungen sind. Ergebnis: Die wich-tigsten Bedürfnisse sind Sicherheit undDatenschutz.

Über alle Bevölkerungsgruppen hin-weg ist bei den Befragten eine große Un-sicherheit hinsichtlich eines möglichenDatenmissbrauchs zu erkennen. Auch Individualität im Kontext mit Privatsphäreund sinnvoller Nutzung von Mobilitätszei-ten werden gewünscht. Auch eine einfa-che, schnelle und vor allem vertrauens-würdige Kommunikation zwischen Bür-ger und Staat stehen auf der Wunschlisteder Befragten beim Thema Verwaltungder Zukunft ganz oben. Neben mehr Kun-denfreundlichkeit ist dabei eine einfa-chere Zugangsart zu den Diensten, bei-spielsweise zu virtuellen Rathäusern, vonBedeutung.

Vernetzte Forschung und Entwicklung

Unternehmen der ID-Branche arbei-ten mit Hochdruck daran, diese Bedürf-nisse voll und ganz zu erfüllen undLösungen für die Zukunft zu schaffen, diesichere Identitäten auf allen Ebenen er-möglichen. Wir als Bundesdruckerei habendabei unseren eigenen Weg gewählt undsetzen auf vernetztes Arbeiten in interdis-ziplinär angelegten Projekten. Mit demLehrstuhl „Secure Identity“ an der FreienUniversität Berlin fördern wir die Nach-wuchsarbeit von Spezialisten, in Innova-tionsclustern und Security Labs mitFraunhofer-Instituten forschen wir an zu-kunftweisenden Technologien, Verfahrenund Prozessen. Denn für uns ist einesklar: Sichere Identitäten sind die Voraus-setzung und Basis dafür, unsere analogewie digitale Welt vor Betrug zu schützen.

Ulrich Hamann (*1955) ist seit 2004 Vorsitzender der Ge-schäftsführung (CEO) der Bundes-druckerei GmbH in Berlin. Außerdemist Hamann Mitglied im Hauptvorstanddes BITKOM e.V. und Vorstandsvorsit-zender des Vereins „Sichere IdentitätBerlin-Brandenburg“

Der deutsche Personalausweisgilt als sichersteelektronische Identitätskarte

weltweit.

Der Ausweis undentsprechendeelektronische

Services ermög-lichen künftig auchdie verbindlicheelektronische Unterschrift.

Die wichtigsten Bedürfnisse sind Sicherheit und Datenschutz.

Urheberrecht für längst überflüssig und orten in der zunehmenden Kontrolle der Behörden über das Netz eine viel größereGefahr als im Tausch von Dateien. Andere Autoren wiederum verteidigen die Rechte der Künstler an ihren Werken (und damitauch deren Existenzgrundlage) gegenüber der Gratis-Kultur im Internet. Ergänzt werden die kontroversen Beiträge um eineDokumentation des ACTA-Entwurfs und eine kurze Geschichte des File-Sharing von den Anfängen bis zur Gegenwart.

ProMedia, ISBN 978-3-85371-345-7, Preis: 14,90 €

Jenseits von 1984Datenschutz und Überwachung in der fortgeschrittenen Informationsgesellschaft. Eine Versach-lichung

Herausgeber: Sandro GayckenDer Überwachungsdiskurs wurde in Deutschland bislang stark emotionalisiert geführt – auch in denWissenschaften. Die Debatte zwischen Datenschützern und „Überwachern“ war von Übertreibungenund Dystopien geprägt. Dieser Band reflektiert nun, wie sich nach Jahren eher einseitiger Diskus-sionen und angesichts vieler neuer (vor allem technischer) Entwicklungen die Strukturen, Vor- undNachteile der Informationsgesellschaft beschreiben lassen und wie eine konstruktive und objektiveAuseinandersetzung um Sicherheit und Freiheit erreicht werden kann.

Transcript-Verlag, ISBN 978-3-8376-2003-0 , Preis: 19,80 €

Der digitale DämonInformations- und Kommunikationstechnologien zwischen Alltag und Ängsten

Herausgeber: Ralph HaupterDie digitale Debatte ist in vollem Gange, viele Fragen in Bereichen wie Datenschutz und Sicherheit,Aufklärung und Transparenz sind noch ungeklärt. Auch deshalb droht die Gefahr eines gesell-schaftlichen Akzeptanzverlustes mit Auswirkungen auf die Innovationsbereitschaft von Unter-nehmen und Institutionen, von Bürgern und Behörden. Microsoft-Manager Ralph Haupter lädtdeshalb prominente Stimmen ein – darunter auch die DIVSI Beiratsmitglieder Prof. Dr. MiriamMeckel (Direktorin des Instituts für Medien- und Kommunikationsmanagement an der Uni St. Gallen) und Dr. Bernhard Rohleder (Hauptgeschäftsführer BITKOM) – Wege aus der digitalenVertrauenskrise und neue Leitbilder für eine vernetzte Welt aufzuzeigen.

Redline Verlag, ISBN 978-3-86881-477-4, Preis: 24,99 €

Im Sog des InternetsÖffentlichkeit und Privatheit im digitalen Zeitalter

Herausgeberin: Ulrike Ackermann

Immer tiefer durchdringt das Internet unser Leben. Es ist überall verfügbar, seine Anwendungensind zunehmend unverzichtbar, aber sie haben auch Folgen. Wir sind eben erst dabei zu verstehen,wie die digitale Revolution die Parameter unseres Lebens verschiebt und was angemessene Reaktionen darauf sein könnten. Das Buch greift das Thema unter dem Aspekt von Öffentlichkeitund Privatheit auf. Acht Autoren aus verschiedenen Feldern der Wissenschaft loten in politischen,historischen, soziologischen und kulturwissenschaftlichen Perspektiven aus, welche Chancen undRisiken die digitale Revolution für die Öffentlichkeit und Privatheit birgt, die Eckpfeiler jeder frei-heitlichen Gesellschaft sind. Die Herausgeberin ist Professorin für Politikwissenschaft mit demSchwerpunkt Freiheitsforschung und -lehre an der SRH Hochschule Heidelberg. Sie ist Gründerin

und Direktorin des John Stuart Mill Instituts (http://www.fh-heidelberg.de/de/fakultaeten/fakultaet-fuer-wirtschaft/john-stuart-mill-institut-fuer-freiheitsforschung/) für Freiheitsforschung an der SRH Hochschule.

Humanities Online, ISBN 978-3-941743-35-9, Preis: 19,80 €

Wie das Internet unser Leben verändertPerspektiven aus Politik, Sicherheit, Recht, Wirtschaftund Medien

Herausgeber: Arne Schönbohm; Autoren Prof. Dr. Dr.h.c. Werner Weidenfeld, Dr. Beate Merk, Uwe ProllDieses Buch gibt einen umfassenden Überblick überdie Einflüsse der fortschreitenden Digitalisierung aufverschiedene Lebensbereiche. Es erläutert nicht nur,wie sich das generelle Sicherheitsverständnis verän-dert, sondern auch vor welchen HerausforderungenPolitik, Justiz, Medien und Wirtschaft im Cyber-Zeit-alter stehen. Die Autoren skizzieren Trends und bishe-

rige Entwicklungen in den jeweiligen Fachbereichen und illustrieren anhand vonBeispielen aus der Praxis Anforderungen an eine effiziente Cyber-Sicherheits-Architektur.

Edition Octopus, ISBN 978-3-86991-824-2, Preis: 15,50 €

Internet. Segen oder Fluch

Autoren: Kathrin Passig/Sascha LoboDer Siegeszug des Internets ist unaufhaltsam. Dochauch die Debatte zwischen Netzoptimisten und Kriti-kern verschärft sich. Das Internet verändert unserenAlltag und sorgt für gesellschaftspolitische Diskus-sionen mit teils kulturkampfartigen Zügen: Macht unsdas Smartphone freier oder abhängiger? Sind sozialeMedien gut oder schlecht für das Sozialleben? Beein-flusst das Netz unsere Wahrnehmung, unser Den-ken? Unterstützt es die Demokratisierung der Welt,oder erlaubt es Diktaturen die totale Überwachung?Die Autoren ziehen nach der ersten großen Welle der

digitalen Revolution Bilanz: Sie erörtern klug und unterhaltsam alle wichtigenProbleme, geben Antworten und wagen den Ausblick, wohin sich unsere vernetzteWelt entwickeln wird.

Rowohlt Berlin, ISBN 978-3-87134-755-9, Preis: 19,99 €

Wer besitzt das Internet?Die Freiheit im Netz und das Urheberrecht. Eine Streit-schrift

Herausgeber: Stefan Kraft„Raubkopierer“ gegen „Content-Mafia“ – so lauten diegegenseitigen Bezeichnungen der Parteien im tobendenCopyright-Krieg. ACTA, ein internationales Handelsab-kommen gegen „Produktpiraterie“, hat diesem Konfliktneue Schwungkraft verliehen. „Wer besitzt das Internet?“versammelt Meinungen und Personen, die in diese Debatte involviert sind. Die Einen halten das aktuelle

AKTUELLE BÜCHER

26 27