Arbeitsgruppen
Dialektik der Informationssicherheit —
Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit
FIfF Jahrestagung 2011
Übersicht | Programm | Veranstaltungsort | Flyer (pdf) | Hotels/Hostels | Arbeitsgruppen | Anmeldung | Unterstützer
Podiumsdiskussion und Vortrag:
- Podiumsdiskussion: Eigene Informationen will jede/r schützen!
- Vortrag: Anonymität, Integrität und Vertraulichkeit vs. Strafverfolgung
Übersicht der AGs:
- AG: Killerroboter, Cyberwar & Co.
die digitale Aufrüstung geht weiter - AG: Wenn Daten das Unternehmen verlassen
Wie können mobile Daten abgesichert werden? - AG: Faire Computer
Gibts das? - AG: Facebook & Co und meine Daten im WWW -
Ein Workshop zur Medienkompetenz - AG: Data-Mining im Internet
Demonstration von Maltego, einem Werkzeug zur Verknüpfung und Auswertung von Daten - AG: EU-Sicherheitspolitik und -forschung
- AG: KRITIS
Interessenskonflikte im Kontext kritischer Infrastrukturen - AG: Europäische Vernetzung
AG1: Killerroboter, Cyberwar & Co.
die digitale Aufrüstung geht weiter
(AK Ruin), Samstag 14.30 bis 17.30 Uhr
Von den Anfängen der Computertechnik und Informatik bis heute werden deren Errungenschaften militärisch genutzt. Ihre vielfältige und umfassende Verwendung in der Rüstungstechnik einerseits und bei der Planung und Organisation von Kriegen andererseits hat völlig neue Formen der Kriegführung ermöglicht und die Bedrohung durch Kriege um einige perfide Komponenten erweitert. Ein Beispiel sind Killerroboter, die programmiert töten und dabei die Illusion nähren, die eigenen Soldaten könnten verschont bleiben. Ein anderes Beispiel ist das, was unter den verniedlichenden Begriff des "CyberWar" fällt: Propaganda, Spionage, Sabotage mit Mitteln der Informations- und Kommunikationstechnik, um militärische und vor allem auch zivile Infrastruktur des Gegners lahmzulegen.
In der Arbeitsgruppe sollen neue Tendenzen der Verflechtung von Informatik und Rüstung zusammengestellt und kritisch erörtert werden. Als eine Konsequenz könnte die Wiederbelebung des überregionalen FIfF-Arbeitskreises RUIN (Rüstung und Informatik) beraten werden.
Die Arbeitsgruppe wird organisiert von:
Hans-Jörg Kreowski (FIfF),
Dietrich Meyer-Ebrecht (FIfF) und
Ralf E. Streibl (FIfF)
AG2 Wenn Daten das Unternehmen verlassen
Wie können mobile Daten abgesichert werden?
Samstag 10.00 bis 13.00 Uhr
Es entspricht dem Stand der Technik, bestimmte Daten zu verschlüsseln, wenn sie auf mobilen Datenträgern gespeichert werden und das Unternehmen verlassen. Das betrifft personenbezogene und als schützenswert klassifizierte Daten, insbesondere auf USB-Sticks, Smartphones und Notebooks. Es muss sichergestellt sein, dass bei einem Verlust des mobilen Datenträgers Unbefugte nicht auf die Daten zugreifen können.
Wie kann man die berechtigten Interessen der Unternehmen am Schutz der mobilen Daten unter einen Hut bringen mit den Interessen der Beschäftigten, nicht ausspioniert zu werden?
Für die Informationssicherheit Zuständige begegnen in der Praxis staatlichen Regelungen und Eingriffen, die die Einhaltung von Sicherheitsstandards schwierig machen, dazu gehören Verschlüsselungsverbote, Verpflichtungen zur Entschlüsselung und die Kontrolle von Datenträgern beim Grenzübertritt.
- Wie erstellt man eine Unternehmens-Policy die allen Anforderungen gerecht wird?
- Wie konfiguriert man einen Rechner so, dass er überall auf der Welt sicher ist?
Ist das überhaupt möglich?
Die Arbeitsgruppe wird organisiert von
Prof. Dr. Rainer W. Gerling (Datenschutz und IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft, München)
AG3 Faire Computer
Gibts das?
Samstag 10.00 bis 13.00 Uhr
Green-IT kennen wir inzwischen zur Genüge. Computer können aber nicht nur nicht green sein, sondern auch unfair und unsozial, von der Rohstoffgewinnung bis zur Verschrottung. Unfair spart nämlich Geld. Dass wir dabei eigennützig Mitmenschen ausbeuten, die für uns diese Computer herstellen, transportieren, verkaufen und entsorgen, ist leider kein so populäres Thema.
Der Gedanke, faire Produkte anzubieten und zu kaufen, ist inzwischen weit verbreitet, allerdings eher bei Kaffee oder Kleidung. Ein Angebot an fairer IT fehlt. Die Industrie hat sich noch nicht auf den Weg gemacht, faire Computer herzustellen. Wir Konsumenten haben nicht die Wahl - verändern können wir aber durchaus etwas.
Der halbtägige Workshop „Faire Computer“ beleuchtet in Vorträgen und Filmausschnitten die Wertschöpfungskette von Computern. Wir suchen und diskutieren Verbesserungsmöglichkeiten in der Gruppe. Material zum Thema wird verteilt. Am Ende wissen wir mehr darüber, wie unser Computer hergestellt wurde und auf was wir beim nächsten Kauf achten sollten.
Die Arbeitsgruppe wird organisiert von
Sebastian Jekutsch (FIfF)
AG4 Facebook & Co und meine Daten im WWW
Ein Workshop zur Medienkompetenz
Samstag 10.00 bis 13.00 Uhr
Jugend forscht gern. Und neue Welten mit Social-Media-Plattformen wie Facebook, Google+ und Twitter wollen erforscht sein. Manchmal wissen die Menschen aber nicht, was sie tun, wenn sie posten, googeln oder teilen. Wenn ihnen etwas gefällt, denken sie nicht immer an morgen.
Andere lassen vielleicht ganz die Finger davon, obwohl Netzwerke und Tools die gewünschten Zwecke durchaus erfüllen, wenn man die Vorteile kennt. Es geht also um Medienkompetenz, um Prävention, statt nur vor Nachteilen des Netzes zu warnen:
- Was sind Daten?
- Was sind meine Daten wert, und wo gehen die denn eigentlich überall hin, in diesem Internet?
- Wie kann ich das steuern?
- Was entsteht Gutes durch meine Neugier und wann geht das individuell zu weit?
Ein Forschungs-Workshop am Vormittag für Jung und Alt, Lernende und Lehrende.
Fragen im Voraus erwünscht an Tom Siegmund (www.weberklaerer.de). Tom Siegmund ist Netzwerker und Blogger.
AG 5 Data-Mining im Internet
Demonstration von Maltego, einem Werkzeug zur Verknüpfung und Auswertung von Daten
Samstag 14.30 bis 17.30 Uhr
Viele Menschen geben im Internet personenbezogene Informationen über sich preis, ohne sich bewusst zu sein, wie einfach es ist, diese Daten gezielt auszuwerten und zu nutzen. Man liefert Informationen ab für einen bestimmten Zweck, kann aber kaum absehen, für welche weiteren, oft unerwünschten Zwecke diese außerdem genutzt werden. So lassen sich die Ergebnisse von derartigem Data-Mining dazu missbrauchen, Social-Engineering-Attacken vorzubereiten oder gezielt Personengruppen mit bestimmten Zielprofilen zusammenzustellen.
In diesem Workshop wird das Analyse-Werkzeug Maltego vorgestellt, mit dem auch technisch wenig versierte Anwender beliebige Daten abschöpfen, verknüpfen und auswerten können. Anhand von konkreten Beispielen soll gezeigt werden, wie einfach es inzwischen ist, personenbezogene Daten aus dem Internet, etwa von Firmenwebseiten und aus Facebook herauszufiltern und welche Risiken daraus entstehen.
Nähere Infos zu Maltego sind auf der Herstellerseite zu finden: http://www.paterva.com/web5/.
Die Arbeitsgruppe wird organisiert von:
Iwan Gulenko (FIfF)
AG6 EU-Sicherheitspolitik und -forschung
Samstag 10.00 bis 13.00 Uhr
In den letzten Jahren wurde ein Weg eingeschlagen, der Europa in die Richtung eines präventiven Polizeistaats führt. Prävention von Verbrechen, Terrorismus und anderem Bösen in der realen wie in der virtuellen Welt steht im Fokus von Politik und Forschung.
Wenige Länder und Organisationen, vorwiegend große Verteidigungs- und Sicherheitsunternehmen und Organisationen der angewandten Forschung, teilen die Fördermittel unter sich auf, das zeigt eine Untersuchung des EU-Parlaments (EP) zur Sicherheitsforschung im Rahmen des Seventh Framework Programme FP7 (http://cordis.europa.eu/fp7/security/home_en.html).
Ein großer Anteil der Projekte befasst sich mit Überwachungstechnologie, und die Zusammensetzung der Projekte verhindert, so das EP, “eine breite Reflektion der Auswirkungen dieser Technologien auf die Bevölkerung, die von solchen Technologien betroffen sein wird”.
( Bericht zu finden unter http://www.europarl.europa.eu/activities/committees/studies/download.do?language=de&file=32851#search=%20REview%20of%20security%20measures)
Die technische Entwicklung von Videoüberwachung, dem Monitoring von Internetaktivitäten und der Speicherung von Verbindungsdaten geht einher mit einem neuen EUROPOL-Gesetz, das die Exekutive der EU stärkt und Kompetenzen und Einflussmöglichkeiten der Legislative und Judikative beschneidet. Europa wird zur Festung nach außen (besonders auffällig durch den Ausbau der Grenzschutzorganisation FRONTEX) und zum präventiven Überwachungsstaat nach innen.
Wir suchen nach Möglichkeiten und Alternativen, die diesen Trend umkehren zu Sicherheitsforschung und Politik für die Menschen. Wir wollen Forderungen erarbeiten, die die demokratisch-freiheitlichen Rechte der EU-Bürger dabei mindestens erhalten, wenn nicht verbessern, einschließlich unabhängiger Technikfolgenabschätzung.
Die Arbeitsgruppe wird organisiert von:
Sylvia Johnigk (FIfF)
AG7 KRITIS
Interessenskonflikte im Kontext kritischer Infrastrukturen
Samstag 14.30 bis 17.30 Uhr
"Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“, so die offizielle Definition zu kritischen Infrastrukturen. Bereiche wie Transport und Verkehr, Energieversorgung, Informations- und Telekommunikationstechnik, Wasserversorgung, Finanzwesen, Gesundheitswesen, Militär und der Katastrophenschutz zählen zu diesen kritischen Infrastrukturen ("KRITIS"). Deren Ausfall oder Beeinträchtigung kann z.B. durch Naturereignisse, technisch-menschliches Versagen, durch Sabotage, Terrorismus oder Krieg nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen des gesellschaftlichen Miteinanders oder andere dramatische Folgen nach sich ziehen, da gegenüber diesen Bereichen im Alltag eine hohe Abhängigkeit besteht.
Die - gerade auch in den KRITIS-Bereichen - eingesetzten IT-Systeme sind hochgradig miteinander vernetzt und durchdringen zunehmend mehr Bereiche des Alltags, insofern gebührt der kritischen Informations- und Kommunikationsinfrastruktur eine besondere Aufmerksamkeit. Ausfälle und Fehlfunktionen von, und Angriffe auf kritische Informations- und Kommunikationssysteme können verheerende Folgen für die Gesellschaft haben. Es ist daher von gesellschaftlichem Interesse, dass diese wirksam geschützt werden. Infolge des technischen Fortschritts und des variantenreichen Einsatzes entsprechender Techniken existieren jedoch eine Vielzahl von Angriffsvektoren und Verletzlichkeiten. Gerade der Stuxnet-Angriff auf eine isolierte Atomanlage hat vor Augen geführt, dass wir es mit einer realen Gefahr zu tun haben. Grundsätzlich unterliegen alle kritischen Einrichtungen permanenten Angriffen der Spass-Guerilla, von Hacktivisten, dem organisierten Verbrechen sowie Terroristen.
Die bisherigen Angriffe auf kritische Einrichtungen haben deutlich gemacht, wie leicht Sicherheitsmaßnahmen von Angreifern umgangen werden können, und wie erstaunlich wenig die Informationssicherheit dem oft entgegenzusetzen hat. Die Kreativität der Angreifer, die Komplexität der Systeme und die Arglosigkeit der Menschen scheinen oft alle Schutzbemühungen zu vereiteln. Die aufgebauten Strukturen wirken daher als durchaus zerbrechlich. Die Diskussion unter zuständigen KRITIS-Beteiligten wird aufgrund der besonderen Bedeutung i.d.R. nicht-öffentlich und vertraulich geführt, eine breite gesellschaftliche Diskussion und Beteiligung sind so nur schwer möglich. Die Folgen der Atom-Katastrophe in Japan zeigen aber auch, dass es vielleicht gerade jetzt an der Zeit ist, über entsprechende Fragen grundsätzlich und öffentlich zu diskutieren.
Im Workshop sollen in diesem Kontext aktuelle KRITIS-Aktivitäten vorgestellt und dabei die Rolle der Informationssicherheit kritisch hinterfragt werden. Welchen Konflikten sind Manager von Informationssicherheit kritischer Infrastrukturen in der Praxis ausgesetzt? Welche der kritischen Infrastrukturen sind warum und wie schützenswert? Können komplexe gesellschaftliche Strukturen mit noch komplexeren Sicherheitsmethoden überhaupt ausreichend geschützt werden? Ist ein angemessener Schutz nur noch auf Kosten einer verstärkten Überwachung des Einzelnen möglich? Oder wäre es unter gewissen Umständen nicht doch besser, KRITIS-Strukturen wieder so zu vereinfachen, dass sie robuster gegen Störungen sind, und eine Fehlfunktion oder ein Angriff nicht zur Katastrophe führen können?
Die Arbeitsgruppe wird organisiert von:
Claus Stark (FifF) und
Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit)
AG8 Europäische Vernetzung
Samstag 10.00 bis 13.00 Uhr
Auch wenn sich die politische Berichterstattung immer noch stark auf die nationale Sicht konzentriert – wesentliche Entscheidungen, auch in der Netzpolitik, werden seit längerer Zeit in Brüssel und Straßburg getroffen. Aktuelle Themen wie Vorratsdatenspeicherung, Netzsperren, Datenschutz basieren letztlich auf europäischen (Regierungs-) Initiativen. Die Vorratsdatenspeicherung, deren Umsetzung in Deutschland als verfassungswidrig verworfen wurde, geht auf die europäische Richtlinie 2006/24/EG zurück – für die Nichtumsetzung sieht sich die deutsche Regierung einem Vertragsverletzungs-Verfahren gegenüber.
Wenn aber die wesentlichen Entscheidungen auf europäischer Ebene getroffen werden, ist es entscheidend für netzpolitische Initiativen, dass sie sich europaweit vernetzen.
Das ist die Ausgangslage für diesen Workshop. Wir wollen zunächst darstellen, wie auf europäischer Ebene Entscheidungen getroffen werden:
- Welche Organe gibt es?
- Wie arbeiten sie zusammen?
- Wer nimmt Einfluss auf die Entscheidungen – Lobby-Verbände und nationale Regierungen?
- Wie transparent ist diese Entscheidungsfindung?
Um in Europa netzpolitisch mitwirken zu können, wurde bereits 2002 EDRi gegründet – European Digital Rights. Das FIfF ist seit 2004 Mitglied dieses Verbandes. Wir wollen vorstellen, wie EDRi arbeitet, welche Organisationen dort Mitglied sind, und welche Erfolge wir bereits feiern durften.
Unser Ziel ist es, unsere Aktivitäten auf der europäischen Ebene zu verstärken – die EDRi-Arbeit besser zu unterstützen. Das wollen wir nach den einführenden Referaten gemeinsam erarbeiten:
- Welche Möglichkeiten hat das FIfF, auf europäischer Ebene mitzuwirken?
Das FIfF hat viele kompetente Mitglieder, deren Kenntnisse und Fähigkeiten hier gefragt sind.
- Wie können wir dieses Potential besser nutzen, um europäische Initiativen zu unterstützen?
- Welche Informationen benötigen wir dafür?
- Brauchen wir andere Strukturen?
- Und nicht zuletzt: Wer im FIfF kann dabei mitarbeiten, ihre und seine Kompetenz dabei einbringen?
Wenn wir auf Entwicklungen erst reagieren, wenn sie auf der nationalen Ebene angekommen sind, ist es häufig zu spät noch etwas zu bewegen. Deswegen ist ein stärkeres europäisches Engagement für das FIfF sinnvoll und wichtig.
Die Arbeitsgruppe wird organisiert von:
Stefan Hügel (FIfF) und
Jens Rinne (FIfF)
Podiumsdiskussion
Eigene Informationen will jede/r schützen!
Freitag 19.30 bis 22.00 Uhr
- Deutschland hat ein Informationsfreiheits-Gesetz, das den Staat dazu verpflichtet, Interessierten aus der Gesellschaft und den Medien Auskunft zu erteilen. Leider funktioniert es nicht immer so, wie es gedacht ist.
- Unternehmen stecken viel Geld in Produkte und Entwicklungen, den Ertrag dieses geistigen Eigentums möchten sie sich nicht wegnehmen lassen.
- Bürgerinnen und Bürgern ist ihre Privatsphäre wichtig, da soll niemand drin schnüffeln, weder Sicherheitsbehörden noch Unternehmen noch die organisierte Kriminalität (OK).
Es ist Aufgabe jedes Staatswesens, die Sicherheit seiner Bürger zu gewährleisten und Daseinsvorsorge für sie bereitzustellen. Das schließt ein, dass Finanzämter Steuer erheben, ein Ministerium wirtschaftliche Aktivitäten schützt, dass Sicherheitsbehörden der OK vorbeugen und sie bekämpfen, dass ein Staat sein Territorium gegen militärische Bedrohung sichert. Der Staat soll Sicherheitskonzepte beispielsweise für kritische Infrastrukturen entwickeln und sie gegen Angriffe von außen schützen.
Schon Ende der Siebziger wurde deutlich, dass es bei den Atomkraftwerken Interessenskonflikte zwischen dieser Staatsaufgabe und den Abwehrrechten der Bürgerinnen und Bürger gegen den Staat und seine Sicherheitsbehörden gab. Ein Beispiel aus dem Heute ist das Sicherheitskonzept für den inzwischen gestrichenen Transrapid-Bahnhof in München: Weder der Bayerische Rundfunk noch ein Abgeordneter der Grünen erhielten die Information, die sie sich gewünscht hatten. Wer womöglich Information über die Waffensysteme eines Staates unter dem Informationsfreiheits-Gesetz anfordern würde, nun ja ...
Auch Unternehmen haben ein legitimes Interesse daran, entweder eigene Information zu schützen oder vom Staat oder den Bürgerinnen und Bürgern Information zu erhalten: Scoring ist wichtig, um nicht auf unbezahlten Rechnungen oder faulen Krediten sitzen zu bleiben. (Wie die Finanzkrise bewiesen hat, ist es kein ausreichendes Mittel gegen spekulative Gier.) Kostspielige eigene Entwicklungen und Produkte sollen Erträge abwerfen, nicht von Konkurrenten geklaut oder vom Staat durch einen gesetzlichen Federstrich zunichte gemacht werden. Produktionssteuerungen sind empfindlich, pfuscht jemand von außen herein, können gewaltige Schäden entstehen. Wenn Kundendaten verloren gehen oder gestohlen werden, kann der Verlust – materiell oder an Renommee – die Existenz des Unternehmens bedrohen. In Deutschland sehen Unternehmen das und sind skeptisch gegenüber dem Cloud-Computing, es sei denn, sie können als kleine Firmen die Hardware- und Software-Infrastruktur gar nicht mehr selbst stemmen.
Wir Menschen haben dazugelernt: Im Idealfall wägen wir sorgfältig ab, bevor wir unsere Daten artig zur Verfügung stellen: Was muss der Staat oder ein Unternehmen über mich wissen? „Ich habe nichts zu verbergen“, gilt bei vielen nur noch für Doofe. Gleichzeitig fordern wir Information: Wie erledigt der Staat seine Aufgaben – in meinem Sinne? Wie kann ich mitbestimmen, wenn starke Interessen sich durchzusetzen drohen und Partizipation gefordert ist? Welche Information wird uns vorenthalten, sowohl durch unsere Regierung als auch durch die Mediokratie? Welche Information könnte ich erhalten, wenn Whistleblower ihre Stimme erheben? Welches Wissen und welche Kontakte stellen mir soziale Netzwerke oder freie Plattformen wie Wikipedia zur Verfügung?
Technik verändert die Machtverhältnisse. So hat auch die IKT das Verhältnis verändert zwischen denen, die Macht und Geld haben, und denen, die nicht über Einfluss, Geld oder technischen Mittel verfügen. Können wir Bürgerinnen und Bürger dieses Ungleichgewicht ausbalancieren? Zwischen frei verfügbaren Informationen, beispielsweise durch Creative Commons, und geistigem Eigentum? Zwischen dem technischen Drohpotenzial im Cyberwar und einer defensiven Anstrengung durch Informationssicherheit?
Podiumsdiskussion zum Tagesthema mit:
Michael George (Bayerisches Landesamt für Verfassungsschutz)
Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der
Max-Planck-Gesellschaft)
Constanze Kurz (Sprecherin des CCC)
Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz)
Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW)
Vortrag: Anonymität, Integrität und Vertraulichkeit vs. Strafverfolgung
Sonntag, 13. November 2011, 10.00 Uhr
Der Vortrag beleuchtet die aktuellen rechtlichen Entwicklungen im Zusammenhang mit (insb. heimlichen) Zugriffen auf Computerdaten und -systeme durch Strafverfolgungsbehörden. Eingegangen wird dabei besonders auf Gefährdungsaspekte für anonyme Handlungen im Internet und Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Computerdaten und -systemen.
Vortrag wird gehalten von:
Dr. Phillip Brunst, Cybercrime Research Institute (Köln)
Übersicht | Programm | Veranstaltungsort | Flyer (pdf) | Hotels/Hostels | Arbeitsgruppen | Anmeldung | Unterstützer
Kontakt: 2011 at FIfF punkt de