2 Gründe und Notwendigkeit für Datenschutz

Wie schon erwähnt sind IT- Systeme Bestandteil des täglichen Lebens. Auf Heimcomputern, Notebooks und PDAs bzw. Handys von Privatpersonen existiert eine Vielzahl von Daten. Diese können dazu benutzt werden, Profile von den Betroffen anzufertigen und für Verkaufszwecke ³ oder illegale Unternehmungen ⁴ zu nutzen. Weiterhin ist das so genannte Phishing ⁵ eine beliebte Methode, um an Bankdaten zu gelangen und anschließend das gesamte Konto (meist vom Ausland aus) zu leeren.

Die Risiken für IT- Systeme in Unternehmen sind in der Regel noch größer als für Privatpersonen, da neben Industriespionage und Sabotage auch Straftaten vom meist leistungsfähigen Netzwerk des Unternehmens aus begangen werden. Sicherheitsbehörden und andere öffentliche Einrichtungen sind im Besitz von umfangreichen Personenbezogenen Daten ⁶ , die besonders schutzwürdig sind. Datenschutz hat daher hier einen höheren Stellenwert als in Privathaushalten. Zudem ergeben sich Datenschutzverpflichtungen aus verschiedenen nationalen und internationalen Vorschriften.

Datenschutz in informationsverarbeitenden und -lagernden Systeme soll Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Dies bezieht sich also auf alle relevanten Informationen einer Organisation, einschließlich personenbezogener Daten. Vertraulichkeit bedeutet, dass die Daten lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden dürfen. Vertraulichkeit soll einen unbefugten Informationsgewinn verhindern. Integrität heißt, dass die Daten nicht unbemerkt verändert werden dürfen, bzw. dass alle Änderungen nachvollziehbar sein müssen. Diese Verlässlichkeit soll eine unbefugte Modifikation verhindern. Verfügbarkeit meint, dass Daten nicht verschwinden dürfen und bei Bedarf zugreifbar sein müssen, sowie die Gewährleistung der Funktionsfähigkeit                                                              

³  Personenbezogene Werbung etc. 

⁴  Identitätsdiebstahl. 

⁵  engl. password harvesting fishing = Passwörter ernten / angeln i.S.v. ausspähen. 

⁶  Datenbestände von Polizei, Einwohnermeldeamt, Finanzamt, usw.  2 

von Programmen. Zielrichtung ist hier, dass eine unbefugte Beeinträchtigung der Funktionalität unterbunden wird. Weiterhin ist auch die Authentizität von Daten von Bedeutung, was Zurechenbarkeit und Rechtsverbindlichkeit impliziert ⁷ .In bestimmten Fällen, z.B. beim Surfen im Internet, spielt auch die Anonymität des Anwenders eine Rolle. Ziel der Informationssicherheit ist es, dem Verlust dieser Eigenschaften entgegenzuwirken. Durch den Verlustder Verfügbarkeit können z.B. keine Geldtransaktionen mehr durchgeführt werden. Ohne Vertraulichkeitwerden interne und personenbezogeneDaten Unbefugten bekannt. Der Verlust der Integrität führt zu Verfälschungen. Da Authentizität ein Teil der Integrität ist, werden bei Verlust Daten der falschen Person zugeordnet (z.B. eBay- Bestellungen zu Lasten Dritter) ⁸ .

3 Bedrohungen

Die Effekte oder Ziele die ein potenzieller Angreifer im Normallfall aus monetären, teilweise aber auch aus altruistischen Gründen anstrebt, sind ein technischen Systemausfall, Systemmissbrauch (illegitime Ressourcennutzung, Veränderung von Inhalten, usw.), Sabotage, Spionage, Betrug und Diebstahl.

Zur Verwirklichung dieser Ziele steht eine Reihe von Möglichkeiten zur Verfügung: 3.1 Fehler (Bugs)

Bugs in Programmen oder Programmteilen haben Wirkungen, die nicht den Anforderungen entsprechen. Aufgrund der hohen Komplexität der heutigen Software treten Bugs relativ häufig auf. Ein Grund dafür ist die Veröffentlichung unausgereifter Produkte aus Konkurrenzdruckgründen. Werden diese Bugs nicht behoben, können weitere Fehler auftreten (z.B. Programm läuft instabil und Datenverlust). Zudem sind Bugs offene Türen

⁷ Vgl. FEDERRATH (2007), S. 12ff. 

⁸ Vgl. TAVAS (2006), S, 2f.  3 

für Hacker zum System. Ein Negativbeispiel war jahrelang der „Internet Explorer“ von Microsoft ⁹ . 3.2 Trojanisches Pferd

Das trojanische Pferd ist, in Anlehnung an die griechische Mythologie, ein Programm oder Programmteil mit verdeckten Wirkungen. Meist ist der Trojaner eine vermeintlich nützliche Anwendung, wobei im Hintergrund eine andere (schadhafte) Anwendung abläuft. Der Trojaner verbreitet sich entweder über Datenträger oder über Downloads aus dem Internet (E-Mail- Anhänge, Tauschbörsen, etc.).Trojaner können nach u.a. Benutzerdaten ausspionieren und Tastaturfolgen aufzeichnen, was für die Überwachung von Home-Banking- Programmen relevant ist. Weiterhin kann ein Trojaner unerwünschte Werbung anzeigen, den Benutzer auf bestimmte Webseiten (meist aus dem Erotikbereich) weiterleiten und Zugangsdaten (u.a. zu E- Mail- Anbietern) ausspähen. Noch gefährlicher jedoch sind so genannte Serverprogramme,dem Angreifer den Zugriff auf das System ermöglichen.

Trojaner können nach verschiedenen Tätigkeiten unterschieden werden ¹⁰ :

• Backdoor-Trojaner-Utility der Remote-Administration: Remote-Administration von Computern im Netzwerk.

• Trojan-PSW - Passwort-Diebstahl: System- Dateien werden nach Kennwörtern durchsucht und diese an den Angreifer gesendet.

• Trojan-Clicker - Internet-Klicker: Ungesetzmäßiger Zutritt zu Webseiten.

• Trojan-Downloader - Download anderer Schadprogramme.

• Trojan-Dropper - Installation anderer Schadprogramme.

• Trojan-Proxy - Trojaner Proxy-Server: Zugang zu verschiedenen Internet-Ressourcen (Spam-Versand).

⁹  Vgl. TAVAS (2006), S. 5. 

¹⁰ Vgl. TAVAS (2006), S. 5ff.  4