Deutscher Bundestag Drucksache 13/11002
Zur Seite mit den Originaldateien in den Formaten TXT (223k) und PDF (2,2M)
Zukunft der Medien in Wirtschaft und Gesellschaft ---
Deutschlands Weg in die Informationsgesellschaft*)
zum Thema Sicherheit und Schutz im Netz
Zwischenbericht
Sicherheit und Schutz im Netz
Inhaltsverzeichnis Seite
A. Auftrag und Durchführung der Arbeit der Enquete-Kommission . . . . . . 6
1. Auftrag der Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2. Zusammensetzung der Enquete-Kommission "Zukunft der
Medien in Wirtschaft und Gesellschaft --- Deutschlands Weg
in die Informationsgesellschaft" . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3. Thema und Kontext der Schutzziele für Kinder und Jugend,
Verbraucher und Wirtschaft, Bürger, Staat und Verwaltung . . 9
4. Berührungspunkte der Schutzziele für Kinder und Jugend,
Verbraucher, Bürger, Wirtschaft, Arbeitswelt und Behörden . 11
B. Berichtsteil: Sicherheit in der Informationstechnik . . . . . . . . . . . . . . . . . . 14
1. Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.1 Risikopotentiale im privaten, geschäftlichen und öffentlichen
Bereich (Eindringen, Profilbildung und Manipulation von
Daten) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.2 Kulturelle und soziale Rahmenbedingungen . . . . . . . . . . . . . . . 24
1.2.1 Mangelndes IT-Sicherheitsbewußtsein in der Gesellschaft . . . . 24
1.2.2 IT-Sicherheit als soziotechnische Systemgröße . . . . . . . . . . . . . . 26
1.2.3 Nichtwahrnehmbarkeit von Datenverarbeitungs- und Tele-
kommunikationsvorgängen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.2.4 Selbststeuernde IT-Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.2.5 Wachsende IT-Systenkomplexität . . . . . . . . . . . . . . . . . . . . . . . . 27
1.2.6 Handlungs- und Gestaltungsoptionen . . . . . . . . . . . . . . . . . . . . . 28
1.2.7 IT-Sicherheit als Thema von Forschung und Lehre an der
Hochschule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1.2.8 Förderung von IT-Sicherheit als Bestandteil der Alltagskultur . 29
1.3 Die politische Bedeutung der IT-Sicherheit . . . . . . . . . . . . . . . . 29
1.3.1 Information Warfare als Bedrohungspotential nationaler
Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.4 Die wirtschaftliche Bedeutung von IT-Sicherheit . . . . . . . . . . . 31
1.4.1 Einführende Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1.4.2 Die Ökonomie des digitalen Marktes . . . . . . . . . . . . . . . . . . . . . . 31
1.4.3 IT-Sicherheit und internationale Wettbewerbsfähigkeit . . . . . . 33
1.4.4 Wirtschaftsfaktor IT-Sicherheit und Datenschutz . . . . . . . . . . . . 34
1.4.5 Der Markt für IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.4.6 "Digitales Geld" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
1.4.6.1 Wie blinde Signaturen zu "digitalem Geld" werden . . . . . . . . . 35
1.4.6.2 Wie sicher ist digitales Geld? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
1.5 Rechtliche und organisatorische Rahmenbedingungen der
IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.5.1 Notwendigkeit einer rechtlichen Regulierung . . . . . . . . . . . . . . 37
1.5.2 Derzeitige Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
1.5.3 Organisatorischer Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2. Ziele der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.1 Verfügbarkeit von Daten und Informationen, Sicherung des
Datenbestandes, Datenverkehr und Datenzugang . . . . . . . . . . 42
2.2 Integrität der Information und Kommunikation . . . . . . . . . . . . 43
2.3. Vertraulichkeit von Information und Kommunikation . . . . . . 43
2.4. Unbeobachtbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.5 Transparenz und Interoperabilität . . . . . . . . . . . . . . . . . . . . . . . 47
2.6 Zuordenbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3. Möglichkeiten der Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.1 IT-Sicherheitsprobleme angewandter Informationstechno-
logie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.1.1 Probleme aus technologischer Abhängigkeit . . . . . . . . . . . . . . . 50
3.1.2 Betriebssysteme als entscheidende IT-Sicherheitsgröße . . . . . . 50
3.1.2.1 Optionen einer sicheren Gestaltung von Betriebssystemen . . . 51
3.1.3 Anwendungsprogramme: Small is beautiful . . . . . . . . . . . . . . . . 51
3.1.4 Datenformate: Mehr Transparenz und Verfügbarkeit! . . . . . . . . 52
3.1.5 Risikopotentiale aus der Kombination bestehender Technik . . 53
3.1.6 Risikopotentiale aus neu entwickelter Technik . . . . . . . . . . . . . 53
3.2 Schutzstrategien als "Möglichkeiten der Technik" . . . . . . . . . 54
3.2.1 Geprüfte IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.2.2 IT-Grundschutz als Bestandteil eines IT-Sicherheitskonzeptes 55
3.2.3 IT-Sicherheitsausbildung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.2.4 Schutz vor Angriffen aus dem Internet . . . . . . . . . . . . . . . . . . . . 56
3.2.5 Schutz digitalisierten geistigen Eigentums . . . . . . . . . . . . . . . . . 56
3.2.6 Technische Schutzstrategie: Kryptographie . . . . . . . . . . . . . . . . 56
3.2.6.1 Steganographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3.2.7 Technische Schutzstrategie: Digitale Signatur . . . . . . . . . . . . . . 58
4. Bausteine einer modernen Sicherheitsinfrastruktur Leit-
gedanke: Abwägung von Schutzwürdigkeit, Gefährdungs-
potential und Aufwand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.1 Leitgedanke: Abwägung von Schutzwürdigkeit, Gefähr-
dungspotential und Aufwand . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.1.1 Die digitale Signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.1.2 Die Kryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.1.2.1 Der Streit um die Kryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.1.2.2 Krypto-Politik in Europa, den USA und Japan . . . . . . . . . . . . . . 64
4.1.2.3 Kryptopolitik international: Die US-Key-Recovery Initiative . . . 67
4.1.2.4 Guidelines for cryptography policy --- Die Position der OECD . 68
4.1.2.5 Zusammenfassung und Bewertung . . . . . . . . . . . . . . . . . . . . . . . 69
4.1.3 Abgrenzung zwischen Selbstregulierung, privater und staat-
licher Verantwortung (Kompetenz des Regulierers) . . . . . . . . . . 69
4.1.3.1 Befähigung zum Selbstschutz als staatliche Aufgabe . . . . . . . . 70
4.1.3.2 Staatlich geförderte Rahmenbedingungen für Sicherheit und
Schutz im Netz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.1.3.3 Selbstregulierung als konstituierender Faktor des Internet . . . 70
4.1.3.3.1 Die Internet Society (ISOC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.1.3.3.2 Das W3-Consortium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.1.3.4 Berührungspunkte zwischen Selbstregulierung und staat-
lichem Handlungsauftrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.1.4 Nationale und internationale Aufgaben . . . . . . . . . . . . . . . . . . . 72
4.1.4.1 Die Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.1.4.2 Die OECD Guidelines for the Security of Information Systems . 75
4.1.4.3 Electronic Commerce, nationale und internationale Initiativen
zur digitalen Signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.1.4.3.1 Die Initiativen der Europäischen Kommission zur digitalen
Signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.1.4.3.2 Die Initiative der United Nations Commission on International
Trade Law (UNCITRAL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.1.4.4 Electronic Date Interchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.1.4.5 NGOs und IT-Sicherheit in Netzen . . . . . . . . . . . . . . . . . . . . . . . . 78
5. Handlungsempfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Anhang
Auszug aus dem Gutachten über "Künftige Anforderungen
an die Kommunikationssicherheit in der Medizin" . . . . . . . . . . . . . . . . . . . 83
C. Zweiter Berichtsteil: Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
1. Bedeutung des Datenschutzes in Netzen . . . . . . . . . . . . . . . . . . 88
2. Der Begriff des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
2.1. Das Recht auf informationelle Selbstbestimmung . . . . . . . . . . . 89
2.2. Das Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
2.3. Einschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
3. Datenschutzrelevante Merkmale der Datenerhebung und
-verarbeitung in Netzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
3.1. Gesteigerter Anfall personenbezogener Daten . . . . . . . . . . . . . . 91
3.2. Erleichterte Speicherung, Übermittlung, Verarbeitung und
Zusammenführung personenbezogener Daten . . . . . . . . . . . . . 92
3.3. Dezentraler und globaler Anfall personenbezogener Daten . . . 92
3.4. Privater Anfall von personenbezogenen Daten . . . . . . . . . . . . . 92
4. Risiken für das informationelle Selbstbestimmungsrecht in
Netzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.1. Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.2. Profilbildung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.3. Intransparenz der Datenerhebung und -verarbeitung in
Netzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
5. Möglichkeiten des Datenschutzes in Netzen . . . . . . . . . . . . . . . 94
5.1. Selbstschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
5.2. Systemdatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.3. Normativer Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
5.4. Selbstregulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
6. Bereits erfolgte und bevorstehende Anpassungen des deut-
schen Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.1. Bereits erfolgte Reformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.1.1 Das Gesetz über den Datenschutz bei Telediensten und der
Mediendienstestaatsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.1.2 Das Telekommunikationsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . 99
6.1.3 Verordnung über den Datenschutz bei Unternehmen, die Tele-
kommunikationsdienstleitungen erbringen . . . . . . . . . . . . . . . . 100
6.1.4 Weitere für den Datenschutz in Netzen relevante Normen . . . . 100
6.2 Bevorstehende Anpassungen aufgrund europäischer Rechts-
setzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
6.2.1 Die Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6.2.2 Die ISDN-Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 102
6.2.3 Weitere für den Datenschutz in Netzen relevante Aktivitäten
der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
6.3 Bewertung und Empfehlungen der Enquete-Kommission . . . . 102
7. Internationales Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . 105
7.1 Internationale Abkommen und Aktivitäten . . . . . . . . . . . . . . . . . 105
7.2 Bewertung und Empfehlungen der Enquete-Kommission . . . . 105
8. Außerrechtliche Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . 106
9. Abschließende Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
D. Dritter Berichtsteil: Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
1. Bedeutung des Strafrechts in Netzen . . . . . . . . . . . . . . . . . . . . . 110
2. Der verfassungsrechtliche Rahmen des Strafrechts . . . . . . . . . 111
3. Begriff der Kriminalität in Netzen . . . . . . . . . . . . . . . . . . . . . . . . 111
4. Umfang der Kriminalität in Netzen . . . . . . . . . . . . . . . . . . . . . . . 112
5. Delikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.1 Wirtschaftsdelikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.2 Verbreitungsdelikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.3 Persönlichkeitsrechtsverletzungen . . . . . . . . . . . . . . . . . . . . . . . . 114
5.4 Sonstige Delikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
6. Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
7. Bereits erfolgte Reformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
7.1 Materielles Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
7.2 Strafverfahrensrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
8. Aktueller Reformbedarf im deutschen Recht . . . . . . . . . . . . . . . 117
8.1 Materielles Strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.2 Strafverfahrensrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
9. Weitergehende Probleme und Lösungsvorschläge . . . . . . . . . . 119
9.1 Anwendungsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
9.2 Nachweisprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
9.3 Verfolgungs- und Durchsetzungsprobleme . . . . . . . . . . . . . . . . . 123
10. Außerrechtliche Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . 123
10.1 Technische und organisatorische Prävention . . . . . . . . . . . . . . . 123
10.2 Aufklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
10.3 Verbesserung der Ausstattung der Strafverfolgungsbehörden . 124
11. Abschließende Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 125