Probleme des Datenschutzes und der IT-Sicherheit bei Benutzung des Internets

Inhaltsverzeichnis

1 Vorwort

2 Allgemeines
2.1 Datenschutz
2.2 IT-Sicherheit
2.3 Überschneidungen

3 Internet
3.1 Geschichte
3.2 Funktionsweise
3.3 Nutzungsmöglichkeiten
3.3.1 Informationsbeschaffung, ,,Surfen"
3.3.2 Präsentationen, Homepage 3.3.3 Elektronische Post, E-Mail 88 3.3.4 Online-Banking
3.3.5 Handel im Internet, E-Commerce

4 Probleme bei Nutzung des Internet
4.1 Computerkriminalität
4.2 Datenspuren und Cookies 4.3 Viren
4.4 Trojanische Pferde
4.5 Unterschrift und Bezahlung

5 Schutzmöglichkeiten
5.1 Technischer Schutz
5.1.1 Firewall
5.1.2 Kryptographie
5.1.3 Digitale Signatur
5.2 Persönlicher Schutz

6 Schlussbetrachtung

Literaturverzeichnis

1 Vorwort

Das Internet - ein rechtsfreier Raum !?

So oder ähnlich war bis vor wenigen Jahren die herrschende Meinung. Das Internet als globales Netzwerk ohne Ländergrenzen und ohne Gesetze war rechtlich bislang nur schwer zu bewerten. Jedoch zeigen Hunderte von Gerichtsurteilen, daß es Gesetze für den Datenschutz und die Datensicherheit gibt, zumindest in Deutschland.

Daten und Informationen sind die Währung der Zukunft im Internet¹ und deshalb ist die Beschaffung von Daten, hauptsächlich personenbezogener Daten, ein lukratives Geschäft. Für den Einen ein finanzieller Gewinn, für den Anderen ein Problem seine Daten zu schützen.

Aber es gibt Hilfe - die Gesetzgeber haben das Problem erkannt und versuchen durch Gesetze und Aufklärung den Verbraucher zu schützen. Aber auch die Wirtschaft arbeitet an Lösungen, um den Mißbrauch mit Daten und Informationen zu ,,bändigen".

Eine allumfassende Betrachtung dieser Probleme würde den Rahmen dieser Hausarbeit sprengen, so daß das Hauptaugenmerk dieser Arbeit auf die zukünftigen Problemlösungen gelegt wurde. Aber auch die rechtlichen Grundlagen sollen aufgezeigt werden. Sie zeigen, daß der Verbraucher Rechtsschutz und persönliche Schutzmöglichkeiten hat.

Diese Hausarbeit wurde von mir eigenständig und ohne fremde Hilfe verfaßt. Alle Zitate und fremde Formulierungen wurden kenntlich gemacht.

Mannheim im Dezember 1999 Hans-Joachim Westphale

2 Allgemeines

2.1 Datenschutz

Die Geschichte des Datenschutzes beginnt im Grunde genommen schon ca. 400 v. Chr. mit dem ,,Eid des Hippokrates". Persönliche Daten gehen die Allgemeinheit nichts an und sollten nur von kompetenten und möglichst wenigen Personen behandelt werden, wenn der Zweck es rechtfertigt. In der modernen Datenverarbeitung (DV) ist die elektronische Datenverarbeitung (EDV) nicht mehr wegzudenken. Mit Einführung der Informationstechnik (IT) ist es auf Knopfdruck möglich, Daten abzufragen. Nicht nur die Menge der Daten, sondern auch deren

Verknüpfbarkeit und Verwertbarkeit der Daten, die bei der Nutzung der modernen Informationstechnik anfallen, erfordern neue Konzepte zum Schutz des Persönlichkeitsrechts².

Der Datenschutz im Sinne des Bundesdatenschutzgesetzes hat die Aufgabe, den Einzelnen davor zu schützen, daß durch den Umgang mit seinen personenbezogenen Daten (pbD) sein Persönlichkeitsrecht beeinflußt wird³.

Diese Aufgabenstellung wurde schon Mitte der 70er Jahre deutlich und durch das Volkszählungsurteil vom 15.12.1983⁴ konkretisiert. Das daraus neu überarbeitete Bundesdatenschutzgesetz (BDSG) in der Fassung vom 20. Dezember 1990 erhielt durch das Urteil Verfassungsrang. Hierbei wurde der Begriff,,informationelle Selbstbestimmung"entwickelt. Als Verpflichtung des Staates wurde der Schutz des Individuums gesehen. Die Würde des Menschen ist unantastbar , so Artikel 1 Grundgesetz (GG), d.h. der Schutz des autonomen Individuums, frei nach E. Kant, wird hier gemeint. In Verbindung mit Artikel 2 GG muß jedes Individuum ein Recht auf allgemeine Handlungsfreiheit haben. Das heißt, daß ein jeder die Möglichkeit haben muß, ob er oder ob er nicht handelt bzw. was er von sich preisgibt. Einschränkungen existieren nur bei öffentlichem Interesse oder durch Verletzung anderer Gesetze.

Das BDSG regelt den Datenschutz für öffentliche Stellen des Bundes und der Länder, wobei darauf hinzuweisen ist, daß mittlerweile alle Bundesländer eigene Landesdatenschutzgesetze (LDSG) erlassen haben, die qualitativ den Datenschutz besser regeln, als das BDSG. Im Übrigen regelt das BDSG den Datenschutz der nicht öffentlichen Stellen und der Privatwirtschaft. Sowohl das BDSG als auch die LDSGe schreiben einen Datenschutzbeauftragten vor, der als Hauptaufgabe das Herstellen von Transparenz und Öffentlichkeit hat. In den regelmäßig herauszugebenden Tätigkeitsberichten werden immer die Probleme und die Abstellungsforderungen laut.

Das BDSG gilt nur falls keine speziellen Gesetze bestehen⁵. Das BDSG findet deshalb heute fast nur noch im öffentlichen Bereich Anwendung.

Vielmehr ist ein Gesetzpaket als Ersatz oder Zusatz geschaffen worden, dasGesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste- Gesetz (IuKDG). Das in Artikel aufgeteilte Gesetz beinhaltet u.a. das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG), das Signaturgesetz (SigG) sowie Änderungen des Strafgesetzbuches und des Urheberrechtgesetzes. Durch die Änderung des

Urheberrechtes setzte die Bundesregierung am 13.Juni 1997 die EG-Richtlinie 96/9 über den rechtlichen Schutz von Datenbanken um.

Weitere relevante Gesetze bzw. Verordnungen sind u.a.:

_ Telekommunikationsgesetz (TKG)
_ Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV)
_Bürgerliches Gesetzbuch (BGB)
_Markengestz (MarkenG)
_Strafprozessordnung (StPO)
_und viele mehr.

Sowohl der Bundesbeauftragte für den Datenschutz Joachim Jakob als auch Bundesjustizministerin Herta Däubler-Gmelin sind sich im Klaren darüber, dass das bisherige BDSG überholungsbedürftig sei. Vorrang habe aber zur Zeit die Umsetzung der EG- Richtlinien, da es auch hier zu viele Nischen zum Umgehen des Datenschutzes gäbe.

2.2 IT-Sicherheit

Im Gegensatz zum Datenschutz mit dem Hauptaugenmerk auf die personenbezogenen Daten behandelt die IT-Sicherheit die technische Seite sowie die Sicherung von Datenflüssen gegen Störungen und unbefugte Eingriffe Dritter.

Gemäß DIN-Norm, sagt die Definition Datensicherung: ,,Maßnahmen und Einrichtungen, die Datensicherheit herbeiführen und erhalten."⁶

,,Datensicherungist die Gesamtheit aller organisatorischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff aufgrund von Katastrophen, technischen Ursachen, menschlichem Versagen oder mutwilligen Eingriffen. Datensicherheithingegen ist der angestrebte Zustand, der durch alle diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann", so definiert Klaus Pommerening in seinem Buch Datenschutz und Datensicherheit die Begriffe deutlicher und treffender.

Datensicherung wird grundsätzlich auf alle Arten von maschinell gespeicherten Informationen bezogen. Hierzu gehören sämtliche Unternehmungsdaten, ggf. auch Betriebsgeheimnisse, aber auch Mitarbeiterdaten und im öffentlichen Bereich Bürgerdaten. Hierbei sind Verfahren der Datensicherung bei Übertragungen, Speicherung und Verarbeitung vorrangiges Ziel der IT-Sicherheit.

2.3 Überschneidungen

Im direkten Vergleich mit dem Datenschutz läßt sich die Datensicherung (im Fachjargon auch IT-Sicherheit genannt) nur schwer abgrenzen. Beispielsweise wird in den meisten Betrieben täglich ein Back-up⁷ des Informationssystems ,,gezogen" und verschlossen. Der Verschluß dient der Datensicherung. Sind auf dem Back-up allerdings personenbezogene Daten, so dient der Verschluß auch dem Datenschutz.

Abbildung in dieser Leseprobe nicht enthalten⁸

Sicherlich ist in den meisten Betrieben die Datensicherheit wichtiger als der Datenschutz. Ein Back-up wird meistens nur zur Sicherung der Daten gemacht. Auf die Art der Daten kommt es nicht an, wichtig ist nur, dass am nächsten Tag der Datenbestand noch erhältlich bzw. nach einem Systemabsturz wiederherstellbar ist.

Dennoch kann die Datensicherung und -sicherheit nach dieser kurzen Betrachtung als das Ergebnis und die Folge der Anwendung vom informatischen Datenschutz gesehen werden.

3 Internet

3.1 Geschichte

Im September 1969 wurde die erste Datenübertragung zwischen zwei Rechnern der University of California L.A. vollzogen, die fünf Meter auseinander standen. 6 Wochen später, am 29.Oktober 1969, gelang die erste Datenübertragung zweier Rechner über eine 50- Kbit/s-Telefonleitung⁹.

Im Laufe der Zeit wurde diese Datenübertragung hauptsächlich militärisch genutzt. 1972 hatten 50 Universitäten und militärische Einrichtungen Zugang zum sogenannten Arpanet ¹⁰, dem Vorläufer des Internet. 1973 wurde das Netz auch nach Europa exportiert. Vorreiter waren Norwegen und England. 1983 bestand das Internet aus 500 vernetzten Rechnern. Zu dieser Zeit wurde das Internet nur zum wissenschaftlichen Datenaustausch genutzt. Erst als 1991 das europäische Kernforschungszentrum CERN in Genf das World Wide Web (WWW) entwickelte, wurde dieser Teilbereich des Internets der Öffentlichkeit zugänglich gemacht und löste einen wahren Internet-Boom aus. Heute sind weltweit ca. 61 Millionen Computer

(Deutschland: 11 Millionen) dem Internet angeschlossen und die Tendenz ist rasch steigend¹¹.

Laut Angaben des US-Handelsministeriums verdoppelt sich der Datenverkehr im Internet alle 100 Tage.

3.2 Funktionsweise

Das Internet ist ein immens großes Netzwerk, in dem Tausende von Computern und kleinere Netzwerke miteinander verbunden sind. Bei der Nutzung des Internet werden hauptsächlich

Telefonleitungen und Standleitungen genutzt. Über diese Leitungen der Internet-Computer lassen sich Daten per Modem¹² oder ISDN- Karte austauschen oder herunterladen, elektronische Briefe verschicken und sogar Videokonferenzen organisieren.

Hierbei nutzen fast alle Rechner das Internet Protocol (IP), das die Regeln beim Datenaustausch festlegt. Oft wird in der Literatur vom TCP/IP gesprochen, dem Transmission oder Transfer Control Protocol/Internet Protocol oder dem FTP/IP (File Transfer Protocol/IP). Diese sind jedoch nur zwei spezielle Protokolle einer großen Anzahl von Protokollen¹³. Die Daten werden in einzelnen Datenpaketen per TCP an das zentrale IP verschickt und erhalten dort die Empfänger- und Absenderadresse. Von dort werden die Datenpakete einer oder mehrerer Empfängeradressen zugestellt. Eine detaillierte Funktionsbeschreibung würde allerdings den Rahmen dieser Hausarbeit sprengen.

Um Zugang zu dem sogenannten World Wide Web (www.) zu erhalten, benötigt man einen Internetzugangsanbieter. Die bekanntesten Anbieter sind hier T-Online¹⁴ und AOL¹⁵. Diese Dienstleistungen sind kostenpflichtig.

3.3 Nutzungsmöglichkeiten

3.3.1 Informationsbeschaffung, ,,Surfen"

Den Durchbruch schaffte das Internet durch den fast unbegrenzten Zugang zu Informationen, für die man ansonsten einen immensen Zeitaufwand benötigen würde. Von zuhause aus in Bibliotheken stöbern, Zeitungsartikel zu bestimmten Themen suchen, Unterhaltungsprogramme und Zeiten von Theatern und Kinos erfragen oder einfach nur seine Neugier befriedigen, das sind Punkte, die das Internet heutzutage fast unersetzlich machen.

Aber auch das Telefonieren oder das globale Unterhalten in bestimmten virtuellen Räumen (,,chatten") sind Beiträge zum Internet-Boom.

3.3.2 Präsentationen, Homepage

Jedermann, der es für nötig hält, sich der Menschheit zu präsentieren, hat eine eigene Homepage. Keine weltoffene Firma kann es sich leisten, nicht im Internet vertreten zu sein und zu werben. Durch den Besitz einer Homepage teilt man den Internetbenutzern, die diese Homepage aufrufen, wichtige Informationen mit oder verweist sie durch sogenannte

,,Links"¹⁶ auf andere, mit dem Thema verwandte Internetseiten. Oft ergänzen Firmen ihre

Seiten mit Gewinnspielen oder Werbebannern anderer nicht konkurrierender Firmen. Die Einrichtung einer Homepage ist in der Regel kostenfrei und wird von den

Internetzugangsunternehmen zur Verfügung gestellt. Extras, wie z.B. größerer Speicherplatz, Wunschadresse oder Besucherzähler können von diversen Anbietern allerdings in Rechnung gestellt werden.

Meistens ist der Firmenname auch die Adresse der Homepage, d.h. www.firma.Länderkennung, z.B. www.bahn.de für die Deutsche Bahn AG.

3.3.3 Elektronische Post, E-Mail

Mit Hilfe eines E-Mail-Programms¹⁷ ist es möglich innerhalb des Internets Post zu verschicken. Diese Post kann nicht nur aus Text bestehen sondern auch Bilder oder komplette Programme beinhalten. Hierbei wird die Post nicht von Rechner zu Rechner geschickt,

sondern E-Mail ist ein sogenannter ,,store and forward"-Dienst, d.h. eine Maschine leitet die Post solange weiter, bis sie ihr Ziel erreicht hat¹⁸, ähnlich den Postämtern und

Postvertriebszentren der Deutschen Post. Die Übertragung dieser Daten dauert in der Regel nur wenige Sekunden, so daß der Empfänger innerhalb kürzester Zeit die elektronische Post erhält. Hierzu ist eine spezielle, meist kostenlose E-Mail-Adresse notwendig. Eigentlich besteht diese Adresse aus einer Zahlenkombination, die bei der Einrichtung der Adresse überschrieben werden kann. Diese besteht dann aus dem Benutzernamen (in der Regel frei wählbar), dem @ (gesprochen: ät), dem Anbieter und der Länderkennung, z.B. benutzer@t- online.de.

3.3.4 Online-Banking

Der Bankschalter gehört in ein paar Jahren der Vergangenheit an - immer mehr Internetbenutzer machen von der Möglichkeit Gebrauch, ihre Bankgeschäfte von zuhause via Internet zu regeln. Bereits Anfang der 80ger Jahre führte die Telekom den Bildschirmtext (BTX) ein. Hierbei war es möglich, mit Hilfe einer persönlichen Identifikationsnummer (PIN) und einer Transaktionsnummer (TAN), Überweisungen zu tätigen oder aber nur den Kontostand abfragen. Die PIN wird jeweils nur einmal vergeben, die TAN muss bei jeder Transaktion neu gewählt werden. Hierzu bekommt man von seinem Kreditinstitut eine Liste mit mehreren TAN. Heute werden neben dem PIN / TAN - Verfahren noch andere Sicherheits- und Verschlüsselungsstandards benutzt: z.B. dasHomebanking Computer Interface(HBCI), wobei hierbei die elektronische Unterschrift der entscheidende Vorteil ist. Eine ausführliche Vorstellung erfolgt in dem Kapitel ,,technischer Schutz".

Die Sicherheit beim Online-Banking hat sich in den letzten Jahren zum Vorzeigeobjekt gemausert. Hörte man in den Anfangsjahren noch Horrormeldungen über Hackereinbrüche und haarsträubenden Transaktionen, so ist es heute leise geworden. Die ,,Deutsche Bank 24" hat extra 12 Mitarbeiter angestellt, die versuchen, das Sicherheitssystem zu überwinden.

Bislang gelang es nicht einem Mitarbeiter.

Die ,,Deutsche Bank 24" geht so weit, dass sie sämtliche Vermögensschäden, die aus dem Online-Bereich herausgeschehen, und wenn kein Verschulden des Kunden vorliegt, ersetzt. Bislang lag die Beweislast beim Kunden, der ohne technisches Wissen keinerlei Chance hatte, ein Verschulden der Bank nachzuweisen, zumal der Kunde keinen Zugriff auf die technischen Systeminformationen hatte und in der Regel auch nicht bekam.. Vorreiter dieser umgekehrten Beweislastwaren die Raiffeisen-Volksbank e.G., nachdem das später noch beschriebene HBCI eingeführt wurde.

Somit ist das Online-Banking wahrscheinlich die einzige Sparte, die effektive Sicherungen besitzt und diese auch nutzt.

3.3.5 Handel im Internet, E-Commerce

Diesem Einkaufsladen im Internet gehört die Zukunft, es gibt fast kein Produkt mehr, welches im Internet nicht erhältlich ist. Von Zuhause sammelt man Informationen, vergleicht Angebote , bestellt online die gewünschten Produkte und bezahlt bequem per Kreditkarte oder Bankeinzug. Kein lästiger Einkaufsstress in überfüllten Geschäften. Aber auch Kleinanzeigen und Auktionen findet man in der Rubrik E-commerce.

In Deutschland befassen sich derzeit nur 17% der Unternehmen mit dem elektronischen Handel, in Frankreich sind es schon 25%, in Großbritannien 40%¹⁹.

Dies ist nur eine kleine Auswahl von den vielen Nutzungsmöglichkeiten, die das Internet bietet. Aber schon bei der Betrachtung dieser Möglichkeiten fallen dem aufmerksamen Leser eine Reihen von rechtlichen und technischen Problemen auf.

4 Probleme bei Nutzung des Internet

4.1 Computerkriminalität

Computerkriminalität ist so alt wie der Computer selbst.

Schon immer gab es einige Computernutzer, die versuchten, ihr Wissen praktisch zu erweitern und auszuprobieren, ob die Kenntnisse ausreichen, um Profit aus der Sache zu schlagen. Oft waren diese Versuche nicht böse gemeint, man wollte eben nur auf Sicherheitslücken und -risiken aufmerksam machen. Der Chaos Computer Club aus Hamburg deckte in den letzten zwei Jahrzehnten diese Lücken auf und bot auch Problemlösungen an.

Aber nicht alle ,,Hacker²⁰" arbeiteten zum Wohle der Menschheit, viele bewegten sich in der Grauzone zwischen Legalität und Kriminalität. Der Gesetzgeber konnte gar nicht so schnell handeln, wie es nötig gewesen wäre. Man könnte provokativ fragen, ob sich das Internet gerade wegen der fehlenden rechtlichen Würdigung bis ca. 1995 so rasant entwickeln konnte²¹. Erst in den letzten Jahren ist die elektronische Datenverarbeitung in die Strafgesetze eingearbeitet worden.

Das Strafgesetzbuch (StGB) ist dahingehend geändert worden, dass nun auch das Ausspähen von Daten (§ 202a StGB), der Computerbetrug (§ 263a StGB), das Erschleichen von Leistungen (§ 265a StGB), die Datenveränderung (§ 303a StGB) sowie die Computersabotage (§303b StGB) einen Straftatbestand erfüllen. Oft ist schon alleine der Versuch strafbar.

Dies gilt aber nur für Deutschland - international wird die Computerkriminalität teilweise etwas lascher und weniger streng beurteilt.

Das Urheberrecht wurde bereits dem Europarecht angeglichen, die EU-Richtlinie wurde in nationales Recht umgesetzt. Aber es existieren zu wenige staatenübergreifende Gesetze und Rechtsverordnungen, um die Computerkriminalität effektiv zu bekämpfen. Internationale Dachorganisationen mit nationalem Unterbau und grenzübergreifenden Kompetenzen wären hier sicherlich ein Schritt in die richtige Richtung und werden weltweit auch angestrebt.

4.2 Datenspuren und Cookies

Marketing-Experten wittern das große Geschäft - jeder Internetbenutzer hinterlässt im Netz Datenspuren, sogenannte ,,Log-Files", die von Experten aufgezeichnet und ausgewertet werden können. Microsoft kann z.B. mit jedem Rechner kommunizieren, der mit dem hauseigenen Internet Explorer im Netz ist. Diese Kommunikation ist meist nur einseitig, der Nutzer bekommt von dieser wenig oder nichts mit. Microsoft kann also, während der Nutzer online ist, in aller Ruhe die Seriennummern der Programme überprüfen und ggf. sogar

,,schwarze", nicht lizenzierte Software identifizieren. Prozessorhersteller Intel plant für die Zukunft elektronische Seriennummern für seine Chips, so dass eine Identifizierung jedes einzelnen Intel-Rechners im Netz möglich wird.

Aber auch das Besuchen von Internetseiten kann eine Menge über den Nutzer verraten. Welche Seiten besucht er, was kauft er über das Internet, in welcher Preisklasse, welche Suchbegriffe benutzt er im Internet ? - anhand dieser Informationen lässt sich ein eindeutiges Nutzerprofil erstellen. Dies kann aktiv durch sogenannte Archivierungsfirmen²² geschehen, die regelmäßig das Internet archivieren oder aber durch ,,Cookies", die der Unternehmer nach dem Besuch seiner Internetseite auf dem Fremdrechner ablegt. Eigentlich dienen diese ,,Cookies" der Realisierung von Einkaufskörben²³. Hierbei werden die Bestelldaten beim

Besteller hinterlegt, damit er später die ausgesuchten Produkte nicht mühselig in das Bestellformular übertragen muss. Die Cookies können aber bei einem erneuten Besuch auf der Startseite des Unternehmens dem Unternehmer genaue Angaben über den Besucher machen. Sogar eine Namenszuordnung ist möglich, und dem Besucher können Informationen über seine Interessen unbemerkt zugespielt werden. Dies geschieht hauptsächlich durch Links, die auf der Startseite empfohlen werden.

Nehmen wir einmal an der Nutzer A bucht über das Internet eine Reise in den Kosovo. Sämtliche Vorbereitungen und Informationsbeschaffung finden ausschließlich im Internet statt. Kurz bevor er die Reise antritt, bekommt er Besuch von einem Sicherheitsdienst, der in der Zeit der Abwesenheit das Haus bewachen will. Und dann steht noch der Herr von der Versicherung vor der Tür, der eine erhöhte Lebensversicherung verkaufen will. Und per E- Mail flattern Prospekte über schusssichere Westen, Krankenhäuser und Reha-Zentren ins Postfach.

Löbliche Vorsätze, gute Ideen und gezielte Werbung könnte man meinen, aber wie sieht der Schutz ansonsten aus. Wen geht es etwas an, dass Nutzer A regelmäßig in Flensburg oder St. Pauli die Internetseiten besucht oder täglich online neue Kredite aufnehmen muss ? Die Unternehmen sprechen von verbessertem Kundenservice, der Verbraucherschutz vom gläsernen Surfer oder dem allwissenden Unternehmen. Vorteile oder Nachteile, das Problem hierbei ist eindeutig, dass der Kunde nicht selbst entscheiden kann, welche Daten er wem, wann und in welcher Menge zur Verfügung stellt. Darüber hinaus wird mit diesen Daten richtig Geld verdient. Und wo ein satter Gewinn lockt, da wird der Datenschutz eben recht klein geschrieben; der Verbraucher hat doch nur Vorteile ;-) , wenn er unaufgefordert Tipps und Tricks bekommt, gezielte Werbung erhält und ab und zu auch kleine Programme zum Downloaden²⁴. Ohne diese Vorteile würden die Kunden nie so viele Informationen über sich preisgeben.

Bei einer Aktion im Internet werden verschiedene Arten von personenbezogenen Daten übermittelt. Zum Einen sind das die Stammdaten, die eine Person eindeutig für den Anbieter (Provider) identifizieren, zum Anderen die Verbindungsdaten, wer, wann mit wem wie viele Daten ausgetauscht hat, und letztlich die Inhaltsdaten, also der Inhalt der eigentlichen Nachricht.

Generell ist der Provider zur Datenvermeidung und Datensparsamkeit angehalten. Dies regelt das Teledienstedatenschutzgesetz (TDDSG) in § 3 (4), dass ,,keine oder so wenig personenbezogene Daten wie möglich" gespeichert werden. Eine Aufbewahrung dieser Daten ist zur Archivierung nicht gestattet. Eine Löschung muss frühestmöglich (§ 6 (2) TDDSG) oder unmittelbar nach deren Nutzung ( § 4 (2) TDDSG) erfolgen. Auch ist der Provider dazu verpflichtet, dem Nutzer eine anonyme oder eine unter einem Pseudonym geführte Inanspruchnahme der Dienste zu ermöglichen, so § 4 (1) TDDSG. Gemäß Absatz 4 dieses Paragraphen ist die Erstellung eines Nutzerprofils nur zulässig, wenn ein Pseudonym verwandt wurde.

Im Übrigen ist jeder Nutzer dazu berechtigt seine Nutzerdaten beim Provider einzusehen (§ 3 (4) TDDSG).

Diese strengen Regelungen gelten natürlich nur für Deutschland. Die US-Firma ComCult z.B. vermarktet hingegen eine professionelle Log-File-Analyse als Dienstleistung. Als Standort suchen sich die Internetunternehmen demnach natürlich nicht das Land mit den strengsten Gesetzen aus, so dass die deutschen Bemühungen in Sachen Datenschutz nur ins Leere laufen können. Eine globale Gesetzgebung in Sachen Internetdatenschutz wäre wünschenswert, aber mittelfristig leider nicht zu realisieren.

Ein weiteres Problem sind die Inhalte der Internetseiten. Oft werden kriminelle Inhalte von Pornographie über Volksverhetzung und Rassenhass, bis hin zu Anleitungen von Straftaten im Internet gefunden. 1995 wurde der Online-Provider ,,CompuServe" u.a. wegen Mittäterschaft der Verbreitung pornographischer Schriften angeklagt. Das Urteil²⁵ wurde am 28.Mai 1998 verkündet. Der Geschäftsführer von ,,CompuServe" wurde vom Amtsgericht München zu einer Haftstrafe auf Bewährung in Verbindung mit einer hohen Geldstrafe verurteilt.

Der Verurteilte legte sofort Berufung ein und wurde im November 1999 freigesprochen. In der Urteilsbegründung hieß es diesmal, dass ein Geschäftsführer eines Online-Providers nicht in der Lage sein kann, sämtliche über seinen Server gehende Internetseiten auf rechtswidrige Inhalte zu prüfen.

Rechtlich ist ein Online-Provider nach § 5 (3) Teledienstegesetz für die Inhalte seiner Angebote nicht verantwortlich, wenn er lediglich den Zugang zum Internet anbietet. Aber auch Online-Provider, die mehr als nur den Zugang anbieten, sind häufig mit der inhaltlichen Prüfung überfordert. Die heute erhältlichen technischen Filter bieten da nur unzureichenden Schutz.

4.3 Viren

Wie in der Medizin sind auch Computerviren weder löblich noch nützlich. Über fremde Datenträger oder Netzwerke schleichen sich diese Dateifragmente oder angehängte Codes auf eine Festplatte und zerstören dort vorprogrammiert Daten, manipulieren Dateien oder treiben einfach nur Unfug. Mal zerstören Viren ganze Festplatten, verlangsamen die Arbeitsgeschwindigkeit des Rechners oder aber sie ersetzen in Word-Dokumenten alle ,,E" durch ein ,,X". Dies muss nicht immer sofort geschehen, oft zeigt sich ein Virus erst an bestimmten Terminen. Besonders häufig hat sich der 13. eines Monats für Virenangriffe erwiesen. Zwar spielen die Medien die Virengefahr extrem hoch, eine Gefahr geht aber nur von ca. 5% der Viren aus. Häufig erscheinen nur scherzhafte Fehlermeldungen auf dem Bildschirm oder aber ihr System meldet nur einen Virus, ohne dass ein Fehler auftritt.

Jeden Monat erscheinen ca. 250 neue Virenarten, etwa 20.000 sind es weltweit. Besonders die Hersteller der Anti-Viren-Programmen können so fast täglich neue Update-Programme ihrer Software auf den Markt bringen, wobei böse Zungen behaupten, die Virusprogrammierer würden von den Herstellern der Abwehrprogrammen bezahlt _. Aber gerade diese Anti-Virus- Software bietet den vorerst einzigen Schutz gegen Viren bei Benutzung von Netzwerken oder fremden Datenträgern.

Die neueste Generation von Viren sind die sogenannten ,,Trojanischen Pferde".

4.4 Trojanische Pferde

Trojanische Pferde oder kurz ,,Trojaner" genannt, sind Computerviren, die sich selber verbreiten und vermehren. Hat sich erst einmal ein Trojaner ins System eingeloggt und im System installiert, so ist möglich, dass der potentielle Angreifer bei jeder Onlinesitzung des Betroffenen dessen Passwörter mitliest, die er später für andere Zwecke benutzt, ohne dass der Geschädigte im Netzwerk ist und von den Manipulationen erfährt. Aber auch Manipulation von Daten und Vermehrung des Trojanischen Pferdes über die elektronische Post ist möglich. Oft sind Trojanern in Programmen versteckt, die vom Nutzer aus dem Internet geladen wurden. Wenig später erscheint dann die Fehlermeldung, dass eine benötigte Datei dieses Programms nicht zu finden sei. Der Nutzer löscht daraufhin enttäuscht das Programm, der versteckte Trojaner ist aber im Hintergrund noch vorhanden und tritt später als Spion für seinen Schöpfer auf.

Der bekannteste Trojaner war Mitte des Jahres der sogenannte ,,Melissa" - Virus. ,,Melissa" war in einem Word-Dokument versteckt und wurde per E-Mail verschickt. Im System eingebrochen, verschickte sich Melissa an 50 Adressen aus dem Adressbuch weiter. Diese Kettenvirusaktion zerstörte zwar keine Daten, legte aber ganze E-Mailsysteme lahm.

Besonders ärgerlich war dieser Zusammenbruch des ,,E-Mailservers" für ca. 300 Großunternehmen (auch Microsoft und Intel).

Zur Zeit wird der Trojaner ,,BuddyLyst" verschickt. Hinter dem angeblichen Bildschirmschoner der Firma Budweiser verbirgt sich ein Programm, welches die betroffene Festplatte zerstört, vorher aber alle Zugangskennungen und Passwörter an seinen ,,Herrn" verschickt. Der Online-Provider AOL stufte diesen Virus als außerordentlich gefährlich ein. Wie bei den Viren, so sind aber auch nur ca. 5% der Trojaner schädlich. Hauptsächlich versuchen Virenprogrammierer die Schnelligkeit der Vermehrung ihrer ,,Geschöpfe" zu testen.

Zum Schutz gegen das Einschleusen von Viren und Trojanern können im Wesentlichen nur organisatorische Maßnahmen ergriffen werden²⁶. Als ,,nachträgliche" Schutzmaßnahmen helfen hier auch nur die Anti-Viren-Software und die regelmäßige Wartung des eigenen Systems. Hierbei ist ein großer Nutzen des Betroffenen, dass sich die Trojaner im Startordner (Anm. des Verfassers: Windows hat leider mehrere!) mit einer Befehlszeile einschreiben.

Wird diese Befehlszeile gelöscht, so ist der Trojaner beim nächsten Systemstart wirkungslos, es sei denn er hat bereits manipuliert _.

Rechtlich gesehen sind Viren und Trojaner Straftatbestände im Sinne des Strafgesetzbuches (StGB).

Der § 202a StGB besagt, dass, werDaten ausspäht, die nicht für ihn bestimmt oder gegen unberechtigten Zugriff gesichert sind, mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft werde. Aber auch dierechtswidrige Datenveränderungist nach § 303a StGB strafbar. Die Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung der Daten wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet. Die rechtswidrige Datenveränderung in einem fremden Unternehmen wird als Computersabotage in § 303b StGB klassifiziert. Hier drohen bis zu fünf Jahren Freiheitsentzug oder Geldstrafe, wobei der Versuch schon strafbar ist.

Aber auch das Eindringen und die Entnahme von Datensätze durch Kopie kann bestraft werden. Datenbanken fallen unter das Urheberrecht. Die Entnahme von Datensätzen verstößt gegen den § 87b Urheberrechtgesetz, so das Landgericht Köln²⁷ (Az: 28 O 272/98). Die neugeschaffenen bzw. überarbeiteten Paragraphen 87a bis 87e des Urheberrechtgesetzes regeln jetzt nach europäischem Recht den Gebrauch und Schutz von Datenbanken. Die Weiterleitung einer Kopie aus einer Datenbank verstößt gegen § 53 (2) 4a Urheberrechtgesetz befand der Bundesgerichtshof am 16.Januar 1997.

Gemäß dieses Paragraphen ist die Vervielfältigung zum sonstigen eigenen Gebrauch zulässig, solange es sich um kleine Teile eines erschienenen Werkes oder um einzelne Beiträge, die in Zeitungen und Zeitschriften erschienen sind.

4.5 Unterschrift und Bezahlung

Ein althergebrachter Brief wird mit der Unterschrift des Verfassers verbindlich. Doch in neuester Zeit liest man immer häufiger ,,Dieses Schreiben wurde maschinell erstellt und gilt deshalb ohne Unterschrift". Niemand kann überprüfen, ob das Schreiben echt und vollständig ist. Besonders bei den vielschichtigen Nutzungsmöglichkeiten des Internet ist es unbedingt erforderlich einen Nachweis zu haben, ob ein Schreiben echt und vollständig ist. Die Verwendung von Bitmaps mit der eingescannten Unterschrift des Verfassers hätte keine rechtlichen Folgen und Wirkungen. Die Lösung wäre hier die digitale Unterschrift bzw.

Signatur. Eine ausführliche Beschreibung wird in Kapitel 5.1.3 gegeben.

Aber auch der Wunsch nach sicherer Bezahlung im Internet wird immer relevanter. Gerade im Zusammenhang mit der digitalen Signatur suchen die Industrie und die Kreditunternehmen nach neuen Wegen. Wer verschickt schon gerne seine Kreditkartennummern offen über das Internet ? Leider sehr, sehr viele Nutzer. Teils aus Unwissenheit, teils aus Bequemlichkeit.

Hat man in der Vergangenheit es geschafft das Online-Banking sicher zu machen, so steckt der elektronische Handel noch in den Kinderschuhen. Auch hier plant man, die technischen Mechanismen des Online-Banking zu nutzen.

5 Schutzmöglichkeiten

5.1 Technischer Schutz

Computerkriminalität, ungenügende Datensicherheit und veralterter Datenschutz machen dem Anwender teilweise unbewusst zu schaffen. Heute geht es meistens nicht ohne technische Hilfsmittel, seine Daten effektiv zu schützen, da viele Computer vernetzt sind. Wer personenbezogene Daten nicht preisgeben möchte und darf, der ist auf kostenintensive Soft- und Hardware angewiesen. Besonders große Unternehmen haben Hardware im Wert von mehreren 10.000 DM, worauf Informationen in Millionenhöhe gespeichert sind. Ein Verlust dieser Daten würde das Unternehmen ruinieren. Deshalb bieten Industrie und Wirtschaft technische Schutzmöglichkeiten an, die teilweise auch die Organisation der Schutzmaßnahmen umfasst.

5.1.1 Firewall

Viele Unternehmen planen ihr internes Firmennetz an das Internet zu koppeln, um neue globale Märkte zu erschließen. Dieser Übergang vom eigenen zum internationalen Netz ist ein fast unkalkulierbares Risiko. Genau am Übergangspunkt ist der schwache Punkt, den Computerkriminelle nutzen, um ihre Aktionen durchzuführen.

In der Praxis haben sich zwei Sicherungssysteme etabliert:

1. Jeder Rechner wird einzeln gegen Angriffe von außen gesichert. Das bedeutet, dass ein immens hoher Kostenfaktor zu Buche schlägt, da jeder Computerarbeitsplatz mit spezieller den Sicherungsanforderungen entsprechender Hard- und Software ausgestattet werden muss.

2. Die zweite wesentlich kostengünstigere Alternative ist die Einrichtung eines ,,Firewall"- Rechners. Dieser Rechner bildet die Schnittstelle zwischen Firmen- und dem öffentlichen Netz, wobei sich alle Sicherheitsmaßnahmen auf diesen Rechner erstrecken..

Die erste Variante ist bei kleinen Netzwerken oder Einzelrechnern eine Lösung, für Unternehmen bleibt jedoch nur die Firewall-Lösung. Ein Firewall (dt. Brandschutzmauer) beaufsichtigt sämtliche Datentransfers zwischen dem sicheren LAN und dem offenen unsicheren Internet.

Abbildung in dieser Leseprobe nicht enthalten

Das einheitliche Schutzniveau dieser in der Wirtschaft ,,zentrale Firewall-Lösung" genannt wird vom LAN bestimmt. Entweder der Rechner mit dem höchsten oder mit dem niedrigsten Schutzniveau bestimmt die anschließende Stärke des Firewall. Hierbei hängt viel von der korrekten Administration des Projektes ab, weshalb die Administration meist von den Anbieterfirmen übernommen wird.

Die Arbeitsweise der Firewall kann einerseits nach dem ,,Paketfilterprinzip", andererseits nach dem sogenannten ,,Dual Homed Gateway" geschehen.

Bei demPaketfilterprinzipwerden die Versandinformationen in den Datenpakete (Art und Ziel des IP-Paketes) untersucht. Hierbei entscheidet die Firewall je nach Transportrichtung des IP-Paketes, der IP-Adresse selbst und dem Dienst, der angesprochen werden soll, wie und ob das Datenpaket weitergeleitet werden soll. Der Filter selbst besitzt keine IP-Adresse, ist

daher unsichtbar und kann auch von potentiellen Angreifern nicht angesprochen und manipuliert werden²⁸.

Die ,,Dual Homed Gateway" - Lösung hingegen arbeitet mit mehreren Verbindungen. Einerseits hat der ,,Dual Homed Gateway"(DHG)-Rechner eine Verbindung mit dem internen LAN, andererseits eine Verbindung mit einem öffentlichen FTP/Server.

Abbildung in dieser Leseprobe nicht enthalten

Dieser DHG-Rechner ist als einziger aus dem Internet zu erreichen. Das Hauptprinzip ist bei diesem Verfahren ist die Verarbeitungsebene. Der DHG-Rechner speichert alle eingehenden Daten auf der Applikationsebene und überprüft sie. Verläuft diese Prüfung positiv, so werden die Daten auf die Netzwerkebene des Firmennetz weitergereicht. Ein Einbruch in diese Systeme ist relativ einfach. Da aber alle Datenbewegungen über den DHG-Rechner protokolliert werden, kann ein Einbruch sehr einfach und schnell erkannt werden und genauso einfach unterbunden werden. Auch hierbei hängt der Erfolg der Firewall von der dazugehörigen Administration ab.

Weitere Arten der Firewall, u.a. verschachtelte Mischungen aus mehreren Verfahren, existieren zwar und werden unternehmensspezifisch konfiguriert, eine Vorstellung würde aber für den normalen Anwender keine weiteren Erkenntnisse auf dem Gebiet der Funktionsweise bringen.

5.1.2 Kryptographie

Die Wurzeln der Kryptographie²⁹ liegen in der Antike und wahrscheinlich schon viel früher zurück. Regierungen und Militärs versuchten schon immer ihre Daten zu schützen, um sie nicht in die Hände der politischen und kriegerischen Feinde zu verlieren. Im Rahmen des Datenschutzes und der Datensicherheit erlebt die Verschlüsselungstechnik durch das Internet auch im privaten und kommerziellen Bereich einen wichtigen Aufschwung. Wo früher der Briefumschlag das Briefgeheimnis wahrte, ist heute nur noch eine Internet- oder Telefonleitung, auf der die Benutzer ihre Daten wie auf einer Postkarte durch das globale Netz schicken. Die Daten sind frei zugänglich und können ohne großen technischen Aufwand mitgelesen werden. Ein Liebesbrief an die Frau soll schließlich auch nicht von der

Schwiegermutter gelesen werden oder verschicken Sie Ihre Liebesbriefe per Postkarte ? Ein verlorener Gegenstand kann dem Eigentümer zurückgegeben werden, nicht aber ein bekannt gewordenes Geheimnis³⁰.

Die Verschlüsselungsmöglichkeiten und -pflichten betreffen also nicht nur die Regierungen und Militärs sondern werden auch im privaten und beruflichen Alltag unumgänglich.

Waren bis 1950 noch eher mechanische Verschlüsselungsmethoden vorherrschend, so hat sich die moderne Kryptographie an der elektrischen Datenverarbeitung orientiert und verwendet heute mathematische Techniken und digitale Darstellungsformen. Das größte ,,Know-how" der Techniken besitzen die Militärs, die es bis vor kurzem ablehnten, ihr Wissen zu veröffentlichen. In den USA fielen Kryptomittel unter das Waffenexportgesetz und durften nur mit Genehmigung exportiert werden. Seit September 1999 wurde das Gesetz für den Export von Kryptomitteln gelockert - nur sieben Staaten³¹ unterliegen noch dem Exportverbot. Als Begründung für das ehemalige Exportverbot nannte man die organisierte Kriminalität, die nun auch sämtliche Möglichkeiten zur Verschlüsselung besäße.

In Deutschland gibt es diese Diskussionen auch, zwar sind Verschlüsselungsprodukte frei erhältlich, aber die Strafverfolgungsbehörden fürchten um die Effektivität von richterlich angeordneten Überwachungsmaßnahmen.

Das Bundeskabinett hat am 02. Juni 1999 die ,,Eckpunkte der deutschen Kryptopolitik"³²

festgelegt, um dem deutschen Nutzer in den weltweiten Informationsnetzen einen verbesserten Schutz zu ermöglichen:

1. ,,Die Bundesregierung beabsichtigt nicht, diefreie Verfügbarkeitvon Verschlüsselungsprodukten einzuschränken. [...]" Sie werde eine Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützen.
2. ,,Die Bundesregierung strebt an, dasVertrauender Nutzer zu stärken. [...]"
3. Die Bundesregierung wird Maßnahmen ergreifen, um dieinternationale Wettbewerbsfähigkeitauf dem Verschlüsselungssektors zu stärken, nicht zuletzt vor dem Hintergrund Staat, Wirtschaft und Gesellschaft zu sichern.
4. ,,Durch die Verbreitung starker Verschlüsselungsverfahren dürfen diegesetzlichen Befugnisse der Strafverfolgungs- und Sicherheitsbehördenzur Telekommunikationsüberwachung nicht ausgehöhlt werden. [...]"
5. ,,Die Bundesregierung legt großen Wert auf dieinternationale Zusammenarbeitim Bereich der Verschlüsselungspolitik. [...]"

Der Gesetzgeber hat also die Rahmenbedingungen geschaffen bzw. eine öffentliche Aufklärung und eine Sensibilisierung der Verbraucher in Gang gebracht. Genau diese Aufklärung ist der Weg der Zukunft. Verschlüsselung hat eben nicht nur mit Militär, Spionage und James Bond zu tun, auch der Privatmann muss seine Daten schützen, denn auch, wenn man nicht damit rechnet, alle personenbezogene Daten können irgendwann für irgendwen bedeutend und wichtig sein.

Was müssen effektive Verschlüsselungsverfahren in der heutigen Zeit leisten ?

Die Hauptaufgaben der Verschlüsselung liegen darin, dass

a. die Nachricht geheimgehalten wird,
b. die Nachricht unverfälscht beim Empfänger ankommt und
c. ggf. der Absender identifiziert werden kann.

Dieses Ziel wird technisch hauptsächlich durch Algorithmen gelöst. Algorithmen sind Rechenanweisungen, mit deren Hilfe Probleme gelöst werden können. Sie existieren sowohl für mechanisch als auch für elektronisch gesteuerte Geräte. Algorithmen wandeln Klartext in Chiffretext um, und diesen Chiffretext beim Empfänger wieder in Klartext um. Je komplizierter ein Algorithmus erscheint, umso sicherer ist er. Ziel der Kryptologen muss es also sein, einen möglichst sicheren Algorithmus zu schaffen, sodass ein Entschlüsselungsversuch für Unberechtigte zu teuer wäre oder aber der zeitliche Aufwand den Nutzen der bekanntgewordenen Nachricht nicht rechtfertigen würde. In der Literatur wird dieser Algorithmus häufig als Verschlüsselungs- oder Kryptoalgorithmus bezeichnet. Ein einfacher Algorithmus ist der Verschiebealgorithmus. Das Alphabet wird einfach um eine bestimmte Anzahl von Buchstaben nach rechts (+) oder links (-) verschoben. Diese, in der Fachwelt monoalphabetische Chiffrierung genannt, wurde schon von Cäsar (100-44 v.Chr.) angewandt.

Neben diesem Kryptoalgorithmus wird ein ,,Schlüssel" benötigt. Dieser beinhaltet die wichtigen Parameter für den Algorithmus, sodass eigentlich nur der Schlüssel geheim gehalten werden muss. Dieser Schlüssel sollte vorab auf einer sicheren Weise zwischen den kommunizierenden Parteien vereinbart und ausgetauscht werden. Bei dem Beispiel Verschiebealgorithmus wäre hier z.B. +1 der Schlüssel. Mit den Daten Verschiebealgorithmus +1 würde aus dem Wort ,,Aal" das Chiffrewort ,,Bbm". Zum Entschlüsseln müsste der Empfänger den Schlüssel nur umkehren (-1) und schon erhält er das Ausgangswort ,,Aal".

Mit der heutigen Technik werden allerdings solche banalen Algorithmen und Schlüssel nicht erzeugt, da ein Außenstehender schnell das System erkennen kann, indem er zum Beispiel die durchschnittliche Häufigkeit der Buchstaben ausprobiert. Im deutschen Alphabet kommen das

,,e", ,,i" und ,,n" am häufigsten vor, was eine Entschlüsselung positiv erleichtert. Neben der monoalphabetischen Verschlüsselung gibt es auch die polyalphabetischen Verschlüsselungen. Hier sind die bekanntesten die ,,Vigenère" - und die ,,Vernam" - Chiffrierung.

Erstere verwendet ein Schlüsselwort, welches unter den Klartext geschrieben wird und zwar mehrmals hintereinander bis zum Ende des Klartextes. Jeder Buchstabe erhält einen Wert, A=0, B=1, ...Z=25. Beide Buchstabenwerte werden addiert, die Summe einem Buchstaben wieder zugeordnet und ergeben so den Geheimtext.

Abbildung in dieser Leseprobe nicht enthalten

Eine Dechiffrierung erfolgt logischerweise in umgekehrter Richtung.

Die Vernamchiffrierung ist aufgebaut auf der Vigenèrechiffrierung, verwendet aber eine Bitdarstellung der Buchstaben und ist somit für eine Verschlüsselung in der EDV hervorragend geeignet. Das Prinzip basiert auf der XOR-Verknüpfung, die in allen Prozessoren existiert.

Heute werden komplizierte mathematische Problemstellungen für Verschlüsselungen gebraucht. Meist laufen diese Ver- und Entschlüsselungen im Hintergrund ab, der Anwender bekommt den Kryptoablauf nicht mit, denn die Programme generieren die Schlüssel und den Algorithmus automatisch.

Algorithmen und Schlüssel sind aber nur die Grundelemente einer sicheren Verschlüsselung. In der Praxis finden, aufbauend auf dem Schlüssel-Prinzip, hauptsächlich zwei Verfahren Anwendung:

5.1.2.1 Verschlüsselungsverfahren Symmetrisches Verfahren

Symmetrische Verfahren werden auch ,,Single-Key"-, ,,Private-Key"- oder ,,Secret-Key" - Systeme genannt.

Hierbei wird zur Ver- und Entschlüsselung der gleiche Schlüssel benutzt, d.h. ein Schlüssel wird vorab festgelegt, die Nachricht damit verschlüsselt, versandt und mit dem gleichen vereinbarten Schlüssel wieder entschlüsselt.

Bekannteste Systeme sind hier,,Data Encryption Standard" (DES)und,,Improved Data Encryption Algorithm" (IDEA).

DESwurde in den 70er Jahren von IBM entwickelt und ist heute noch ein relativ sicheres Verschlüsselungsverfahren. Bei DES werden die eingegebenen 64 Bit-Blöcke nach einem

festgelegten System geteilt, 16mal gemischt, durch andere Bits ersetzt und anschließend mit dem vorher zweigeteilten Klartext wieder zusammengesetzt³³. Eine Entschlüsselung erfolgt anschließend in umgekehrter Reihenfolge mit dem gleichen Schlüssel.

IDEAwurde 1990 auf den Markt gebracht, arbeitet ähnlich dem DES, benutzt aber mindestens die doppelte Schlüssellänge. Bei einer Schlüssellänge von 128 Bit werden 52 Teilschlüssel à 16 Bit erzeugt, die 8mal gemischt werden und wieder zusammengesetzt werden. Der Klartext wurde anfangs in vier Teile zerlegt und nach der letzten Mischung des Schlüssels in einer Ausgabetransformation verknüpft und zum Chiffriertext zusammengefügt.

Problem dieser Verschlüsselungen ist die sichere Übermittlung und die Anzahl der zu tauschenden Schlüssel.

Zwei Benutzer brauchen einen Schlüssel, drei benötigen drei, vier arbeiten mit 6 und 1000 Benutzer verwenden 499.500 Schlüssel.

Abbildung in dieser Leseprobe nicht enthalten

Zur Sicherheit dieser symmetrischer Verfahren ist zu sagen, dass bei einer Schlüssellänge von 56 Bit ein Rechner mit 1 Million Verschlüsselungsmöglichkeiten pro Sekunde ca. 2000 Jahre rechnen müsste, um alle Entschlüsselungsmöglichkeiten zu testen. Selbst bei Parallelschaltungen von mehreren Superrechnern, die bis zu 22 MB/s verschlüsseln können, und Investitionen von mehreren hunderttausend Dollar wäre eine Entschlüsselung nur innerhalb von durchschnittlich 35 Stunden möglich. Wird die Schlüssellänge auf 128 Bit verlängert, so hat man immerhin einen Sicherheitsstandard, der ca. 10 17 Jahre hält.

Asymmetrisches Verfahren

Beim asymmetrischen Verfahren sind Verschlüsselungs- und Entschlüsselungsprozesse nicht gleich. Für dieses Verfahren werden ein öffentlicher Schlüssel (Public-Key) und ein persönlicher Schlüssel (Secret-Key) benötigt. Eine Beziehung und Ableitbarkeit der einzelnen Schlüssel besteht nicht.

Der öffentliche Schlüssel wird häufig von einer Zertifizierungsstelle oder einem Trustcenter verwaltet und ist im Netz bekannt, der persönliche Schlüssel ist nur dem Benutzer bekannt. Die Zertifizierungsstellen und Trustcenter gewährleisten, dass dieser öffentliche Schlüssel auch wirklich zu dieser Person gehört.

Die Zertifizierungsstellen sollen neutral und vertrauenswürdig sein, müssen über eine sichere Infrastruktur verfügen und die nötige Hard- und Software haben. Eine regelmäßige Überwachung der Mitarbeiter in solchen sicherheitsrelevanten Bereichen versteht sich von selbst.

Eine Ablage eines manipulierten Schlüssels durch Dritte ist somit ausgeschlossen. Der öffentliche Schlüssel kann aus dieser Datenbank von Jedem abgerufen werden und auf der eigenen Festplatte archiviert werden. Man stellt sich sozusagen ein Schlüsselbund für Verschlüsselungen zusammen.

Ein zu verschlüsselnder Text an den Benutzer x wird mit seinem öffentlich bekannten und bei der Zertifizierungsstelle abrufbaren Schlüssel verschlüsselt und versandt. Hierbei ist der Text als ,,Einbahnstraße" gesperrt und kann auch nicht durch den öffentlichen Schlüssel zurückcodiert werden. Benutzer x kann nun mit seinem persönlichen Schlüssel, der ja nur ihm bekannt ist, den Text entschlüsseln und lesen.

In der Literatur wird das asymmetrische Verfahren oft mit einem Tresorschloss verglichen. Der öffentliche Schlüssel verrät eine Voreinstellung der Gradzahl des Zahlenschlosses. Diese ist für Außenstehende uninteressant, weil nicht vollständig. Der verschlüsselte Text benötigt nämlich noch den zweiten Teil der Gradzahl, um entschlüsselt zu werden. Diese Information ist nur durch den geheimen Schlüssel abrufbar, der nur dem Empfänger bekannt ist.

Wichtig hierbei ist, dass die Adresse des Empfängers dem Text vorangestellt wird undnichtmitverschlüsselt wird, da sonst eine Zustellung nicht möglich wäre. Eine Verschlüsselung der Adresse auf einem Brief würde auch die Post überfordern.

Das bekannteste asymmetrische Verschlüsselungsverfahren ist dasRSA, ein Public-Key- Kryptosystem aus dem Jahre 1977, benannt nach den Entwicklern RonRivest, AdiShamir und LeonardAdleman. Die Firma IBM gab damals dieses Verschlüsselungsverfahren in Auftrag.

Hierbei werden ein privater und ein geheimer Schlüssel anhand von zwei mathematischen Problemstellungen generiert. Dies sind das Faktorisierungsproblem für große Zahlen und das Problem des direkten Logarithmus. Eine Hausarbeitsphase von vier Wochen lässt leider keine

ausführliche Darstellung dieser Schlüsselgenerierung und dessen Beweisführung zu. Kurz zusammengefasst ist nur zu schildern, dass folgende Schritte³⁴ durchgeführt werden:

Auswahl von zwei Primzahlen Bildung des Produktes

Berechnung vonnunter Anwendung der Eulerschen Funktion Auswahl einer Zahl d>1, so dass d und n relativ prim³⁵ sind Berechnung der Zahl e Um eine möglichst hohe Verschlüsselungssicherheit zu erreichen, sollte die Zahln mindestens 512 Binärstellen aufweisen. Üblich sind heute 768 Binärstellen, im militärischen Bereich sogar schon 1024, was in naher Zukunft Standard sein wird und in etwa einer 300stelligen Dezimalzahl entspricht. Geheime Nachrichten aus Kreisen der Militärs versprechen neuerdings absolute Sicherheit mit 2048 Binärstellen. Für eine Nachricht, die mit einer 129stelligen Zahl verschlüsselt wurde, und die aus etwa 429 Bit bestand, brauchte ein global operierendes Testteam 8 Monate und die Rechenzeit von ca. 1600 Computern. Bei einem anderen Test brauchten 5000 Computer im Internet 13 Tage, um einen 48-Bit langen Verschlüsselungscode der RSA Data Security zu entschlüsseln.

Neben der Verschlüsselung bietet RSA auch noch die Möglichkeit der Authentisierung, d.h. es kann auch zum digitalen Unterschreiben verwendet werden. Ein ähnlich funktionierendes System ist das ElGamal-Verschlüsselungsverfahren, welches auf dem Problem des diskreten Logarithmus basiert.

Da die asymmetrischen Verfahren wesentlich kompliziertere mathematische Funktionen verwenden, sind sie im Gegensatz zu den symmetrischen erheblich langsamer und benötigen eine unheimlich große Rechnerleistung. Deshalb werden in der Praxis häufig sogenannteHybridmodellebenutzt, die eine Mischung aus symmetrischer und asymmetrischer Verfahren darstellen. Hierbei entspricht ein symmetrischer 56 Bit-Schlüssel einem 384-Bit- RSA-Schlüssel. Oft wird ein symmetrischer Schlüssel durch ein asymmetrisches Verfahren verschlüsselt und verschickt. Beide Parteien haben nach der Entschlüsselung ein und denselben Schlüssel. Eine schnelle und sichere Kommunikation mit dem symmetrischen Verfahren ist jetzt gewährleistet.

Ein Beispiel für das hybride System ist die Software ,,Pretty Good Privacy"(PGP). Hierbei wird zur Verschlüsselung des Sitzungsschlüssel RSA oder ElGamal benutzt und IDEA oder das TripleDES³⁶ zur Chiffrierung des Klartextes. Das vom Amerikaner Philip Zimmermann entwickelte Programm ist zur Zeit das Verschlüsselungsprogramm schlechthin, zumal es kostenfrei im Internet erhältlich ist, solange man es privat nutzt. Besonders effektiv arbeitet PGP im Bereich der E-Mails, da PGP in der Lage ist, digitale Signaturen zu verwenden.

Eine weitere Verschlüsselungsmethode ist dieSteganographie. Hierbei will man die Existenz einer Nachricht verbergen. Früher geschah dieses mit unsichtbarer Tinte oder man markierte Buchstaben fast unsichtbar mit kleinen Nadelstichen, die man nur vor einer Lichtquelle sehen konnte.

Heute benutzt man hierzu Photo-CDs. Das niederwertigste Bit eines 24-Bit- Bildpunktes wird hierbei genutzt und die Qualität des Bildes wird nur minimal beeinträchtigt. Auf einem digitalen Foto normaler Größe (2048 x 3072 Bildpunkte) verschwinden 2,3 MB Nachrichten. Nachteile dieser Methode sind der große Überhang, der nötig ist, und die Leichtigkeit des Entschlüsseln bei Entdeckung der Methode.

5.1.3 Digitale Signatur

In der heutigen Zeit ein absolutes Muss. Sei es Online-Banking oder E-Commerce, ein jeder Empfänger möchte sicher sein, dass das Dokument unverändert vom Absender eingetroffen ist und der Absender eindeutig identifiziert werden kann.

Der Gesetzgeber hat mit dem Artikel 3 des IuKDG ,,Gesetz zu digitalen Signatur³⁷"(SigG) die Rahmenbedingungen für den Gebrauch der digitalen Unterschrift geschaffen (§ 1). Nach § 2 SigG ist eine digitale Unterschrift ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörigen öffentlichen Schlüssel, der von einer Zertifizierungsstelle für echt erklärt wurde, den Inhaber und die Echtheit der Daten erkennen lässt.

Das SigG ist recht weitläufig gefasst und regelt eigentlich nur die groben Rahmenbedingungen. Spezielle Verfahren sind nicht vorgeschrieben. Vielmehr wurde nur Wert auf die Einrichtung und Zulassungen bzw. Arbeitsweisen der Zertifizierungsstellen gelegt, um einen justiziablen Hintergrund zu haben. Daneben wurde verbindlich in § 7 SigG der Inhalt einer digitalen Unterschrift festgelegt. Diese muss folgende Punkte beinhalten:

Eindeutig zuordbarer Name oder Pseudonym, den zugeordneten öffentlichen Schlüssel, die Bezeichnung des verwendeten Algorithmus, die laufende Nummer des Zertifikats, Beginn und Ende der Gültigkeit des Zertifikats, den Namen der Zertifizierungsstelle und Angaben über Beschränkungen.

Technisch wird bei der digitalen Unterschrift das asymmetrisches Verfahren benutzt. Hier werden zwei Schlüssel generiert - der öffentliche steht über die Zertifizierungsstelle oder Trustcenter jedem Teilnehmer des Internet zur Verfügung und der geheime Schlüssel dient bei der Unterschrift nicht, wie gewohnt, der Entschlüsselung, sondern der Verschlüsselung. Der zu verschlüsselnde Text wird mit einem sogenannten Hash-Verfahren komprimiert, mit dem geheimen Schlüssel chiffriert und dann dem Ausgangstext angehängt. Der Empfänger erhält den Ausgangstext, komprimiert ihn ebenfalls mit dem Hash-Verfahren und entschlüsselt ihn mit dem öffentlichen Schlüssel. Sind Ausgangstext und Anhangstext gleich, so kann der Empfänger davon ausgehen, dass der Absender auch der richtige Absender war, denn nur der Berechtigte hat den geheimen Schlüssel, der zum öffentlichen Schlüssel passt. Zusätzlich kann überprüft werden, ob beide Texte inhaltlich gleich sind, oder ob auf dem Übertragungsweg irgendwelche Manipulationen stattgefunden haben. Auch unbeabsichtigte Übertragungsfehler lassen sich so schnell und einfach auffinden.

Ein Hash-Verfahren dient also der Überprüfung der Vollständigkeit eines Dokumentes. Dabei wird ein sogenannter Hash-Algorithmus über das Dokument gelegt, welcher einfach ausgedrückt, die Quersumme der Daten bildet. Das Ergebnis ist immer ein Ergebnis mit einer festgelegten Länge, unabhängig von der Größe des Dokumentes. Diese ,,Quersummenergebnislänge" ist je nach Hash-Verfahren unterschiedlich lang. Bei jeder Änderung des Dokumentes ändert sich auch der Hashwert, sodass ein gleicher Hashwert auch nur zum selben Dokument passt.

Das Hash-Verfahren ist kein Ver- und Entschlüsselungsverfahren. Es wird nur ein Fingerabdruck eines Dokumentes in Form einer Quersumme genommen. Da der Hashwert keine großen Datenmengen beinhaltet, kann er ohne Probleme mit asymmetrischen Schlüsselverfahren bearbeitet und verschickt werden³⁸.

Die bekanntesten Hash-Algorithmen sind heute das Message Digest (MD) und das Secure Hash Standard/Algorithm (SHS/SHA). Beim MD wird in der 5. Version (MD5) ein 128-Bit Hashwert über die Datenerzeugt, was allerdings den heutigen Sicherheitsansprüchen nur noch vereinzelt genügt. DasSHAbenutzt 160 Bit und gilt bis heute als sehr zuverlässig und sicher. Beide Verfahren werden in den Internetzertifizierungsverfahren benutzt.

In Deutschland wird zur Zeit das RipeMD160-Verfahren im Alleingang verwendet, da Internetanwendungen dieses Hash-Verfahren nicht interpretieren können.

Für den Benutzer hören sich alle diese Verfahren relativ kompliziert an, werden in der Praxis aber durch Programme vereinfacht. Hierbei drückt man beispielsweise die Befehlsschaltfläche ,,signieren", steckt seine zertifizierte Unterschriftskarte (Chipkarte) in den Kartenleser und alles weitere erledigt der Rechner³⁹. Beim Empfänger ist nur der angenommene Absender einzugeben und der Rechner holt sich den öffentlichen Schlüssel vom eigenen ,,Schlüsselbund", wenn er öfters mit dem Absender kommuniziert oder fragt bei der Zertifizierungsstelle nach dem öffentlichen Schlüssel. Eine Prüfung, wie oben beschrieben geschieht im Hinter- grund und der Empfänger erhält nur eine Nachricht, über das Ergebnis der Prüfung.

Dieses extrem sichere Zertifizierungs-Verfahren wurde auch vom Zentralen Kreditausschuss des Kreditgewerbes (ZKA) als Standard für das Online-Banking festgelegt und ist allgemein unter HBCI (HomeBankingComputerInterface) bekannt. HBCI soll aber nicht nur über den Computer eingesetzt werden - egal, ob EC-Automat, Handy oder Web-TV, egal welches Betriebssystem verwendet wird, HBCI ist kompatibel.

HBCI benutzt das RSA-Verfahren in Verbindung mit einer Chipkarte (hier: RSA-Smartcard). Ein ,,elektronischer Fingerabdruck" des Bankkunden und der geheime Schlüssel, die beide auf der Chipkarte gespeichert sind, werden mit einer Geheimnummer dem Bankkunden geliefert. Dieser kann mit der HBCI-Software (zur Zeit Version 2.01), dem Chipkartenlesegerät und der Chipkarte per Internet seine Bankgeschäfte tätigen. Dieses System gilt als 100%ig sicher.

Ein ähnliches System wird zur Zeit von den Sparkassen im Rahmen des Online-Banking und des E-Commerce in einem Pilotprojekt erprobt. SETTM (Secure Electronic Transaction) ermöglicht es dem Bankkunden mit einem SET-Zertifikat, einer von der Landesbank zertifizierten virtuellen Kreditkarte, und einem Chipkartenlesegerät für die eigentliche Kreditkarte Transaktionen durchzuführen. SETTM verwendet sowohl symmetrische als auch asymmetrische Verfahren zur Verschlüsselung. Die virtuelle Kreditkarte ist hier mit der digitalen Unterschrift zu vergleichen. Das umständliche Hantieren mit TAN-Listen entfällt auch bei diesem System in der Zukunft.

5.2 Persönlicher Schutz

Die oben beschriebenen technischen Möglichkeiten sind in der Regel sehr kostenintensiv, noch nicht im Handel erhältlich oder aber sie erfordern ein hohes technisches Wissen. Aus diesen Gründen scheuen viele Internetnutzer den Datenschutz bzw. die Datensicherheit. Dabei ist es recht einfach, einen effektiven und kostengünstigen Datenschutz zu erzielen:

Lassen Sie IhrenPC nicht unbeaufsichtigt. Verschließen Sie beim Verlassen des Raumes die Tür und aktivieren Sie den Bildschirmschoner mit Kennwortschutz.

_Beantworten Sie nicht alle Fragen, die Ihnen beim Besuch einer Internetseite gestellt werden. Wie oben beschrieben, sind Daten und Informationen die Währung im Internet.

_Pflegen und warten Sie Ihr System! Löschen Sie Daten, die Sie nicht mehr benötigen oder lagern Sie diese aus.

Übertragen Siekeine unverschlüsselten personenbezogene Datenoder Kreditkartennummern. Viele E-Commerce-Unternehmen fordern die Kreditkartennummern extern über Fax an, was immer noch sicherer ist, als eine Nummer durch das Internet zu schicken und so jedermann zugänglich zu machen. Verschlüsseln Sie Ihre persönlichen Daten und E-Mails mit Programmen wie z.B. PGP.

_Öffnen Sie nur Ihnen bekannte Programme, man könnte Ihnen ein Trojanisches Pferd "schenken".

Arbeiten Sie regelmäßig mit Virenscannern.

_ Deaktivieren Sie Optionen für Cookies.

Lassen Sie sich ggf.anonymisieren, Ihr Name wäre hier nicht mehr verräterisch (www.anonymizer.com)

Lassen Sie IhreDiskussionsbeiträge in Newsgroups nicht archivieren, indem Sie jeder Nachricht "x-no-archive: yes" voranstellen. Somit werden Ihre Beiträge nicht archiviert und die Erstellung eines Teilnehmerprofils wird erschwert.

Verwenden SiePasswörter, wechseln Sie diese regelmäßig, wählen Sie Buchstaben-Ziffern- Kombinationen, halten Sie Ihre Passwörter geheim.

Falls Sie nicht dauernd ,,online" sein müssen,isolieren Sie Ihren PC vom Netz, indem Sie den Übertragungsstecker zum Telefonnetz herausziehen.

6 Schlussbetrachtung

Wie in den vorherigen Kapiteln beschrieben, wird deutlich, dass es keinen vollkommenen Datenschutz und keine befriedigende Datensicherheit im Internet gibt. Egal ob Hard- oder Software, ein gewisses Restrisiko bleibt immer. Der Gesetzgeber hat zwar Grundlagen geschaffen, es jedoch versäumt sich am Stand der Wissenschaft zu orientieren. Der Stand der Technik reicht in unserer schnelllebigen Zeit nicht mehr aus. Durch immer neuere Programme und immer schnellere Hardware gelingt es den Hackern, Spionen und Kriminellen Verschlüsselungen zu ,,knacken", in die Systeme einzudringen und dort gegen den Willen des Anwenders Aktionen durchführen.

Jedes Sicherheitskonzept ist nur so gut, wie die Anwender, die es benutzen. Gerade auf dem Gebiet der Anwender liegt meiner Meinung nach die Zukunft der Datensicherheit und des Datenschutzes. Wenn sich jeder Anwender an die oben aufgeführten Sicherheitsregeln hält, wäre es für Außenstehende sicherlich erheblich schwerer, in Datensysteme einzudringen.

Aber auch die Systembetreuer sollten sich an bestehende Regeln halten, um größeren Schaden in ihren Unternehmen zu verhindern. Hierzu gehört selbstverständlich die Aufklärung und Schulung der Angestellten, die in der Vergangenheit nur am Rande stattfanden.

Wenn technisch gute Produkte dem Anwender vorgestellt und zugeführt würden, so könnte sich auch der bequemste Nutzer einen Datenschutz aneignen und antrainieren.

Alles in Allem aber ist das Risiko des Datenmissbrauchs im Internet wohl der Preis für die unendlichen Weiten der ,,Datenhighways". Allerdings besteht auch kein Grund zur Panik. Gemessen an der Anzahl der Internetnutzer kommt ein Datenmissbrauch von sensiblen Daten sehr selten vor.

Literaturverzeichnis

Abel, Horst, Dipl.-Ing.

Schmölz, Werner, Dipl.-Ing.(FH)Datensicherung für Betriebe und Verwaltung1986, Verlag C.H. Beck, München

Bundesbeauftragter für den DatenschutzTätigkeitsbericht der Jahre 1997 und 1998www.welt.de/webwelt/dokumentation/990505.htx

Bundesbeauftragter für Wirtschaftlichkeit in der Verwaltung

Datenverarbeitung in der Bundesverwaltung2., überarbeitete und erweiterte Auflage Stuttgart / Berlin / Köln, 1993, Kohlhammer

Bundesministerium für Wirtschaft und Technologie

Sicherheit im Internet

www.sicherheit-im-internet.de

Dokumentation

Eckpunkte der deutschen Kryptopolitik

www.welt.de/webwelt/dokumentation/990604.htx

Goldmann, Martin Herwig, Claus Hooffacker, Gabriele

Internet: per Anhalter durch das globale Datennetz

1995, Rowohlt Taschenbuch Verlag, Reinbeck bei Hamburg

Köhntopp, Marit und Kristian

Die Datenschnüffler - ExtraBreit: So einfach geht das !

www.firstsurf.com/koehn1.htm

Krol, Ed

Die Welt des Internet

1. Auflage

1995, O'Reilly / International Thomson Verlag, Bonn

Memmers, Hans-Peter

Computerlexikon

1. Auflage, Deutsche Ausgabe 1991, SYBEX-Verlag, Düsseldorf

Plewka

Datensicherheit durch Verschlüsselung

www.fh-brandenburg.de/~plewka/verschls.htm

Pommerening, Klaus, Professor, Dr.

Datenschutz und Datensicherheit

1991, Wissenschaftsverlag Mannheim / Wien / Zürich

Schmidt, Simon

E-M@il für Dich!, Your Eyes only oder Datenverschlüsselung in der Informationstechnik

Unterrichtsblätter für die Bundeswehrverwaltung 7/99, Seite 257 ff Anmerkung des Verfassers: Dieses Unterrichtsblatt weist inhaltlich Fehler auf !

Stepanow, Boris, Dr. Bönisch, Daniel

Digitale Informationssysteme

www.digi-info.de/recht/urteile/di_recht_urteil23.html

Strömer

Entscheidungssammlung Online-Recht

www.netlaw.dse/urteile/index_urheberrecht.htm

TeleTrusT - Wissensforum

Digitale Signatur - Wie unterschreibt der Computer

www.teletrust.de/wf/ds.htm

Thome, Rainer

Informationsverarbeitung in der Praxis

Intensivkurs für Führungskräfte

1986, Verlag Moderne Industrie AG & Co., Landsberg am Lech

Wenning, Rico

Akteure im Internet: rechtliche Problemfelder (1. Teil)

46/1998, Internet-Zeitschrift für Rechtsinformatik

Velten, Uwe

Hash- und Schlüsselalgorithmen

www.logosec.de/hashandkeys.htm

Wrede, Klaus

Der wahre Preis des Surfens

Das große Geschäft mit den Kundendaten www.firstsurf.com/t_wrede12.htm

[...]

---

¹ Vgl. Wrede, www.firstsurf.com/t_wrede12.htm

² vgl. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz, 4. Mai 1999

³ vgl. § 1 Absatz 1 Bundesdatenschutzgesetz

⁴ BVerfGE 65,1

⁵ Grundsatz ,,Lex spezialis" vor ,,lex generalis"

⁶ vgl. Abel / Schmölz, Seite 25

⁷ Back-up = Sicherungskopie des Datenbestandes

⁸ vgl. Rainer Thome, S. 191

⁹ vgl. Internet World 11/99, Seite 16

¹⁰ ARPA=AdvancedResearchProjectsAgency, Organisation des US- Verteidigungsministeriums

¹¹ Computer Bild 21/99, Seite46 ff

¹² Modem, moduliert und demoduliert analoge Signale in digitale Signale

¹³ vgl. Goldmann, S. 226

¹⁴ T-online, Internetdienst der Telekom

¹⁵ AOL (American Online), Internetdienst der Bertelsmanngruppe

¹⁶ ,,Links" = Querverweise auf andere Internetseiten mit themenverwandtem Inhalt

¹⁷ z.B. Outlook Express, T-Online, etc.

¹⁸ vgl. Krol, Ed, Seite 123

¹⁹ lt. Institut der deutschen Wirtschaft, Köln

²⁰ eine Person, die versucht, die Sicherheit eines Computersystems durch einen Zugriff von einer entfernten Stelle aus zu durchbrechen, insbesondere durch Erraten oder anderweitiges Ermitteln des Passettes.[...], Sybex Computerlexikon

²¹ vgl. Wenning, Rico, Akteure im Internet

²² z.B. Alexa Internet (plant alle 60 Tage den gesamten Internetinhalt zu archivieren)

²³ vgl. Köhntopp, www.firstsurf.com/koehn1.htm

²⁴ ,,Downloaden" = Daten aus dem Internet auf eigene Datenträger kopieren

²⁵ Amtgericht München, Az: 8340 Ds 465 Js 1731158/95, vgl. Stepanow/Bönisch

²⁶ vgl. Bundesbeauftragter für Wirtschaftlichkeit in der Verwaltung, Seite 42

²⁷ vgl. Strömer, Schutz von Datenbanken

²⁸ vgl. Plewka, www.fh-brandenburg.de/~plewka/firewall

²⁹ ,,krypto", griechisch = geheim, verborgen

³⁰ vgl. Schmidt, Seite 258

³¹ ausgenommen von der Exporterlaubnis sind Iran, Irak, Libyen, Syrien, Sudan, Nordkorea, Kuba

³² vgl. Welt online v. 04.06.99

³³ vgl. Plewka, www. fh-brandenburg.de/~plewka/verschls.htm

³⁴ vgl. Plewka, www.fh-brandenburg.de/~plewka/verschls.htm

³⁵ prim = zwei Zahlen sind prim, wenn ihr größter gemeinsamer Teiler 1 ist

³⁶TripleDESoder3DESist eine Weiterentwicklung vom Standard-DES-Algorithmus, bei dem der Klartext dreimal dem DES-Verfahren unterzogen wird. Die neu entstandenen 112- oder 168- Bit-Schlüssellängen sind wesentlich standhafter als die ,,alten" 56-Bit-Schlüssel.

³⁷ vgl. BGBl. I 1998, S. 3836, 19.12.1998

³⁸ vgl. Velten, Hash- und Schlüsselalgorithmen

³⁹ vgl. TeleTrusT-Wissensforum, Digitale Signatur