Kritische Betrachtung der Sicherheitsaspekte von BPM in der Cloud

Das Thema Cloud Computing hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere Klein- und mittelständische Firmen können von der Cloud profitieren, da z.B. weniger in den Aufbau einer eigenen IT investiert werden muss. Die Kombination von BPM und Cloud Computing steht allerdings noch am Anfang ihrer Entwicklung. Zwar bieten schon einige Unternehmen BPM in der Cloud an (BPMaaS) und der Markt wächst stetig aber das Angebot ist momentan noch überschaubar, in Bezug auf Benutzung und Entwicklung. Der Vorteil Geschäftsprozesse in der Cloud zu bearbeiten geht Hand in Hand mit den Vorteilen des Cloud Computing im Allgemeinen. Allerdings muss auch, ungeachtet der Vorteile, die die Cloud mit sich bringt, genau bedacht werden, welche Daten in die Cloud übermittelt werden und welcher Cloudanbieter ausgewählt wird. Insbesondere der Datenschutz und die Datensicherheit spielen hier eine große Rolle. Denn wenn in Deutschland personenbezogene Daten in die Cloud ausgelagert werden, müssen diese gemäß den Regelungen des Bundesdatenschutzgesetzes behandelt werden. Da der Cloudnutzer für den Schutz dieser Daten verantwortlich bleibt, auch wenn diese auf den Servern des Cloud Service Provider liegen, besteht hierbei große Vorsicht bei der Auswahl des Cloudanbieters. Vor allem wenn die Server desjenigen außerhalb des Europäischen Wirtschaftsraumes (EWR) liegen, wie z.B. in den USA, da dort ein weitaus geringeres Datenschutzniveau besteht als in Deutschland. Das Ziel dieser Diplomarbeit ist es, diese Schwierigkeiten in Bezug auf Datenschutz und Datensicherheit offenzulegen. Mittels eines Kriterienkataloges werden die wichtigsten Anforderungen und Sicherheitskriterien an die Cloud aufgelistet und mit denen der Cloudanbieter verglichen und eingeordnet. Vor diesem Hintergrund werden auch Möglichkeiten betrachtet, inwiefern und mit welchen Mitteln sensible Daten anonymisiert werden können, um eine rechtskonforme Speicherung der Daten, gemäß dem Bundesdatenschutzgesetzes, gewährleisten zu können.The topic of cloud computing became more important in the last few years, especially in relation to small enterprises, because they can benefit from the advantages of the Cloud, such as less investment in the own IT infrastructure. But the combination of BPM and Cloud Computing is only just beginning to develop. Although some companies offer Business Process Management in the Cloud and the market continues to grow, but the offer is relatively modest. The benefits of moving business processes into the cloud (such as BPMaaS) are the same as those which offers cloud computing in general. What need to be considered, however, is which data is to be outsourced in the cloud and which provider needs to be selected. In particular, data protection and data security play an important role in this topic. If german personal data are transferred into the cloud, the data must be treated in accordance with the German Federal Data Protection Act. The cloud computing user stays responsible for all content and data, even if this data will be stored on the provider’s server, so caution is also recommended in this case. Especially when these servers are outside of the European Economic Area, such as USA, because there consist a much lower level of data privacy protection than in Germany. The purpose of this diploma thesis is to explore these difficulties in relation to data protection and data security. By means of a catalog of criteria, the most important requirements and security criteria will be listed and compared with those of the provider. Against this background a number of possible opportunities for a concept of "anonymization" of data are considered, to secure that the data storage complies with legal requirements, such as the German Federal Data Protection Act

Dresdner Universitätsjournal

"Dresdner Universitätsjournal" vom 11. Dezember 201

Rechnen mit verschlüsselten Programmen und Daten

[no abstract

Die neuen rechtlichen und technischen Rahmenbedingungen der behördlichen elektronischen Zustellung

Diese Arbeit beschäftigt sich mit der Thematik der Elektronischen Zustellung behördlicher Dokumente und der rechtsverbindlichen Zusendung von Privaten unter Einsatz von zugelassenen elektronischen Zustelldiensten. Der Großteil der einschlägigen rechtlichen Regelungen findet sich im Zustellgesetz (ZustG), insbesondere im 3. Abschnitt, aber auch Regelungen des E-GovG, SigG, DSG 2000 und des ECG können in diesem Zusammenhang zur Anwendung kommen. Es werden einerseits die rechtlichen Regelungen erläutert und gewisse sich daraus ergebende Fragestellungen diskutiert, andererseits werden die sich aus diesen Regelungen ergebenden technischen Implikationen erörtert. Für eine elektronische Zustellung von behördlichen Dokumenten durch einen Zustelldienst ist dessen vorherige Zulassung durch das BKA erforderlich, wobei im Zuge des Zulassungsverfahrens geprüft wird, ob die entsprechenden Anforderungen der Zustelldiensteverordnung (ZustDV) erfüllt und die verwiesenen technischen Spezifikationen implementiert wurden, welche von der IT-Kooperation Bund-Länder-Gemeinden verbindlich festgelegt wurden (http://reference.e-government.gv.at/Zustellung.351.0.html). Diese Spezifikationen werden gem § 3 Abs 1 Z 7 iVm Anlage 1 ZustDV zu einem normativern Bestandteil der Verordnung erklärt. Ziel dieser Arbeit ist es, einem Juristen die gesetzlichen Regelungen der Elektronischen Zustellung behördlicher Dokumente näher zu bringen und auch die damit verbundenen technischen Hintergründe und Konzepte zu erläutern. Es soll ein Verständnis dafür gegeben werden, wie die einzelnen Normen in der Praxis technisch umgesetzt und erfüllt werden bzw werden können. Des Weiteren ist das Rechtsgebiet der Elektronischen Zustellung noch immer ein relativ neues Forschungsgebiet, in welchem vor rund 3 Jahren umfassende Novellierungen der Rechtsvorschriften erfolgen. Bis heute gibt es noch immer nur sehr wenige wissenschaftliche Publikationen, welche sich intensiv und im Detail mit den entsprechenden Rechtsnormen (§§ 28 – 37a ZustG, E-GovG, SigG) auseinandergesetzt haben. Insbesondere werden auch die öffentlich rechtlichen und privatrechtlichen Aspekte der elektronischen Zustellung beleuchtet und eine klare Abgrenzung zwischen der hoheitlichen Zustellung und der privatrechtlichen Zusendung von Dokumenten gezogen. Betrachtet man aktuell die beiden zugelassenen Zustelldienste (meinbrief.at, brz-zustelldienst.at), so finden sich dort sowohl öffentlich rechtliche als auch privatrechtliche Elemente. Insbesondere soll bewiesen werden, dass die Anmeldung eines potentiellen Empfängers bei einem Zustelldienst keinen zivilrechtlichen Vertrag darstellt, sondern eine Einwilligung des Bürgers/der Bürgerin gem § 1 Abs 1 E-GovG in den Empfang behördlicher Dokumente auch in elektronischer Form (Wahlfreiheit der Kommunikationsart). Andererseits kann der Bürger auch in den Empfang elektronischer Dokumente Privater einwilligen. Dies erfolgt idR durch Aktivierung einer Checkbox. Genau diese Aktivierung stellt aber den Abschluss eines zivilrechtlichen Vertrags in der Form eines Hostingvertrags für elektronische Nachrichten/Dokumente dar. Hieraus ergeben sich eine Reihe rechtlicher Fragestellungen, die in der Arbeit beleuchtet werden sollen. In einem weiteren Kapitel sollen die einzelnen Arten der Elektronischen Zustellung im Verwaltungsverfahren (ZustG) detailliert präsentiert werden, welche in den späteren Kapiteln einer umfassenden Präzisierung unterzogen werden. Detailliert werden auch die rechtlichen Regelungen der Anmeldung bei einem Zustelldienst als Empfänger dargestellt und der Erbringung der Zustell-, Ermittlungs- und Verrechnungsleistung. Im Zuge dessen werden auch die aktuell zum Einsatz kommenden Technologien und konkreten technologischen Umsetzungen erklärt und so der Konnex zwischen Recht und Technik hergestellt werden. Ausgewählte Technologien, welche man bei einem durchschnittlichen Juristen idR nicht unbedingt als Allgemeinwissen voraussetzen können wird (z. B. Webservices, SOAP, X.509-Zertifikate, etc.), sollen einer näheren Betrachtung unterzogen werden. Im Kapitel über die Anmeldung des Empfängers und Abfrage von zuzustellenden Dokumenten werden auch das Konzept der Bürgerkarte und die damit verbundenen Rechtsnormen des E-GovG einer detaillierten Betrachtung unterzogen, da sowohl Anmeldung beim Zustelldienst als auch die Abholung von bereitliegenden Dokumenten ausschließlich auf Basis des Konzepts der Bürgerkarte erfolgen darf. Hier soll der Beweis aufgestellt werden, dass die Anmeldung beim Zustelldienst lediglich eine Einwilligung nach § 1 Abs 1 E-GovG in eine elektronische Kommunikation mit der Behörde darstellt, nicht aber einen zivilrechtlichen Vertrag. Auch in diesem Zusammenhang sollen die zum Einsatz kommenden Technologien verständlich erläutert werden. Auch die rechtlichen und technischen Aspekte der Anbindung von Behörden (oder Privaten) an das gesamte Zustellsystem sollen dargelegt und ausführlich für den Juristen verständlich erklärt werden. Besonderes Augenmerk soll hier auf die Rechtsbeziehung zwischen Behörde und Zustelldienst und dem Vertragsabschluss gelegt werden. Weiters beschäftigt sich diese Arbeit mit dem Beweiswert elektronischer behördlicher Dokumente, insbesondere von Bescheiden, sowie mit Aspekten der digitalen Signatur als Pendant zur herkömmlichen Unterschrift und der Sicherung der Authentizität behördlicher Dokumente mittels der Amtssignatur beschäftigt. Dazwischen werden an passender Stelle immer wieder datenschutzrechtliche Aspekte und Fragestellungen erörtert. Die abschließende Zusammenfassung bietet einen abschließenden Überblick über alle relevanten Punkte und gezogene Erkenntnisse. Sie soll dem Leser nochmals eine kurze Wiederholung des in der Arbeit Dargestellten bieten

Informationelle Selbstbestimmung in sozialen Netzwerken: Mehrseitige Rechtsbeziehungen und arbeitsteilige Verantwortungsstrukturen als Herausforderung für das europäisierte Datenschutzrecht

Die Datenverarbeitung im Zusammenhang mit sozialen Netzwerken stellt das europäisierte Datenschutzrecht vor erhebliche Herausforderungen. Globale Akteure und dezentralisierte Prozesse führen zu einer rechtlich schwer fassbaren Verantwortungsdiffusion. Die Autorin untersucht, wie effektiv das Datenschutzrecht die informationelle Selbstbestimmung von Nutzern sozialer Netzwerke, insbesondere Facebooks, absichert. Im Schwerpunkt der Betrachtung stehen dabei die Probleme der internationalen Anwendbarkeit des Datenschutzrechts, der Verantwortungsdiffusion in mehrseitigen Rechtsverhältnissen, des Rechts auf anonyme Nutzung sowie des Ausgleichs von Informations- und Machtgefällen in sozialen Netzwerken. Die Untersuchung erfolgt unter ausführlicher Berücksichtigung der europäischen Datenschutzgrundverordnung und der sich aus dieser ergebenden Änderungen der Rechtslage in Bezug auf die betrachteten Fragestellungen

Gesellschaft unter Beobachtung

GESELLSCHAFT UNTER BEOBACHTUNG Gesellschaft unter Beobachtung (Rights reserved) ( -

Cybersicherheit in Innen- und Außenpolitik

Cyberangriffe sind zu zentralen Herausforderungen staatlicher Sicherheitspolitiken unserer Zeit geworden. Wie haben sich die Politiken in den Bereichen der Strafverfolgung, der nachrichtendienstlichen sowie militärischen Nutzung des Netzes entwickelt? Welche internationalen sowie domestischen Einflüsse haben die Entwicklungen geprägt? Stefan Steiger geht diesen Fragen nach und analysiert die deutsche und britische Cybersicherheitspolitik seit den späten 1990er Jahren. Er zeigt, dass die Cybersicherheit sowohl die zwischenstaatlichen Beziehungen als auch die Relationen zwischen Regierungen und Bürger*innen beeinflusst

Das offene Regierungs- und Verwaltungshandeln und seine Perspektiven im Wahljahr 2013

DAS OFFENE REGIERUNGS- UND VERWALTUNGSHANDELN UND SEINE PERSPEKTIVEN IM WAHLJAHR 2013 Das offene Regierungs- und Verwaltungshandeln und seine Perspektiven im Wahljahr 2013 / Lucke, Jörn von (CC BY-SA) ( -