EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Editorial – Grußwort des Forschungsprojektleiters von »BayWiDI« Prof. Dr. Dirk Heckmann Sehr geehrte Leserinnen und Leser, herzlich willkommen zur ersten Ausga- be des neuen BayWiDI-Magazins. Dieses Magazin wird künftig vierteljährlich er- scheinen und den bekannten Newsletter ersetzen. In der ersten Ausgabe des Magazins wer- den Ihnen interessante und aktuelle The- Der dritte Beitrag mit dem Titel „IT-Si- netzte und automatisierte Technologien, men aus dem Bereich der IT-Sicherheit cherheit. Privat?“ beschäftigt sich mit der das Internet der Dinge oder die Mensch- vorgestellt. Die stetig steigenden tech- IT-Sicherheit im privaten Umfeld. Der Maschine-Interaktion unter den Bedin- nischen Anforderungen im Bereich der Beitrag geht der Frage nach, ob sich eine gungen maschinellen Lernens zu begrei- Informationstechnologie stellen Unter- Pflicht zur privaten IT-Sicherheitsvorsor- fen sowie sicher und verantwortungsbe- nehmen schon seit Jahren vor große He- ge unmittelbar entweder aus dem Grund- wusst einzusetzen. Angesichts dessen ist rausforderungen. Immer noch sind vie- gesetz oder aus den Vorgaben des Daten- die im Digitalpakt Schule vorgesehene le Betriebe jedoch nur unzureichend auf schutzrechts ergibt. Verbesserung der digitalen Infrastruk- Cyberattacken vorbereitet. Die Beiträge tur an Schulen zu Recht das zentrale bil- in diesem Magazin zeigen unter anderem dungspolitische Projekt der Bundesregie- 14. Internationales For..Net Sym- einen Ausschnitt der Welt der gegenwär- rung. Das Symposium widmet sich den posium „Digitale Bildung. Digitale tigen Sicherungsmethoden. Gleichzeitig hiermit verbundenen Fragen unter dem Haltung“ wird auch der Blick in die Zukunft der IT- Generalthema „Digitale Bildung. Digita- Sicherheit gewagt. Ich möchte Sie außerdem herzlich zu un- le Haltung“ und knüpft dabei an die Er- serem 14. Internationalen For..Net Sym- kenntnisse der Datenethikkommission Im ersten Beitrag dieses Magazins mit posium am 25. und 26. April 2019 einla- und der Enquete Kommission Künstli- dem Titel „Innovative Cybersecurity den. Auch im 21. Jahrhundert soll Bildung che Intelligenz des Deutschen Bundesta- durch Einsatz künstlicher Intelligenz“ Menschen befähigen, sich als selbstbe- ges an. Schirmherrin des Symposiums ist werden die aktuellen Entwicklungen der stimmte Persönlichkeiten in einer sich wieder die Staatsministerin für Digitali- IT-Sicherheit mit Berücksichtigung der stetig wandelnden Gesellschaft zurecht- sierung im Bundeskanzleramt, Dorothee derzeitigen Forschung im Bereich der zufinden und verantwortungsvoll ihre Bär. künstlichen Intelligenz (KI) beleuch- Lebensentwürfe zu verwirklichen. Doch tet. Der Beitrag erläutert die technischen stellen sich im Zuge des digitalen Wan- Nun wünsche ich Ihnen eine interessan- Grundbegriffe, zeigt die Problematiken dels Fragen: Was ist Wissen noch wert, te Lektüre der ersten Ausgabe des neuen der IT-Sicherheit auf und erwägt schließ- wenn es jederzeit abrufbar ist? Welche BayWiDI-Magazins! lich Möglichkeiten, diese durch KI-Ein- Fähigkeiten gilt es in einer digitalen Welt satz zu lösen. zu entwickeln? Bemerkenswert ist, dass Ihr Prof. Dr. Dirk Heckmann, Vorreiter bei der Digitalisierung – wie Leiter des Forschungsprojekts »BayWiDI« Der zweite Beitrag mit dem Titel „Ha- Finnland und Estland – in Bildungsran- ben Passwörter bald ausgedient?“ hat die kings oft Spitzenplätze einnehmen. Digi- derzeitig gängige Praxis der Zugriffssi- tale Kompetenz ist also von entscheiden- Inhalt cherung durch klassischen Praxisschutz der Bedeutung: zum einen für den einzel- Innovative Cybersecurity durch zum Gegenstand. Es werden alternative nen Menschen, um in einer digitalen Welt Einsatz künstlicher Intelligenz / 2 Authentifizierungsmodelle, insbesonde- selbstbestimmt und verantwortungsvoll Haben Passwörter bald ausge- re biometrische Verfahren wie Iris-Scan leben zu können und um gute Chancen dient? / 5 und Fingerabdruck sowie verhaltensana- auf dem Arbeitsmarkt zu haben; zum an- IT-Sicherheit. Privat? / 9 lytische Varianten vorgestellt. Der Bei- deren für die Gesellschaft, um Demokra- Leiter des Forschungsprojekts und trag endet mit einer praktischen Check- tie und Wohlstand auch in Zukunft zu Autoren / 15 liste für einen wirksamen Passwort- erhalten. All dies setzt voraus, dass Men- Impressum / 15 schutz. schen befähigt werden, komplexe, ver-
Innovative Cybersecurity durch Einsatz künstlicher Intelligenz Informations- und Kommunikations- reits geringe Manipulationen eines Sys- Entwicklungsinteresse sowie Unterneh- technologien (IKT) sind sowohl im priva- tems können ein gravierendes, lebensge- men der gewerblichen Wirtschaft als ten als auch im industriellen Sektor nicht fährliches Ausmaß annehmen.5 Im Zuge Zuwendungsempfänger in Betracht.9 mehr wegzudenken. Sei es im Rahmen ei- dieser Entwicklung hat das Bundesmi- ner zeitgemäßen medizinischen Infra- nisterium für Bildung und Forschung struktur, des weltweiten Finanzsektors, (BMBF) das nationale Forschungsrah- Inernet of Things und künstliche einer verlässlichen Strom- und Wasser- menprogramm „Selbstbestimmt und si- Intelligenz im Fokus versorgung, der Automobil – und Ma- cher in der digitalen Welt 2015-2020“6 in schinenbaubranche oder der Industrie Zusammenarbeit mit dem Verein Deut- Beschäftigt man sich mit dem Thema 4.0.1 Die tägliche Benutzung von Gerä- scher Ingenieure GmbH (VDI) und dem der Cybersecurity, kommt man im Zu- ten des „Internets der Dinge“2 (Internet Verband der Elektrotechnik Elektro- ge aktueller Entwicklungen nicht an of Things - IoT) wie Amazon Echo,3 oder nik Informationstechnik e.V. (VDE) ins den Begriffen des Internet of Things auch anderen internetfähigen Geräten Leben gerufen.7 Primäres Ziel der For- und der künstlichen Intelligenz vorbei. wie Smart-TVs, Tablets und Smartpho- schungsförderung soll die Entwicklung nes stellt für moderne Gesellschaften ei- von Cybersicherheitssystemen mit „be- Unter dem Internet of Things ver- ne wirtschaftliche und private Errungen- grenzten Ressourcen“ sein, die mit künst- steht man die Vernetzung von Gegen- schaft dar.4 Durch den Vormarsch die- licher Intelligenz (KI) eine erhöhte Si- ständen mit dem Internet in einer Wei- ser Internettechnologien werden immer cherheitsstufe erreichen sollen.8 Bis zum se, dass diese Gegenstände über das In- mehr Bereiche angreifbar, die elemen- 29. März 2019 kann das Portal „Easy On- ternet selbstständig kommunizieren tar wichtige Funktionen für die Versor- line“ von Forschungseinrichtungen, Un- und einen Material- oder Produktions- gung der Menschen erfüllen und daher ternehmen und Start-Ups genutzt wer- fluss festlegen. Die Verbindung der am auch hohe Gefahrpotentiale bergen. Be- den, um Projektvorschläge einzurei- Produktionsfluss beteiligten Systeme chen. Grundsätzlich kommen staatliche mit softwaretechnischen Komponenten 1 BMBF, https://www.forschung-it-sicher- und nicht-staatliche Hochschulen, au- nennt man „cyber-physische Systeme“.10 heit-kommunikationssysteme.de/service/ publikationen/selbstbestimmt-und-sicher- ßeruniversitäre Forschungseinrichtun- in-der-digitalen-welt-2015-2020, (zuletzt gen, Verbände und Vereine sowie sonsti- Eine universelle Definition für den Be- abgerufen am 28.01.2019); RD`n Sabine ge Organisationen mit Forschungs- und griff der KI ist nicht ohne Weiteres for- Horvath, Wissenschaftlicher Dienst des Deutschen Bundestags, https://www.bun- mulierbar, da sich der dieser notwendi- destag.de/blob/192512/cfa9e76cdcf46f34a- 5 BMBF, https://www.forschung-it-sicher- gerweise an der menschlichen Intelli- 941298efa7e85c9/internet_der_dinge-data. heit-kommunikationssysteme.de/service/ genz messen lassen muss. Jedoch ist auch pdf, (zuletzt abgerufen am 28.01.2019). publikationen/selbstbestimmt-und-sicher- in-der-digitalen-welt-2015-2020, (zuletzt der Begriff der menschlichen Intelligenz 2 RD`n Sabine Horvath, Wissenschaftli- cher Dienst des Deutschen Bundestags, abgerufen am 28.01.2019). kaum definiert. Grundlegend kann man https://www.bundestag.de/blob/192512/ 6 BMBF, https://www.forschung-it-sicher- jedoch die „starke KI“ und die „schwa- cfa9e76cdcf46f34a941298efa7e85c9/inter- heit-kommunikationssysteme.de/service/ che KI“ unterscheiden. Ein den Mensch net_der_dinge-data.pdf, (zuletzt abgerufen publikationen/selbstbestimmt-und-sicher- am 28.01.2019). in-der-digitalen-welt-2015-2020, (zuletzt 9 BMBF, https://www.bmbf.de/foerderun- 3 IoT.do, https://iot.do/devices/amazon- abgerufen am 28.01.2019). gen/bekanntmachung-2187.html, (zuletzt echo, (zuletzt abgerufen am 28.01.2019). 7 Borchers, Heise, http://www.heise.de/- abgerufen am 11.02.2019). 4 BMBF, https://www.forschung-it-sicher- 4284817 (zuletzt abgerufen am 28.01.2019); 10 RD`n Dr. Christine Steinhoff, Wissen- heit-kommunikationssysteme.de/service/ https://vdivde-it.de/, (zuletzt abgerufen am schaftliche Dienste Deutscher Bundestag, publikationen/selbstbestimmt-und-sicher- 28.01.2019). https://www.dieterstier.de/cms/wp-con- in-der-digitalen-welt-2015-2020, (zuletzt 8 Borchers, Heise, http://www.heise.de/- tent/uploads/2013/06/industrie-4-0-data. abgerufen am 28.01.2019). 4284817, (zuletzt abgerufen am 28.01.2019). pdf, (zuletzt abgerufen am 14.11.2018). BayWiDI Magazin März 2019 S. 2/15
imitierendes System kann als „starke KI“ bezeichnet werden, welche in seriösen Kreisen jedoch als kaum umsetzbar gilt. Das Hauptaugenmerk bei der Entwick- lung und dem Einsatz von KI liegt auf der „schwachen KI“ in Form des maschinellen Lernens. Die KI soll dazu benutzt werden, kognitive Prozesse besser zu verstehen.11 „Begrenzte Ressourcen“ als Sicherheitsproblem Die Einbindung von KI zur Optimierung von Cybersystemen könnte vor allem im Rahmen begrenzter Ressourcen Vor- teile bringen. Nicht alle Unternehmen können sich eine umfassende Überwa- ne wichtige Position im weltweiten Rin- men der KI setzen, um auch die aktuel- chung ihrer Systeme durch einen spezi- gen um Cybersecurity einzunehmen.13 le Generation von Studierenden für die alisierten Administrator leisten. Zumeist Thematik zu sensibilisieren.16 Viele Ex- ist dieser entweder gar nicht vorhan- perten sind auch der Meinung, dass ei- den oder hat aufgrund diverser anfallen- Neue KI-Strategie der ne Fördersumme von 500 Millionen Eu- der Aufgaben nicht die nötige Zeit sich Bundesregierung ro pro Jahr zu wenig sei, um das stetig ausreichend um die Sicherheit der Cy- wachsende Feld der KI-Forschung ausrei- bersysteme zu kümmern. Durch rela- Auch durch bereits beschlossene Pro- chend zu bedienen. Diese Summe wür- tiv einfache, KI-basierte Systeme könn- jekte soll die zukunftsweisende Tech- de der Bedeutung des Forschungsfelds te eine wesentlich höhere Sicherheitsstu- nologie der KI in der Bundesrepub- nur unzureichend Rechnung tragen.17 fe als bisher, vor allem bei kleineren und lik gefördert werden. Am 15. November mittleren Unternehmen, erreicht wer- 2018 hat die Bundesregierung im Rah- den. Diese Systeme sollen darauf ausge- men der „Digitalklausur“14 beschlos- Notwendigkeit ethischer Richtlinien richtet sein, die Cybersecurity zu verbes- sen bis ins Jahr 2025 drei Milliarden Eu- sern und mit Hilfe „lernbasierter Ver- ro in die KI-Entwicklung zu investie- fahren“ Cyberattacken aufzuspüren.12 ren.15 100 zusätzliche Professuren sollen Mit Hilfe dieser, im Rahmen der Digi- an deutschen Hochschulen geschaf- talklausur beschlossenen, Fördersumme Im Rahmen des Forschungsprogramms fen werden, um die bereits positiven sollen auch „ethische Leitlinien für ei- wird auch ein Fokus auf Projekte gelegt, Entwicklungen weiter voranzutreiben. nen digitalen Wandel“18 entwickelt wer- die „synthetische Trainingsdaten“ ge- den, um ein Gesellschaftsleben mit der nerieren und durch deren Auswertung Jedoch besteht ein praktisches Problem Bedeutung und Integrierung von KI-ba- zukünftige Cyberattacken besser abge- darin, diese große Zahl an fachlich qua- sierten Systemen in geordnete Bahnen zu wehrt werden können. Der Einsatz au- lifizierten Professoren im Bereich der lenken und somit wirtschaftliche Vortei- tomatisierter Verfahren in Verbindung KI-Forschung zu finden. Derart qualifi- le für die Bundesrepublik zu generieren. mit KI soll nach Zielsetzung des For- zierte Fachleute werden oft in die USA Hierzu soll die Datenethikkommission schungsprojekts dazu führen, dass sich und nach China abgeworben. Im Übri- der Bundesregierung19 nicht nur in infor- verbundene Cybersysteme zukünftig gen muss als nächster Schritt auch qua- mationstechnologischer und fachlicher selbstständig auf neue Cyberattacken lifiziertes Personal für die Lehrstühle ge- Hinsicht, sondern eben auch in ethischer einstellen. Eine Intention der Bundes- funden werden, was sich wiederum als Hinsicht Leitlinien für den Umgang mit regierung dürfte dabei auch darin be- schwierig erweisen kann. Entsprechende KI erarbeiten. Relevant sind diesbezüg- stehen, den deutschen Markt zu stärken, Studiengänge müssten bereits jetzt einen lich auch Fragen der rechtlichen Verant- durch die Entwicklung innovativer Ide- intensiveren Schwerpunkt auf die Erfor- en und Techniken mit dem Ausland mit- schung und Wissensvermittlung im Rah- 16 Ilg, Heise, http://www.heise.de/- 4255959, (zuletzt abgerufen am 08.02.2019). zuhalten und somit letztendlich auch ei- 13 Borchers, Heise, http://www.heise.de/- 17 Krempl, Heise, http://www.heise.de/- 11 Deutscher Bundestag, Online- 4284817, (zuletzt abgerufen am 28.01.2019). 4223064, (zuletzt abgerufen am 08.02.2019). Dienste, https://www.bundestag.de/ 14 Krempl, Heise, http://www.heise.de/- 18 Krempl, Heise, http://www.heise.de/- dokumente/textarchiv/2018/kw42-pa- 4223064 ,(zuletzt abgerufen am 08.02.2019). 4220850, (zuletzt abgerufen am 11.02.2019). enquete-ki/573436, (zuletzt abgerufen am 15 Krempl, Heise, http://www.heise.de/- 19 BMI, https://www.bmi.bund.de/DE/ 28.01.2019) 4223064, (zuletzt abgerufen am 08.02.2019); themen/it-und-digitalpolitik/datenethik- 12 Borchers, Heise, http://www.heise.de/- Ilg, Heise, http://www.heise.de/-4255959, kommission/datenethikkommission-node. 4284817, (zuletzt abgerufen am 28.01.2019). (zuletzt abgerufen am 08.02.2019). html, (zuletzt abgerufen am 14.02.2019). BayWiDI Magazin März 2019 S. 3/15
KI weiterzuentwickeln und dadurch für mehr Sicherheit in elektronischen Sys- temen sorgen. Durch die Bundesre- gierung wurden bereits mehrfach För- dermaßnahmen beschlossen. Dies ist sicherlich eine begrüßenswerte Entwick- lung, jedoch müssen im Hinblick auf Bedeutung und Potential der KI-Tech- nik auch zukünftig stetig weitere Förde- rungen auf den Weg gebracht werden. Insbesondere für KMU kann dies von äußerster Wichtigkeit sein, denn gera- wortlichkeit für KI-Systeme, sowie ei- geklärt werden, inwieweit die Bundes- de dort sind begrenzte Ressourcen oft ne moralische Bewertung des potentiel- bürgerinnen und Bundesbürger ihre per- ein Problem. Nicht alle auf das Internet len militärischen Einsatzes KI-basierter sönlichen Daten selbstständig und sorg- und Cybersecurity angewiesene Unter- Waffensysteme.20 Das Potential der KI- sam verwalten können. Das Vertrauen nehmen können sich Systemadministra- Technologie darf nicht ungenutzt bleiben, in die Sicherheit der IT-Technik soll ge- toren wirtschaftlich leisten oder haben weil man Angst vor unterschiedlichen stärkt bzw. wiederhergestellt werden.23 Erfahrung darin, Cyberattacken auf ih- moralisch verwerflichen Einsatzmög- ren Betrieb abzuwehren. Die Unterstüt- lichkeiten hat. Der friedliche und ethisch Die sich stetig weiterentwickelnden zung der Cybersecurity durch KI kann geordnete Einsatz der Technologie birgt Möglichkeiten der KI bieten die Chan- für diese Betriebe die Möglichkeit bieten, für moderne Gesellschaften noch nicht ce, die Cybersecurity von Unterneh- neue Wege im Rahmen ihrer Internetsys- absehbare wirtschaftliche Vorteile. men merklich zu verbessern. Zu diesem teme zu beschreiten und gleichzeitig ei- Zweck ist es notwendig, die KI-Entwick- ne optimierte Systemsicherheit zu nut- lung und die KI-unterstützte Cyberse- zen. Insbesondere durch den vermehr- Forschungsprojekte als wegweisen- curity zu verbinden.24 Durch das För- ten Einsatz von IoT-Geräten in Betrieben de Chance derprogramm soll erreicht werden, können Sicherheitslücken entstehen, die dass sich Universitäten, Forschungs- ohne eine funktionierende und struk- Das Forschungsprogramm „Selbstbe- stellen und Unternehmen zusammen- turierte Cybersecurity zu erheblichen stimmt und sicher in der digitalen Welt“21 tun, um durch gegenseitige Erfahrun- Betriebsschädigungen führen können. soll sowohl die Cybersicherheit von Un- gen und Kompetenzen die IT-Sicherheit ternehmen verbessern als auch den Spa- bestmöglich zu optimieren. Insbesonde- Ob und zu welchem Zeitpunkt die- gat zwischen Mensch und KI schaffen. re sollen kleinere und mittlere Unterneh- se Technik allerdings einsatzbe- Insbesondere legt das Programm den Fo- men (KMU) auf lange Sicht profitieren.25 reit sein wird, hängt auch vom Erfolg kus auf vier Schwerpunkte im Rahmen des Förderprogramms des BMBF ab. der Wissenschaft: erstens die Entwick- lung neuester Hightech-Werkzeuge und Fazit Ass. Jur. Thomas Schneck Verfahren, zweitens die Sicherung kom- plexer IKT-Systeme, drittens die Sicher- heit umfangreicher Ressorts wie Produk- Die Bundesregierung will durch die neu- tion, Verkehr, Medizin und kritische Inf- este Möglichkeit der Forschungsförde- rastrukturen und schließlich viertens die rung im Rahmen des Projekts „Selbst- Berücksichtigung des Bereichs der Pri- bestimmt und sicher in der digitalen vatheit.22 Im Rahmen der Privatheit soll Welt 2015-2020“ einen Anreiz schaffen, die zukunftsweisende Technologie der 20 Krempl, Heise, http://www.heise.de/- 4220850, (zuletzt abgerufen am 11.02.2019). (zuletzt abgerufen am 11.02.2019). 21 BMBF, https://www.forschung-it- 23 Vgl. BMWI, https://www.bmwi. sicherheit-kommunikationssysteme.de/ de/Redaktion/DE/Publikationen/ dateien/publikationen/it_sicherheitskon- Technologie/strategie-kuenstliche- ferenz_programmbroschuere_2017.pdf intelligenz-der-bundesregierung.pdf?__ ,(zuletzt abgerufen am 11.02.2019); BMBF, blob=publicationFile&v=8, (zuletzt https://www.bmbf.de/de/sicher-in-der-digi- abgerufen am 11.02.2019). talen-welt-849.html, (zuletzt abgerufen am 24 BMBF, https://www.bmbf.de/foer- 11.02.2019); BMBF, https://www.bmbf.de/ derungen/bekanntmachung-2187.html, foerderungen/bekanntmachung-2187.html, (zuletzt abgerufen am 11.02.2019). (zuletzt abgerufen am 11.02.2019). 25 BMBF, https://www.bmbf.de/foer- 22 BMBF, https://www.bmbf.de/foer- derungen/bekanntmachung-2187.html, derungen/bekanntmachung-2187.html, (zuletzt abgerufen am 11.02.2019). BayWiDI Magazin März 2019 S. 4/15
Haben Passwörter bald ausgedient? – Neue Möglichkeiten der Authentifizierung mittels u.a. biometrischer und verhaltensanalytischer Verfahren Seit jeher sind Passwörter zur Authen- tifikation bei der Anmeldung auf Inter- netplattformen oder Nutzung mobiler Geräte eine geläufige Methode, um den Zugriff durch unberechtigte Dritte zu verhindern. Genauso lange wie es Pass- wörter gibt, gibt es auch unerlässliche Be- mühungen den Passwortschutz zu um- gehen. Erst in den vergangenen Wochen sind millionenfache Hacks von E-Mail- Adressen inklusive zugehöriger Passwör- ter bekannt geworden, nachdem diese im Internet zum Download angeboten wur- den.1 Daher weist das Bundesamt für Si- dere, wenn nur einfache Passwörter (et- hören etwa Fingerabdruckscanner, wie cherheit in der Informationstechnik (BSI) wa „1234“) oder ein Passwort für eine sie bereits heute bei vielen Smartphones auch auf das gesteigerte Erfordernis star- Vielzahl von Accounts verwendet wer- angewendet werden. Neuere Modelle et- ker Passwörter hin.2 Die Frage nach dem den, besteht eine erhöhte Gefährdung.4 wa scannen die Iris des Gerätenutzers tatsächlichen Sicherheitswert von Pass- Abgesehen von der Möglichkeit Pass- oder gleich das ganze Gesicht. Am Bei- wörtern stellt sich demnach zunehmend. wörter zu hacken, können diese auch spiel des Iris-Scans lässt sich die tech- Der richtige Zeitpunkt also, um über neue schlicht von den berechtigten Nutzern nische Funktionsweise dieser biometri- und moderne Technologien der Authenti- vergessen oder ihnen gestohlen werden.5 schen Verfahren erklären. Die Iris, also fizierung nachzudenken. Möglichkeiten, der Bereich, der im Auge um die Pupil- zu denen etwa die biometrische und ver- le herumliegt, weist bei jedem Menschen haltensanalytische Identifikationserken- Alternative ein anderes und damit individuelles Mus- nung zählen, tragen das Potenzial, ein- Authentifikationsoptionen ter auf. Sie ist daher von der Unterschei- fache Passwörter in Zukunft abzulösen. dungskraft vergleichbar mit dem Fin- Insbesondere von biometrischen Er- gerabdruck. 7 Wichtiger noch: Die Iris kennungsmethoden (Iris-Scan, Fin- lässt sich nahezu nicht nachbilden. Dies Sicherheitslücken beim gerabdruck, etc.) wird der Leser schon macht sie für die Nutzung durch bio- Passwortschutz einmal gehört haben. Allerdings kön- metrische Erkennungssysteme attrak- nen auch Verhaltensmuster analysiert tiv.8 Auch Fingerabdrücke sind zwar ein- Bei der Verwendung von Passwörtern und zur Identifikation des Nutzers, zu- zigartig. Allerdings haben Forscher be- identifizieren Geräte nicht einwandfrei mindest zusätzlich zur biometrischen reits Methoden entwickelt, mit denen den Nutzer, sondern registrieren nur, Erkennung, herangezogen werden. sich Fingerabdruckscanner überlisten dass die Zugangsdaten richtig eingege- ließen. Deren Arbeitsweise wurde aus- ben wurden.3 Das Fehlen darüber hin- Biometrische Erkennung genutzt, indem sie mit falschen Abdrü- ausgehender Identifizierungsvorgän- Die biometrische Erkennung ist Teil der cken, hergestellt mit Hilfe von künstli- ge macht die Passwortsicherung anfällig sog. „Zero Login“ Authentifizierung. Mit cher Intelligenz (KI) gespeist wurden.9 für unberechtigte Zugriffe. Insbeson- Zero Login wird die Anmeldung ohne Er- fordernis der aktiven Eingabe beschrie- Zur Speicherung des Iris-Musters wird 1 Bekannt geworden unter der Bezeich- ben.6 Zu den Authentifizierungsmodel- zunächst mit Hilfe einer Kamera und In- nung „Collection #1(-5)“, vgl. Eikenberg, len mit Hilfe biometrischer Scanner ge- https://www.heise.de/security/meldung/ 7 Vgl. hierzu die malerische Beschrei- Neue-Passwort-Leaks-Insgesamt-2-2-Milli- bung von Wicht, https://www.spektrum. arden-Accounts-betroffen-4287538.html, 4 Jacober, https://www.computerwoche. de/kolumne/von-der-iris/1022201, (zuletzt (zuletzt abgerufen am 31.01.2019), insge- de/a/auslaufmodell-passwort,3546380, abgerufen am 31.01.2019). samt sind mehr als 2,2 Milliarden E-Mail- (zuletzt abgerufen am 31.01.2019). 8 Walke-Chomjakov, https://www.pcwelt. Adressen betroffen. 5 Jayshree/Preeti, User Authentification de/tipps/So-funktioniert-ein-Iris-Scan- 2 BSI, https://www.bsi-fuer-buerger.de/ by Face Recognition, IJARCSSE Band 6 Aus- ner-10069493.html, (zuletzt abgerufen am BSIFB/DE/Empfehlungen/Passwoerter/ gabe 3, 2016, Seite 15, abrufbar unter http:// 31.01.2019). passwoerter_node.html, (zuletzt abgerufen ijarcsse.com/Before_August_2017/docs/pa- 9 Vgl. Bontrager/Roy/Togelius/Memon/ am 31.01.2019). pers/Special_Issue/iconect2016/fcs06.pdf, Ross, DeepMasterPrints: Generating Master- 3 Dazu Jacober, https://www.com- (zuletzt abgerufen am 31.01.2019), S. 15. Prints for Dictionary Attacks via Latent Vari- puterwoche.de/a/auslaufmodell-pass- 6 Jacober, https://www.computerwoche. able Evolution, abrufbar unter https://arxiv. wort,3546380, (zuletzt abgerufen am de/a/auslaufmodell-passwort,3546380, org/pdf/1705.07386.pdf, (zuletzt abgerufen 31.01.2019). (zuletzt abgerufen am 31.01.2019). am 13.02.2019). BayWiDI Magazin März 2019 S. 5/15
frarotfunktion ein Scan der Iris durch- lytische Methoden können neben der nachweis unterstützen.17 Ein Vorreiter geführt, bei dem das Muster der sog. Re- Authentifizierung auch zu anderen Si- auf dem Gebiet verhaltensanalytischer genbogenhaut der Iris aufgenommen cherungszwecken eingesetzt werden, et- Sicherungstechnik ist Amazon. Der und anschließend gespeichert wird.10 wa bei der Erkennung von Missbrauch Konzern registriert bereits, wenn Nut- Bei Samsung-Geräten etwa, die mit Iris- im Bereich mobiler Geldtransfers.15 zer sich über fremde Geräte oder von un- Scanner ausgestattet sind, wird das ge- gewöhnlichen Standorten aus anmel- scannte Muster anschließend auf dem Ge- den und verlangt daraufhin eine weite- rät selbst verschlüsselt abgespeichert. 11 re Authentifikation durch den Nutzer. 18 Will sich ein Nutzer bei dem Gerät an- Blockchain-gestützte Identifikation melden, liest die Kamera des Geräts - Blockchain als „Tresor für die Iris des Nutzers ein und vergleicht Authentifizierungsdaten“19 das erkannte Muster mit den hinter- Authentifizierungsdaten können zu- legten Daten. Bei einem positiven Ab- Auch wenn biometrische Erkennungs- mindest theoretisch auch mit Hilfe der gleich wird das Gerät freigeschaltet. methoden ein durchaus hohes Maß an Si- Blockchain-Technologie gesichert wer- cherheit bieten, so können auch hier Feh- den und genutzt werden. Die Idee dahin- Die zusätzliche Mustererkennung von ler in Folge von Messungenauigkeiten ter ist, sich die besonderen Sicherheits- Gesichtsscans erfordert unter ande- oder Veränderungen der körperlichen vorteile von Blockchain als Verschlüs- rem die Ausrüstung mit einer Tiefener- Merkmale, unter anderem in Folge von selungsmethode zu Nutze zu machen. kennungskamera.12 Auf diese Weise Krankheiten o.ä. auftreten. Hierbei kön- Unter anderem wird Blockchain als „un- werden bis zu 30.000 separate Gesichts- nen sowohl Personen fälschlicherweise vernichtbar“, „fälschungsresistent“, „un- punkte aufgenommen und gespeichert.13 vom System ausgesperrt(false-rejection) veränderlich“ und „fehlertolerant“ be- In einer ähnlichen Methode werden Bil- als auch eigentlich unberechtigte Perso- schrieben.20 Dabei hängt die Verschlüs- der des Gesichts bzgl. bestimmter Merk- nen von den Systemen fälschlicherweise selung der Daten insbesondere von der male, wie etwa der Abstand der Augen zugelassen (false-acceptance) werden. 16 Widerstandsfähigkeit der Verschlüsse- voneinander registriert. Gesichtserken- lung ab.21 Da die Blockchain-Verschlüs- nungsauthentifizierung bietet den Vor- Verhaltensanalytische Erkennung selung grob beschrieben von der zu- teil, dass nicht nur der erstmalige Login Verhaltensanalytische Erkennungstech- sammengetragenen Rechenleistung der sicher gestaltet werden kann, sondern nik kann vor allem bei der Multi-Fak- Blockchain-Nutzer abhängt, schwächt dass selbst eine fortlaufende Authen- tor-Authentifizierung zum Einsatz kom- die Verschlüsselungssicherheit demnach tifizierung während einer Sitzung mög- men. Multi-Faktor-Authentifizierung mit steigender Rechenleistung seitens lich ist. Auf diese Weise könnten Gerä- beschreibt hierbei die Authentifizierung der Cyber-Kriminellen ab. Eine umfas- te derart stark gesichert werden, dass anhand mehrerer Nachweismittel. Ne- sende Sicherheit ist demnach unter Um- selbst kurze Abwesenheiten des berech- ben dem Einsatz biometrischer Erken- ständen gerade nicht gewährleistet. Ge- tigten Nutzers die Nutzung des Gerä- nung können auch andere Daten, wie rade wenn biometrische Authentifikati- tes durch unberechtigte Dritte automa- z.B. Geo- und Bewegungsdaten der Nut- onsmerkmale gespeichert sind, kann eine tisch stoppen würden.14 Verhaltensana- zer oder Analysen von Tippgeschwindig- Schwachstelle in der Blockchain zu weit- keit, als Verhaltensmuster den Identitäts- reichenden Folgen führen.22 In diesem 10 Walke-Chomjakov, https://www.pcwelt. de/tipps/So-funktioniert-ein-Iris-Scan- ner-10069493.html, (zuletzt abgerufen am 17 Jacober, https://www.computerwoche. 31.01.2019). 15 Vgl. dazu den Aufsatz von Rieke/Zhda- de/a/auslaufmodell-passwort,3546380, nova/Repp/Giot/Gaber, Verhaltensanalyse (zuletzt abgerufen am 31.01.2019). 11 Walke-Chomjakov, https://www.pcwelt. de/tipps/So-funktioniert-ein-Iris-Scan- zur Erkennung von Missbrauch mobiler 18 Jacober, https://www.computerwoche. ner-10069493.html, (zuletzt abgerufen am Geldtransferdienste, GI 2014, 271, abrufbar de/a/auslaufmodell-passwort,3546380, 31.01.2019). unter https://www.researchgate.net/profi- (zuletzt abgerufen am 31.01.2019). le/Romain_Giot2/publication/261027965_ 19 Schmitz, https://www.security-insider. 12 Walke-Chomjakov, https://www. Verhaltensanalyse_zur_Erkennung_von_ pcwelt.de/tipps/So-funktioniert-ein-Iris- de/blockchain-gestuetzte-benutzerauthen- Missbrauch_mobiler_Geldtransferdienste/ tifizierung-a-792826/, (zuletzt abgerufen am Scanner-10069493.html, (zuletzt abgerufen links/55fff74908ae07629e51e999/ am 31.01.2019). 31.01.2019). Verhaltensanalyse-zur-Erkennung-von- 13 Das iPhone X nutzt unter anderem Ge- Missbrauch-mobiler-Geldtransferdienste. 20 Siehe etwa bei Schmitz, https://www. sichtserkennung zur Authentifizierung, vgl. pdf?origin=publication_detail, (zuletzt security-insider.de/blockchain-gestuetzte- Xie, https://www.forbes.com/sites/forbe- abgerufen am 31.01.2019). benutzerauthentifizierung-a-792826/, stechcouncil/2018/09/19/the-future-of-bio- (zuletzt abgerufen am 31.01.2019). 16 Bundesbeauftragte für den Datenschutz metric-facial-recognition/#78533ef53c74, und die Informationssicherheit, https:// 21 Schmitz, https://www.security-insider. (zuletzt abgerufen am 31.01.2019). www.bfdi.bund.de/DE/Datenschutz/ de/blockchain-gestuetzte-benutzerauthen- 14 Vgl. die Studie von Jayshree/Preeti, Themen/Technische_Anwendungen/ tifizierung-a-792826/, (zuletzt abgerufen am User Authentification by Face Recognition, TechnischeAnwendungenArtikel/Biomet- 31.01.2019). http://ijarcsse.com/Before_August_2017/ rieUndDatenschutz.html?cms_templateQu 22 Schmitz, https://www.security-insider. docs/papers/Special_Issue/iconect2016/ eryString=biometrische+erkennung&cms_ de/blockchain-gestuetzte-benutzerauthen- fcs06.pdf, (zuletzt abgerufen am sortOrder=score+desc, (zuletzt abgerufen tifizierung-a-792826/, (zuletzt abgerufen am 31.01.2019). am 13.02.2019). 31.01.2019). BayWiDI Magazin März 2019 S. 6/15
GVO28 hohe Bedeutung haben auch die datenschutzrechtlichen Sicherungs- pflichten von Verantwortlichen. Gem. Art. 32 DS-GVO gehören zu einer aus- reichenden Sicherheitsstruktur unter an- derem die Schaffung von individualisier- ten Nutzerkennungen und das Erforder- nis, einen unbefugten Zugang zu den verarbeiteten Daten durch Dritte mit- tels Passwortschutz zu verhindern.29 Für Anbieter digitaler Dienste regelt das BSIG30 besondere Sicherheitserforder- Fall würden sich nicht vorhersehbare da- teile.26 Nachvollziehbarer Weise nisse. Anbieter von Online-Marktplät- tenschutzrechtliche Folgen ergeben.23 treten im Vergleich zu biometrischen zen, Online-Suchmaschinen und Cloud- Insbesondere würde sich aufgrund der und verhaltensanalytischen Authenti- Computing-Dienste sind demnach ver- Beteiligung sämtlicher Blockchain Nut- fikationsversionen hier dem Passwort- pflichtet, geeignete technische und zer an den Verarbeitungsvorgängen die schutz ähnliche Probleme auf. So könn- organisatorische Maßnahmen zu treffen, Frage stellen, wer als „Verantwortlicher“ te etwa ein gestohlener Personalausweis um Risiken für die Sicherheit der Netz- im Sinne der DS-GVO für den Fall einer unter Umständen zu einer Authentifika- und Informationssystemen zu begegnen, DS-GVO-widrigen Datenverarbeitung tion durch unberechtigte Dritte führen. § 8c Abs. 1 BSIG. Im Rahmen dieser Ver- gem. Art. 82 DS-GVO haften würde. pflichtung können zur effektiven Durch- Zusammenfassung führung von Zugriffskontrollen auch be- Personalausweis und Der Passwortschutz stellt sich zuneh- sondere Authentifizierungserfordernis- der elektronische mend als unsichere Zugangssicherung se für den Zugriff erforderlich werden.31 Identifikationsnachweis heraus. Insbesondere aber stellen nur Mit Einführung des neuen Personalaus- einfache Passwörter keinen hinreichen- Auch das sich derzeit in der parlamen- weisgesetzes (PAuswG) am 1.11.2010 hat den Schutz dar. Um es der Cyberkrimi- tarischen Beratung befindende Gesetz der deutsche Gesetzgeber eine zusätzli- nalität in Zukunft schwerer zu gestal- zum Schutz von Geschäftsgeheim- che Identifikationsmöglichkeit geschaf- ten unberechtigt auf Systeme zuzugrei- nissen32 soll dem Know-how-Schutz fen. So können gem. § 18 PAuswG Perso- fen, bieten sich eine Reihe moderner in Deutschland eine Mindestsicherung nalausweisinhaber diesen zum Nachweis Alternativen an. Hierbei scheint die bio- garantieren.33 Dies wird auch das Er- der Identität sowohl gegenüber öffent- metrische Identifikation, etwa Finger- fordernis einer ausreichenden IT-Si- lichen als auch nicht-öffentlichen Stel- abdruck oder Iris-Scan, ein besonders cherheit, einschließlich personalisier- len nutzen. In der Zielsetzung sollte die hohes Schutzniveau zu versprechen. ter Nutzerkennungen und Passwort- Identifizierbarkeit im Internet mit dieser Personalausweis-Identifikation, Erken- schutz umfassen.34 Schon jetzt können Methode der persönlichen Vorlage des nung von Verhaltensmustern oder Block- mangelnde Sicherheitsstandards zum Personalausweises gleich gestellt wer- chain-Alternativen sollten soweit mög- Schutz von Betriebsgeheimnissen ei- den.24 Die Identifikation funktioniert, in- lich, nur Teil eines Multi-Factor-Authen- dem auf dem Ausweis gespeicherte Iden- tifizierungsverfahrens sein, also nur in 28 Datenschutzgrundverordnung. tifikationsdaten verschlüsselt übermittelt Verbindung mit weiteren Identifikati- 29 Schwartmann/Jaspers/Thüsing/Kugel- werden. Der erforderliche Schlüssel hier- onserfordernissen eingesetzt werden. mann, DS-GVO/BDSG, C.F.Müller, 2018, Art. zu ist in nicht auslesbarer Weise auf dem 32, Rn. 21. Personalausweis gespeichert. So kann der 30 Gesetz über das Bundesamt für Sicher- Rechtliche Pflicht zur Schaffung von heit in der Informationstechnik. gesendete Datensatz (Identifikationsda- Authentifizierungserfordernissen 31 Vgl. zur Verpflichtung zu Zugriffskon- ten und korrekte Verschlüsselung) nur trollen, Voigt, IT-Sicherheitsrecht, otto- von einem Nutzer unter Verwendung schmidt, 2018, S. 157; vgl. auch Bundesamt dieses Personalausweises stammen.25 Unternehmen können, auf Grundla- für Sicherheitstechnik in der Informations- technik, https://www.bsi.bund.de/DE/Ser- ge unterschiedlicher Regelungen, zur vice/FAQ/IT-Sicherheitsgesetz/faq_node. Gegenüber der klassischen Verwen- Schaffung von Zugangssicherungen ver- html#faq6636766, (zuletzt abgerufen am dung von Nutzername und Pass- pflichtet sein. Hierunter fallen etwa aus- 06.03.2019). wort bietet die Identifikation mit- drückliche vertragliche Vereinbarun- 32 Vgl. Bundesministerium der Justiz und für Verbraucherschutz, https://www.bmjv. tels Personalausweis durchaus Vor- gen zu Geheimhaltungspflichten etwa de/SharedDocs/Gesetzgebungsverfahren/ bei der Vorprüfung neuer Geschäftsmo- DE/GeschGehG.html, (zuletzt abgerufen am delle.27 Eine seit Inkrafttreten der DS- 06.03.2019). 23 Vgl. hierzu Schrey/Thalhofer, NJW 2017, 33 Voigt/ Herrmann/ Grabenschröer, BB 1431, 1433 ff. 26 Borges, NJW 2010, 3334, 3337. 2019, 142. 24 Vgl. Borges, NJW 2010, 3334, 3336. 27 Vgl. Voigt, IT-Sicherheitsrecht, otto- 34 Voigt/ Herrmann/ Grabenschröer, BB 25 Borges, NJW 2010, 3334, 3336. schmidt, 2018, S. 34. 2019, 142, 145. BayWiDI Magazin März 2019 S. 7/15
nen Wettbewerbsverstoß darstellen.35 nutzern eine Beeinträchtigung der per- Der Passwortschutz kann erhöht wer- sonenbezogenen Daten, wie sie Art. 8 den, wenn neben einfachen Buchsta- Ob und inwiefern auch Private verpflich- der Charta der Grundrechte der EU ben und Zahlen auch auf eine Variati- tet sein können eine, dem aktuellen Stand unter Schutz stellt, vorliegen. Zusätzlich on von Groß- und Kleinschreibung und entsprechende, IT-Sicherheit einschließ- wird immer auch eine Berührung des Sonderzeichen (etwa: Gk?!+) zurückge- lich eines Passwortschutzes zu schaffen, Rechts auf informationelle Selbstbe- griffen wird. beschreiben Walker und Scheurer im an- stimmung, geschützt als Teil des Allge- Keine Verwendung von Namen von schließenden Beitrag. Insgesamt wird je- meinen Persönlichkeitsrechts gem. Art. Familienmitgliedern, des Haustieres doch deutlich, dass das Vorhalten mo- 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, an- o.ä. derner Zugriffssicherungen allein schon zunehmen sein. Die grundrechtlichen Keine Verwendung von einfachen aufgrund zahlreicher vertraglicher und Implikationen werden zwar weitgehend Tastaturmustern, wie 1234abcs oder gesetzlicher Sicherheits- und Sicherungs- durch den engen Rahmen der DS-GVO asdfgh vorschriften berücksichtigt werden sollte. gemindert sein. Dennoch wird grund- sätzlich auch unabhängig von den Vorga- ben der DS-GVO eine besondere Vorsicht Grundsätzliches Daten- und Persönlichkeitsschutz- beim Umgang mit alternativen Authen- Keine einheitlichen Passwörter ver- bezogene Bedenken tifizierungsmethoden zu fordern sein. wenden: Bei Verwendung nur eines Passwortes für eine Vielzahl von Zu- Die Verwendung von Passwortalternati- gängen, sind bei Zugriff auf dieses eine ven kann zwar Sicherheitsvorteile liefern, Exkurs: Anleitung zu einem wirksa- Passwort durch Unberechtigte, sämtli- allerdings steigt das Maß an daten- und men Passwortschutz che Zugänge ungeschützt. persönlichkeitsschutzrechtlichen Beden- Voreingestellte Passwörter ändern: ken. Sowohl biometrische Daten (Finger- Bis die oben beschriebenen Technologien Sind z.B. bei bestimmten Softwarepro- abdruck, Gesichtsscan, etc.) als auch Ver- zur Authentifikation im Internet, an mo- dukten nur voreingestellte allgemein haltensmuster, die einzelnen Personen bilen Geräten, etc. das Passwortschutzer- bekannte Passwörter eingestellt, kön- zugeordnet werden, stellen besondere fordernis wirklich verdrängen und eine nen Hacker diese mit geringem Auf- Kategorien personenbezogener Daten im alltagstaugliche Alternative darstellen, wand austesten, um unbefugten Zu- Sinne des Art. 9 DS-GVO dar. Ihre Erhe- sollten sich Nutzer technischer Geräte griff zu erhalten. bung ist daher nur unter den besonderen weiterhin um eine Sicherung durch star- Bildschirmschoner mit Kennwort si- Zulässigkeitsvoraussetzungen des Art. 9 ke Passwörter bemühen. Bieten biomet- chern: Diese Maßnahme dient dazu, zu DS-GVO gestattet und kann nicht bereits rische und verhaltensanalytische Model- verhindern, dass kurze Abwesenheits- auf die allgemeinen Rechtmäßigkeitsvo- le zwar ein sehr hohes Sicherheitsniveau, phasen vom Computer nach Durchfüh- raussetzungen des Art. 6 DS-GVO ge- so kann jedoch mit der Wahl eines Pass- rung des initialen Authentifizierungs- stützt werden. Erforderlich ist daher, dass worts das bestimmten Qualitätsanforde- vorgangs ausgenutzt werden können, die betroffene Person in die Erhebung rungen genügt, ein zumindest höheres um auf Inhalte zuzugreifen. der biometrischen Daten entweder aus- Schutzniveau als bei nur einfachen oder drücklich einwilligt (eine einfache Ein- mehrfach verwendeten Passwörtern ge- Passwörter nicht an Dritte weiterge- willigung nach Art. 6 Abs. 1 S. 1 lit. a, und schaffen werden.36 Im Folgenden soll da- ben oder per E-Mail versenden: Ins- Art. 7 DS-GVO genügt nicht) oder, dass her eine kurze Anleitung zur Erstellung besondere sollte kein Vertrauen in den besondere gesetzliche Erlaubnisse, etwa sicherer Passwörter und dem Umgang Versand von Passwörtern via E-Mail bei besonderen arbeits- oder sozialrecht- mit dem Passwortschutz gegeben werden: gesetzt werden. E-Mails werden über- lichen Erfordernissen, dies gestatten. Im wiegend unverschlüsselt gesendet Regelfall wird die Erhebung dieser beson- Passworterstellung und können darüber hinaus, verloren- ders sensiblen Daten wohl auf eine aus- Passwort sollte gut zu merken sein. gehen, falsch adressiert oder heraus- drückliche Einwilligung gestützt werden. gefiltert werden. Passwort sollte dennoch möglichst lang sein: Das BSI empfiehlt eine Min- Nutzung eines Passwort-Managers: Neben den besonderen Anforderungen destlänge von acht Zeichen, bei Ver- Um dem Erfordernis der Verwendung des Datenschutzes soll nicht vergessen schlüsselungsverfahren für WLAN so- mehrerer Passwörter gerecht werden werden, dass bei der Preisgabe von bio- gar von mindestens 20 Zeichen. zu können und gleichzeitig der Gefahr metrischen Daten und Verhaltensmus- zu begegnen, einzelne Passwörter zu Nutzung aller verfügbaren Zeichen: tern auch grundrechtlich geschützte Po- vergessen, können sog. Passwort-Ma- sitionen betroffen sein können. Unter an- nager zum Einsatz kommen, bei denen derem kann durch die Verbreitung und 36 Vgl. BSI, https://www.bsi-fuer-buerger. durch ein überdurchschnittlich starkes de/BSIFB/DE/Empfehlungen/Passwoerter/ Passwort, sämtliche Passwörter gebün- Speicherung der biometrischen Daten passwoerter_node.html, zuletzt abgerufen und der Verhaltensmuster von System- am 13.02.2019; BSI, https://www.bsi-fuer- delt abgesichert werden. buerger.de/BSIFB/DE/Empfehlungen/ 35 Vgl. Voigt, IT-Sicherheitsrecht, otto- Passwoerter/Umgang/umgang_node.html, Jannik Zerbst, LL.M. (VUW) schmidt, 2018, S. 46. (zuletzt abgerufen am 13.02.2019). BayWiDI Magazin März 2019 S. 8/15
IT-Sicherheit. Privat? – Grund- und datenschutzrechtliche Aspekte einer privaten Pflicht zur IT-Sicherheit A. Einleitung Zugangsdaten, private Fotografien, um- fassende Informationen über Angehörige und Dritte: Ein Blick in die Speicherme- dien der Smartphones, Laptops, Tablets oder Rechner verrät oftmals nicht nur in- timste Details über den Eigentümer, son- dern gleichermaßen auch über dessen Umfeld. Dass ein solcher Zugriff auch oh- ne elaboriertes Spezialwissen vonstatten- gehen kann, zeigte jüngst ein 20-jähriger Schüler, der im Dezember 2018 das digita- IT-Sicherheit, auch innerhalb des priva- nung an § 2 Abs. 1 BSIG schließt der Be- le Privatleben der deutschen (Polit-) Pro- ten Umfelds gewährleistet ist. Im Fol- griff der IT folglich Hard- und Software minenz Tweet für Tweet veröffentlichte. genden soll der Frage nachgegangen mit der Fähigkeit, Daten und Informati- Vor diesem Hintergrund stellt sich zu- werden, ob sich eine Pflicht zur priva- onen zu verarbeiten und zu übertragen nehmend die Frage, ob und wie weit auch ten IT-Sicherheit unmittelbar aus dem ein.5 § 2 Abs. 1 BSIG bietet hingegen kei- „private Datensammler“ IT-sicherheits- Grundgesetz, nämlich als Ausfluss der ne Grundlage für eine denkbare weitere rechtlichen Pflichten unterliegen. Der in Art. 14 Abs. 2 GG normierten Sozial- Voraussetzung des Begriffs der IT, näm- vorliegende Beitrag möchte diese Frage bindung des Eigentums ergeben kann. lich für eine informationstechnische Ver- sowohl aus grundrechtlicher (dazu unter netzung.6 Anknüpfungspunkt für eine B.) als auch aus datenschutzrechtlicher 1. Ausgangspunkt: Eigentum an IT im Weiteren zu erörternde (grundrecht- Perspektive (dazu unter C.) untersuchen. Es ist zunächst zu klären, woran Eigen- liche) Pflicht zu privaten IT-Sicherheits- tum, also die einem Berechtigten norma- maßnahmen ist also das Eigentum an IT.7 tiv zur privaten Nutzung und Verfügung B. Private Pflicht zur IT-Sicherheit zugeordnete und einen Vermögenswert 2. Ausgestaltung: Art und Umfang der beinhaltende Rechtsposition2, bestehen Pflicht zur IT-Sicherheit? soll. In Betracht kommt das Eigentum an Die vielfältigen, häufig schwer erkenn- I. Grundrechtliche Vorgaben der Informationstechnik (IT). Dabei stellt baren Bedrohungen für die IT befin- In einer zunehmend digitalen Gesell- sich aber die Frage, wie der Begriff der IT den sich in einem stetigen Wandel.8 Da- schaft drohen den grundrechtlich ver- zu definieren ist. Eine Legaldefinition fin- bei sind die Risiken im Hinblick auf die bürgten Freiheiten des Einzelnen nicht det sich in § 2 Abs. 1 BSIG, der IT als „al- Software von größerem Gewicht, da erst allein Beeinträchtigungen von staat- le technischen Mittel zur Verarbeitung licher Seite, sondern auch im Verhält- oder Übertragung von Informationen“ heitsgesetzes und der RL (EU) 2016/1148, S. nis zu seinen Mitbürgern. Insbesondere definiert. Ausgehend vom Wortlaut des § 40. das Grundrecht auf Schutz der Persön- 2 Abs. 1 BSIG („alle technischen Mittel“) 5 Eckert, IT-Sicherheit, Konzepte, Verfah- ren, Protokolle, S. 3. lichkeit (Art. 2 Abs. 1 GG i.V. mit Art. 1 kann man unter IT zum einen Hardware, 6 Freimuth, Die Gewährleistung der IT Abs. 1 GG) in seiner speziellen Ausprä- also alle gegenständlichen Bestandtei- Kritischer Infrastrukturen – Am Beispiel der gung des Schutzes der informationellen le, die der Verarbeitung von Informati- Pflichten des IT-Sicher- Selbstbestimmung ist in Gefahr, weil In- onen dienen3, subsumieren. Der Begriff heitsgesetzes und der RL (EU) 2016/1148, S. 41; Eckert, IT-Sicherheit, Konzepte, Verfah- formationen von Bürgern in ungeahnter der IT ist darüber hinaus aber auch in ren, Protokolle, S. 3. Größenordnung in einer für den Einzel- seinem technischen Zusammenhang zu 7 Zur Frage des Eigentums an Software, nen kaum noch erkennbaren Weise im sehen und erfasst daher zum anderen vgl. ausführlich Freimuth, Die Gewährleis- Umlauf sind. Ideal wäre ein „Zustand, die informationstechnisch notwendigen tung der IT Kritischer Infrastruk- turen – Am Beispiel der Pflichten des in dem die Einhaltung bestimmter Si- Programme als Software, die der Nut- IT-Sicherheitsgesetzes und der RL (EU) cherheitsstandards, die die Verfügbar- zung der Hardware dienen.4 In Anleh- 2016/1148, S. 135 f. keit, Unversehrtheit oder Vertraulich- 8 BSI, Die Lage der IT-Sicherheit in 2 BVerfGE 68, 193, 222; BVerfGE 78, 58, 71. keit von Informationen betreffen“1, also Deutschland 2018, S. 91, abrufbar unter 3 Kloepfer/Neun, Informationsrecht, § 1 https://www.bsi.bund. 1 Freimuth, Die Gewährleistung der IT Rn. 7. de/SharedDocs/Downloads/DE/BSI/Publi- Kritischer Infrastrukturen – Am Beispiel der 4 Freimuth, Die Gewährleistung der IT kationen/Lageberichte/L agebe- Pflichten des IT-Sicherheitsgesetzes Kritischer Infrastrukturen – Am Beispiel der richt2018.pdf?__blob=publicationFile&v=5, und der RL (EU) 2016/1148, S. 60. Pflichten des IT-Sicher- (zuletzt abgerufen am 06.03.2019). BayWiDI Magazin März 2019 S. 9/15
die Software eine effektive Nutzung der Hardware für Datenverarbeitungs- und Kommunikationsprozesse gewährleistet und somit eine Verwirklichung der Risi- ken im Bereich der Software besonders weitreichende Folgen haben kann.9 Die Abwehr durch präventive Maßnahmen stellt eine Herausforderung dar. Frag- lich ist, ob es diese auch im privaten Um- feld anzugehen gilt. Zu diesem Zweck soll vorab untersucht werden, unter welchen Umständen das Eigentum allgemeine si- cherheitsrechtliche Pflichten begründen kann. Dazu eignet sich das Beispiel des Baurechts (dazu unter a)). Die dabei ge- fundenen Grundsätze sollen sodann im Kontext der Digitalisierung aufgegriffen Teil 1 Titel 8 § 65 Preuß. ALR von 1794 be- albindung des Eigentums in erster Linie und übertragen werden (dazu unter b)). stimmte: „In der Regel ist jeder Eigent- dem Schutz von Leben und Gesundheit.15 hümer seinen Grund und Boden mit Ge- Hintergrund ist also das in Art. 2 Abs. 2 a. „Eigentum verpflichtet.“ bäuden zu besetzen oder sein Gebäude Satz 1 GG normierte Grundrecht auf Le- In Art. 14 Abs. 2 Satz 1 GG („Eigentum zu verändern wohl befugt.“ Dass aber die ben und körperliche Unversehrtheit. verpflichtet.“) kommt das „soziale Einge- Baufreiheit Einschränkungen unterliegt, Auch wenn Art. 2 Abs. 2 Satz 1 GG ei- ordnetsein des Eigentums“10 zum Aus- wurde in der darauffolgenden Norm klar- ne Sonderstellung einnimmt, weil die druck. Der „Gesetzgeber [hat] bei der Re- gestellt. So hielt die Bestimmung in Teil Vorschrift „Voraussetzung aller anderen gelung des Eigentumsinhalts das Wohl 1 Titel 8 § 66 Preuß. ALR von 1794 fest: Grundrechte“16 ist, kommt dem Grund- der Allgemeinheit zu beachten“11, wobei „[Z]um Schaden oder zur Unsicherheit recht auf informationelle Selbstbestim- seine Befugnis zur Inhalts- und Schran- des gemeinen Wesens [soll] kein Bau und mung aus Art. 2 Abs. 1 GG i.V. mit Art. kenbestimmung „umso weiter [ist], je keine Veränderung vorgenommen wer- 1 Abs. 1 GG als Ausprägung des Schut- stärker der soziale Bezug des Eigentum- den.“ Vor diesem Hintergrund besteht zes der Persönlichkeit ebenfalls hohes sobjekts ist“12. Der in Art. 14 Abs. 1 GG auch heute die Dispositionsbefugnis des Gewicht zu. Im digitalen Zusammen- gewährten Freiheit ist also eine – in ih- Eigentümers in Bezug auf die bauliche hang würde eine Pflicht zur IT-Sicher- rem Ausmaß vom sozialen Bezug des Ei- Nutzung seines Grund und Bodens auf- heitsvorsorge im privaten Umfeld den gentumsobjekts abhängige – Rückbin- grund zahlreicher normativer Bindungen Schutz der Verfügbarkeit, Unversehrt- dung an die Gesellschaft immanent. planungs- und ordnungsrechtlicher Art heit oder Vertraulichkeit von Informatio- möglicherweise im Hinblick auf das „Ob“ nen entscheidend befördern und so dafür Ein Beispiel dafür, dass der Gesetzgeber und „Wann“ des Bauens, aber nicht im sorgen, dass das Grundrecht auf Eigen- seinem aus Art. 14 Abs. 2 GG folgenden Hinblick auf das „Wie“ des Bauens.14 Die tum und das Grundrecht auf informati- Auftrag, dem Eigentümer die im Inter- in Art. 14 Abs. 2 GG verfassungsrecht- onelle Selbstbestimmung nicht gegenein- esse des Allgemeinwohls erforderlichen lich angelegte Pflicht zur Sicherheits- ander ausgespielt, sondern im Sinne der Schranken zu setzen nachkommt, ist das vorsorge ist im baurechtlichen Kontext praktischen Konkordanz17 einander so Baurecht. So ist die Baufreiheit seit je- also durch den Gesetzgeber aktiviert. zugeordnet werden, dass möglichst bei- her ein traditionelles Element des verfas- de zur optimalen Wirksamkeit gelangen. sungsrechtlich gewährleisteten Grundei- b. Art. 14 Abs. 2 GG im digitalen Kontext gentums, wie etwa ein Blick in die Vor- Aus den vorstehenden Ausführungen er- Im Rahmen der Bestimmung des Be- gaben des Preußischen Allgemeinen gibt sich, dass Art. 14 Abs. 2 GG grund- griffs der IT wurde bereits angesprochen, Landrechts (Preuß. ALR) zeigt.13 Schon sätzlich geeignet ist, Pflichten zur Sicher- ob die informationstechnische Vernet- heitsvorsorge zu begründen. Es bleibt zung nicht weitere Voraussetzung von 9 Freimuth, Die Gewährleistung der IT nun zu klären, ob die Sozialbindung in IT sei und selbst wenn man dies im Rah- Kritischer Infrastrukturen – Am Beispiel der Art. 14 Abs. 2 GG eine Pflicht zur IT-Si- men von § 2 Abs. 1 BSIG ablehnt, so ist Pflichten des IT- Sicherheits- cherheitsvorsorge im privaten Umfeld gesetzes und der RL (EU) 2016/1148, S. 42. begründen kann. Im baurechtlichen Zu- 15 Dirnberger/Lechner, in: Simon/Busse, 10 Sitzung vom 7.10.1948, abgedruckt in Bayerische Bauordnung, Art.1 BayBO Rn. 2. Deutscher Bundestag/Bundesarchiv (Hrsg.), sammenhang dienen bauordnungsrecht- 16 BVerfGE 39, 1, 42; BVerfGE 88, 203, Der Parlamentarische Rat 1948 – liche Vorschriften als Ausfluss der Sozi- 1949, Bd. 5/I, 1993, S. 172 (197 ff.). 251ff.; Lang, in: BeckOK GG, Art.2 GG Rn. 56, der auch von einem „Vorausset- 11 BVerfGE 21, 73, 83. 164. zungsgrundrecht“ spricht. 12 St. Rspr.: BVerfGE 100, 226, 241 m.w.N. 14 Papier/Shirvani, in: Maunz/Dürig, 17 Hesse, Grundzüge des Verfassungs- 13 Papier/Shirvani, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 14 GG Rn. rechts der Bundesrepublik Deutschland, Grundgesetz Kommentar, Art. 14 GG Rn. 165. Rn. 308. BayWiDI Magazin März 2019 S. 10/15
eine Anweisung für das konkrete Ver- Frage, ob bei privaten Tätigkeiten grund- halten des Eigentümers“19 entnommen sätzlich der Anwendungsbereich eröff- werden. Dieser Auffassung ist im Hin- net ist (dazu unter a)). Für den Fall, dass blick auf den Grundsatz des Vorbehalts dies zu bejahen ist, ist insbesondere die des Gesetzes und die in Art. 14 Abs. 1 sogenannte Haushaltsausnahme des Art. Satz 2 GG ausdrücklich normierte Ver- 2 Abs. 2 lit. c DSGVO zu beachten (b)). pflichtung des Gesetzgebers, Inhalt und Schranken des Eigentums zu bestim- a. Die grundsätzliche Anwendbarkeit men, zu widersprechen.20 Aus Art. 14 des Datenschutzrechts Abs. 2 Satz 1 GG folgt somit die Pflicht Nach Art. 2 Abs. 1 DSGVO gilt die Ver- des Gesetzgebers, die Sozialbindung des ordnung für die ganz oder teilweise au- Eigentums auszugestalten.21 Die „Grund- tomatisierte Verarbeitung personenbe- plicht“ des Art. 14 Abs. 2 Satz 1 GG ist zogener Daten. Die zentralen Merkmale vielmehr eine Grundrechtsschranke.22 des personenbezogenen Datums im Sin- ne des Art. 4 Nr. 1 DSGVO als auch der 3. Zwischenfazit Verarbeitung gem. Art. 4 Nr. 2 DSGVO diese doch charakteristisches Element Die Pflicht zur IT-Sicherheitsvorsorge im sind dabei nach gängiger Überzeugung der IT und damit ist Eigenart und Funk- privaten Umfeld wird vorliegend als Aus- einer weiten Auslegung zugänglich.23 Die tion der IT, dass sie sich auf die Gesell- fluss der in Art. 14 Abs. 2 GG normierten Vorgaben des Datenschutzrechts sind schaft beziehen kann. Vor diesem Hinter- Sozialpflicht des Eigentums gesehen, muss grundsätzlich in den Fällen zu beachten, grund ist eine Differenzierung der jewei- aber vom Gesetzgeber aktiviert werden. in denen auf personenbezogene Daten ligen IT-Nutzung angezeigt. Der soziale eingewirkt wird.24 Automatisiert ist das Bezug der IT-Nutzung wird abzulehnen II. Datenschutzrechtliche Vorgaben Verfahren bereits dann, wenn der Ver- sein, wenn die jeweilige Infrastruktur Im Folgenden soll nunmehr untersucht arbeitungsvorgang unter Einbeziehung lediglich in geringem Umfang genutzt werden, ob sich eine Verpflichtung zur technischer Einrichtungen wie etwa Lap- wird und aus der Nutzung keine gesell- privaten IT-Sicherheit auch unmittel- tops, Smartphones oder beispielswei- schaftlich relevanten Gefahren resultie- bar aus den Vorgaben des Datenschutz- se anhand einer Digitalkamera erfolgt.25 ren. Auch hier könnte erneut auf die Vor- rechts ergeben kann. Zu diesem Zweck Speichert also der private Anwender bei- gaben des Baurechts, insbesondere des ist zunächst zu prüfen, ob und in wel- spielsweise Telefonnummern, Fotografi- Bauordnungsrechts zurückgegriffen wer- chem Umfang das Datenschutzrecht en oder andere Informationen über iden- den, welche die Genehmigungspflicht ei- auch im privaten Umfeld anwendbar ist tifizierbare oder, wie regelmäßig der Fall nes Bauvorhabens auch erst aber einer (1.). Soweit der Anwendungsbereich er- identifizierte Dritte ist der Anwendungs- gewissen Relevanz des jeweiligen Pro- öffnet ist, stellt sich konsequenterwei- bereich der DSGVO regelmäßig eröffnet. jekts anordnen. In diesem Sinne könnte se die Frage nach der datenschutzrecht- vertreten werden, dass eine grundrecht- lichen Verantwortlichkeit der privaten b. Die „Haushaltsausnahme“ des Art. 2 liche Pflicht zur IT-Sicherung ebenfalls Anwender (dazu unter 2.). Abschließend Abs. 2 lit. c DSGVO erst ab einer gewissen „Erheblichkeits- sollen die Besonderheiten der datensi- Insbesondere bei privaten Verarbeitungs- schwelle“ anzunehmen ist. Das Eigen- cherheits- und damit allgemein IT-si- vorgängen kommt es aber in Betracht, tum an IT kann also einen starken sozi- cherheitsrechtlichen Vorgaben mit Blick dass die Bereichsausnahme des Art. 2 alen Bezug aufweisen, der dann weitrei- auf den Privaten aufgezeigt werden. (3.). Abs. 2 lit. c DSGVO ergänzend zu be- chende Befugnisse des Gesetzgebers im rücksichtigen ist. Dieser zur Folge kom- Hinblick auf die Ausgestaltung der Sozi- 1. Anwendbarkeit des Datenschutz- albindung des Eigentums nach sich zieht. rechts im privaten Umfeld 23 Vgl. dazu etwa Karg, in: Simitis/Hor- Die Frage, ob das Datenschutzrecht im nung/Spiecker, Datenschutzrecht, 2019, Art. c. Verfassungsunmittelbare Pflicht jeweiligen Fall berücksichtigt werden 4 Nr. 1 DSGVO Rn. 3; Roßnagel, in: Simitis/ Hornung/Spiecker, Datenschutzrecht, 2019, Schließlich ist fraglich, ob aus Art. 14 muss, wird maßgeblich durch die Vor- Art. 4 Nr. 2 DSGVO Rn. 1; Klar/Kühling, in: Abs. 2 Satz 1 GG eine verfassungsunmit- gaben des Art. 2 als auch des Art. 3 Da- Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. telbare Rechtspflicht des Grundrechts- tenschutz-Grundverordnung (DSGVO) 2018, Art. 4 Nr. 1 DSGVO Rn. 8; Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. berechtigten folgt. Nach Auffassung von determiniert. Vorliegend sind dabei die 2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in: Hermann von Mangoldt sollte dem in Bestimmungen zum sachlichen Anwen- Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. Art. 14 Abs. 2 Satz 1 GG verankerten Ge- dungsbereich gem. Art. 2 DSGVO von ge- 4 Nr. 1 Rn. 7, Rn. 23. bot sozial gerechter Eigentumsnutzung sondertem Interesse. Mithin stellt sich die 24 In diesem Sinne auch Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. eine „Grundpflicht“18, also „unmittelbar 19 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 20 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 4 Rn. 23. 18 Sitzung vom 7.10.1948, abgedruckt in Deutscher Bundestag/Bundesarchiv (Hrsg.), 21 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 25 Dazu etwa Schild, in: Wolff/Brink, Der Parlamentarische Rat 1948 – 22 Hufen, Staatsrecht II - Grundrechte, §5 BeckOK Datenschutzrecht, 26. Edit. Stand: 1949, Bd. 5/I, 1993, S. 172 (197 ff.). Rn.25. 01.02.2018, Art. 4 DSGVO Rn. 34. BayWiDI Magazin März 2019 S. 11/15
Sie können auch lesen