– 54 –
nipuliert und sogar Hardwarekomponenten unbrauchbar
gemacht werden. Auf diese Weise können Angreifer
Kenntnis von sensiblen persönlichen Daten erlangen,
ohne dass der Besitzer eines ausgespähten Rechners dies
bemerkt.
In den letzten Jahren hat der Betrug durch Phishing, der
auf das Ausspähen von vertraulichen Zugangsdaten für
Onlinebanking oder Bezahlsysteme, Versandhäuser,
Internet-Auktionshäuser, webbasierte Onlineberatungen
oder Kontaktportale abzielt, stärker an Bedeutung gewonnen. Hersteller von Internetanwendungen etablieren deshalb mittlerweile entsprechende Schutzmaßnahmen in ihrer Software.
Bereits heute erhält man als Telefonkunde manchen unerwünschten Werbeanruf. Da die Internettelefonie, Voice
over IP (VoIP) deutlich preiswerter und leichter automatisierbar ist, wird befürchtet, dass bei VoIP-Anschlüssen
die Anzahl belästigender Werbeanrufe deutlich zunimmt.
Diese werden auch als „Spam over Internet Telephony“
(SPIT) bezeichnet. Allerdings sind die Überlegungen, wie
dies abgewehrt werden kann, noch zu keinem befriedigenden Ergebnis gekommen.
Umso wichtiger ist es, dass sich die Betreiber und Nutzer
von Computern, die mit dem Internet verbunden sind,
dieser Gefahren bewusst sind und zumindest die verfügbaren Schutzmechanismen aktivieren. Neben den bereits
erwähnten Sicherheitseinstellungen in der Anwendungssoftware sollten Virenscanner mit aktuellen Virensignaturen und Firewalls verwendet werden. Auch wenn sich
hierdurch keine 100-prozentige Sicherheit erreichen lässt,
werden so die Daten deutlich besser geschützt.
2005 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) – verantwortlich für die Sicherheit des
IVBB – eine umfassende Publikation „Antispam-Strategien“ mit dem Untertitel: „Unerwünschte E-Mails erkennen und abwehren.“ veröffentlicht (http://www.bsi.de/
literat/studien/antispam/antispam.pdf).
Auch der Gesetzgeber ist nicht untätig geblieben und will
mit dem Telemediengesetz klare gesetzliche Begrenzungen und Sanktionen für die Versendung elektronischer
Werbung definieren (s. u. Nr. 10.9).
4.11
Trusted Computing
Bringt Trusted Computing (TC) mehr Sicherheit oder
mehr Kontrolle? Führt die vom Datenschutz gewünschte
Anonymisierung von Kommunikationsvorgängen zu mehr
Sicherheit?
Trusted Computing Systeme (Personalcomputer, Mobiltelefone usw.) sollen die IT-Sicherheit durch einen zusätzlichen Sicherheitschip, den Trusted Platform Module
(TPM), erhöhen. Der TPM (s. Kasten zu Nr. 4.11) ermittelt dazu mittels kryptographischer Verfahren die Integrität sowohl der Software-/Datenstrukturen als auch der
Hardware und speichert diese Werte sicher und nachprüfbar bis zur nächsten Prüfung (z. B. bis zum nächsten
Rechnerstart) ab. Hierzu wird die Spezifikation der
Schnittstellen des TPM durch die Trusted Computing
Group (TCG), eine internationale industriebetriebene
Standardisierungs-Organisation entwickelt. Dabei sind
TPM nicht mehr nur auf dem Mainboard eines Personalcomputers zu finden; sie sollen künftig auch andere Geräte, etwa Mobiltelefone, sicherer machen. Problematisch
können TPM-Systeme deshalb sein, weil sie Informationen über die installierte Hard- und Software an Internet-Server übermitteln und damit die Konfiguration der
IT-Systeme für Dritte kontrollierbar machen. Dies ist
nicht nur datenschutzrechtlich problematisch. Wenn die
Informationen in die falschen Hände geraten, könnten sie
auch für den Angriff auf IT-Systeme (Hacking) missbraucht werden. Erfreulich ist, dass Anregungen zur Verbesserung des Datenschutzes berücksichtigt wurden, etwa
die von der 65. Konferenz der Datenschutzbeauftragten
des Bundes und der Länder am 27./28. März 2003 gefasste Entschließung oder das von der Artikel 29-Gruppe
der Europäischen Datenschutzbeauftragten angenommene Arbeitspapier vom 23. Januar 2004 (WP 86). So
wurden insbesondere auch Möglichkeiten zur anonymen
Kommunikation geschaffen.
Zu begrüßen sind auch Überlegungen der TCG, durch
eine Testsuite die korrekte Arbeitsweise des TPM zu prüfen. Untersuchungen der Universität Bochum in 2006 ergaben, dass nicht alle am Markt angebotenen TPM vollständig der Spezifikation folgen.
Durch eine richtige Anwendung könnten viele Sicherheitsprobleme von Systemen deutlich abgemildert bzw.
gelöst werden. Europa setzt und fördert offene Standards:
So sollen z. B. mit der Entwicklung von OpenTC nur kritische Teile eines Personalcomputers sicher gemacht werden, ohne das gesamte System zu kontrollieren. Hierdurch könnten sich Vorteile durch einen sparsamen
Umgang mit Nutzerdaten ergeben.
Datenschutzprobleme sind besonders bei sog. Digital
Rights Management-Anwendungen (DRM, s. u. Nr. 6.6)
und bei der Benutzertransparenz evident: So ist bei der
Weiterentwicklung sicherzustellen, dass
– Anwenderinnen und Anwender die ausschließliche
und vollständige Kontrolle über ihre IT-Systeme bewahren; insbesondere dürfen Zugriffe und Äderungen
nur nach vorheriger Information und Einwilligung erfolgen,
– die Nutzung von IT für den Zugriff auf eigene Dokumente und freie Informationen im Internet auch weiterhin ohne Einschränkung oder Kontrolle möglich ist,
das bedeutet, ohne dass Dritte davon Kenntnis erhalten oder Nutzungsprofile anlegen können und
– alle zur Verfügung stehenden Sicherheitsfunktionen
für Anwenderinnen und Anwender transparent sind.
Die nach Gesprächen inzwischen erzielten Fortschritte
sind zu begrüßen. Den Dialog mit Bundesregierung und
TCG werde ich fortsetzen, um dem Datenschutz weiterhin Nachdruck zu verleihen.
R
ev
i
BfDI 21. Tätigkeitsbericht 2005-2006