DuD Datenschutz und Datensicherheit 3 | 2012 217

DUD REPORT

Bundesinnenminister Dr. Hans-Peter Friedrich: „De-Mail ist eine leicht zu nutzende Technologie, mit der man im Internet sicher, vertraulich und verlässlich Nachrichten austauschen kann. Das gilt sowohl zwischen Privaten als auch für die Kommunikation mit Ge-richten und Behörden.“

Durch die Zusammenarbeit im E-Justice-Bereich wird der elekt-ronische Zugang zu den Gerichten grundlegend modernisiert. Au-ßerdem soll die Justiz künftig Urteile, Beschlüsse, Schriftsätze und Ladungen rechtssicher und deutlich kostengünstiger elektronisch zustellen können.

Begleitende Änderungen der Verfahrensordnungen, die erfor-derlich sind, um die Zugangshürden für eine elektronische Kom-munikation mit der Justiz bedeutend zu senken, werden derzeit durch das Bundesministerium der Justiz geprüft.

Darüber hinaus erarbeitet das Bundesministerium des Innern derzeit den Entwurf für ein E-Government-Gesetz des Bundes mit dem Ziel, für die Bürgerinnen und Bürgern sowie für die Wirtschaft die elektronische Kommunikation mit der Verwaltung zu erleich-tern. Auch hierbei wird De-Mail neben der eID-Funktion des neu-en Personalausweises eine wichtige Rolle spielen.

Bund übernimmt Vorsitz des IT-Planungsrats

Am 1. Januar 2012 hat die IT-Beauftragte der Bundesregierung, Staatssekretärin Cornelia Rogall-Grothe, planmäßig für ein Jahr den Vorsitz im IT-Planungsrat übernommen. Der IT-Planungsrat ist das oberste Gremium von Bund und Ländern für die Steuerung der In-formationstechnik des Staates.

2011 hat der IT-Planungsrat unter dem Vorsitz des Landes Ba-den-Württemberg u. a. die Umsetzung der nationalen E-Govern-ment Strategie in deutschen Behörden auf den Weg gebracht. Auf-gebaut wird dabei auf bereits laufenden Projekten wie dem neu-en Personalausweis, der auch im Internet Sicherheit bietet, der ein-heitlichen Behördennummer 115 und „De-Mail“.

Der scheidende Vorsitzende des IT-Planungsrats, Ministerialdi-rektor Dr. Herbert Zinell, Amtschef des Innenministeriums Baden-Württemberg, zieht zum Jahresende eine positive Bilanz: „Im Jahr 2011 hat der IT-Planungsrat maßgebliche Projekte zur Umsetzung der Nationalen E-Government-Strategie begonnen. Sie runden die bereits bundesweit laufenden IT-Maßnahmen ab und führen dar-über hinaus. Dadurch können alle Behörden, aber auch die Städte, Gemeinden und Kreise, ihre IT-Nutzung sicherer und wirtschaftli-cher gestalten.“

Die IT-Beauftragte der Bundesregierung will diese Arbeiten kon-sequent fortführen. „Für die Aufgabenerfüllung des Staates ist der Einsatz der Informationstechnik von zentraler Bedeutung. Bund und Länder werden unter Steuerung durch den IT-Planungsrat die verschiedenen IT-Systeme zu einer föderalen IT-Infrastruktur zu-sammenführen. Wichtige Entscheidungen zur IT-Harmonisierung sind bereits getroffen. Unter dem Vorsitz des Bundes werden wir in 2012 im IT-Planungsrat an weiteren Schritten zur Gemeinsamkeit arbeiten“, so Rogall-Grothe.

Ein Schwerpunkt ist die IT-Sicherheit. Der IT-Planungsrat hat im Oktober 2011 ein Konzept für eine Leitlinie Informationssicherheit verabschiedet, die auch verbindliche IT-Sicherheitsstandards ent-hält. Ministerialdirektor Dr. Zinell: „Die steigende Anzahl an Sicher-heitsvorfällen macht das Arbeiten im Verbund immer bedeutsa-mer. Die Errichtung eines gemeinsamen Warn- und Informations-

dienstes, an dem wir intensiv arbeiten, ist eine wichtige Maßnah-me.“

Um den europäischen Austausch zu befördern, wird der IT-Pla-nungsrat im kommenden Jahr unter anderem in Brüssel tagen. Hierzu erklärt Staatssekretärin Rogall-Grothe: „Die Zusammen-arbeit in Europa wird auch in der IT immer wichtiger. Wir sind be-reits jetzt vielfach grenzüberschreitend vernetzt. Dies muss sich auch durch eine angemessene Koordinierung und Harmonisierung unserer IT-Landschaften nicht nur über föderale, sondern – in an-gemessenem Umfang – auch über nationale Grenzen hinweg aus-drücken.“

Die nächste Sitzung des IT-Planungsrats findet am 8. März 2012 auf der CeBIT in Hannover statt.

Studie: Selbst- und Fremdbild von Datenschutzbeauftragten

Außenstehende schätzen Datenschutzbeauftragte überwiegend als „wichtig“ oder „eher wichtig“ ein. Gleichzeitig nehmen sie die-se als „Papiertiger“ wahr, die in Organisationen und Unternehmen einen relativ geringen Einfluss haben. Dies ist eins der Ergebnis-se der am 08.12.2011 veröffentlichten Studie der Universität Ol-denburg und des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) zum „Selbst- und Fremdbild von Datenschutz-beauftragten“. AutorInnen sind Dr. Herbert Schulze und Dipl.-Wi.Jur.(FH) & MA Lena Marie Glunz vom Institut für Betriebswirt-schaftslehre und Wirtschaftspädagogik der Universität Oldenburg.

Der NRW- Landesdatenschutzbeauftragte Ulrich Lepper, der die Studie als einen weiteren wichtigen Baustein des BvD für die Qua-lität der Datenschutzberatung sieht, wertet das Ergebnis der Stu-die „als eindeutigen Hinweis, dass qualifizierte Datenschutzbeauf-tragte ein Muss sind“.

Die explorative Studie mit über 6.000 im Frühjahr befragten Teil-nehmerInnen macht deutliche Diskrepanzen zwischen der Eigen-einschätzung und Außenwahrnehmung aus. Sie dokumentiert zu-dem, dass sowohl über 40 Prozent der Nicht-Datenschutzbeauf-tragten als auch der überwiegende Teil der Datenschutzbeauftrag-ten die Qualifikation als zu gering einordnet. Vor allem Berufsfrem-de erwarten eine vollständige Berufsausbildung oder gar ein Auf-baustudium für Datenschutzbeauftragte.

Thomas Spaeing, Vorstandsvorsitzender des BvD, bewertet die-se Ergebnisse als „schallende Ohrfeige“ für die oft angebotenen dreitägigen Ausbildungskurse zum Datenschutzbeauftragten. „Die Realität der Ausbildung liegt weit entfernt von den Erwartun-gen – und den tatsächlichen Anforderungen“, betont Spaeing. Der Berufsverband sehe sich durch die Oldenburger Studie in seiner Arbeit bestätigt, für erheblich mehr Qualität bei der Qualifikation von Datenschutzbeauftragten zu sorgen.

Die Studie zeigt Tendenzen auf, dass die betrieblichen und be-hördlichen Datenschutzbeauftragten ihre Kernkompetenzen in der Beratung sehen, während die Nicht-Datenschutzbeauftragten mit der Funktion vor allem Überprüfung und Kontrolle verbinden. „Wir müssen uns selbstkritisch fragen, ob wir Datenschutzbeauftragten unsere Aufgaben ausreichend kennen, erklärt der stellvertretende BvD-Verbandsvorsitzende Marco Biewald. Die Studie mache ein-mal mehr den Bedarf nach einem verbindlichen, eindeutigen Be-rufsbild deutlich.

218 DuD Datenschutz und Datensicherheit 3 | 2012

DUD REPORT

Wo liegen nun die Gründe dafür, dass Außenstehende die Daten-schutzbeauftragten als „wichtig, aber mit relativ geringem Einfluss“ wahrnehmen? „Das, was wir in der Praxis mitunter mühsam errei-chen, müssen wir besser kommunizieren“, zieht Biewald Bilanz. „Zugleich ist zu klären, ob Datenschützer überhaupt gerüstet sind, alle Aufgaben umfassend wahrzunehmen“. Die Politik müsse sich fragen, warum sie regelmäßig nur über die Bestellung von Daten-schutzbeauftragten statt über deren Ausstattung mit Kompeten-zen diskutiere. „Wirksamer Datenschutz ist eine Frage von wirksa-men Instrumenten“, betont Spaeing.

Die Studie kann über den Berufsverband bezogen werden: Berufsverband der Datenschutzbeauftragten Deutschlands

(BvD) e.V., Budapester Straße 31, 10787 Berlin, E-Mail: bvd-gs@bvdnet.de, Tel.: 030/2196 4397

(a-I3): 7. Interdisziplinäres Symposium, Bochum, 16./17.04.2012

Am 16. und 17. April 2012 findet in Bochum das 7. Interdisziplinä-re Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) statt.

In diesem Jahr sollen unter dem Oberthema „Perspektiven und Risiken der digitalen Gesellschaft – ID-Management und Daten-schutz für Cloud Computing & IPv6“ aktuelle Themen aus den Be-reichen Infrastruktursicherheit, Identitätsmanagement und Daten-schutz umfassend aus rechtlicher und technischer Perspektive be-leuchtet werden.

Die Veranstaltung richtet sich an Entscheidungsträger von Ver-waltungsbehörden, an Leiter, Mitarbeiter und Datenschutzbeauf-tragte in Organisationen und Unternehmen aus den Gebieten IT-Sicherheit, Softwareentwicklung und E-Commerce. Weiterhin an Juristen in Justiz, Unternehmen und Verbänden, spezialisier-te Rechtsanwälte sowie Leiter und Mitarbeiter in Aufsichts- und Datenschutzbehörden.

Aktualisierte Informationen zur Veranstaltung finden Sie unter www.a-i3.org.

App „Permission Watcher“ für Android-Smartphones

Die App entstand im Rahmen der Master-Arbeit von Eric Struse so-wie eines gemeinsamen Forschungsprojekts der Mobile Human-Computer-Interaction Group an der Universität Duisburg-Essen (Enrico Rukzio) und der Arbeitsgruppe Langzeitsicherheit der Ruhr-Universität Bochum (Christopher Wolf).

Die App hilft Nutzern, die Berechtigungen der auf ihren Smart-phones installierten Apps zu überwachen. Sie warnt vor verdäch-tigen Berechtigungs-Kombinationen, die benutzt werden können, um Datenschutz und Privatsphäre des Nutzers zu beeinträchtigen oder unerwünschte Kosten zu verursachen.

Wenn Sie die App installieren helfen Sie uns, Sicherheitsaspek-te im Bereich Nutzerinteraktion besser zu verstehen. . Sie steht im Android Market unter:https://market.android.com/details?id=de.struse.apewatch oder auf

http://www.apewatch.de und ist in deutscher und englischer Spra-che verfügbar.

Rückfragen bitte an Eric Struse <Eric@Struse.de>

McAfee: Jahresprognose zur Cybersicherheit 2012

Der IT-Sicherheitsspezialist McAfee hat am 29.12.2011 seine Jah-resprognose der Risiken und Gefahren für die Computersicher-heit vorgelegt („2012 Threat Predictions“). Die firmeneigene For-schungsabteilung McAfee Labs, die für den Bericht verantwortlich zeichnet, erwartet, dass die 2011 notorisch gewordenen Eingrif-fe in mobile Banktransaktionen, pseudolegaler Spam und Betrug im Zusammenhang mit Cybergeld im Jahr 2012 weiter an Bedeu-tung gewinnen. Des Weiteren geht McAfee Labs davon aus, dass die Zahl der im weitesten Sinn politisch motivierten Angriffe zu-nehmen wird, etwa in Form der Kompromittierung von Industrie-unternehmen und Personen des öffentlichen Lebens oder durch Zurschaustellung von Fähigkeiten zur Cyberkriegsführung durch Nationalstaaten.

Folgende Trends prognostiziert McAfee Labs für das Jahr 2012:

Angriffe auf Infrastrukturunternehmen

Die Versorgung mit Wasser, Strom, Öl und Gas dient der Erfüllung von Grundbedürfnissen der Bevölkerung. Dennoch sind die ent-sprechenden Dienstleister nur unzulänglich vor Cyberangriffen ge-schützt. Oft fehlt es an grundlegenden Sicherheitsmechanismen. Es ist davon auszugehen, dass Angreifer diesen Mangel an Sicher-heitsvorkehrungen in Zukunft verstärkt zum Beispiel zur Erpres-sung dieser Unternehmen ausnutzen werden.

„Legalisierung“ von Spam durch die werbetreibende Industrie

Das weltweite Aufkommen an klassischem Spam ist laut McAfee Labs in den vergangenen zwei Jahren zwar zurückgegangen, doch inzwischen setzt die ganz normale Werbeindustrie zunehmend auf Methoden, die sie sich bei Spammern abgeguckt hat. So überneh-men beispielsweise Werbetreibende Adressbestände von in Kon-kurs gegangenen Unternehmen oder kaufen auf anderen Wegen E-Mail-Adressen, deren Inhaber angeblich dem Empfang von Wer-bebotschaften zugestimmt haben. McAfee Labs geht davon aus, dass dieser pseudolegale Spam nach dem „Gießkannenprinzip“ schneller zunimmt als beispielsweise Phishing (Abgreifen von Zu-gangsdaten) und „Confidence-Scams“ (zum Beispiel Vorschussbe-trug nach dem „Nigeria“-Muster).

Angriffe auf Mobilgeräte unter Umgehung des PCs

Noch nie gab es so viel Schadsoftware für Mobilgeräte wie 2011. Für das kommende Jahr erwartet McAfee Labs, dass vor allem der Be-trug im Zusammenhang mit unterwegs getätigten Bankgeschäften zunimmt. Dabei ist davon auszugehen, dass Methoden, die einst auf das klassische Online-Banking gemünzt waren – wie die Vor-spiegelung einer rechtmäßigen Transaktion zum Zweck der Geld-entwendung, während der Nutzer bei seiner Bank angemeldet ist –, nun beim mobilen Banking Anwendung finden. Da immer mehr Menschen ihre Geldgeschäfte mit Hilfe von Mobilgeräten tätigen, werden die Angreifer nach der Prognose von McAfee Labs in Zu-kunft die PCs ihrer Opfer links liegen lassen und sich auf deren Mo-bile-Banking-Apps konzentrieren.