CyLaw-Report XXI: "Verdeckte Online-Durchsuchungen – zur IT-(Un)Sicherheit in Deutschland (6/2008/Version 2.0)"

Entscheidung des Bundesverfassungsgerichts (BVerfG) vom 27.02.2008 - 1 BvR 370/07 Die Entscheidung des Bundesverfassungsgerichts (BVerfG) ist für die FÖR-CyLaw-Report- Perspektive aus drei Gründen von grundlegender Bedeutung: Zum ersten (1) kreiert das BVerfG eine weitere Ausprägung des "Rechts auf freie Entfaltung der Persönlichkeit" (Art. 2 Abs. 1 GG) für den Bereich der Informationstechnologie. Zum zweiten (2) verzichtet das BVerfG auf das verfassungsrechtliche Erfordernis "absoluter IT-Sicherheit". Die Existenz und staatliche Kenntnis von Sicherheitslücken sowie die (Aus-)Nutzung dieser IT-Sicherheitslücken zum Schutz von Rechtfertigungsrechtsgütern wird verfassungsrechtlich legitimiert. Zum dritten (3) könnte das BVerfG mit dem Recht auf "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" ein "sonstiges Recht" (§ 823 Abs. 1 BGB) konkretisiert haben, das neue Perspektiven für die Haftung für IT-Unsicherheit eröffnet. Diese Verantwortung für IT-Unsicherheit könnte die betroffenen Marktteilnehmer (Nutzer, Produzenten, Handel, Intermediäre (wie Provider)) proaktiv zu Investitionen in IT-Sicherheit motivieren

Rechtliche Rahmenbedingungen von Cloud Computing : Rechtliche Situation im Öffentlichen Sektor

Die rechtliche Situation und limitierende Rahmenbedingungen sind heute die größte Hürde für die Akzeptanz neuartiger Datenverarbeitung, wie im Cloud Computing. Besonders im Öffentlichen Sektor findet schon heute Datenverkehr und Kommunikation übergreifend über Einrichtungen sowie Städte- und Landesgrenzen hinweg statt. Ob dies künftig auch über Cloud-Dienste abgewickelt werden kann wird in diesem Dokument untersucht. Mit Fokus auf die Situation im Projekt GGC-Lab, fasst der vorliegende Leitfaden die rechtlichen Themengebiete Vertragsgestaltung sowie Datenschutz und Compliance im Rahmen von Cloud-Diensten zusammen und zeigt Hindernisse auf. Die vertragliche Einordnung von Cloud-Diensten bewirkt unterschiedliche Anforderungen an die Verfügbarkeit des Dienstes sowie Gewährleistung und Haftung bei Verstößen. Für einen Zusammenschluss von öffentlich-rechtlichen IT-Dienstleistern, wie im Projekt GGC-Lab, gelten besondere Bedingungen hinsichtlich des Vergaberechts. Mit Hilfe eines Community-Vertrags werden alle internen Vereinbarungen, Qualitätslevel und Haftungsfragen geklärt. Mit dem Ziel der gemeinsamen Datenverarbeitung von cloudfähigen Fachanwendungen, müssen darüber hinaus spezielle Lizenzverträge mit dem Anbieter der jeweiligen Fachanwendung vereinbart werden. Bei der Verarbeitung personenbezogener Daten mit cloudbasierten Fachanwendung müssen die Forderungen des Datenschutzrechts beachtet werden. Werden durch den Zusammenschluss der IT-Dienstleister wettbewerbsbeeinflussend viele Abnehmer angesprochen, ist die Betrachtung des Kartellrechts eine weitere Hürde, die zu nehmen ist. Viele Initiativen beschäftigen sich mit diesen komplexen Rechtsfragen und geben Vorschläge wie ihnen zu begegnen ist. Abschließend gibt eine Übersicht über die Inhalte ausführlicher Publikationen Aufschluss über den Stand der gegenwärtigen Diskussionen in diesem Themengebiet

Beobachtungstechnologien im Bereich der zivilen Sicherheit – Möglichkeiten und Herausforderungen. Endbericht zum TA-Projekt

Beobachtungstechnologien erweitern das menschliche Wahrnehmungs- und Beurteilungsvermögen für Risiken, Gefahren oder Schäden in vielfältiger Weise. Von ihrer Anwendung können daher sämtliche Aufgabenfelder der zivilen Sicherheit profitieren, angefangen von der Verkehrsüberwachung und dem Umweltmonitoring über den Brand- und Katastrophenschutz, den Rettungsdienst und den Schutz kritischer Infrastrukturen bis hin zur polizeilichen Gefahrenabwehr und Strafverfolgung. Der Einsatz von Beobachtungstechnologien wird in Öffentlichkeit, Wissenschaft und Politik zum Teil allerdings kontrovers diskutiert und es werden Fragen nach dem tatsächlichen Sicherheitsnutzen, den Wirkungen und Folgen sowie nach der Verhältnismäßigkeit von technisierten Beobachtungsmaßnahmen gestellt. Vor diesem Hintergrund wird mit dem vorliegenden Bericht das Ziel verfolgt, eine fundierte Sachgrundlage für die politische Meinungsbildung bezüglich der erforderlichen Rahmensetzungen für den Einsatz von Beobachtungstechnologien im zivilen Sicherheitsbereich zu erarbeiten. Hierzu werden die relevanten gesellschaftlichen und politischen Fragestellungen, die sich mit der (zunehmenden) Anwendung von Beobachtungstechnologien im zivilen Sicherheitsbereich ergeben, ausführlich reflektiert. Dabei ist es ein besonderes Anliegen, die Vielfalt der (möglichen) Einsatzfelder hinsichtlich ihrer technischen, rechtlichen und sozialen Komplexität zu verdeutlichen, um Chancen und Herausforderungen in ihrer gesamten Breite und Tiefe abzuleiten. Im TAB-Bericht werden die wissenschaftlich-technischen Grundlagen der jeweiligen (sensor- oder datenbasierten) Beobachtungstechnologien in Abhängigkeit von den Einsatzanforderungen und -bedingungen, der erwartete und der tatsächliche Sicherheitsnutzen der jeweiligen konkreten Einsatzpraktiken, die rechtlichen Rahmenbedingungen und die aktuellen Einsatzpraktiken sowie mögliche nichtintendierte Wirkungen und Folgen des Technologieeinsatzes auf die beobachteten Personen und die Sicherheitsakteure analysiert. Auf dieser Grundlage werden Gestaltungsoptionen vorgestellt, die zu einem zielführenden und gesellschaftlich tragfähigen Umgang mit Beobachtungstechnologien für zivile Sicherheitsaufgaben beitragen können. Eine ausführliche Zusammenfassung ist dem Bericht vorweggestellt

Ein sicherer Datencontainer für die Cloud

Die zunehmende Verbreitung von mobilen Endgeräten und Cloud-Diensten führt auch zur Erfassung großer Mengen privater Daten. Um die Gefahr eines Missbrauchs dieser Daten zu verringern, können Zugriffsschutzsysteme und Verschlüsselung eingesetzt werden. Neben dem Schutz der Vertraulichkeit der gespeicherten Daten besteht aber auch das Interesse, die Ressourcen der Cloud zur Datenanalyse zu nutzen. Mit der Privacy Management Platform [SM14], einem alternativen Berechtigungssystem für Android, und dem Secure Data Container [SM15] existiert bereits ein ganzheitliches Datensicherheitssystem für mobile Endgeräte. Diese Arbeit überträgt den Ansatz des Secure Data Containers auf die Datenspeicherung in der Cloud, wobei vor allem untersucht wird, wie umfangreiche Analysemöglichkeiten mit dem Schutz der Vertraulichkeit der Daten kombiniert werden können. Dazu werden verschiedene Ansätze zur Durchführung von Analysen auf verschlüsselten Daten sowie verwandte Arbeiten vorgestellt. Der entwickelte Datencontainer wurde als Prototyp implementiert, was in dieser Arbeit erläutert wird. Inwieweit der Datencontainer verschiedene Angriffsszenarien abwehren kann, wird im Rahmen einer Evaluation untersucht