EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Editorial – Grußwort des Forschungsprojektleiters von
»BayWiDI« Prof. Dr. Dirk Heckmann
Sehr geehrte Leserinnen und Leser,
herzlich willkommen zur ersten Ausga-
be des neuen BayWiDI-Magazins. Dieses
Magazin wird künftig vierteljährlich er-
scheinen und den bekannten Newsletter
ersetzen.
In der ersten Ausgabe des Magazins wer-
den Ihnen interessante und aktuelle The- Der dritte Beitrag mit dem Titel „IT-Si- netzte und automatisierte Technologien,
men aus dem Bereich der IT-Sicherheit cherheit. Privat?“ beschäftigt sich mit der das Internet der Dinge oder die Mensch-
vorgestellt. Die stetig steigenden tech- IT-Sicherheit im privaten Umfeld. Der Maschine-Interaktion unter den Bedin-
nischen Anforderungen im Bereich der Beitrag geht der Frage nach, ob sich eine gungen maschinellen Lernens zu begrei-
Informationstechnologie stellen Unter- Pflicht zur privaten IT-Sicherheitsvorsor- fen sowie sicher und verantwortungsbe-
nehmen schon seit Jahren vor große He- ge unmittelbar entweder aus dem Grund- wusst einzusetzen. Angesichts dessen ist
rausforderungen. Immer noch sind vie- gesetz oder aus den Vorgaben des Daten- die im Digitalpakt Schule vorgesehene
le Betriebe jedoch nur unzureichend auf schutzrechts ergibt. Verbesserung der digitalen Infrastruk-
Cyberattacken vorbereitet. Die Beiträge tur an Schulen zu Recht das zentrale bil-
in diesem Magazin zeigen unter anderem dungspolitische Projekt der Bundesregie-
14. Internationales For..Net Sym-
einen Ausschnitt der Welt der gegenwär- rung. Das Symposium widmet sich den
posium „Digitale Bildung. Digitale
tigen Sicherungsmethoden. Gleichzeitig hiermit verbundenen Fragen unter dem
Haltung“
wird auch der Blick in die Zukunft der IT- Generalthema „Digitale Bildung. Digita-
Sicherheit gewagt. Ich möchte Sie außerdem herzlich zu un- le Haltung“ und knüpft dabei an die Er-
serem 14. Internationalen For..Net Sym- kenntnisse der Datenethikkommission
Im ersten Beitrag dieses Magazins mit posium am 25. und 26. April 2019 einla- und der Enquete Kommission Künstli-
dem Titel „Innovative Cybersecurity den. Auch im 21. Jahrhundert soll Bildung che Intelligenz des Deutschen Bundesta-
durch Einsatz künstlicher Intelligenz“ Menschen befähigen, sich als selbstbe- ges an. Schirmherrin des Symposiums ist
werden die aktuellen Entwicklungen der stimmte Persönlichkeiten in einer sich wieder die Staatsministerin für Digitali-
IT-Sicherheit mit Berücksichtigung der stetig wandelnden Gesellschaft zurecht- sierung im Bundeskanzleramt, Dorothee
derzeitigen Forschung im Bereich der zufinden und verantwortungsvoll ihre Bär.
künstlichen Intelligenz (KI) beleuch- Lebensentwürfe zu verwirklichen. Doch
tet. Der Beitrag erläutert die technischen stellen sich im Zuge des digitalen Wan- Nun wünsche ich Ihnen eine interessan-
Grundbegriffe, zeigt die Problematiken dels Fragen: Was ist Wissen noch wert, te Lektüre der ersten Ausgabe des neuen
der IT-Sicherheit auf und erwägt schließ- wenn es jederzeit abrufbar ist? Welche BayWiDI-Magazins!
lich Möglichkeiten, diese durch KI-Ein- Fähigkeiten gilt es in einer digitalen Welt
satz zu lösen. zu entwickeln? Bemerkenswert ist, dass Ihr Prof. Dr. Dirk Heckmann,
Vorreiter bei der Digitalisierung – wie Leiter des Forschungsprojekts »BayWiDI«
Der zweite Beitrag mit dem Titel „Ha- Finnland und Estland – in Bildungsran-
ben Passwörter bald ausgedient?“ hat die kings oft Spitzenplätze einnehmen. Digi-
derzeitig gängige Praxis der Zugriffssi- tale Kompetenz ist also von entscheiden- Inhalt
cherung durch klassischen Praxisschutz der Bedeutung: zum einen für den einzel-
Innovative
Cybersecurity durch
zum Gegenstand. Es werden alternative nen Menschen, um in einer digitalen Welt Einsatz künstlicher Intelligenz / 2
Authentifizierungsmodelle, insbesonde- selbstbestimmt und verantwortungsvoll Haben Passwörter bald ausge-
re biometrische Verfahren wie Iris-Scan leben zu können und um gute Chancen dient? / 5
und Fingerabdruck sowie verhaltensana- auf dem Arbeitsmarkt zu haben; zum an- IT-Sicherheit. Privat? / 9
lytische Varianten vorgestellt. Der Bei- deren für die Gesellschaft, um Demokra- Leiter des Forschungsprojekts und
trag endet mit einer praktischen Check- tie und Wohlstand auch in Zukunft zu Autoren / 15
liste für einen wirksamen Passwort- erhalten. All dies setzt voraus, dass Men- Impressum
/ 15
schutz. schen befähigt werden, komplexe, ver-
Innovative Cybersecurity durch Einsatz künstlicher Intelligenz
Informations- und Kommunikations- reits geringe Manipulationen eines Sys- Entwicklungsinteresse sowie Unterneh-
technologien (IKT) sind sowohl im priva- tems können ein gravierendes, lebensge- men der gewerblichen Wirtschaft als
ten als auch im industriellen Sektor nicht fährliches Ausmaß annehmen.5 Im Zuge Zuwendungsempfänger in Betracht.9
mehr wegzudenken. Sei es im Rahmen ei- dieser Entwicklung hat das Bundesmi-
ner zeitgemäßen medizinischen Infra- nisterium für Bildung und Forschung
struktur, des weltweiten Finanzsektors, (BMBF) das nationale Forschungsrah- Inernet of Things und künstliche
einer verlässlichen Strom- und Wasser- menprogramm „Selbstbestimmt und si- Intelligenz im Fokus
versorgung, der Automobil – und Ma- cher in der digitalen Welt 2015-2020“6 in
schinenbaubranche oder der Industrie Zusammenarbeit mit dem Verein Deut- Beschäftigt man sich mit dem Thema
4.0.1 Die tägliche Benutzung von Gerä- scher Ingenieure GmbH (VDI) und dem der Cybersecurity, kommt man im Zu-
ten des „Internets der Dinge“2 (Internet Verband der Elektrotechnik Elektro- ge aktueller Entwicklungen nicht an
of Things - IoT) wie Amazon Echo,3 oder nik Informationstechnik e.V. (VDE) ins den Begriffen des Internet of Things
auch anderen internetfähigen Geräten Leben gerufen.7 Primäres Ziel der For- und der künstlichen Intelligenz vorbei.
wie Smart-TVs, Tablets und Smartpho- schungsförderung soll die Entwicklung
nes stellt für moderne Gesellschaften ei- von Cybersicherheitssystemen mit „be- Unter dem Internet of Things ver-
ne wirtschaftliche und private Errungen- grenzten Ressourcen“ sein, die mit künst- steht man die Vernetzung von Gegen-
schaft dar.4 Durch den Vormarsch die- licher Intelligenz (KI) eine erhöhte Si- ständen mit dem Internet in einer Wei-
ser Internettechnologien werden immer cherheitsstufe erreichen sollen.8 Bis zum se, dass diese Gegenstände über das In-
mehr Bereiche angreifbar, die elemen- 29. März 2019 kann das Portal „Easy On- ternet selbstständig kommunizieren
tar wichtige Funktionen für die Versor- line“ von Forschungseinrichtungen, Un- und einen Material- oder Produktions-
gung der Menschen erfüllen und daher ternehmen und Start-Ups genutzt wer- fluss festlegen. Die Verbindung der am
auch hohe Gefahrpotentiale bergen. Be- den, um Projektvorschläge einzurei- Produktionsfluss beteiligten Systeme
chen. Grundsätzlich kommen staatliche mit softwaretechnischen Komponenten
1 BMBF, https://www.forschung-it-sicher-
und nicht-staatliche Hochschulen, au- nennt man „cyber-physische Systeme“.10
heit-kommunikationssysteme.de/service/
publikationen/selbstbestimmt-und-sicher- ßeruniversitäre Forschungseinrichtun-
in-der-digitalen-welt-2015-2020, (zuletzt gen, Verbände und Vereine sowie sonsti- Eine universelle Definition für den Be-
abgerufen am 28.01.2019); RD`n Sabine ge Organisationen mit Forschungs- und griff der KI ist nicht ohne Weiteres for-
Horvath, Wissenschaftlicher Dienst des
Deutschen Bundestags, https://www.bun- mulierbar, da sich der dieser notwendi-
destag.de/blob/192512/cfa9e76cdcf46f34a- 5 BMBF, https://www.forschung-it-sicher- gerweise an der menschlichen Intelli-
941298efa7e85c9/internet_der_dinge-data. heit-kommunikationssysteme.de/service/ genz messen lassen muss. Jedoch ist auch
pdf, (zuletzt abgerufen am 28.01.2019). publikationen/selbstbestimmt-und-sicher-
in-der-digitalen-welt-2015-2020, (zuletzt
der Begriff der menschlichen Intelligenz
2 RD`n Sabine Horvath, Wissenschaftli-
cher Dienst des Deutschen Bundestags, abgerufen am 28.01.2019). kaum definiert. Grundlegend kann man
https://www.bundestag.de/blob/192512/ 6 BMBF, https://www.forschung-it-sicher- jedoch die „starke KI“ und die „schwa-
cfa9e76cdcf46f34a941298efa7e85c9/inter- heit-kommunikationssysteme.de/service/ che KI“ unterscheiden. Ein den Mensch
net_der_dinge-data.pdf, (zuletzt abgerufen publikationen/selbstbestimmt-und-sicher-
am 28.01.2019). in-der-digitalen-welt-2015-2020, (zuletzt 9 BMBF, https://www.bmbf.de/foerderun-
3 IoT.do, https://iot.do/devices/amazon- abgerufen am 28.01.2019). gen/bekanntmachung-2187.html, (zuletzt
echo, (zuletzt abgerufen am 28.01.2019). 7 Borchers, Heise, http://www.heise.de/- abgerufen am 11.02.2019).
4 BMBF, https://www.forschung-it-sicher- 4284817 (zuletzt abgerufen am 28.01.2019); 10 RD`n Dr. Christine Steinhoff, Wissen-
heit-kommunikationssysteme.de/service/ https://vdivde-it.de/, (zuletzt abgerufen am schaftliche Dienste Deutscher Bundestag,
publikationen/selbstbestimmt-und-sicher- 28.01.2019). https://www.dieterstier.de/cms/wp-con-
in-der-digitalen-welt-2015-2020, (zuletzt 8 Borchers, Heise, http://www.heise.de/- tent/uploads/2013/06/industrie-4-0-data.
abgerufen am 28.01.2019). 4284817, (zuletzt abgerufen am 28.01.2019). pdf, (zuletzt abgerufen am 14.11.2018).
BayWiDI Magazin März 2019 S. 2/15
imitierendes System kann als „starke KI“
bezeichnet werden, welche in seriösen
Kreisen jedoch als kaum umsetzbar gilt.
Das Hauptaugenmerk bei der Entwick-
lung und dem Einsatz von KI liegt auf der
„schwachen KI“ in Form des maschinellen
Lernens. Die KI soll dazu benutzt werden,
kognitive Prozesse besser zu verstehen.11
„Begrenzte Ressourcen“ als
Sicherheitsproblem
Die Einbindung von KI zur Optimierung
von Cybersystemen könnte vor allem im
Rahmen begrenzter Ressourcen Vor-
teile bringen. Nicht alle Unternehmen
können sich eine umfassende Überwa- ne wichtige Position im weltweiten Rin- men der KI setzen, um auch die aktuel-
chung ihrer Systeme durch einen spezi- gen um Cybersecurity einzunehmen.13 le Generation von Studierenden für die
alisierten Administrator leisten. Zumeist Thematik zu sensibilisieren.16 Viele Ex-
ist dieser entweder gar nicht vorhan- perten sind auch der Meinung, dass ei-
den oder hat aufgrund diverser anfallen- Neue KI-Strategie der ne Fördersumme von 500 Millionen Eu-
der Aufgaben nicht die nötige Zeit sich Bundesregierung ro pro Jahr zu wenig sei, um das stetig
ausreichend um die Sicherheit der Cy- wachsende Feld der KI-Forschung ausrei-
bersysteme zu kümmern. Durch rela- Auch durch bereits beschlossene Pro- chend zu bedienen. Diese Summe wür-
tiv einfache, KI-basierte Systeme könn- jekte soll die zukunftsweisende Tech- de der Bedeutung des Forschungsfelds
te eine wesentlich höhere Sicherheitsstu- nologie der KI in der Bundesrepub- nur unzureichend Rechnung tragen.17
fe als bisher, vor allem bei kleineren und lik gefördert werden. Am 15. November
mittleren Unternehmen, erreicht wer- 2018 hat die Bundesregierung im Rah-
den. Diese Systeme sollen darauf ausge- men der „Digitalklausur“14 beschlos- Notwendigkeit ethischer Richtlinien
richtet sein, die Cybersecurity zu verbes- sen bis ins Jahr 2025 drei Milliarden Eu-
sern und mit Hilfe „lernbasierter Ver- ro in die KI-Entwicklung zu investie-
fahren“ Cyberattacken aufzuspüren.12 ren.15 100 zusätzliche Professuren sollen Mit Hilfe dieser, im Rahmen der Digi-
an deutschen Hochschulen geschaf- talklausur beschlossenen, Fördersumme
Im Rahmen des Forschungsprogramms fen werden, um die bereits positiven sollen auch „ethische Leitlinien für ei-
wird auch ein Fokus auf Projekte gelegt, Entwicklungen weiter voranzutreiben. nen digitalen Wandel“18 entwickelt wer-
die „synthetische Trainingsdaten“ ge- den, um ein Gesellschaftsleben mit der
nerieren und durch deren Auswertung Jedoch besteht ein praktisches Problem Bedeutung und Integrierung von KI-ba-
zukünftige Cyberattacken besser abge- darin, diese große Zahl an fachlich qua- sierten Systemen in geordnete Bahnen zu
wehrt werden können. Der Einsatz au- lifizierten Professoren im Bereich der lenken und somit wirtschaftliche Vortei-
tomatisierter Verfahren in Verbindung KI-Forschung zu finden. Derart qualifi- le für die Bundesrepublik zu generieren.
mit KI soll nach Zielsetzung des For- zierte Fachleute werden oft in die USA Hierzu soll die Datenethikkommission
schungsprojekts dazu führen, dass sich und nach China abgeworben. Im Übri- der Bundesregierung19 nicht nur in infor-
verbundene Cybersysteme zukünftig gen muss als nächster Schritt auch qua- mationstechnologischer und fachlicher
selbstständig auf neue Cyberattacken lifiziertes Personal für die Lehrstühle ge- Hinsicht, sondern eben auch in ethischer
einstellen. Eine Intention der Bundes- funden werden, was sich wiederum als Hinsicht Leitlinien für den Umgang mit
regierung dürfte dabei auch darin be- schwierig erweisen kann. Entsprechende KI erarbeiten. Relevant sind diesbezüg-
stehen, den deutschen Markt zu stärken, Studiengänge müssten bereits jetzt einen lich auch Fragen der rechtlichen Verant-
durch die Entwicklung innovativer Ide- intensiveren Schwerpunkt auf die Erfor-
en und Techniken mit dem Ausland mit- schung und Wissensvermittlung im Rah- 16 Ilg, Heise, http://www.heise.de/-
4255959, (zuletzt abgerufen am 08.02.2019).
zuhalten und somit letztendlich auch ei-
13 Borchers, Heise, http://www.heise.de/- 17 Krempl, Heise, http://www.heise.de/-
11 Deutscher Bundestag, Online- 4284817, (zuletzt abgerufen am 28.01.2019). 4223064, (zuletzt abgerufen am 08.02.2019).
Dienste, https://www.bundestag.de/ 14 Krempl, Heise, http://www.heise.de/- 18 Krempl, Heise, http://www.heise.de/-
dokumente/textarchiv/2018/kw42-pa- 4223064 ,(zuletzt abgerufen am 08.02.2019). 4220850, (zuletzt abgerufen am 11.02.2019).
enquete-ki/573436, (zuletzt abgerufen am 15 Krempl, Heise, http://www.heise.de/- 19 BMI, https://www.bmi.bund.de/DE/
28.01.2019) 4223064, (zuletzt abgerufen am 08.02.2019); themen/it-und-digitalpolitik/datenethik-
12 Borchers, Heise, http://www.heise.de/- Ilg, Heise, http://www.heise.de/-4255959, kommission/datenethikkommission-node.
4284817, (zuletzt abgerufen am 28.01.2019). (zuletzt abgerufen am 08.02.2019). html, (zuletzt abgerufen am 14.02.2019).
BayWiDI Magazin März 2019 S. 3/15
KI weiterzuentwickeln und dadurch für
mehr Sicherheit in elektronischen Sys-
temen sorgen. Durch die Bundesre-
gierung wurden bereits mehrfach För-
dermaßnahmen beschlossen. Dies ist
sicherlich eine begrüßenswerte Entwick-
lung, jedoch müssen im Hinblick auf
Bedeutung und Potential der KI-Tech-
nik auch zukünftig stetig weitere Förde-
rungen auf den Weg gebracht werden.
Insbesondere für KMU kann dies von
äußerster Wichtigkeit sein, denn gera-
wortlichkeit für KI-Systeme, sowie ei- geklärt werden, inwieweit die Bundes- de dort sind begrenzte Ressourcen oft
ne moralische Bewertung des potentiel- bürgerinnen und Bundesbürger ihre per- ein Problem. Nicht alle auf das Internet
len militärischen Einsatzes KI-basierter sönlichen Daten selbstständig und sorg- und Cybersecurity angewiesene Unter-
Waffensysteme.20 Das Potential der KI- sam verwalten können. Das Vertrauen nehmen können sich Systemadministra-
Technologie darf nicht ungenutzt bleiben, in die Sicherheit der IT-Technik soll ge- toren wirtschaftlich leisten oder haben
weil man Angst vor unterschiedlichen stärkt bzw. wiederhergestellt werden.23 Erfahrung darin, Cyberattacken auf ih-
moralisch verwerflichen Einsatzmög- ren Betrieb abzuwehren. Die Unterstüt-
lichkeiten hat. Der friedliche und ethisch Die sich stetig weiterentwickelnden zung der Cybersecurity durch KI kann
geordnete Einsatz der Technologie birgt Möglichkeiten der KI bieten die Chan- für diese Betriebe die Möglichkeit bieten,
für moderne Gesellschaften noch nicht ce, die Cybersecurity von Unterneh- neue Wege im Rahmen ihrer Internetsys-
absehbare wirtschaftliche Vorteile. men merklich zu verbessern. Zu diesem teme zu beschreiten und gleichzeitig ei-
Zweck ist es notwendig, die KI-Entwick- ne optimierte Systemsicherheit zu nut-
lung und die KI-unterstützte Cyberse- zen. Insbesondere durch den vermehr-
Forschungsprojekte als wegweisen- curity zu verbinden.24 Durch das För- ten Einsatz von IoT-Geräten in Betrieben
de Chance derprogramm soll erreicht werden, können Sicherheitslücken entstehen, die
dass sich Universitäten, Forschungs- ohne eine funktionierende und struk-
Das Forschungsprogramm „Selbstbe- stellen und Unternehmen zusammen- turierte Cybersecurity zu erheblichen
stimmt und sicher in der digitalen Welt“21 tun, um durch gegenseitige Erfahrun- Betriebsschädigungen führen können.
soll sowohl die Cybersicherheit von Un- gen und Kompetenzen die IT-Sicherheit
ternehmen verbessern als auch den Spa- bestmöglich zu optimieren. Insbesonde- Ob und zu welchem Zeitpunkt die-
gat zwischen Mensch und KI schaffen. re sollen kleinere und mittlere Unterneh- se Technik allerdings einsatzbe-
Insbesondere legt das Programm den Fo- men (KMU) auf lange Sicht profitieren.25 reit sein wird, hängt auch vom Erfolg
kus auf vier Schwerpunkte im Rahmen des Förderprogramms des BMBF ab.
der Wissenschaft: erstens die Entwick-
lung neuester Hightech-Werkzeuge und Fazit Ass. Jur. Thomas Schneck
Verfahren, zweitens die Sicherung kom-
plexer IKT-Systeme, drittens die Sicher-
heit umfangreicher Ressorts wie Produk- Die Bundesregierung will durch die neu-
tion, Verkehr, Medizin und kritische Inf- este Möglichkeit der Forschungsförde-
rastrukturen und schließlich viertens die rung im Rahmen des Projekts „Selbst-
Berücksichtigung des Bereichs der Pri- bestimmt und sicher in der digitalen
vatheit.22 Im Rahmen der Privatheit soll Welt 2015-2020“ einen Anreiz schaffen,
die zukunftsweisende Technologie der
20 Krempl, Heise, http://www.heise.de/-
4220850, (zuletzt abgerufen am 11.02.2019). (zuletzt abgerufen am 11.02.2019).
21 BMBF, https://www.forschung-it- 23 Vgl. BMWI, https://www.bmwi.
sicherheit-kommunikationssysteme.de/ de/Redaktion/DE/Publikationen/
dateien/publikationen/it_sicherheitskon- Technologie/strategie-kuenstliche-
ferenz_programmbroschuere_2017.pdf intelligenz-der-bundesregierung.pdf?__
,(zuletzt abgerufen am 11.02.2019); BMBF, blob=publicationFile&v=8, (zuletzt
https://www.bmbf.de/de/sicher-in-der-digi- abgerufen am 11.02.2019).
talen-welt-849.html, (zuletzt abgerufen am 24 BMBF, https://www.bmbf.de/foer-
11.02.2019); BMBF, https://www.bmbf.de/ derungen/bekanntmachung-2187.html,
foerderungen/bekanntmachung-2187.html, (zuletzt abgerufen am 11.02.2019).
(zuletzt abgerufen am 11.02.2019). 25 BMBF, https://www.bmbf.de/foer-
22 BMBF, https://www.bmbf.de/foer- derungen/bekanntmachung-2187.html,
derungen/bekanntmachung-2187.html, (zuletzt abgerufen am 11.02.2019).
BayWiDI Magazin März 2019 S. 4/15
Haben Passwörter bald ausgedient? – Neue Möglichkeiten der Authentifizierung
mittels u.a. biometrischer und verhaltensanalytischer Verfahren
Seit jeher sind Passwörter zur Authen-
tifikation bei der Anmeldung auf Inter-
netplattformen oder Nutzung mobiler
Geräte eine geläufige Methode, um den
Zugriff durch unberechtigte Dritte zu
verhindern. Genauso lange wie es Pass-
wörter gibt, gibt es auch unerlässliche Be-
mühungen den Passwortschutz zu um-
gehen. Erst in den vergangenen Wochen
sind millionenfache Hacks von E-Mail-
Adressen inklusive zugehöriger Passwör-
ter bekannt geworden, nachdem diese im
Internet zum Download angeboten wur-
den.1 Daher weist das Bundesamt für Si- dere, wenn nur einfache Passwörter (et- hören etwa Fingerabdruckscanner, wie
cherheit in der Informationstechnik (BSI) wa „1234“) oder ein Passwort für eine sie bereits heute bei vielen Smartphones
auch auf das gesteigerte Erfordernis star- Vielzahl von Accounts verwendet wer- angewendet werden. Neuere Modelle et-
ker Passwörter hin.2 Die Frage nach dem den, besteht eine erhöhte Gefährdung.4 wa scannen die Iris des Gerätenutzers
tatsächlichen Sicherheitswert von Pass- Abgesehen von der Möglichkeit Pass- oder gleich das ganze Gesicht. Am Bei-
wörtern stellt sich demnach zunehmend. wörter zu hacken, können diese auch spiel des Iris-Scans lässt sich die tech-
Der richtige Zeitpunkt also, um über neue schlicht von den berechtigten Nutzern nische Funktionsweise dieser biometri-
und moderne Technologien der Authenti- vergessen oder ihnen gestohlen werden.5 schen Verfahren erklären. Die Iris, also
fizierung nachzudenken. Möglichkeiten, der Bereich, der im Auge um die Pupil-
zu denen etwa die biometrische und ver- le herumliegt, weist bei jedem Menschen
haltensanalytische Identifikationserken- Alternative ein anderes und damit individuelles Mus-
nung zählen, tragen das Potenzial, ein- Authentifikationsoptionen ter auf. Sie ist daher von der Unterschei-
fache Passwörter in Zukunft abzulösen. dungskraft vergleichbar mit dem Fin-
Insbesondere von biometrischen Er- gerabdruck. 7 Wichtiger noch: Die Iris
kennungsmethoden (Iris-Scan, Fin- lässt sich nahezu nicht nachbilden. Dies
Sicherheitslücken beim gerabdruck, etc.) wird der Leser schon macht sie für die Nutzung durch bio-
Passwortschutz einmal gehört haben. Allerdings kön- metrische Erkennungssysteme attrak-
nen auch Verhaltensmuster analysiert tiv.8 Auch Fingerabdrücke sind zwar ein-
Bei der Verwendung von Passwörtern und zur Identifikation des Nutzers, zu- zigartig. Allerdings haben Forscher be-
identifizieren Geräte nicht einwandfrei mindest zusätzlich zur biometrischen reits Methoden entwickelt, mit denen
den Nutzer, sondern registrieren nur, Erkennung, herangezogen werden. sich Fingerabdruckscanner überlisten
dass die Zugangsdaten richtig eingege- ließen. Deren Arbeitsweise wurde aus-
ben wurden.3 Das Fehlen darüber hin- Biometrische Erkennung genutzt, indem sie mit falschen Abdrü-
ausgehender Identifizierungsvorgän- Die biometrische Erkennung ist Teil der cken, hergestellt mit Hilfe von künstli-
ge macht die Passwortsicherung anfällig sog. „Zero Login“ Authentifizierung. Mit cher Intelligenz (KI) gespeist wurden.9
für unberechtigte Zugriffe. Insbeson- Zero Login wird die Anmeldung ohne Er-
fordernis der aktiven Eingabe beschrie- Zur Speicherung des Iris-Musters wird
1 Bekannt geworden unter der Bezeich- ben.6 Zu den Authentifizierungsmodel- zunächst mit Hilfe einer Kamera und In-
nung „Collection #1(-5)“, vgl. Eikenberg, len mit Hilfe biometrischer Scanner ge-
https://www.heise.de/security/meldung/ 7 Vgl. hierzu die malerische Beschrei-
Neue-Passwort-Leaks-Insgesamt-2-2-Milli- bung von Wicht, https://www.spektrum.
arden-Accounts-betroffen-4287538.html, 4 Jacober, https://www.computerwoche. de/kolumne/von-der-iris/1022201, (zuletzt
(zuletzt abgerufen am 31.01.2019), insge- de/a/auslaufmodell-passwort,3546380, abgerufen am 31.01.2019).
samt sind mehr als 2,2 Milliarden E-Mail- (zuletzt abgerufen am 31.01.2019). 8 Walke-Chomjakov, https://www.pcwelt.
Adressen betroffen. 5 Jayshree/Preeti, User Authentification de/tipps/So-funktioniert-ein-Iris-Scan-
2 BSI, https://www.bsi-fuer-buerger.de/ by Face Recognition, IJARCSSE Band 6 Aus- ner-10069493.html, (zuletzt abgerufen am
BSIFB/DE/Empfehlungen/Passwoerter/ gabe 3, 2016, Seite 15, abrufbar unter http:// 31.01.2019).
passwoerter_node.html, (zuletzt abgerufen ijarcsse.com/Before_August_2017/docs/pa- 9 Vgl. Bontrager/Roy/Togelius/Memon/
am 31.01.2019). pers/Special_Issue/iconect2016/fcs06.pdf, Ross, DeepMasterPrints: Generating Master-
3 Dazu Jacober, https://www.com- (zuletzt abgerufen am 31.01.2019), S. 15. Prints for Dictionary Attacks via Latent Vari-
puterwoche.de/a/auslaufmodell-pass- 6 Jacober, https://www.computerwoche. able Evolution, abrufbar unter https://arxiv.
wort,3546380, (zuletzt abgerufen am de/a/auslaufmodell-passwort,3546380, org/pdf/1705.07386.pdf, (zuletzt abgerufen
31.01.2019). (zuletzt abgerufen am 31.01.2019). am 13.02.2019).
BayWiDI Magazin März 2019 S. 5/15
frarotfunktion ein Scan der Iris durch- lytische Methoden können neben der nachweis unterstützen.17 Ein Vorreiter
geführt, bei dem das Muster der sog. Re- Authentifizierung auch zu anderen Si- auf dem Gebiet verhaltensanalytischer
genbogenhaut der Iris aufgenommen cherungszwecken eingesetzt werden, et- Sicherungstechnik ist Amazon. Der
und anschließend gespeichert wird.10 wa bei der Erkennung von Missbrauch Konzern registriert bereits, wenn Nut-
Bei Samsung-Geräten etwa, die mit Iris- im Bereich mobiler Geldtransfers.15 zer sich über fremde Geräte oder von un-
Scanner ausgestattet sind, wird das ge- gewöhnlichen Standorten aus anmel-
scannte Muster anschließend auf dem Ge- den und verlangt daraufhin eine weite-
rät selbst verschlüsselt abgespeichert. 11 re Authentifikation durch den Nutzer. 18
Will sich ein Nutzer bei dem Gerät an- Blockchain-gestützte Identifikation
melden, liest die Kamera des Geräts - Blockchain als „Tresor für
die Iris des Nutzers ein und vergleicht Authentifizierungsdaten“19
das erkannte Muster mit den hinter- Authentifizierungsdaten können zu-
legten Daten. Bei einem positiven Ab- Auch wenn biometrische Erkennungs- mindest theoretisch auch mit Hilfe der
gleich wird das Gerät freigeschaltet. methoden ein durchaus hohes Maß an Si- Blockchain-Technologie gesichert wer-
cherheit bieten, so können auch hier Feh- den und genutzt werden. Die Idee dahin-
Die zusätzliche Mustererkennung von ler in Folge von Messungenauigkeiten ter ist, sich die besonderen Sicherheits-
Gesichtsscans erfordert unter ande- oder Veränderungen der körperlichen vorteile von Blockchain als Verschlüs-
rem die Ausrüstung mit einer Tiefener- Merkmale, unter anderem in Folge von selungsmethode zu Nutze zu machen.
kennungskamera.12 Auf diese Weise Krankheiten o.ä. auftreten. Hierbei kön- Unter anderem wird Blockchain als „un-
werden bis zu 30.000 separate Gesichts- nen sowohl Personen fälschlicherweise vernichtbar“, „fälschungsresistent“, „un-
punkte aufgenommen und gespeichert.13 vom System ausgesperrt(false-rejection) veränderlich“ und „fehlertolerant“ be-
In einer ähnlichen Methode werden Bil- als auch eigentlich unberechtigte Perso- schrieben.20 Dabei hängt die Verschlüs-
der des Gesichts bzgl. bestimmter Merk- nen von den Systemen fälschlicherweise selung der Daten insbesondere von der
male, wie etwa der Abstand der Augen zugelassen (false-acceptance) werden. 16 Widerstandsfähigkeit der Verschlüsse-
voneinander registriert. Gesichtserken- lung ab.21 Da die Blockchain-Verschlüs-
nungsauthentifizierung bietet den Vor- Verhaltensanalytische Erkennung selung grob beschrieben von der zu-
teil, dass nicht nur der erstmalige Login Verhaltensanalytische Erkennungstech- sammengetragenen Rechenleistung der
sicher gestaltet werden kann, sondern nik kann vor allem bei der Multi-Fak- Blockchain-Nutzer abhängt, schwächt
dass selbst eine fortlaufende Authen- tor-Authentifizierung zum Einsatz kom- die Verschlüsselungssicherheit demnach
tifizierung während einer Sitzung mög- men. Multi-Faktor-Authentifizierung mit steigender Rechenleistung seitens
lich ist. Auf diese Weise könnten Gerä- beschreibt hierbei die Authentifizierung der Cyber-Kriminellen ab. Eine umfas-
te derart stark gesichert werden, dass anhand mehrerer Nachweismittel. Ne- sende Sicherheit ist demnach unter Um-
selbst kurze Abwesenheiten des berech- ben dem Einsatz biometrischer Erken- ständen gerade nicht gewährleistet. Ge-
tigten Nutzers die Nutzung des Gerä- nung können auch andere Daten, wie rade wenn biometrische Authentifikati-
tes durch unberechtigte Dritte automa- z.B. Geo- und Bewegungsdaten der Nut- onsmerkmale gespeichert sind, kann eine
tisch stoppen würden.14 Verhaltensana- zer oder Analysen von Tippgeschwindig- Schwachstelle in der Blockchain zu weit-
keit, als Verhaltensmuster den Identitäts- reichenden Folgen führen.22 In diesem
10 Walke-Chomjakov, https://www.pcwelt.
de/tipps/So-funktioniert-ein-Iris-Scan-
ner-10069493.html, (zuletzt abgerufen am 17 Jacober, https://www.computerwoche.
31.01.2019). 15 Vgl. dazu den Aufsatz von Rieke/Zhda- de/a/auslaufmodell-passwort,3546380,
nova/Repp/Giot/Gaber, Verhaltensanalyse (zuletzt abgerufen am 31.01.2019).
11 Walke-Chomjakov, https://www.pcwelt.
de/tipps/So-funktioniert-ein-Iris-Scan- zur Erkennung von Missbrauch mobiler 18 Jacober, https://www.computerwoche.
ner-10069493.html, (zuletzt abgerufen am Geldtransferdienste, GI 2014, 271, abrufbar de/a/auslaufmodell-passwort,3546380,
31.01.2019). unter https://www.researchgate.net/profi- (zuletzt abgerufen am 31.01.2019).
le/Romain_Giot2/publication/261027965_ 19 Schmitz, https://www.security-insider.
12 Walke-Chomjakov, https://www. Verhaltensanalyse_zur_Erkennung_von_
pcwelt.de/tipps/So-funktioniert-ein-Iris- de/blockchain-gestuetzte-benutzerauthen-
Missbrauch_mobiler_Geldtransferdienste/ tifizierung-a-792826/, (zuletzt abgerufen am
Scanner-10069493.html, (zuletzt abgerufen links/55fff74908ae07629e51e999/
am 31.01.2019). 31.01.2019).
Verhaltensanalyse-zur-Erkennung-von-
13 Das iPhone X nutzt unter anderem Ge- Missbrauch-mobiler-Geldtransferdienste. 20 Siehe etwa bei Schmitz, https://www.
sichtserkennung zur Authentifizierung, vgl. pdf?origin=publication_detail, (zuletzt security-insider.de/blockchain-gestuetzte-
Xie, https://www.forbes.com/sites/forbe- abgerufen am 31.01.2019). benutzerauthentifizierung-a-792826/,
stechcouncil/2018/09/19/the-future-of-bio- (zuletzt abgerufen am 31.01.2019).
16 Bundesbeauftragte für den Datenschutz
metric-facial-recognition/#78533ef53c74, und die Informationssicherheit, https:// 21 Schmitz, https://www.security-insider.
(zuletzt abgerufen am 31.01.2019). www.bfdi.bund.de/DE/Datenschutz/ de/blockchain-gestuetzte-benutzerauthen-
14 Vgl. die Studie von Jayshree/Preeti, Themen/Technische_Anwendungen/ tifizierung-a-792826/, (zuletzt abgerufen am
User Authentification by Face Recognition, TechnischeAnwendungenArtikel/Biomet- 31.01.2019).
http://ijarcsse.com/Before_August_2017/ rieUndDatenschutz.html?cms_templateQu 22 Schmitz, https://www.security-insider.
docs/papers/Special_Issue/iconect2016/ eryString=biometrische+erkennung&cms_ de/blockchain-gestuetzte-benutzerauthen-
fcs06.pdf, (zuletzt abgerufen am sortOrder=score+desc, (zuletzt abgerufen tifizierung-a-792826/, (zuletzt abgerufen am
31.01.2019). am 13.02.2019). 31.01.2019).
BayWiDI Magazin März 2019 S. 6/15
GVO28 hohe Bedeutung haben auch die
datenschutzrechtlichen Sicherungs-
pflichten von Verantwortlichen. Gem.
Art. 32 DS-GVO gehören zu einer aus-
reichenden Sicherheitsstruktur unter an-
derem die Schaffung von individualisier-
ten Nutzerkennungen und das Erforder-
nis, einen unbefugten Zugang zu den
verarbeiteten Daten durch Dritte mit-
tels Passwortschutz zu verhindern.29 Für
Anbieter digitaler Dienste regelt das
BSIG30 besondere Sicherheitserforder-
Fall würden sich nicht vorhersehbare da- teile.26 Nachvollziehbarer Weise nisse. Anbieter von Online-Marktplät-
tenschutzrechtliche Folgen ergeben.23 treten im Vergleich zu biometrischen zen, Online-Suchmaschinen und Cloud-
Insbesondere würde sich aufgrund der und verhaltensanalytischen Authenti- Computing-Dienste sind demnach ver-
Beteiligung sämtlicher Blockchain Nut- fikationsversionen hier dem Passwort- pflichtet, geeignete technische und
zer an den Verarbeitungsvorgängen die schutz ähnliche Probleme auf. So könn- organisatorische Maßnahmen zu treffen,
Frage stellen, wer als „Verantwortlicher“ te etwa ein gestohlener Personalausweis um Risiken für die Sicherheit der Netz-
im Sinne der DS-GVO für den Fall einer unter Umständen zu einer Authentifika- und Informationssystemen zu begegnen,
DS-GVO-widrigen Datenverarbeitung tion durch unberechtigte Dritte führen. § 8c Abs. 1 BSIG. Im Rahmen dieser Ver-
gem. Art. 82 DS-GVO haften würde. pflichtung können zur effektiven Durch-
Zusammenfassung führung von Zugriffskontrollen auch be-
Personalausweis und Der Passwortschutz stellt sich zuneh- sondere Authentifizierungserfordernis-
der elektronische mend als unsichere Zugangssicherung se für den Zugriff erforderlich werden.31
Identifikationsnachweis heraus. Insbesondere aber stellen nur
Mit Einführung des neuen Personalaus- einfache Passwörter keinen hinreichen- Auch das sich derzeit in der parlamen-
weisgesetzes (PAuswG) am 1.11.2010 hat den Schutz dar. Um es der Cyberkrimi- tarischen Beratung befindende Gesetz
der deutsche Gesetzgeber eine zusätzli- nalität in Zukunft schwerer zu gestal- zum Schutz von Geschäftsgeheim-
che Identifikationsmöglichkeit geschaf- ten unberechtigt auf Systeme zuzugrei- nissen32 soll dem Know-how-Schutz
fen. So können gem. § 18 PAuswG Perso- fen, bieten sich eine Reihe moderner in Deutschland eine Mindestsicherung
nalausweisinhaber diesen zum Nachweis Alternativen an. Hierbei scheint die bio- garantieren.33 Dies wird auch das Er-
der Identität sowohl gegenüber öffent- metrische Identifikation, etwa Finger- fordernis einer ausreichenden IT-Si-
lichen als auch nicht-öffentlichen Stel- abdruck oder Iris-Scan, ein besonders cherheit, einschließlich personalisier-
len nutzen. In der Zielsetzung sollte die hohes Schutzniveau zu versprechen. ter Nutzerkennungen und Passwort-
Identifizierbarkeit im Internet mit dieser Personalausweis-Identifikation, Erken- schutz umfassen.34 Schon jetzt können
Methode der persönlichen Vorlage des nung von Verhaltensmustern oder Block- mangelnde Sicherheitsstandards zum
Personalausweises gleich gestellt wer- chain-Alternativen sollten soweit mög- Schutz von Betriebsgeheimnissen ei-
den.24 Die Identifikation funktioniert, in- lich, nur Teil eines Multi-Factor-Authen-
dem auf dem Ausweis gespeicherte Iden- tifizierungsverfahrens sein, also nur in 28 Datenschutzgrundverordnung.
tifikationsdaten verschlüsselt übermittelt Verbindung mit weiteren Identifikati- 29 Schwartmann/Jaspers/Thüsing/Kugel-
werden. Der erforderliche Schlüssel hier- onserfordernissen eingesetzt werden. mann, DS-GVO/BDSG, C.F.Müller, 2018, Art.
zu ist in nicht auslesbarer Weise auf dem 32, Rn. 21.
Personalausweis gespeichert. So kann der 30 Gesetz über das Bundesamt für Sicher-
Rechtliche Pflicht zur Schaffung von heit in der Informationstechnik.
gesendete Datensatz (Identifikationsda-
Authentifizierungserfordernissen 31 Vgl. zur Verpflichtung zu Zugriffskon-
ten und korrekte Verschlüsselung) nur trollen, Voigt, IT-Sicherheitsrecht, otto-
von einem Nutzer unter Verwendung schmidt, 2018, S. 157; vgl. auch Bundesamt
dieses Personalausweises stammen.25 Unternehmen können, auf Grundla- für Sicherheitstechnik in der Informations-
technik, https://www.bsi.bund.de/DE/Ser-
ge unterschiedlicher Regelungen, zur vice/FAQ/IT-Sicherheitsgesetz/faq_node.
Gegenüber der klassischen Verwen- Schaffung von Zugangssicherungen ver- html#faq6636766, (zuletzt abgerufen am
dung von Nutzername und Pass- pflichtet sein. Hierunter fallen etwa aus- 06.03.2019).
wort bietet die Identifikation mit- drückliche vertragliche Vereinbarun- 32 Vgl. Bundesministerium der Justiz und
für Verbraucherschutz, https://www.bmjv.
tels Personalausweis durchaus Vor- gen zu Geheimhaltungspflichten etwa
de/SharedDocs/Gesetzgebungsverfahren/
bei der Vorprüfung neuer Geschäftsmo- DE/GeschGehG.html, (zuletzt abgerufen am
delle.27 Eine seit Inkrafttreten der DS- 06.03.2019).
23 Vgl. hierzu Schrey/Thalhofer, NJW 2017, 33 Voigt/ Herrmann/ Grabenschröer, BB
1431, 1433 ff. 26 Borges, NJW 2010, 3334, 3337. 2019, 142.
24 Vgl. Borges, NJW 2010, 3334, 3336. 27 Vgl. Voigt, IT-Sicherheitsrecht, otto- 34 Voigt/ Herrmann/ Grabenschröer, BB
25 Borges, NJW 2010, 3334, 3336. schmidt, 2018, S. 34. 2019, 142, 145.
BayWiDI Magazin März 2019 S. 7/15
nen Wettbewerbsverstoß darstellen.35 nutzern eine Beeinträchtigung der per- Der Passwortschutz kann erhöht wer-
sonenbezogenen Daten, wie sie Art. 8 den, wenn neben einfachen Buchsta-
Ob und inwiefern auch Private verpflich- der Charta der Grundrechte der EU ben und Zahlen auch auf eine Variati-
tet sein können eine, dem aktuellen Stand unter Schutz stellt, vorliegen. Zusätzlich on von Groß- und Kleinschreibung und
entsprechende, IT-Sicherheit einschließ- wird immer auch eine Berührung des Sonderzeichen (etwa: Gk?!+) zurückge-
lich eines Passwortschutzes zu schaffen, Rechts auf informationelle Selbstbe- griffen wird.
beschreiben Walker und Scheurer im an- stimmung, geschützt als Teil des Allge- Keine Verwendung von Namen von
schließenden Beitrag. Insgesamt wird je- meinen Persönlichkeitsrechts gem. Art. Familienmitgliedern, des Haustieres
doch deutlich, dass das Vorhalten mo- 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, an- o.ä.
derner Zugriffssicherungen allein schon zunehmen sein. Die grundrechtlichen
Keine Verwendung von einfachen
aufgrund zahlreicher vertraglicher und Implikationen werden zwar weitgehend
Tastaturmustern, wie 1234abcs oder
gesetzlicher Sicherheits- und Sicherungs- durch den engen Rahmen der DS-GVO
asdfgh
vorschriften berücksichtigt werden sollte. gemindert sein. Dennoch wird grund-
sätzlich auch unabhängig von den Vorga-
ben der DS-GVO eine besondere Vorsicht Grundsätzliches
Daten- und Persönlichkeitsschutz- beim Umgang mit alternativen Authen- Keine
einheitlichen Passwörter ver-
bezogene Bedenken tifizierungsmethoden zu fordern sein. wenden: Bei Verwendung nur eines
Passwortes für eine Vielzahl von Zu-
Die Verwendung von Passwortalternati- gängen, sind bei Zugriff auf dieses eine
ven kann zwar Sicherheitsvorteile liefern, Exkurs: Anleitung zu einem wirksa- Passwort durch Unberechtigte, sämtli-
allerdings steigt das Maß an daten- und men Passwortschutz che Zugänge ungeschützt.
persönlichkeitsschutzrechtlichen Beden- Voreingestellte Passwörter ändern:
ken. Sowohl biometrische Daten (Finger- Bis die oben beschriebenen Technologien Sind z.B. bei bestimmten Softwarepro-
abdruck, Gesichtsscan, etc.) als auch Ver- zur Authentifikation im Internet, an mo- dukten nur voreingestellte allgemein
haltensmuster, die einzelnen Personen bilen Geräten, etc. das Passwortschutzer- bekannte Passwörter eingestellt, kön-
zugeordnet werden, stellen besondere fordernis wirklich verdrängen und eine nen Hacker diese mit geringem Auf-
Kategorien personenbezogener Daten im alltagstaugliche Alternative darstellen, wand austesten, um unbefugten Zu-
Sinne des Art. 9 DS-GVO dar. Ihre Erhe- sollten sich Nutzer technischer Geräte griff zu erhalten.
bung ist daher nur unter den besonderen weiterhin um eine Sicherung durch star-
Bildschirmschoner mit Kennwort si-
Zulässigkeitsvoraussetzungen des Art. 9 ke Passwörter bemühen. Bieten biomet-
chern: Diese Maßnahme dient dazu, zu
DS-GVO gestattet und kann nicht bereits rische und verhaltensanalytische Model-
verhindern, dass kurze Abwesenheits-
auf die allgemeinen Rechtmäßigkeitsvo- le zwar ein sehr hohes Sicherheitsniveau,
phasen vom Computer nach Durchfüh-
raussetzungen des Art. 6 DS-GVO ge- so kann jedoch mit der Wahl eines Pass-
rung des initialen Authentifizierungs-
stützt werden. Erforderlich ist daher, dass worts das bestimmten Qualitätsanforde-
vorgangs ausgenutzt werden können,
die betroffene Person in die Erhebung rungen genügt, ein zumindest höheres
um auf Inhalte zuzugreifen.
der biometrischen Daten entweder aus- Schutzniveau als bei nur einfachen oder
drücklich einwilligt (eine einfache Ein- mehrfach verwendeten Passwörtern ge- Passwörter nicht an Dritte weiterge-
willigung nach Art. 6 Abs. 1 S. 1 lit. a, und schaffen werden.36 Im Folgenden soll da- ben oder per E-Mail versenden: Ins-
Art. 7 DS-GVO genügt nicht) oder, dass her eine kurze Anleitung zur Erstellung besondere sollte kein Vertrauen in den
besondere gesetzliche Erlaubnisse, etwa sicherer Passwörter und dem Umgang Versand von Passwörtern via E-Mail
bei besonderen arbeits- oder sozialrecht- mit dem Passwortschutz gegeben werden: gesetzt werden. E-Mails werden über-
lichen Erfordernissen, dies gestatten. Im wiegend unverschlüsselt gesendet
Regelfall wird die Erhebung dieser beson- Passworterstellung und können darüber hinaus, verloren-
ders sensiblen Daten wohl auf eine aus- Passwort sollte gut zu merken sein. gehen, falsch adressiert oder heraus-
drückliche Einwilligung gestützt werden. gefiltert werden.
Passwort sollte dennoch möglichst
lang sein: Das BSI empfiehlt eine Min- Nutzung eines Passwort-Managers:
Neben den besonderen Anforderungen destlänge von acht Zeichen, bei Ver- Um dem Erfordernis der Verwendung
des Datenschutzes soll nicht vergessen schlüsselungsverfahren für WLAN so- mehrerer Passwörter gerecht werden
werden, dass bei der Preisgabe von bio- gar von mindestens 20 Zeichen. zu können und gleichzeitig der Gefahr
metrischen Daten und Verhaltensmus- zu begegnen, einzelne Passwörter zu
Nutzung aller verfügbaren Zeichen:
tern auch grundrechtlich geschützte Po- vergessen, können sog. Passwort-Ma-
sitionen betroffen sein können. Unter an- nager zum Einsatz kommen, bei denen
derem kann durch die Verbreitung und 36 Vgl. BSI, https://www.bsi-fuer-buerger. durch ein überdurchschnittlich starkes
de/BSIFB/DE/Empfehlungen/Passwoerter/ Passwort, sämtliche Passwörter gebün-
Speicherung der biometrischen Daten
passwoerter_node.html, zuletzt abgerufen
und der Verhaltensmuster von System- am 13.02.2019; BSI, https://www.bsi-fuer- delt abgesichert werden.
buerger.de/BSIFB/DE/Empfehlungen/
35 Vgl. Voigt, IT-Sicherheitsrecht, otto- Passwoerter/Umgang/umgang_node.html, Jannik Zerbst, LL.M. (VUW)
schmidt, 2018, S. 46. (zuletzt abgerufen am 13.02.2019).
BayWiDI Magazin März 2019 S. 8/15
IT-Sicherheit. Privat? – Grund- und datenschutzrechtliche Aspekte einer
privaten Pflicht zur IT-Sicherheit
A. Einleitung
Zugangsdaten, private Fotografien, um-
fassende Informationen über Angehörige
und Dritte: Ein Blick in die Speicherme-
dien der Smartphones, Laptops, Tablets
oder Rechner verrät oftmals nicht nur in-
timste Details über den Eigentümer, son-
dern gleichermaßen auch über dessen
Umfeld. Dass ein solcher Zugriff auch oh-
ne elaboriertes Spezialwissen vonstatten-
gehen kann, zeigte jüngst ein 20-jähriger
Schüler, der im Dezember 2018 das digita- IT-Sicherheit, auch innerhalb des priva- nung an § 2 Abs. 1 BSIG schließt der Be-
le Privatleben der deutschen (Polit-) Pro- ten Umfelds gewährleistet ist. Im Fol- griff der IT folglich Hard- und Software
minenz Tweet für Tweet veröffentlichte. genden soll der Frage nachgegangen mit der Fähigkeit, Daten und Informati-
Vor diesem Hintergrund stellt sich zu- werden, ob sich eine Pflicht zur priva- onen zu verarbeiten und zu übertragen
nehmend die Frage, ob und wie weit auch ten IT-Sicherheit unmittelbar aus dem ein.5 § 2 Abs. 1 BSIG bietet hingegen kei-
„private Datensammler“ IT-sicherheits- Grundgesetz, nämlich als Ausfluss der ne Grundlage für eine denkbare weitere
rechtlichen Pflichten unterliegen. Der in Art. 14 Abs. 2 GG normierten Sozial- Voraussetzung des Begriffs der IT, näm-
vorliegende Beitrag möchte diese Frage bindung des Eigentums ergeben kann. lich für eine informationstechnische Ver-
sowohl aus grundrechtlicher (dazu unter netzung.6 Anknüpfungspunkt für eine
B.) als auch aus datenschutzrechtlicher 1. Ausgangspunkt: Eigentum an IT im Weiteren zu erörternde (grundrecht-
Perspektive (dazu unter C.) untersuchen. Es ist zunächst zu klären, woran Eigen- liche) Pflicht zu privaten IT-Sicherheits-
tum, also die einem Berechtigten norma- maßnahmen ist also das Eigentum an IT.7
tiv zur privaten Nutzung und Verfügung
B. Private Pflicht zur IT-Sicherheit zugeordnete und einen Vermögenswert 2. Ausgestaltung: Art und Umfang der
beinhaltende Rechtsposition2, bestehen Pflicht zur IT-Sicherheit?
soll. In Betracht kommt das Eigentum an Die vielfältigen, häufig schwer erkenn-
I. Grundrechtliche Vorgaben der Informationstechnik (IT). Dabei stellt baren Bedrohungen für die IT befin-
In einer zunehmend digitalen Gesell- sich aber die Frage, wie der Begriff der IT den sich in einem stetigen Wandel.8 Da-
schaft drohen den grundrechtlich ver- zu definieren ist. Eine Legaldefinition fin- bei sind die Risiken im Hinblick auf die
bürgten Freiheiten des Einzelnen nicht det sich in § 2 Abs. 1 BSIG, der IT als „al- Software von größerem Gewicht, da erst
allein Beeinträchtigungen von staat- le technischen Mittel zur Verarbeitung
licher Seite, sondern auch im Verhält- oder Übertragung von Informationen“ heitsgesetzes und der RL (EU) 2016/1148, S.
nis zu seinen Mitbürgern. Insbesondere definiert. Ausgehend vom Wortlaut des § 40.
das Grundrecht auf Schutz der Persön- 2 Abs. 1 BSIG („alle technischen Mittel“) 5 Eckert, IT-Sicherheit, Konzepte, Verfah-
ren, Protokolle, S. 3.
lichkeit (Art. 2 Abs. 1 GG i.V. mit Art. 1 kann man unter IT zum einen Hardware,
6 Freimuth, Die Gewährleistung der IT
Abs. 1 GG) in seiner speziellen Ausprä- also alle gegenständlichen Bestandtei- Kritischer Infrastrukturen – Am Beispiel der
gung des Schutzes der informationellen le, die der Verarbeitung von Informati- Pflichten des IT-Sicher-
Selbstbestimmung ist in Gefahr, weil In- onen dienen3, subsumieren. Der Begriff heitsgesetzes und der RL (EU) 2016/1148, S.
41; Eckert, IT-Sicherheit, Konzepte, Verfah-
formationen von Bürgern in ungeahnter der IT ist darüber hinaus aber auch in ren, Protokolle, S. 3.
Größenordnung in einer für den Einzel- seinem technischen Zusammenhang zu 7 Zur Frage des Eigentums an Software,
nen kaum noch erkennbaren Weise im sehen und erfasst daher zum anderen vgl. ausführlich Freimuth, Die Gewährleis-
Umlauf sind. Ideal wäre ein „Zustand, die informationstechnisch notwendigen tung der IT Kritischer Infrastruk-
turen – Am Beispiel der Pflichten des
in dem die Einhaltung bestimmter Si- Programme als Software, die der Nut-
IT-Sicherheitsgesetzes und der RL (EU)
cherheitsstandards, die die Verfügbar- zung der Hardware dienen.4 In Anleh- 2016/1148, S. 135 f.
keit, Unversehrtheit oder Vertraulich- 8 BSI, Die Lage der IT-Sicherheit in
2 BVerfGE 68, 193, 222; BVerfGE 78, 58, 71.
keit von Informationen betreffen“1, also Deutschland 2018, S. 91, abrufbar unter
3 Kloepfer/Neun, Informationsrecht, § 1 https://www.bsi.bund.
1 Freimuth, Die Gewährleistung der IT Rn. 7. de/SharedDocs/Downloads/DE/BSI/Publi-
Kritischer Infrastrukturen – Am Beispiel der 4 Freimuth, Die Gewährleistung der IT kationen/Lageberichte/L agebe-
Pflichten des IT-Sicherheitsgesetzes Kritischer Infrastrukturen – Am Beispiel der richt2018.pdf?__blob=publicationFile&v=5,
und der RL (EU) 2016/1148, S. 60. Pflichten des IT-Sicher- (zuletzt abgerufen am 06.03.2019).
BayWiDI Magazin März 2019 S. 9/15
die Software eine effektive Nutzung der
Hardware für Datenverarbeitungs- und
Kommunikationsprozesse gewährleistet
und somit eine Verwirklichung der Risi-
ken im Bereich der Software besonders
weitreichende Folgen haben kann.9 Die
Abwehr durch präventive Maßnahmen
stellt eine Herausforderung dar. Frag-
lich ist, ob es diese auch im privaten Um-
feld anzugehen gilt. Zu diesem Zweck soll
vorab untersucht werden, unter welchen
Umständen das Eigentum allgemeine si-
cherheitsrechtliche Pflichten begründen
kann. Dazu eignet sich das Beispiel des
Baurechts (dazu unter a)). Die dabei ge-
fundenen Grundsätze sollen sodann im
Kontext der Digitalisierung aufgegriffen Teil 1 Titel 8 § 65 Preuß. ALR von 1794 be- albindung des Eigentums in erster Linie
und übertragen werden (dazu unter b)). stimmte: „In der Regel ist jeder Eigent- dem Schutz von Leben und Gesundheit.15
hümer seinen Grund und Boden mit Ge- Hintergrund ist also das in Art. 2 Abs. 2
a. „Eigentum verpflichtet.“ bäuden zu besetzen oder sein Gebäude Satz 1 GG normierte Grundrecht auf Le-
In Art. 14 Abs. 2 Satz 1 GG („Eigentum zu verändern wohl befugt.“ Dass aber die ben und körperliche Unversehrtheit.
verpflichtet.“) kommt das „soziale Einge- Baufreiheit Einschränkungen unterliegt, Auch wenn Art. 2 Abs. 2 Satz 1 GG ei-
ordnetsein des Eigentums“10 zum Aus- wurde in der darauffolgenden Norm klar- ne Sonderstellung einnimmt, weil die
druck. Der „Gesetzgeber [hat] bei der Re- gestellt. So hielt die Bestimmung in Teil Vorschrift „Voraussetzung aller anderen
gelung des Eigentumsinhalts das Wohl 1 Titel 8 § 66 Preuß. ALR von 1794 fest: Grundrechte“16 ist, kommt dem Grund-
der Allgemeinheit zu beachten“11, wobei „[Z]um Schaden oder zur Unsicherheit recht auf informationelle Selbstbestim-
seine Befugnis zur Inhalts- und Schran- des gemeinen Wesens [soll] kein Bau und mung aus Art. 2 Abs. 1 GG i.V. mit Art.
kenbestimmung „umso weiter [ist], je keine Veränderung vorgenommen wer- 1 Abs. 1 GG als Ausprägung des Schut-
stärker der soziale Bezug des Eigentum- den.“ Vor diesem Hintergrund besteht zes der Persönlichkeit ebenfalls hohes
sobjekts ist“12. Der in Art. 14 Abs. 1 GG auch heute die Dispositionsbefugnis des Gewicht zu. Im digitalen Zusammen-
gewährten Freiheit ist also eine – in ih- Eigentümers in Bezug auf die bauliche hang würde eine Pflicht zur IT-Sicher-
rem Ausmaß vom sozialen Bezug des Ei- Nutzung seines Grund und Bodens auf- heitsvorsorge im privaten Umfeld den
gentumsobjekts abhängige – Rückbin- grund zahlreicher normativer Bindungen Schutz der Verfügbarkeit, Unversehrt-
dung an die Gesellschaft immanent. planungs- und ordnungsrechtlicher Art heit oder Vertraulichkeit von Informatio-
möglicherweise im Hinblick auf das „Ob“ nen entscheidend befördern und so dafür
Ein Beispiel dafür, dass der Gesetzgeber und „Wann“ des Bauens, aber nicht im sorgen, dass das Grundrecht auf Eigen-
seinem aus Art. 14 Abs. 2 GG folgenden Hinblick auf das „Wie“ des Bauens.14 Die tum und das Grundrecht auf informati-
Auftrag, dem Eigentümer die im Inter- in Art. 14 Abs. 2 GG verfassungsrecht- onelle Selbstbestimmung nicht gegenein-
esse des Allgemeinwohls erforderlichen lich angelegte Pflicht zur Sicherheits- ander ausgespielt, sondern im Sinne der
Schranken zu setzen nachkommt, ist das vorsorge ist im baurechtlichen Kontext praktischen Konkordanz17 einander so
Baurecht. So ist die Baufreiheit seit je- also durch den Gesetzgeber aktiviert. zugeordnet werden, dass möglichst bei-
her ein traditionelles Element des verfas- de zur optimalen Wirksamkeit gelangen.
sungsrechtlich gewährleisteten Grundei- b. Art. 14 Abs. 2 GG im digitalen Kontext
gentums, wie etwa ein Blick in die Vor- Aus den vorstehenden Ausführungen er- Im Rahmen der Bestimmung des Be-
gaben des Preußischen Allgemeinen gibt sich, dass Art. 14 Abs. 2 GG grund- griffs der IT wurde bereits angesprochen,
Landrechts (Preuß. ALR) zeigt.13 Schon sätzlich geeignet ist, Pflichten zur Sicher- ob die informationstechnische Vernet-
heitsvorsorge zu begründen. Es bleibt zung nicht weitere Voraussetzung von
9 Freimuth, Die Gewährleistung der IT nun zu klären, ob die Sozialbindung in IT sei und selbst wenn man dies im Rah-
Kritischer Infrastrukturen – Am Beispiel der Art. 14 Abs. 2 GG eine Pflicht zur IT-Si- men von § 2 Abs. 1 BSIG ablehnt, so ist
Pflichten des IT- Sicherheits-
cherheitsvorsorge im privaten Umfeld
gesetzes und der RL (EU) 2016/1148, S. 42.
begründen kann. Im baurechtlichen Zu- 15 Dirnberger/Lechner, in: Simon/Busse,
10 Sitzung vom 7.10.1948, abgedruckt in Bayerische Bauordnung, Art.1 BayBO Rn. 2.
Deutscher Bundestag/Bundesarchiv (Hrsg.), sammenhang dienen bauordnungsrecht-
16 BVerfGE 39, 1, 42; BVerfGE 88, 203,
Der Parlamentarische Rat 1948 – liche Vorschriften als Ausfluss der Sozi-
1949, Bd. 5/I, 1993, S. 172 (197 ff.). 251ff.; Lang, in: BeckOK GG, Art.2 GG Rn. 56,
der auch von einem „Vorausset-
11 BVerfGE 21, 73, 83. 164. zungsgrundrecht“ spricht.
12 St. Rspr.: BVerfGE 100, 226, 241 m.w.N. 14 Papier/Shirvani, in: Maunz/Dürig, 17 Hesse, Grundzüge des Verfassungs-
13 Papier/Shirvani, in: Maunz/Dürig, Grundgesetz Kommentar, Art. 14 GG Rn. rechts der Bundesrepublik Deutschland,
Grundgesetz Kommentar, Art. 14 GG Rn. 165. Rn. 308.
BayWiDI Magazin März 2019 S. 10/15eine Anweisung für das konkrete Ver- Frage, ob bei privaten Tätigkeiten grund-
halten des Eigentümers“19 entnommen sätzlich der Anwendungsbereich eröff-
werden. Dieser Auffassung ist im Hin- net ist (dazu unter a)). Für den Fall, dass
blick auf den Grundsatz des Vorbehalts dies zu bejahen ist, ist insbesondere die
des Gesetzes und die in Art. 14 Abs. 1 sogenannte Haushaltsausnahme des Art.
Satz 2 GG ausdrücklich normierte Ver- 2 Abs. 2 lit. c DSGVO zu beachten (b)).
pflichtung des Gesetzgebers, Inhalt und
Schranken des Eigentums zu bestim- a. Die grundsätzliche Anwendbarkeit
men, zu widersprechen.20 Aus Art. 14 des Datenschutzrechts
Abs. 2 Satz 1 GG folgt somit die Pflicht Nach Art. 2 Abs. 1 DSGVO gilt die Ver-
des Gesetzgebers, die Sozialbindung des ordnung für die ganz oder teilweise au-
Eigentums auszugestalten.21 Die „Grund- tomatisierte Verarbeitung personenbe-
plicht“ des Art. 14 Abs. 2 Satz 1 GG ist zogener Daten. Die zentralen Merkmale
vielmehr eine Grundrechtsschranke.22 des personenbezogenen Datums im Sin-
ne des Art. 4 Nr. 1 DSGVO als auch der
3. Zwischenfazit Verarbeitung gem. Art. 4 Nr. 2 DSGVO
diese doch charakteristisches Element Die Pflicht zur IT-Sicherheitsvorsorge im sind dabei nach gängiger Überzeugung
der IT und damit ist Eigenart und Funk- privaten Umfeld wird vorliegend als Aus- einer weiten Auslegung zugänglich.23 Die
tion der IT, dass sie sich auf die Gesell- fluss der in Art. 14 Abs. 2 GG normierten Vorgaben des Datenschutzrechts sind
schaft beziehen kann. Vor diesem Hinter- Sozialpflicht des Eigentums gesehen, muss grundsätzlich in den Fällen zu beachten,
grund ist eine Differenzierung der jewei- aber vom Gesetzgeber aktiviert werden. in denen auf personenbezogene Daten
ligen IT-Nutzung angezeigt. Der soziale eingewirkt wird.24 Automatisiert ist das
Bezug der IT-Nutzung wird abzulehnen II. Datenschutzrechtliche Vorgaben Verfahren bereits dann, wenn der Ver-
sein, wenn die jeweilige Infrastruktur Im Folgenden soll nunmehr untersucht arbeitungsvorgang unter Einbeziehung
lediglich in geringem Umfang genutzt werden, ob sich eine Verpflichtung zur technischer Einrichtungen wie etwa Lap-
wird und aus der Nutzung keine gesell- privaten IT-Sicherheit auch unmittel- tops, Smartphones oder beispielswei-
schaftlich relevanten Gefahren resultie- bar aus den Vorgaben des Datenschutz- se anhand einer Digitalkamera erfolgt.25
ren. Auch hier könnte erneut auf die Vor- rechts ergeben kann. Zu diesem Zweck Speichert also der private Anwender bei-
gaben des Baurechts, insbesondere des ist zunächst zu prüfen, ob und in wel- spielsweise Telefonnummern, Fotografi-
Bauordnungsrechts zurückgegriffen wer- chem Umfang das Datenschutzrecht en oder andere Informationen über iden-
den, welche die Genehmigungspflicht ei- auch im privaten Umfeld anwendbar ist tifizierbare oder, wie regelmäßig der Fall
nes Bauvorhabens auch erst aber einer (1.). Soweit der Anwendungsbereich er- identifizierte Dritte ist der Anwendungs-
gewissen Relevanz des jeweiligen Pro- öffnet ist, stellt sich konsequenterwei- bereich der DSGVO regelmäßig eröffnet.
jekts anordnen. In diesem Sinne könnte se die Frage nach der datenschutzrecht-
vertreten werden, dass eine grundrecht- lichen Verantwortlichkeit der privaten b. Die „Haushaltsausnahme“ des Art. 2
liche Pflicht zur IT-Sicherung ebenfalls Anwender (dazu unter 2.). Abschließend Abs. 2 lit. c DSGVO
erst ab einer gewissen „Erheblichkeits- sollen die Besonderheiten der datensi- Insbesondere bei privaten Verarbeitungs-
schwelle“ anzunehmen ist. Das Eigen- cherheits- und damit allgemein IT-si- vorgängen kommt es aber in Betracht,
tum an IT kann also einen starken sozi- cherheitsrechtlichen Vorgaben mit Blick dass die Bereichsausnahme des Art. 2
alen Bezug aufweisen, der dann weitrei- auf den Privaten aufgezeigt werden. (3.). Abs. 2 lit. c DSGVO ergänzend zu be-
chende Befugnisse des Gesetzgebers im rücksichtigen ist. Dieser zur Folge kom-
Hinblick auf die Ausgestaltung der Sozi- 1. Anwendbarkeit des Datenschutz-
albindung des Eigentums nach sich zieht. rechts im privaten Umfeld 23 Vgl. dazu etwa Karg, in: Simitis/Hor-
Die Frage, ob das Datenschutzrecht im nung/Spiecker, Datenschutzrecht, 2019, Art.
c. Verfassungsunmittelbare Pflicht jeweiligen Fall berücksichtigt werden 4 Nr. 1 DSGVO Rn. 3; Roßnagel, in: Simitis/
Hornung/Spiecker, Datenschutzrecht, 2019,
Schließlich ist fraglich, ob aus Art. 14 muss, wird maßgeblich durch die Vor- Art. 4 Nr. 2 DSGVO Rn. 1; Klar/Kühling, in:
Abs. 2 Satz 1 GG eine verfassungsunmit- gaben des Art. 2 als auch des Art. 3 Da- Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
telbare Rechtspflicht des Grundrechts- tenschutz-Grundverordnung (DSGVO) 2018, Art. 4 Nr. 1 DSGVO Rn. 8; Herbst, in:
Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
berechtigten folgt. Nach Auffassung von determiniert. Vorliegend sind dabei die 2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in:
Hermann von Mangoldt sollte dem in Bestimmungen zum sachlichen Anwen- Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art.
Art. 14 Abs. 2 Satz 1 GG verankerten Ge- dungsbereich gem. Art. 2 DSGVO von ge- 4 Nr. 1 Rn. 7, Rn. 23.
bot sozial gerechter Eigentumsnutzung sondertem Interesse. Mithin stellt sich die 24 In diesem Sinne auch Herbst, in:
Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
eine „Grundpflicht“18, also „unmittelbar
19 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in:
Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art.
20 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 4 Rn. 23.
18 Sitzung vom 7.10.1948, abgedruckt in
Deutscher Bundestag/Bundesarchiv (Hrsg.), 21 Axer, in: BeckOK GG, Art.14 GG Rn. 25. 25 Dazu etwa Schild, in: Wolff/Brink,
Der Parlamentarische Rat 1948 – 22 Hufen, Staatsrecht II - Grundrechte, §5 BeckOK Datenschutzrecht, 26. Edit. Stand:
1949, Bd. 5/I, 1993, S. 172 (197 ff.). Rn.25. 01.02.2018, Art. 4 DSGVO Rn. 34.
BayWiDI Magazin März 2019 S. 11/15Sie können auch lesen
