Datensicherheit und Datenschutz für digitale Medien

Aus Winfwiki

Fallstudienarbeit
Hochschule:	Hochschule für Oekonomie & Management
Standort:	Essen
Studiengang:	Bachelor Wirtschaftsinformatik
Veranstaltung:	Fallstudie / Wissenschaftliches Arbeiten
Betreuer:	Dipl-Inf._(FH)_Christian_Schäfer
Typ:	Fallstudienarbeit
Themengebiet:	Digital_Lifestyle
Autor(en):	Heiermann,Michael; Grunau, Fabian
Studienzeitmodell:	Abendstudium
Semesterbezeichnung:	WS11
Studiensemester:	2
Bearbeitungsstatus:	Bearbeitung abgeschlossen
Prüfungstermin:	31.01.2012
Abgabetermin:	30.01.2012

Name des Autors / der Autoren:	Michael Heiermann, Fabian Grunau
Titel der Arbeit:	"Datensicherheit und Datenschutz für digitale Medien"
Hochschule und Studienort:	FOM Essen

Inhaltsverzeichnis 1 Einleitung 1.1 Vorgehensweise 1.2 Zielsetzung 1.3 Definition 1.3.1 Medien 1.3.2 Digitale Medien 1.3.3 Datenschutz 1.3.4 Datensicherheit 1.3.4.1 Vertraulichkeit 1.3.4.2 Verfügbarkeit 1.3.4.3 Integrität 2 Grundlagen 2.1 Grundproblematik 2.2 Gefahrenkategorien 2.2.1 Höhere Gewalt 2.2.2 Organisatorische Mängel 2.2.3 Menschliche Fehlhandlungen 2.2.4 Technisches Versagen 2.2.5 Vorsätzliche Handlungen 2.3 Potenzielle Gefahren und Gegenmaßnahmen 2.3.1 Allgemein 2.3.1.1 Virenschutz 2.3.1.2 Verschlüsselung 2.3.1.2.1 Synchrone- und Asynchrone-Verschlüsselung 2.3.1.2.2 SSL-Verschlüsselung 2.3.1.3 Firewalls 2.3.2 Unternehmen 2.3.2.1 Datenverlust 2.3.2.1.1 Backups 2.3.2.1.2 RAID-Systeme 2.3.2.1.3 USV-Systeme 2.3.3 Privat 2.3.3.1 Facebook 2.3.3.2 Google+ 2.3.3.3 Tracking picture 3 Rechtliche Grundlagen 3.1 Deutschland 3.1.1 Gültigkeit des BDSG 3.1.2 Einsetzen des Datenschutzes 3.1.3 Datenschutzbeauftragter 3.1.3.1 Qualifikation 3.1.3.2 Haftung 3.1.3.3 Weiteres 3.1.3.4 Interner oder Externer Datenschutzbeauftragter 3.1.4 Maßnahmen des Datenschutzes 3.2 Europa 3.3 Vereinigte Staaten von Amerika 3.3.1 Safe Harbor 4 Fazit 5 Abkürzungsverzeichnis 6 Abbildungsverzeichnus 7 Tabellenverzeichnis 8 Fußnoten 9 Literatur- und Quellenverzeichnis

1 Einleitung

Durch eine zunehmende Vernetzung der Welt, dringt die digitale Welt immer stärker ins alltägliche Leben und vereinfacht vieles. Wie selbstverständlich wird heute das Internet als Informations- und Einkaufsportal genutzt, sei es der neue Fernseher, das Lieblingslied oder die neusten Nachrichten aus aller Welt, alles nur einen Mausklick entfernt. Kontakte mit Menschen auf der ganzen Welt werden durch soziale Netzwerke etabliert und aufrechterhalten. Allerdings hat diese neue Art des Lebens auch Kehrseiten. So ist das Thema Datenschutz und Datensicherheit, sowie dessen Kontrolle, heute ein größeres und vor allem wichtigeres Thema als je zuvor.

1.1 Vorgehensweise

Diese Fallstudie zeigt auf welche Rechtlichen Rahmenbedingungen und Wirtschaftlichen Konventionen zum Thema Datenschutz und zur Datensicherheit herrschen und was überhaupt unter diesen Begriffen zu verstehen ist. Dabei werden verschiedenen Arten des Datenschutzes und der Datensicherheit erläutert und die Möglichkeiten aufgezeigt um Sicherzustellen das diese eingehalten werden können. Darauf werden Praxisbeispiele zu Datenschutz und Datensicherheit im Alltag gegeben.

1.2 Zielsetzung

Das Ziel dieser Fallstudie liegt darin einen Eindruck zu vermitteln wie Komplex die Themen Datenschutz und Datensicherheit sind und wie schwer aber auch nötig die Einhaltung dieser Themen ist. Außerdem soll sie dahingehend Sensibilisieren wo Gefahren im Umgang mit Digitalen Medien lauern und wie diese in der Praxis gelöst werden können. Es soll auch aufgezeigt werden wie die Einstellung in der Europäischen Union und den Vereinigten Staaten von Amerika zum Thema Datenschutz und Datensicherheit ist und wie diese miteinander vereinbar sind.

1.3 Definition

1.3.1 Medien

Medien (lat. Medium = Mittel) sind Objekte zur Überlieferung von Informationen^[1] zwischen einem oder mehreren Sendern an einen oder mehrere Empfänger. Das Mittel hierzu kann von verschiedener Natur sein. So zählen zu den Arten von Medien u.A. Druck Medien, Audiovisuelle Medien und digitale (elektronische) Medien.

Druck Medien, oder auch print Medien, sind Medien auf Basis eines Trägermaterials mit aufgedruckten Informationen in für Menschen lesbarer Form. Hierzu gehören Zeitung, Bücher oder andere Publikationen. Das am meisten eingesetzte Trägermaterial ist Papier.

Audiovisuelle Medien übertragen ihre Informationen über Ton und Bild. Dies beschreibt sowohl den Inhalt als auch das Übertragungsmedium. So zählt hierzu also sowohl der Film, wie auch das Trägermedium. Trägermedien sind z.B. CD, DVD, BD, wie auch die VHS-Kassette.

Digitale Medien beschreiben Informationsübertragungen, welche sich durch eine hohe Geschwindigkeit und ein breites Publikum auszeichnen

1.3.2 Digitale Medien

Digitale Medien erfreuen sich einer immer stärker werdenden Beliebtheit. Zu ihnen zählt nicht nur das Internet, sondern jegliche Datenübertragung mit dem Ziel zur Informationsübermittlung. Beispiele dazu sind z.B. SMS, E-Mail, oder Social Networking. Die Nutzung solcher Angebote steigt seit deren Einführung stetigen an. Als eines der älteren Services im Bereich der digitalen Medien genießt die SMS auch heute noch eine hohe Akzeptanz, daraus resultierenden steigt die Nutzung auch weiterhin an^[1]. Zurückzuführen ist dieser Anstieg nicht zuletzt durch den Preiskampf der Anbieter und den dadurch sinkenden Preise für den Versand von SMS. Doch dieser Anstieg ist nicht nur bei SMS sondern auch bei vielen anderen digitalen Medien zu beobachten. Dies ist unter anderem auch ein Resultat aus der immer stärker werdenden Verschiebung des Lebens in die digitale Welt und der Nutzung der Möglichkeiten die diese bietet.

1.3.3 Datenschutz

Der Datenschutz beschreibt im Allgemeinen vor Allem den Schutz von personenbezogener Daten, Informationen, und geistigem Eigentum, wie auch den Schutz der Privatsphäre vor unbefugten Zugriffen. Der Verlust solcher Informationen kann unter Umständen verheerend sein. So kann der Verlust von Daten schnell zum Stillstand eines Unternehmens führen oder gestohlene Daten dazu genutzt werden sich die Identität eines Dritten anzueignen.

1.3.4 Datensicherheit

Unter dem Begriff Datensicherheit werden alle technischen und organisatorischen Maßnahmen zusammengefasst die unerlaubten Zugriff, Verwendung, Änderung, Weitergabe und Zerstörung von Daten und Informationen verhindern sollen. Diese Aspekte bilden unter den Begriffen Vertraulichkeit, Verfügbarkeit und Integrität die Grundbausteine der IT-Sicherheit und erlauben bei sorgsamer Planung und Durchführung das Informationen und Daten zu jedem Zeitpunkt über einen ausreichenden Schutz verfügen.

1.3.4.1 Vertraulichkeit

Nur befugte Personen dürfen Zugriff auf schützenswerte Informationen und Daten haben. Unter Vertraulichkeit versteht man alle Maßnahmen um diesen Schutz zu gewährleisten.

1.3.4.2 Verfügbarkeit

Unter Verfügbarkeit versteht man eine Rechnerische Größe die die Eigenschaft beschreibt auf Systeme zugreifen zu können und drückt somit die Zuverlässigkeit von System und Diensten aus.

1.3.4.3 Integrität

Integrität bezeichnet das Sicherstellen der Korrektheit von Informationen und Daten, diese müssen vollständig und unverändert sein. Dieses Ziel muss für einen bestimmten Zeitraum, abhängig von der Art der Daten, erfüllt sein.

2 Grundlagen

2.1 Grundproblematik

Das Grundproblem beim Schutz von Daten ist es das Unternehmen darauf angewiesen sind möglichst viel über ihre Kunden in Erfahrung zu bringen um z.B. Geschäfte möglichst effizient abwickeln zu können oder zielgerichtet Werbung zu betreiben und somit ihre Marktposition zu festigen und letztendlich höhere Gewinne zu erzielen. Allerdings werden Unternehmen durch größere Datenmengen für Außenstehende auch ein begehrtes Ziel, besonders wenn es sich um sensible Daten wie z.B. Kreditkartennummern handelt. Auch sind Verluste dieser Daten sehr geschäftsschädigend und können auch bei Bekanntwerden solcher Verluste das Ansehen eines Unternehmens dauerhaft belasten.

2.2 Gefahrenkategorien

Dieser Abschnitt befasst sich mit verschiedenen Gefahrenquellen die in 5 Kategorien unterteilt werden und liefert lediglich eine kurze Zusammenfassung inklusive Beispielen dieser, da ansonsten der Rahmen dieser Facharbeit überschritten würde. Dabei herrscht bei einigen Punkten ein fließender Übergang zwischen den Kategorien, da in der Realität meist mehrere Faktoren an einem Gefahrenszenario beteiligt sind^[2].

2.2.1 Höhere Gewalt

Unter höhere Gewalt sind all die schädlichen Ereignisse zu verstehen, die nicht in Gänze vermieden werden können, und meist durch äußere Umweltbedingungen ausgelöst werden. Die Auswirkungen sind zwar im gewissen Maße eingrenzbar, allerdings nicht völlig auszuschließen. Beispiele für diese Kategorie ist der Einschlag eines Blitzes, durch welchen die interne oder externe Elektronik zerstört wird oder der Ausbruch eines Feuers im Gebäude und der daraus resultierende direkte Schaden, als auch der indirekte Schaden durch Löschwasser oder Rauchschäden. Auch der Ausfall von wichtigem Personal fällt in diese Kategorie^[2].

2.2.2 Organisatorische Mängel

Organisatorische Mängel bezeichnen Gefahrenquellen die sich Aufgrund fehlerhafter Planung oder unzureichenden Regelungen ergeben. Dabei ist zu beachten, dass die Kenntnisse über diese Regelungen auch an alle betroffen kommuniziert werden muss um eine entsprechende Gefahrensituation zu vermeiden. Unzureichende Kontrollen der Sicherheitsmaßnahmen und unzureichende Zutrittskontrolle für schutzbedürftige Räume führen ebenfalls zu Mängeln. Ebenso fallen Vertraglich nicht genau genug gehaltene Regelungen mit externen Dienstleistern in diese Kategorie.
Auf Administratorenebene wären Beispiele, das Unerlaubte Ausübung von Rechten oder das nicht erkennen von Sicherheitsvorfälle. Organisatorische Mängel können auch aus einer unzureichenden Sensibilisierung für Informationssicherheit oder im Allgemeinen eine unzureichende Schulung der Mitarbeiter entstehen^[2].

2.2.3 Menschliche Fehlhandlungen

Dieser Unterpunkt des Gefährdungskataloges bezieht sich ganz Explizit auf menschliches Fehlverhalten, sei es vorsätzlich oder aus Unfähigkeit. Zum einen Fallen hierrunter die vorsätzliche Nichtbeachtung von Sicherheitsmaßnahmen und Vorschriften, die Weitergabe von internen Informationen oder der sorglose Umgang mit diesen. Ein häufiger Grund für Sicherheitslücken entsteht aus dem ungeeigneten Verhalten bei der Internetnutzung oder der Computer Benutzung im Allgemeinen. Fehlbedienung bzw. fehlerhafte Administration von IT-System oder TK-Anlagen und der daraus resultierende Ausfall oder die Schädigung dieser Fallen ebenfalls in diese Kategorie^[2].

2.2.4 Technisches Versagen

Alle Gefahren die sich auf Grund von technischen Störungen ergeben sind hier einzuordnen. Zum Beispiel der Ausfall der Stromversorgung, Spannungsschwankungen/Überspannung/Unterspannung oder der Ausfall bzw. die Störung von Netzkomponenten. Neben der Schädigung von Servern könnte dies auch einen Ausfall von vorhandenen Sicherungseinrichtungen nach sich ziehen. Ein anderes Beispiel wäre ein defekter Datenträger und daraus resultierender Datenverlust oder der Verlust der Datenbankintegrität/-konsistenz. Ein Softwareseitig Beispiel für technisches Versagen wäre das im Quellcode der verwendeten Software Schwachstellen oder Fehler bestehen^[2].

2.2.5 Vorsätzliche Handlungen

Dieser letzte Punkt zeigt das Gefahrenpotential von gesetzeswidrigem Verhalten wie der Manipulation oder Zerstörung von Geräten, Zubehör oder Software auf. Außerdem ist hierrunter auch das unbefugte Eindringen in ein Gebäude, Diebstahl oder Vandalismus zu verstehen. Auch verschiedenste Angriffe um an Informationen zu gelangen oder das Unternehmen zu sabotieren gehören hierzu. Folgend die am Häufigsten auftreten Methoden um diese Ziele zu erreichen^[2].

• Abhören von Leitungen
  
• Bruteforce-Attacken
  
• Trojanische Pferde
  
• Missbrauch von Benutzerrechten oder Administratorrechten
  
• Viren (Schadprogramme)
  
• Social Engineering
  
• Phishing und Pharming
  
• Missbrauch sozialer Netzwerke
  

2.3 Potenzielle Gefahren und Gegenmaßnahmen

Prozesse, Abläufe, Zugriffe und andere Handlungskomplexe des täglichen Lebens bergen Gefahren, Sicherheitslücken und Unachtsamkeiten. Je nach Situation können sie ein System, oder auch Rechte des Einzelnen in Gefahr bringen. Für die meisten solcher Situationen gibt es oft teils einfache Lösungsmöglichkeiten diesen Gefahren aus dem Weg zu gehen.

2.3.1 Allgemein

2.3.1.1 Virenschutz

Aufgrund der Vielfältigkeit von Viren die mittlerweile existieren, stellen sich immer wieder neue Anforderungen an den Datenschutz und die Datensicherheit. So wandelt sich der Virenschutz von Jahr zu Jahr neu um mit angepassten Virensignatur, den immer neu entstehenden Viren entgegenzuwirken. Aufgrund der Anpassungszeit von Antivirusprogrammen bleiben Viren oft eine gewisse Zeit aktiv, verbreiten sich weiter, und je nach Virenart können Daten der Nutzer illegal verbreitet werden. Um diesem Umstand entgegen wirken zu können sollten Antivirusprogramme möglichst auf dem aktuellsten Stand sein. Der Einsatz von Anti-Spyware bzw. -Malware Software ist als zusätzliche Sicherheitsmaßnahme in jedem Fall zu empfehlen. Virenarten können z.B. klassische Viren, Trojaner, Backdoors oder Rootkits sein^[3].

Viren nach Definition^[4] beschreiben nicht selbstständige Programmroutinen, dessen einziger Sinn es ist ein Wirtssystem zu schädigen, verändern oder ähnliches. Dazu zählt u. A. das Einschleusen von Programmroutinen zur selbst Reproduktion. Nicht selten hängen sich Viren an den Programmcode von bereits vorhanden und vermeintlich sauberen Programmen an. Dies erschwert die Erkennung.

Trojaner sind Tools die als Nutzprogramme getarnt sind, die entweder Daten ausspähen oder Viren/Backdoors in das System einschleusen. Vor allem aus der Sicht des Datenschutzes und der Datensicherheit sind Trojaner gefährlich. Es ist zu Anfang erst unklar, was die Trojaner durchführen. Senden sie persönliche Informationen an eine bestimmte Stelle, oder nimmt er den Rechner in ein sog. Botnetz auf? Die Beseitigung von Trojanern ist teilweise schwierig, da Trojaner sich auf unterschiedlichste Arten selbst davor schützen gelöscht zu werden.

Backdoors sind kleine Programme, die auf “Abruf” eine bestimmte Aufgabe durchführen. Die Verbreitung geschieht z.B. über Trojaner oder als “Zusatz” zu vermeintlichen Nutzprogrammen. Aufgaben von backdoors sind z.B. Tastatureingaben mitschneiden/ausführen, Dateien übertragen, den Wirt fernsteuern oder den Wirt abstürzen lassen. Aus der Sicht von Datensicherheit und Datenschutz können Backdoors mit z.B. der Funktion wie Tastatureingaben mitschneiden oder Bildschirmfotos aufnehmen besonders kritisch sein. In beiden Fällen wird in die Privatsphäre des Nutzers eingedrungen, und auch auf Private Informationen zugegriffen.

Eine relativ junge Art der Viren sind Rootkits. Die Erkennung von Rootkits ist sehr schwer; zusätzlich ist die Erkennungsrate von Rootkits je nach Antivirusprogramm eher schlecht. Der eigentliche Sinn eines Rootkits ist die Verschleierung anderer Trojaner bzw. Viren vor dem Nutzer, Windows und Antivirusprogramme. Das Rootkit fungiert also sozusagen als “Tarnbomber”. Sollte ein Rootkit entdeckt bzw. entfernt worden sein, so ist eine gründliche Systemprüfung zu empfehlen. Ein Prüfung von verschiedenen Tools ist dabei sogar empfehlenswert.

Da Viren im Allgemeinen eines gemeinsam haben, nämlich das Sie zu beseitigen sind, sollte der Einsatz einer passenden Antivirus-Lösung einen hohen Stellenwert besitzen. Sowohl im Privaten, als auch im Unternehmens Umfeld.

2.3.1.2 Verschlüsselung

Da immer mehr Versuche unternommen werden Daten zu schützen, bekommt auch die Verschlüsselung einen immer höheren Stellenwert. Eine Grobe Unterteilung findet zunächst mit der Art der Verschlüsselung statt, und ob ich etwas lokal verschlüssele oder etwas verschlüsselt über das Netzwerk, bzw. Internet versende.

2.3.1.2.1 Synchrone- und Asynchrone-Verschlüsselung

Die Synchrone und die Asynchrone Verschlüsselung variieren durch die Art des Schlüsselaustausches. Bei der Synchronen Verschlüsselung wird für die Verschlüsselung ein bestimmtes Passwort verwendet. Dieses Passwort muss allen beteiligten Parteien bekannt sein. Die Gefahr bei der Synchronen Verschlüsselung besteht in einem unsicheren übermitteln des Passwortes. Der Vorteil dieser Verschlüsselungsart liegt in der niedrigen benötigten Rechenleistung. Der bekannteste Algorithmus, der nach diesem System arbeitet, ist DES^[5]

Die Asynchrone Verschlüsselung geht einen anderen Weg. Hier wird vom Empfänger ein öffentlicher Schlüssel bereitgestellt. Zu dem öffentlichen Schlüssel gehört immer ein privater Schlüssel. Der öffentliche Schlüssel wird an den Sender übertragen und zur Verschlüsselung der Nachricht bzw. Datei verwendet. Für die Entschlüsselung wird dann der private Schlüssel verwendet. Dadurch, dass normalerweise nur der Empfänger den privaten Schlüssel besitzt, ist der Sicherheitsgrad sehr hoch. Ein weit verbreiteter Algorithmus ist RSA, entwickelt durch die RSA Data Security inc^[6]

2.3.1.2.2 SSL-Verschlüsselung

Eine andere Anwendung der Verschlüsselung basiert auf der Verschlüsselung von z.B. Webseiten. Die auf dem Standard X.509 aufbauende Verschlüsselung basiert auf der Nutzung von Zertifikaten als öffentliche Schlüssel. Diese Schlüssel sind durch eine externe Einrichtung erstellt. Das Zertifikat enthält dabei verschlüsselte Information zur Gegenstelle. Bei dem Verbindungaufbau wird das Zertifikat an den Empfänger übermittelt. Dieser überprüft dieses Zertifikat mit dem öffentlichen Stammzertifikat, dass dieses Zertifikat für den Sender zertifiziert haben soll. Eine aufgebaute Verbindung wird als sicher anerkannt, sollte das übermittelte Zertifikat durch das öffentliche Stammzertifikat verifiziert werden können ^[7].

Allgemein ist es üblich das Zertifizierungsstellen eine hierarchische Struktur aufbauen. Unter einer CA (Certifcation Authority, Stammzertifizierungsstelle) baut sich eine Struktur von Zwischenzertfizierungsstellen auf. Auf diese Weise können Nutzer selber wählen von wem sie ihren öffentlichen Schlüssel / Zertifikat zertifizieren lassen. Bekannte Zertifizierungsstellen sind zum Beispiel VeriSign inc. oder die deutsche Telekom AG^[7].

2.3.1.3 Firewalls

Eine wichtige Komponente für den Datenschutz und die Datensicherheit sind Firewalls. Die Realisierung unterscheidet sich in vielen Fällen, genauso wie der Aufbau der Firewalls. Es gibt verschiedene Varianten von Firewalls, die sich in den zuvor genannten Punkten zwar unterscheiden, von der Arbeitsweise sich aber gleichen.

Die Portfilter Firewall arbeitet nach dem einfachen Prinzip des blockieren von Verbindungen über bestimmte Ports. Sie ist die am einfachsten zu realisierende Firewall, weswegen sie auch in einer Vielzahl von privaten Routern zu finden ist. Es ist einfach zu regeln, welcher Port offen und welcher geschlossen ist. Für verschiedene Anwendungsgebiete ist dies bereits eine grundlegende Sicherheit.

Die “Paketfilter Firewall” Arbeitet nach dem Prinzip der Paketüberprüfung. Überprüft wird dabei der Paketheader einer eingehenden bzw. ausgehenden Übertragung. Dabei kann nach verschiedenen Inhalten gesucht werden.

• Protokoll
• Quelladresse
• Quellport
• Zieladresse
• Zielport
• Flags
  

Durch die Möglichkeit der Filterung dieser Werte im Paketheader ist es möglich unerwünschte Verbindungen zu Untersagen. So ist es möglich Verbindungen zu bestimmten Servern bzw. von bestimmten Servern zu verbieten, aber auch bestimmte Ports zu blockieren. Beschränken kann man diese Filter auch schon auf der Ebene des eingesetzten Protokolls. Beispiele für Protokolle sind z.B. TCP, UDP oder ICMP. In Kombination mit anderen Filterregeln ist es möglich diese Regeln nur auf bestimmte Protokolle anzuwenden. Positiv für diese Firewall Art ist der hohe Durchsatz mit geringer Latenz. Negativ ist allerdings, dass sie nur eine geringe Anpassungsfähigkeit besitzt (z.B. bei FTP). Trifft eine Verbindung über z.B. den Port 20 bei der Firewall ein und versucht eine Verbindung auf einem beliebigen hohen Port (z.B. über 1024) herzustellen, so kann es die Firewall u.U. nicht ordnungsgemäß handeln ^[8].

Aufbauend auf der Paketfilter Firewall arbeitet die Stateful Packet Filter Firewall. Im Gegensatz zur reinen Paketfilter Firewall Arbeit diese nicht nur mit momentanen Paketen, sondern vergleicht diese mit früheren Paketen. Bei jedem eingehenden Paket wird die vorgenommene Aktion in eine Art Datenbank geschrieben. Nachfolgende Pakete werden dann nach Möglichkeit mit vorherigen Verbindungen verglichen, bei erfolgreichem Fund einer älteren Entscheidung wird für dieses Paket nach der gleichen Regel vorgegangen. Ansonsten wird die Verbindung verboten. Ein weiterer Punkt der überprüft wird, ob die Verbindung von einem zuvor als sicher markierten Port auf einen zuvor noch nicht genutzten Port wechselt^[8].

Eine weitere Variante von Firewalls ist z.B. die Application Layer Firewall oder auch Application layer Proxy. Diese Arbeit entgegen der bisher genannten Firewall auf Layer 7 des OSI-7-Schichtenmodells. Es überwacht nicht nur welche Ports, Adressen oder Protokolle genutzt werden, sondern überprüfen auch den eigentlichen Dateninhalt der Pakete. Sie interpretiert die Pakete. Allerdings birgt diese Interpretation einen hohen Aufwand, der u.U. in einer höheren Latenz resultieren. Der Vorteil dagegen birgt eine höhere Unterstützung verschiedener Protokolle und Anwendungen^[8].

2.3.2 Unternehmen

In Unternehmen müssen Nutzer und Administratoren gleichermaßen auf die Sicherheit ihrer Daten achten. Die Verteilung der Aufgaben im Unternehmen ist einfach. Der Administrator schafft die Sicherheitsmaßnahmen, der Nutzer befolgt diese. Je nach Personenkreis kann dies allerdings zu Problemen führen. Dies ist zum Beispiel der Fall, wenn der Benutzer sich nicht an diese Maßnahmen gebunden fühlt und entsprechend gegen diese handelt. Ein Beispiel hierzu ist u.A. wenn das Konzept des regelmäßigen Änderns des Passwortes dadurch ausgehebelt wird, das Benutzer Passwörter wählen, die nur über eine geringe Sicherheit verfügen. Ab einer bestimmten Unternehmensgröße ist es empfehlenswert, das eine oder mehrere Personen sich mit dem Thema Datensicherheit dauerhaft befasst. Ob und wie stark ein Unternehmen auch verpflichtet ist die Daten auf rechtlicher Basis zu Schützen wird im Unterpunkt 3 dieser Fallstudie behandelt.

2.3.2.1 Datenverlust

Datenverlust ist eine Gefahr, die Allgegenwärtig ist. Es gilt diese Gefahr mit entsprechenden Mitteln entgegen zu wirken, da der Verlust vom Stillstand bis hin zum gänzlichen Zusammenbruch eines Unternehmens führen könnte. Mittel gegen einen solchen Potentiellen Datenverlust sind z.B. der Einsatz von Backup-Systemen, RAID-Systemen oder USV-Systemen.

2.3.2.1.1 Backups

Backup-Systeme dienen zur Sicherung bestehender Daten. Diese Sicherung kann bei einem Datenverlust die Widerherstellung verlorener Daten ermöglichen. Backups arbeiten nach Verschiedenen Verfahren. Unterschiede in Backup-Systemen spiegeln sich in der Speicheranbindung, dem Speichermedium und der Art des Backups wieder.

Die Speicheranbindung ist bei Backup-Systemen eine der wichtigsten Punkte bei der Entscheidung zu einem passenden System. Je nach Datenaufkommen muss das System anfallende Daten in entsprechender Geschwindigkeit verarbeiten können. Für die Bearbeitung muss das Medium, dass zur Anbindung genutzt wird, über eine möglichst hohe Geschwindigkeit verfügen.

Ein weiterer wichtiger Punkt ist die Art des Speichermediums. Für Backup-Systeme können verschiedene Speichermedien in Anspruch genommen werden. Auch hier gilt es je nach Datenaufkommen das passende Medium auszuwählen. Speichermedien mit Hoher Kapazität sind z.B. Bandlaufwerke, welche auch über 1 Terrabyte betragen können. Weiterverbreitete Speichermedien sind z.B. Festplatten. Diese kommen für eine höhere Geschwindigkeit, Ausfallsicherheit und Kapazität oft als RAID-System zum Einsatz (siehe 2.3.2.1.2).

Zusätzlich dazu ist über die Backup-Art nachzudenken. Je nach verfügbarem Speicherplatz und Bedarf können verschiedene Varianten in Betracht gezogen werden. Die bekanntesten sind Vollbackups, Inkrementelles Backup und Differentielles Backup.

Das Vollbackup definiert, wie der Name schon impliziert, ein Komplette Datensicherung des Gesamten Systems. Diese Methode benötigt den höchsten Speicherbedarf. Dazu kommt ein sehr hoher Zeitbedarf. Je nach Umfang des Backups und der daraus resultierende Größe des Backups, kann der Backup-Prozess einige Stunden in Anspruch nehmen. Der Vorteil des Backups ist allerdings, das bei einer Widerherstellung aus dem Backup nur eine einzige Datei benötigt wird.

Das Differenzielle Backup geht immer vom letzten Vollbackup aus. Der Nachteil des Backups ist der Aufbau von Datenredundanzen. Es werden bei jedem Differentiellen Backup immer alle geänderten Daten seit dem letzten Vollbackup gespeichert.

Das Inkrementelle Backup besteht in zwei Varianten. Beiden zugrunde liegt ein Vollbackup. Darauf aufbauend werden sogenannte Level 1 Backups ausgeführt. Je nach Variante unterscheiden sich dann nachfolgende Backup Vorgänge. Entweder wird wie bei einem Differenziellen Backup alles ab dem letzten Vollbackup gespeichert, was zu Datenredundanzen führen kann, oder es werden Backups durchgeführt, die je nach Instanz auf höheren Leveln angesiedelt sind. Als Basis dafür wird i.d.R. das letzte inkrementelle Backup genutzt. Gesichert werden alle Änderungen seit dem letzten Backup. Beide Varianten des Inkrementellen Backups sparen Speicherplatz und Zeit. Negativ ist sowohl beim Inkrementellen Backup auf Level 1 als auch beim Differentiellen Backup der Speicherplatz verbrauch auf Systemen mit einer hohen Daten fluktuation. Der vorteil der geringeren Speicherplatz verwendung, im vergleich zu täglichen Voll-Backups, wird dadurch wieder negiert. ^[9]

2.3.2.1.2 RAID-Systeme

RAID Systeme sind Verbunde von Festplatten. RAID steht für “Redundant Array of independent Disks”. Eine frühere Namensgebung gab dem “I” die Bedeutung “Inexpensive“. Dies lag daran, dass in den Anfangszeiten von PCs und Festplatten die Preise von Festplatten sehr hoch waren. Es wurde eine Lösung gesucht, durch welche man möglichst kostengünstig große Speicherkapazitäten zur Verfügung hatte. Daraus entstammt das Prinzip des RAID. Anfangs bezogen auf RAID 0 (Stripping). Heute gibt es weitaus mehr Varianten von RAID, die auch teilweise in Kombinationen genutzt werden. Dazu zählen u. a. RAID 1, 0, 5, 51 als am weitesten verbreitete Vertreter ^[10].

RAID 0 ist das Einfache zusammenschließen von Festplatten zum Erhöhen der Geschwindigkeit. Dabei wird dem System eine einzelne Festplatte vorgetäuscht, dessen Kapazität sich über Gesamtzahl aller Festplatten mal dessen Kapazität erstreckt. Dieses RAID Level bietet leider keine erhöhte Sicherheit. Fällt eine Festplatte aus, so muss das RAID aus einem Backup wieder hergestellt werden, nachdem es zunächst mit neuen Festplatten neu erstellt wurde.

RAID 1 wird auch als Mirroring bezeichnet. Die Mindestanzahl beträgt 2 Festplatten gleicher Größe. Es wird die erste Festplatte auf die zweite gespiegelt. Ein Lese / Schreibprozess findet immer auf beide Festplatten gleichzeitig statt, was die Geschwindigkeit erheblich erhöht. Die Kapazität verringert sich um die Hälfte. Sollte eine Festplatte ausfallen, so kann diese durch eine andere gleichen Typs ersetzt werden. Die Festplatte wird dann wieder aus den Daten der anderen wieder hergestellt. Dies kann auch im laufenden Betrieb geschehen.

RAID 5 gehört wie 0 und 1 zu den am weitesten verbreiteten RAID Level. Zum Erstellen werden mindestens 3 Festplatten benötigt. Der danach verfügbare Festplattenplatz beträgt dann (n=Anzahl Festplatten, S=Endkapazität) S=n-1. RAID 5 zeichnet sich dadurch aus, das eine Festplatte, egal wie viele Festplatten insgesamt verbaut sind, ausfallen kann. Diese Möglichkeit ergibt sich dadurch, dass auf den Festplatten alle Daten und Paritätsinformationen verteilt werden.

Als Beispiel für RAID Kombinationen wird RAID 51 aufgeführt. RAID 51 ist, wie die Bezeichnung schon vermuten lässt, eine Kombination aus RAID 5 und RAID 1. Es basiert darauf, dass zwei RAID 5 in ein RAID 5 geschaltet wird. So kann jeweils pro RAID 5 eine Festplatte ausfallen. Sollte ein RAID 5 komplett ausfallen, so greift das RAID 1 und das andere RAID 5 arbeitet weiter. Neben einer nochmals leicht erhöhten Geschwindigkeit bietet diese Kombination auch eine höhere Ausfallsicherheit. Der Nachteil dieses RAID Levels ist die niedrige Kapazität. Da die Mindestausstattung 6 Festplatten beträgt, steht maximal eine Kapazität von 2 Festplatten zur Verfügung. Ein Einsatz ist deshalb nur bei Daten sinnvoll, die einer hohen Verfügbarkeit bedürfen^[11] .

2.3.2.1.3 USV-Systeme

Bei Systeme für eine “Unterbrechungsfreien Strom Versorgung” gibt es laut DIN EN IEC 62040-3 3 Hauptklassen von USV-Systemen. Diese sind Offline, Online und Lininteractive. In Tabelle 1 werden die 3 genannten Klassen mit der Offiziellen Bezeichnung näher dargestellt.

Klasse nach Norm Stufe 1	VFD	VI	VFI
Bisherige Bezeichnung	Offline USV	Line-Interactive	Online
Netzausfälle (>10ms)	Ja	Ja	Ja
Spannungsschwankungen (>16ms)	Ja	Ja	Ja
Spannungsspitzen (4 - 16ms)	Ja	Ja	Ja
Unterspannung (kontinuierlich)		Ja	Ja
Überspannung (kontinuierlich)		Ja	Ja
Blitzeinwirkung			Ja
Spannungsstöße (<4ms)			Ja
Frequenzschwankung			Ja
Spannungsverzerrungen (Burst)			Ja
Spannungsoberschingungen (kontinuierlich)			Ja

Tabelle 1: Vergleich von USV-Typen

Die Hauptaufgabe von USV-Systemen ist es bei einem Stromausfall vor Datenverlust oder Beschädigung zu schützen. Dies geschieht durch schnelles Umschalten zwischen Akku und Netzbetrieb. Wie die Einzelnen System Arbeiten ist jeweils Unterschiedlich. Die Gemeinsamkeit, die alle drei haben, ist der Akku, der bei einem Stromausfall die Stromversorgung weiter durchführen soll.

Die Offline-USV leitet den ankommenden Strom direkt weiter. Der Strom für den Akkumulator wird beim Eingang abgezweigt. Sollte es zu einem Stromausfall kommen, so schaltet die USV zwischen Netz und Akku um. Die Norm gibt vor, das spätestens nach 10ms auf Akkumulatorbetrieb umgeschaltet werden muss.

Die Line-Interactive USV Arbeitet ähnlich wie die Offline USV, allerdings wird der Ausgang zusätzlich kontinuierlich mit Strom aus dem Akkumulator gespeist. Dies schützt zusätzlich vor Unter- und Überspannungen.

Die Online USV funktioniert, anders als die Offline oder Line-Interactive USV, dauerhaft mit Akkumulator. Das heißt dass mit dem Eingang nur der Akkumulator gespeist wird und der Ausgang wird nur vom Akkumulator gespeist. Dies hat den großen Vorteil, dass es praktisch keine Einschaltverzögerung gibt.

Egal was für eine USV eingesetzt wird, USV-Systeme bedürfen einer regelmäßigen Wartung um im Falle eines Einsatzes ausreichend Zeit zur Verfügung zu stellen um kritische Systeme sicher herunterfahren zu können um so einen Datenverlust zu vermeiden^[10].

2.3.3 Privat

Auch im Privaten Bereich besteht ein Bedarf an Datenschutz und Datensicherheit. Allerdings unterscheiden sich die Anforderungen deutlich. So bedarf es bei Privatpersonen keiner aufwendigen Sicherungen der Räumlichkeiten oder der Bereitstellung von Datenschutzbeauftragten. Ein großes Problem des Privaten Bereichs ist das Thema Passwörter. Laut einer Studie ^[12] der Firma Imperva ist das Passwort “123456“ das am meisten genutzte Passwort in der Versuchsmenge. Die Versuchsmenge bestand aus 32 Millionen Passwörtern aus einem realen System. Passwörtern dieser Sicherheitsstandards können mit einem Faktor von einem Passwort pro Sekunde geknackt werden. Ein weiterer Punkt ist eine u.U. zu großzügige Offenheit in sozialen Netzwerken.

2.3.3.1 Facebook

Im Aufschwung des Digitalen Lebens und der damit verbundenen Verschiebung des realen Lebens in die Digitale-Welt, verschwimmen die Grenze zwischen Privat und Öffentlichkeit immer stärker, entsprechend kam es in den letzten Jahren zu immer mehr Problemfällen. Das größte Problem ist die Angabe von zu vielen persönlichen Informationen. Es gibt Privatsphären Optionen in Facebook, die einem User recht genaue Einstellungsmöglichkeiten bietet um nur den Leuten Informationen zu zeigen, die sie auch sehen sollen.

Seitdem Google+ online ist, wurden darüber hinaus die Möglichkeit umgesetzt Kontaktgruppen zu definieren und Inhalte nur mit bestimmten Personengruppen zu teilen. Daraus Resultierend gibt es nun die Möglichkeit nur bestimmten Gruppen Inhalte Anzeigen zu lassen. Dies verringert das Risiko das falschen Informationen anderen Nutzer zugänglich, für die sie nicht gedacht waren. Allerdings birgt dies auch weiterhin Probleme. So geschehen bei einer Nutzerin von Facebook^[13]. Geplant war eine Veranstaltung für die nur Freunde eingeladen werden sollten. Dadurch das ein Haken vergessen wurde, war die Veranstaltung öffentlich bekannt.

Die AGB^[14] von Facebook definiert darüber hinaus, das mit dem Hochladen von Fotos, Facebook die freie Verfügung über jegliche Nutzungsrechte der Bilder einräumt. Dies resultiert darin, dass die eigenen Bilder für Facebook gewinnbringend weiter verkauft werden dürfen. Zwar wurde in einer Revision der AGB dieses Recht auch auf Inhalte bereits gelöschter Nutzer erweitert, nach erheblichem Widerstand wurde diese Änderung allerdings wieder rückgängig gemacht.

2.3.3.2 Google+

Google+ ist wie Facebook eine Social Networking Plattform. Sie Zeichnet sich durch die Definition von Kreisen aus, welche Definieren, wer welche Nachrichten erhalten wird. Bei dem Erstellen der Nachrichten müssen einzelne Personen oder Kreise definiert werden, die dann die Nachricht erhalten. So ist es möglich nur den Personen über seinen aktuellen Status zu informieren, die diesen auch sehen dürfen. Im Unterschied zu Facebook bleiben die Rechte über die Nutzung der Inhalte der Nutzer bei den Nutzern^[14]. Google räumt sich lediglich ein unbegrenztes, weltweites Recht einzuräumen das alles notwendige beinhaltet die gewünschten Services zu erbringen.

2.3.3.3 Tracking picture

Was Google und Facebook gemein haben ist der +1 bzw. Like Button. Beide sind sog. Tracking pictures. In erster Instanz vermittelt das Picture nur, dass man diese Seite, diese Nachricht, gut findet. Allerdings birgt diese kleine unscheinbare Grafik mit Hyperlink eine Gefahr für Datenschutz und Datensicherheit.

Durch die Informationen, die man über den Nutzer erhält, da er für das betätigen eingeloggt sein muss, ist es möglich ein Profil des Nutzers zu erstellen. Dieses Profil kann ohne Probleme den genauen bzw. ungefähren Standort, der IP des Nutzers bzw. seines Systems und die aktuell besuchte Website wiedergeben. Wenn diese Informationen über einen längeren Zeitraum mitgeloggt werden, so wird auch das Userprofil immer ausführlicher.

Vor allem der Standort ist heutzutage eine gefährliche Information. Durch diese lassen sich neben dem Gewohnheitsprofil auch ein Bewegungsprofil erstellen. Sei es durch GPS-Daten in Bildern oder Standortangaben basierend auf dem Zugangspunkt des Internet Device. Basierend auf diesem Bewegungsprofil lässt sich z.B. Werbung ganz gezielt auf den Kunden und sein Verhalten abstimmen. Hierauf basierend können auch Urlaubsbilder mit Geo-Informationen genutzt werden. Diese Informationen können u.U. auch noch nach einem Upload auf einer Social Seite vorhanden sein.

Die nächste große Gefahr aus diesen Tracking picture geht aus der Log Funktion die hinter den Tracking pictures stecken könnte hervor. Wenn eine hohe Ausbreitung eines Tracking Pictures, wie es bei Like bzw. +1 Buttons der Fall ist, erreicht ist, kann darüber das Surfverhalten des Nutzers ermittelt werden. Verstärkt wird diese Vermutung, da teilweise nicht alle Funktionen dieser pictures bekannt sind. Wie durch das Geo-Tracking kann hierdurch ein Nutzerprofil erstellt werden, das zum gezielten Schalten von Werbung genutzt werden kann.

Auch die IP, sei sie dynamisch oder statisch, ist zur Verfolgung von surfverhalten und Nutzungsdauer, etc. nutzbar. Durch die Kombination IP-Tracking und Cookies ist es möglich die IPs konkreten Personen zuzuordnen^[15]. Geht man nach letzten Gesetzen und Auffassungen, so ist das Tracking nach IP unzulässig, sei es resultierend aus dem Recht des Widerspruchs oder durch das Recht auf Privatsphäre.

Stellt man das Interesse der Nutzer gegen das Interesse von Unternehmen so stehen zwei Fronten gegenüber. Die eine Front möchte Datenschutz und Datensicherheit in Kombination mit Privatsphäre, die andere möchte Daten über die Nutzer zum Schaltung von Werbung und ähnliches und damit letztendlich Gewinn erwirtschaften.

3 Rechtliche Grundlagen

3.1 Deutschland

Personenbezogene Daten definieren sich laut BDSG ^[16] darüber, dass sie Einzelangaben aus persönlichen oder sachlichen Verhältnissen von bestimmten oder bestimmbaren Personen sind. Näheres zum Bundesdatenschutzgesetz in 3.1.1.

Der Sinn hinter dem Thema Datenschutz ist die Selbstbestimmung über seine persönlichen Informationen. Dieses Recht ist eine Ausprägung des allgemeinen Persönlichkeitsrechtes. 1983 erhielt das Recht auf allgemeine Selbstbestimmung im Volkszählungsurteil^[17] seinen Platz im Grundrecht. Aufbauend darauf ist zu beachten das der Mensch auf unwissen sein Vorgehen aufbaut und anpasst^[18]. So ist die Handhabung von des Persönlichkeitsrechtes im Laufe der letzten Jahre kritischer geworden. Dies resultierte nicht zuletzt in der Definition von neuen Rechten und Gesetzen für den Schutz von privaten Daten und der Privatsphäre im digitalen Raum. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist ein im Bereich der Bundesrepublik Deutschland geltendes Grundrecht und bringt das Recht auf Selbstbestimmung über seine Persönlichen Informationen in den Bereich von IT-Systemen. Über dieses Grundrecht wird die Handhabung von personenbezogenen Daten zur Speicherung und oder Verarbeitung dieser in Informationstechnischen Systemen geregelt. Zusätzlich erhielt auch das Bundesdatenschutzgesetz (BDSG) in den vergangenen Jahren diverse Anpassungen um auf den neuen Bereich der Informationstechnischen Systeme Anwendung zu finden.

3.1.1 Gültigkeit des BDSG

Das Bundesdatenschutzgesetz gilt grundsätzlich für alle Unternehmen die personenbezogene Daten erheben, verarbeiten oder Nutzen^[19]. Dabei ist zu beachten das nur bestimmte Arten der Verarbeitung durch das BDSG geschützt werden, dabei handelt es sich um automatisierte und nicht automatisierte Dateien. Bei einer automatisierten Datei handelt es sich um „eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann“, automatisiert steht im BDSG grundsätzlich für die Bearbeitung durch Computer oder Server. Beispiele für diese Möglichkeit sind computererstellte Tabellen oder Datenbanken. Diese Regelung schütz personenbezogene Daten auch wenn die Daten aus einer Tabelle oder Datenbank ausgedruckt wurden und klar erkennbar ist das sie aus einer automatisierten Verarbeitung stammen^[20]. Eine nicht automatisierte Datei fällt auch unter das BDSG wenn sie „gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann“^[21]. Ein Beispiel für eine nicht automatisierte Verarbeitung sind Karteikarten. Bei beiden Typen ist es sehr schnell und einfach möglich Daten nach bestimmten Merkmalen zu selektieren oder zu gruppieren. Akten und Aktensammlungen sind von dieser Reglung nicht betroffen, außer sie können mit „automatisierte[n] Verfahren umgeordnet und ausgewertet werden“ ^[21].

3.1.2 Einsetzen des Datenschutzes

Grundsätzlich gilt, wie oben schon erwähnt, das BDSG für jedes Unternehmen, je nach Betriebsgröße können aber zusätzliche Auflagen an das Unternehmen gestellt werden. Grundsätzlich ist es allen Angestellten, die mit der Datenverarbeitung von Personenbezogenen Daten beschäftigt sind, „[…] untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen“^[22]. Die betroffenen Angestellten müssen weiterhin auf dieses Datengeheimnis verpflichtet werden, welches auch nach einer Beendigung des Arbeitsverhältnisses fortbesteht^[23]. Auch müssen vom Unternehmen technische und organisatorische Maßnahmen getroffen werden um den Schutz der Daten zu gewährleisten, dazu unter Punkt 3.1.4 mehr^[24].

3.1.3 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist in allen Unternehmen vorgeschrieben in denen „[…]personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten […]“^[25] werden. Gleiches gilt wenn eine Vorabkontrolle der Daten notwendig ist^[26]. Dies ist dann der Fall wenn besondere Arten personenbezogener Daten verwendet werden, dazu gehören Angaben über ^[27] „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ ^[28]. Zusätzlich ist eine Vorabkontrolle verpflichtend wenn personenbezogene Daten dazu verwendet werden um die Persönlichkeit eines Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens^[27]. Allerdings gibt es auch Ausnahmen für die Pflicht zur Vorabkontrolle. Der Gesetzgeber sieht vor die Erhebung dann keiner Vorabkontrolle unterliegt wenn Angaben gesetzlich vorgeschrieben sind, z.B. die Religionszugehörigkeit für die Kirchensteuer, der Betroffene eingewilligt hat oder die Daten zwingend für die Erhebung, Verarbeitung oder Nutzung eines Vertragsverhältnis oder vertragsähnlichen Vertrauensverhältnisses notwendig sind^[27].Dabei müssen Unternehmen einen Datenschutzbeauftragen schriftlich bestellen, „[…]spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit[…]“^[29]. Ein Unternehmen ist allerdings in folgenden Fällen davon befreit einen Datenschutzbeauftragten zu bestellen. Zum einen wenn ausschließlich weniger als 20 Personen, an nicht automatisierten Dateien arbeiten ^[30] Und zum anderen wenn die obig genannten Kriterien, die einen Datenschutzbeauftragten verpflichtend machen, nicht zutreffend sind und nicht mehr als 9 Angestellte mit automatisierten Dateien arbeiten^[30].

3.1.3.1 Qualifikation

Eine Person die zum Datenschutzbeauftragten berufen werden soll muss eine Reihe von Qualifikationen nachweisen. Zum einen muss der Datenschutzbeauftragte über die erforderliche Fachkunde verfügen, die sich nach dem Umfang der Datenverarbeitung und dem Schutzbedarf bestimmt^[31]. Das BDSG definiert nicht genau was unter der erforderlichen Fachkunde zu verstehen ist, allerdings Definiert das Landgericht Ulm die Anforderrungen etwas genauer. So sollte der DSB ein Computerexperte sein der die Rechtsvorschriften des BDSG umfassend kennt und diese auch Anwenden kann, genauso sollte er Kenntnisse über die organisatorischen und technischen Vorgänge im Unternehmen besitzen, Konfliktfähig sein und über Einfühlungsvermögen verfügen^[32]. Zum Erreichen und Erhalt dieser Fertigkeiten muss das Unternehmen ihn für die Teilnahme an Fort- und Weiterbildungsveranstaltungen freistellen und die gegebenen Kosten tragen^[33]. Dafür bieten Dienstleister wie die IHK, DEKRA und der TÜV Zertifizierungen an, die grundsätzlich auf 3 Jahre ausgesprochen werden. Außerdem muss der Datenschutzbeauftragte zuverlässig genug sein um diese Tätigkeit aufzunehmen. Das bedeutet das er weder der Geschäftsleitung angehören darf oder Anteile an dem Unternehmen besitzt oder eine führende Position in der IT-Abteilung inne hat, da dies zu einem Interessenkonflikt mit seiner Tätigkeit führen könnte. ^[34]. Ebenso kann eine Verurteilung, z.B. wegen einer Verletzung des Datengeheimnisses, die Zuverlässigkeit in Zweifel stellen.

3.1.3.2 Haftung

Grundsätzlich gilt das jedes Unternehmen das mit persönlichen Daten arbeitet, sei es von Kunden, Lieferanten oder Angestellten, verpflichtet ist Datenschutz zu betreiben, wird kein Datenschutzbeauftragter bestellt, so muss der Geschäftsführer die Auflagen erfüllen oder jemanden externen bestellen^[35]. Entsteht durch unzulässige oder unrichtige Verwendung von personenbezogenen Daten dem Betroffenen ein Schaden besteht für ihn ein Anspruch auf Schadensersatz. Dieser Anspruch entfällt allerdings wenn das Unternehmen nachweisen kann das sie die notwendige Sorgfalt walten gelassen haben, es findet also eine Beweislastumkehr statt ^[36]. Dies kann durch eine ausführliche Dokumentation geschehen. Für Verstöße gegen das BDSG, die auf Versäumnisse zurückzuführen sind sieht das BDSG Geldbußen bis 50.000 € vor, Beispiele hierfür wäre das die Auskunft für einen Betroffenen unvollständige, verspätete, falsch oder gar nicht erfolgt^[37]. Bei Vorsätzlichen Handlungen können auch Geldbußen bis 300.000 verhängt werden, z.B. bei der Nutzung von personenbezogener Daten für Werbezwecke trotz Vorliegen eines Wiederspruches^[38]. Diese Richtlinien können allerdings überschritten werden, da das Ziel des Gesetzesgebers darin besteht das die Strafe den Wirtschaftlichen Nutzen der Täter übersteigt^[39]. Selbst eine Freiheitsstrafe von bis zu 2 Jahren kommt in Betracht wenn die Handlungen nicht nur Vorsätzlich sondern auch mit dem Zweck verfolgt wurden, sich oder jemand anders zu bereichern oder zu schädigen^[40].

3.1.3.3 Weiteres

Der Datenschutzbeauftragte ist in Fragen des Datenschutzes dem Leiter des Unternehmens direkt und unmittelbar unterstellt und ist im Bereich des Datenschutzes aber an keine Anweisungen von diesem gebunden, denn er ist in Belangen des Datenschutzes, weisungsfrei^[41]. Aufgrund seiner Tätigkeit darf er allerdings in keiner Weise benachteiligt werden^[41]. Der DSB genießt auch einen besonderen Kündigungsschutz, er kann nur noch gekündigt werden wenn ein besonderer Grund vorliegt, der jegliche Kündigungsfrist aufhebt^[41]. Ansonsten kann das Arbeitsverhältnis erst ein Jahr nach Beendigung der Tätigkeit als DSB aufgehoben werden.

3.1.3.4 Interner oder Externer Datenschutzbeauftragter

Es besteht für ein Unternehmen auch die Möglichkeit einen externen Dienstleister mit dem Schutz der Daten zu beauftragen. Dabei stellt es für einen externen Datenschutzbeauftragten auch kein Hindernis da wenn die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis unterliegen, insbesondere dem Steuergeheimnis ^[42]. Dazu hat der Datenschutzbeauftragte, wenn in dem Unternehmen Personen beschäftigt sind die über ein Zeugnisverweigerungsrecht verfügen, ebenfalls ein Zeugnisverweigerungsrecht. Ob der Datenschutzbeauftragte dieses Recht wahrnehmen darf, entscheidet die Person die das Zeugnisverweigerungsrecht aus beruflichen Gründen innehat. Wenn dieses Recht erteilt wird unterliegen die Akten und andere Schriftstücke einem Beschlagnahmungsverbot Steuergeheimnis ^[43] Ob die Wahl auf einen Internen oder Externen Datenschutzbeauftragter fällt liegt im Ermessen der Geschäftsführung basierend auf der Bewertung der einzelnen Vor- und Nachteilen.

Die Vorteile eines Intern Datenschutzbeauftragten liegen vor allem darin das ihm die internen Abläufe und die beschäftigten Person und somit ihre sozialen und technischen Kompetenzen bekannt sind. Ein interner DSB verfügt im Idealfall über eine starke Loyalität zum Unternehmen, besonders da ihm eine große Verantwortung anvertraut wird. Man vermeidet so auch einen Einblick durch Externe ins Unternehmen. Allerdings ist es eine sehr komplexe und zeitintensive Tätigkeit, die kontinuierliche Weiterbildung erfordert um langfristig auf dem aktuellsten Stand zu sein. Dem Unternehmen muss auch klar sein das ein höherer Kündigungsschutz besteht. Außerdem ist es erforderlich darauf zu achten das die Berufung zum DSB das kollegiale Miteinander nicht belastet. Der Geschäftsführung muss auch klar sein das der Mitarbeiter durch die Tätigkeit als DSB, gerade in den ersten Wochen, eine starke Vereinnahmung erfordert. Diese Zeit geht zu Lasten der Haupttätigkeit. Es entstehen außerdem schwer zu überschauende Kosten. Zum einen für die Grundschulung, bei der je nach Kenntnisstand, hohe einmalige Kosten entstehen. Außerdem muss dem Mitarbeiter Literatur und sonstige Materialien bereitgestellt werden^[44]. Die Suche nach einem vertrauenswürdig externen Dienstleister kann allerdings auch sehr aufwendig sein, denn seine Unabhängigkeit sollte außer Frage stehen. Es ist sicherzustellen dass der externe DSB über alle technischen und juristischen Kompetenzen verfügt und diese am besten auch mit Zertifikaten nachweisen kann. Ist dies gegeben ergeben sich aus der externen Vergabe viele Vorteile. Der externe DSB kann seine Tätigkeit sofort aufnehmen, seine Spezialisierung verspricht auch eine höhere Effizienz und meist bessere Fachkenntnis. Kostentechnisch bietet ein externes Unternehmen eine deutlichere Transparenz für den Auftraggeber, sei es bei der Laufzeit oder den klar definierten Kosten. Allerdings muss das Unternehmen erst kennengelernt werden, was je nach Organisation eine gewisse Zeit in Anspruch nehmen kann. Außerdem besteht kein Know-How in der Firma selbst, so muss darauf Vertraut werden dass der Dienstleister stets seine Aufgabe mit der nötigen Sorgfalt nachgeht. Zwar würde der externe DSB als Ausführender bei Verstößen die Haftung übernehmen (Haftung: 3.1.3.2), allerdings würde dennoch der Imageschaden des Unternehmens bleiben, der nur schwer zu bemessen ist, gerade da zukünftige Kunden oder Investoren deshalb ausbleiben könnten.

3.1.4 Maßnahmen des Datenschutzes

Je schützenwerter personenbezogene Daten oder Datenkategorien sind, desto höher sind die Anforderrungen an die Sicherheitsmaßnahmen. Dabei können die Maßnahmen in 8 Kategorien unterteilt werden^[45].

1. Zutrittskontrolle: „Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren“ ^[46]. Gemeint sind hiermit Maßnahmen zum Schutz des Gebäudes, speziell von Server- und Technikräumen. Beispiele hierfür sind z.B. Schließsysteme, netzwerkgestützte Kontrollen oder auch die Biometrische Datenerfassung ^[47]. Schließsysteme beschreiben Schlösser und Schlüssel, die untereinander in verschiedener Kombination genutzt werden können. So kann sichergestellt werden, dass nur der Schlüssel einer bestimmten Personengruppe die Räumlichkeit öffnen können. Netzwerkgestützte Kontrollen beschreiben Zugangskontrollen, die den Zugang zu den Räumlichkeiten über Sicherheitssysteme regeln. Ein hierbei oft verwendetes System sind Zugangskarten, die je nach Kennung den Zugang gewähren. Biometrische Datenerfassung beschreibt die Zugangskontrolle mithilfe einer Biometrischen Kennung den Zugang gewähren^[48]. Die am weitesten verbreiteten Varianten sind z.B. der Fingerabdruck oder ein Iris-Scan. Dieses Verfahren stößt allerdings oft auf Widerstand.

2. Zugangskontrolle: „zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können“ ^[49]. Ziel ist es hierbei sicher zu sein das es sich bei dem Kommunikationspartner wirklich um eine Person handelt die das Recht hat auf die Funktionen bzw. auf die Daten des Systemes zu zugreifen. Die häufigste Möglichkeit um dies zu gewährleisten stellt eine Benutzername-Kennwort Kombination da. Der Schutz ist so lange gegeben wie sorgsam mit diesen Daten umgegangen wird^[50]. Andere Authentifizierung Methoden wie Magnetkarten sind aber genauso denkbar.

3. Zugriffskontrolle: „zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“^[51] Gemeint ist hier der Schutz des Eigentlichen IT-Systems. Es ist dabei zu beachten, dass es je nach eingesetztem System zu Unterschieden kommen kann. Die Grunddefinition besagt das eine Zugriffskontrolle im Kontext der IT sieht vor das jedem berechtigten Partner nur bestimmte Rechte gewährt werden. Auf den Systemen wird daher ein sogenannter Zugriffsmonitor eingesetzt. Dieser überwacht ob der Benutzer des Systems, welcher gerade Zugriff auf das System oder Bestandteile (z.B. Daten) erhalten will alle nötigen Rechte erhalten hat^[52].

4. Weitergabekontrolle: „zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist“ ^[51] Hierfür werden Daten die übertragen werden verschlüsselt. Dabei hängt die Art und Stärke der Verschlüsselung von dem gewählten Verschlüsselungsverfahren und dem gewählten Passwort zum Entschlüsseln ab, bzw. wie dieses zum Empfänger gelangt. So nützt das beste Verschlüsselungsverfahren nichts, wenn das Passwort im Klartext per E-Mail geschickt wird. Die Verschlüsselung sollte so gewählt werden das sie zum Schutzbedarf passt.

5. Eingabekontrolle: „zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind“^[53]. Eine Eingabekontrolle setzt auch eine funktionsfähige Zugangskontrolle voraus. Denn nur so ist eindeutig zuzuordnen wer, wann und was an den bestehenden Daten geändert hat bzw. wer neue erstellt hat. Hierfür werden Logfiles benutzt in denen diese Werte abgespeichert werden um sie im Bedarfsfall auswerten zu können.

6. Auftragskontrolle: „zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können^[54]. Dieser Punkt beinhaltet zwei Dinge, zum einen muss gewährleistet werden das die Personen die mit personenbezogene Daten arbeiten auch hinreichend im Umgang geschult sind. Dadurch wird der Verlust, die Aneignung durch unerlaubte Dritte und die Verfälschung der Daten vermieden. Der Auftraggeber ist dazu angehalten den Dienstleister umfangreich zu Prüfen und mit Bedacht auszuwählen. Im schriftlichen Vertrag zwischen den Parteien ist ganz genau festzuhalten über welche Laufzeit das Vertragsverhältnis besteht, mit welchen technischen und organisatorischen Mittel und in welchem Umfang und Art die Verarbeitung stattfinden soll. Nach Beendigung des Vertragsverhältnisses sind die Datenträger und Aufzeichnung mit personenbezogenen Daten zu löschen und/oder an den Auftragsgeber zurück zugeben^[55].

7. Verfügbarkeitskontrolle: „zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind“^[46]
Diese Ausfallsicherheit wird im Allgemeinen durch Datensicherheitsmaßnahmen wie Backups, Diebstahlschutz, Notfallpläne, RAIDs und USVen erreicht.

8. Datentrennungskontrolle: „zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.“^[56]. Wie genau diese Trennung zu erfolgen hat ist nicht festgehalten. Möglichkeiten wären aber verschiedene Zugriffsprogramme oder strikt voneinander getrennte Datenbestände. Dies ist besonders wichtig da ansonsten beim erlischen des Grundes für die Datenerhebung und der damit verbundenen Pflicht die personenbezogenen Daten zu löschen erhebliche Probleme entstehen können, die nur mit sehr viel Mühe und Arbeit gelöst werden können.

3.2 Europa

Den Grundstein für das Deutsche Bundesdatenschutzgesetz bildete die 1995 vom Europäischen Parlament erlassene Richtlinie 95/46/EG. Das Ziel dieser Richtlinie war das eine Einheitlichkeit auf Ebene der Europäischen Union herrschen sollte. Aufgrund der hohen Gemeinsamkeiten zum Deutschen Bundesdatenschutzgesetz, welches auf den Grundlagen dieser Richtlinie basiert, und der einheitlichen Grundaussage wird sie in dieser Fallstudie nicht zusätzlich behandelt.
Im Moment wird Aufgrund der starken technologischen Entwicklung der letzten Jahren eine Überarbeitung der Datenschutzlinien geplant. Die wesentlichen Punkte und Ziele dieser Überarbeitung bilden

• Sicherstellung Transparenz der Datenverarbeitung
• Gewährleistung von Betroffenenrechten
• dauerhafte Löschung und Sperrung von Daten im Internet
• Verpflichtung für Unternehmen, datenschutzfreundliche Technologien und Anwendungen in ihre Produkte zu integrieren^[57].

3.3 Vereinigte Staaten von Amerika

Der Datenschutz in den Vereinigten Staaten von Amerika (USA) ist nur schwer mit dem der Europäischen Union (EU) zu vergleichen. Wie auch in anderen Bereichen der Gesetzessprechung der USA existieren nur wenige Gesetze die Einheitlich für alle Bundesstaaten gelten. Es gibt allerdings bereichsspezifische Verbraucherschutzregelungen, die auf Bundesebene gelten. Zu den wichtigsten zählt hier der Schutz für die Verarbeitung von

• medizinischen Daten
• Bankdaten
• personenbezogenen Daten für Kinder unter 13 Jahren
  

Hierzu kommen noch zusätzliche Regellungen einzelner Staaten. Die Gesamtheit dieser Gesetze, die teils sehr ausführlich gehalten sind, deckt viele der auch in Euro geltenden Regelungen ab. Es fehlt allerdings eine Einheitliche für alle Bundesstaaten geltende, branchenübergreifende Rechtsprechung. Als Vorreiter ist vor allem der Bundesstaat Kalifornien zusehen der seinen Bürgern ein Recht auf Privatsphäre in seiner Verfassung zugesteht^[58].

3.3.1 Safe Harbor

„Bei Safe Harbor (Sicherer Hafen) handelt es sich um eine zwischen der EU (Europäischen Union) und den USA (Vereinigte Staaten von Amerika) im Jahre 2000 getroffene Vereinbarung, die gewährleistet, dass personenbezogene Daten legal in die USA übermittelt werden können“ ^[59]
Die Notwendigkeit für diese Maßnahme besteht darin das nach gültigem EU-Recht kein Austausch von personenbezogenen Daten an Länder erfolgen darf die nicht mindestens über ein vergleichbares Datenschutzniveau verfügen. Wie oben bereits erwähnt würden die Vereinten Staaten von Amerika unter diese Regelung fallen.
Diese Regelung hätte allerdings für global agierende Unternehmen teils katastrophale Folgen, da Daten ausschließlich in dem Land verarbeitet und genutzt werden dürften in dem sie erhoben wurden. Damit eine solche Einschränkung umgangen werden darf kann die Europäische Gemeinschaft für ein Drittland, wenn bestimmte Anforderungen erfüllt sind, die Angemessenheit des Datenschutzes feststellen. Um die Unterschiede in den Standards auszugleichen wurde im Fall der Vereinigten Staaten von Amerika das Safe Harbor-Modell verabschiedet^[60]. Das US-Handelsministerium veröffentlichte daraufhin die 7 Prinzipien und Antworten auf "15 häufig gestellte Fragen" (Frequently Asked Questions (FAQ)), dazu zählen z.B. ob bei einem Unternehmen Informationen über das Beschäftigungsverhältnis des Betroffenen ebenfalls unter das Safe-Harbor-Modell fallen^[61]. Allen in den USA tätigen Unternehmen oder Organisationen steht es frei ob sie dem Safe Harbor beitreten wollen oder nicht, in dem Fall eines Beitrittes müssen sie dies gegenüber der Federal Trade Commission (FTC) anzeigen und sich öffentlich und unmissverständlich zur Einhaltung der Prinzipien und der in den "15 häufig gestellten Fragen" enthaltenen Hinweise verpflichten. Nach einem Beitritt sind diese Grundsätze allerdings Bindend für das Unternehmen und muss jährlich bestätigt werden. Bei einer Verletzung der Grundsätze kann dies ansonsten durch entsprechende Maßnahmen oder das verhängen von Sanktionen geahndet werden.
Unternehmen die dem Safe Harbor Abkommen beigetreten sind, werden in einem Verzeichnis des US-Handelsministeriums geführt. Dieses Verzeichnis kann auf der Webseite des US-Handelsministeriums eingesehen und nach bestimmten Kategorien durchsucht werden.
Bei den oben erwähnten 7 Prinzipien des Safe Harbor Abkommens, die gewährleisten dass ein ausreichendes Datenschutzniveau vorgewiesen werden kann, handelt es sich um,

1. eine Informationspflicht für Betroffenen die darüber unterrichtet werden müssen welche Daten und für welche Zwecke erhoben wurden. Außerdem müssen sie erfahren über welche Rechte sie verfügen.

2. Haben Betroffenen die Möglichkeit die Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen, dies wird als Wahlmöglichkeit beschrieben

3. Die Betroffenen müssen über die Weitergabe ihrer unter 2. aufgeführte Wahlmöglichkeit informiert werden.

4. Betroffenen verfügen über ein Zugangsrecht zu allen über sie gespeicherten Daten um diese einzusehen und um sie ggfs. berichtigen, ergänzen oder löschen lassen zu können.

5. Unter dem Schlagwort Sicherheit ist zu verstehen das alle Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch geschützt werden müssen, dies ist durch angemessene Sicherheitsvorkehrungen zu gewährleisten.

6. Die Unternehmen müssen sicherstellen, dass die Datenintegrität der von ihnen erhobenen Daten gewährleistet ist, diese also korrekt, vollständig und zweckdienlich sind.

7. Um zu garantieren das Betroffenen das Recht ihre Beschwerden und Klagen untersuchen lassen zu können und zur Durchsetzung ihres Rechtes auf Schadensersatz, wenn diese berechtigt sind, sind Unternehmen dazu verpflichtet Streitschlichtungsmechanismen beizutreten.

Unternehmensbereiche wie Finanzinstitute, Luftverkehrsunternehmen, Telekommunikationsunternehmen und Verpackungsdienste fallen nicht unter die Zuständigkeit des FTC und können dem entsprechen auch nicht dem Safe-Harbor-Modell beitreten^[60].

4 Fazit

Die Themen Datenschutz und Datensicherheit sind sehr komplex und bieten viele Möglichkeiten für Fehler, die große Folgen haben können. Allerdings bietet die technische Entwicklung auch etliche Methoden zum Schutz von Informationen und das nicht nur vor Angriffen sondern auch vor Umweltereignissen. Gerade der rechtliche Bereich stellt viele Anforderungen an Unternehmen um die Daten von Bürgerrinnen und Bürgen zu schützen. Besonders Wichtig ist dabei das Europa versucht gemeinsame Regelungen zu erzielen und das der Schutz der eigenen persönlichen Daten nicht an der Staatsgrenzen aufhört. Besonders, da das Internet nicht an diese Grenzen gebunden ist.

5 Abkürzungsverzeichnis

Abkürzung	Bedeutung
BD	BluRay-Disc
BDSG	Bundesdatenschutzgesetz
BITKOM	Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
CD	Compact Disc
DSB	Datenschutzbeauftragter
DVD	Digital Versatile Disc
EU	Europäischen Union
FTC	Federal Trade Commission (US-Handelsministerium)
FAQ	Frequently Asked Questions (häufig gestellte Fragen)
GG	Grundgesetz
SMS	Short Message Service
USA	Vereinigte Staaten von Amerika
VHS	Video Home System

6 Abbildungsverzeichnus

Abb.-Nr.	Abbildung
1	Darstellung einer Synchronen Verschlüsselung
2	Darstellung einer Asynchronen Verschlüsselung

7 Tabellenverzeichnis

Tabelle Nr.	Quelle
1	Vergleich von USV-Typen

8 Fußnoten

1. ↑ ^{1,0 1,1} vgl. Artikel BITKOM http://www.bitkom.org/de/presse/64046_67951.aspx
2. ↑ ^{2,0 2,1 2,2 2,3 2,4 2,5} vgl. IT-Grundschutz-Kataloge https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschutz-Kataloge-12-EL.pdf G1 ff.
3. ↑ Hintertüren (Backdoors) und Rootkits http://hoax-info.tubit.tu-berlin.de/virus/avtrojan.shtml
4. ↑ Computer-Viren - Definition und Wirkungsweise https://www.bsi.bund.de/ContentBSI/Publikationen/Faltblaetter/F19Kurzviren.html
5. ↑ http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page05.html
6. ↑ http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page06.html
7. ↑ ^{7,0 7,1} http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page10.html
8. ↑ ^{8,0 8,1 8,2} http://www.oreilly.de/german/freebooks/linuxfire2ger/pdf/ch05.pdf
9. ↑ Diplomarbeit - Backup & Restore - Dennis Wegner http://instant-thinking.de/wp-content/uploads/2010/03/diplomarbeit_backup_und_restore.pdf
10. ↑ ^{10,0 10,1} RAID Datenrettung http://www.datenrettung.leitfaden.net/raid-datenrettung.html
11. ↑ RAID-Paper - Patterson http://www.cs.cmu.edu/~garth/RAIDpaper/Patterson88.pdf
12. ↑ TGDaily - His password was "password" http://www.tgdaily.com/security-features/45564-his-password-was-password
13. ↑ Die Zeit http://www.zeit.de/2011/24/P-Facebook/
14. ↑ ^{14,0 14,1} Facebook AGB http://www.facebook.com/legal/terms?ref=pf
15. ↑ Tracking und Gesetz http://www.daten-speicherung.de/index.php/tracking-und-gesetz-spuren-im-netz/
16. ↑ Bundesdatenschutzgesetz §3 Absatz 1
17. ↑ Volkszählungsurteil http://www.servat.unibe.ch/dfr/bv065001.html
18. ↑ vgl. Panoptismus (Michel Foucault)
19. ↑ vgl. Bundesdatenschutzgesetz §1 Absatz 2
20. ↑ vgl. Bundesdatenschutzgesetz §27 Absatz 2
21. ↑ ^{21,0 21,1} Bundesdatenschutzgesetz §46 Abschnitt 1
22. ↑ Bundesdatenschutzgesetz §5
23. ↑ vgl. Bundesdatenschutzgesetz §5
24. ↑ vgl. Bundesdatenschutzgesetz §9
25. ↑ Bundesdatenschutzgesetz § 4 f
26. ↑ Bundesdatenschutzgesetz §4 d Absatz 6
27. ↑ ^{27,0 27,1 27,2} Bundesdatenschutzgesetz §4 d Absatz 5
28. ↑ Bundesdatenschutzgesetz §3 Absatz 9
29. ↑ Bundesdatenschutzgesetz §4f Absatz 1
30. ↑ ^{30,0 30,1} vgl. Bundesdatenschutzgesetz §4f Absatz 1
31. ↑ vgl. Bundesdatenschutzgesetz §4f Absatz 2
32. ↑ vgl. Ulmer Urteil (Az.: 5T 153/90-01 LG Ulm) https://www.ob-m.de/downloads/ulmer_urteil.pdf
33. ↑ vgl. Bundesdatenschutzgesetz §4f Nummer 3
34. ↑ vgl. https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/FAQ/Fachkunde_Zuverlaessigkeit.php
35. ↑ vgl. Bundesdatenschutzgesetz §4g Absatz 2a
36. ↑ vgl. Bundesdatenschutzgesetz §7
37. ↑ vgl. Bundesdatenschutzgesetz vgl. §43 Absatz 1
38. ↑ vgl. Bundesdatenschutzgesetz vgl. §43 Absatz 2
39. ↑ vgl. Bundesdatenschutzgesetz vgl. §43 Absatz 3
40. ↑ vgl. Bundesdatenschutzgesetz vgl. §44
41. ↑ ^{41,0 41,1 41,2} vgl. Bundesdatenschutzgesetz vgl. §4f Absatz 3
42. ↑ vgl. Bundesdatenschutzgesetz vgl. §4f Absatz 2
43. ↑ vgl. Bundesdatenschutzgesetz vgl. §4f Absatz 4
44. ↑ vgl. Bundesdatenschutzgesetz vgl. §4f Absatz 5
45. ↑ vgl. Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) )
46. ↑ ^{46,0 46,1} Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) Absatz 1
47. ↑ BITKOM Leitsatz Betriebssicheres RZ von 2010
48. ↑ vgl. Artikel zur Biometrischen Datenerfassung http://info.kopp-verlag.de/hintergruende/enthuellungen/udo-ulfkotte/der-fluch-des-fortschritts-ii-die-biometrisch.html;jsessionid=1CBB2AABA7C670808D821971BAC05557
49. ↑ Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) Absatz 2
50. ↑ https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschutz-Kataloge-12-EL.pdf G4.10
51. ↑ ^{51,0 51,1} Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) Absatz 3
52. ↑ vgl. Taschenbuch der Informatik - Dieter Werner ISBN 978-3-446-40754-1
53. ↑ Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) Absatz 5
54. ↑ Bundesdatenschutzgesetz Anlage (zu § 9 Satz 6) Absatz 6
55. ↑ vgl. Bundesdatenschutzgesetz §11
56. ↑ Bundesdatenschutzgesetz Anlage (zu § 9 Satz 1) Absatz 8
57. ↑ vgl. Reform der Datenschutzrichtlinie 95/46/EG http://www.bfdi.bund.de/DE/EuropaUndInternationales/ReformDatenschutzrichtlinie.html
58. ↑ Artikel Microsoft als Initialzünder für mehr Datenschutz in den USA? Autoren: Axel Spies, Oliver Stutz http://www.datenschutz-cert.de/presse/veroeffentlichungen/spies_stutz.pdf
59. ↑ BFDI: Safe Harbor http://www.bfdi.bund.de/DE/EuropaUndInternationales/Art29Gruppe/Artikel/SafeHarbor.html?nn=409532
60. ↑ ^{60,0 60,1} vgl. BFDI: Safe Harbor http://www.bfdi.bund.de/DE/EuropaUndInternationales/Art29Gruppe/Artikel/SafeHarbor.html?nn=409532
61. ↑ vgl. http://export.gov/safeharbor/eu/eg_main_018493.asp

9 Literatur- und Quellenverzeichnis

Verweis	Literatur // Quelle
Artikel zur Biometrischen Datenerfassung	http://info.kopp-verlag.de/hintergruende/enthuellungen/udo-ulfkotte/der-fluch-des-fortschritts-ii-die-biometrisch.html;jsessionid=1CBB2AABA7C670808D821971BAC05557
BFDI: Safe Harbor	http://www.bfdi.bund.de/DE/EuropaUndInternationales/Art29Gruppe/Artikel/SafeHarbor.html?nn=409532
BITKOM Artikel	http://www.bitkom.org/de/presse/64046_67951.aspx
BITKOM Leitsatz Betriebssicheres RZ von 2010	http://www.bitkom.org/files/documents/Betriebssicheres_RZ_2010_ohne_Schnittmarken.pdf
Bundesdatenschutzgesetz	http://www.bfdi.bund.de/cae/servlet/contentblob/409518/publicationFile/25234/BDSG.pdf
Computer-Viren - Definition und Wirkungsweise	https://www.bsi.bund.de/ContentBSI/Publikationen/Faltblaetter/F19Kurzviren.html
Die Zeit	http://www.zeit.de/2011/24/P-Facebook/
Diplomarbeit - Backup & Restore - Dennis Wegner	http://instant-thinking.de/wp-content/uploads/2010/03/diplomarbeit_backup_und_restore.pdf
Facebook AGB	http://www.facebook.com/legal/terms?ref=pf
Fachkunde Zuverlässigkeit	https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/FAQ/Fachkunde_Zuverlaessigkeit.php
Hintertüren (Backdoors) und Rootkits	http://hoax-info.tubit.tu-berlin.de/virus/avtrojan.shtml
IT-Grundschutz-Katalog	https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschutz-Kataloge-12-EL.pdf
Kommentar zum BDSG	Simitis, Spiros, Kommentar zum Bundesdatenschutzgesetz (BDSG), 7. Auflage,
Leitfaden IT-Sicherheit (2012)	Bundesamt für Sicherheit in der Informationstechnik, Leitfaden IT-Sicherheit
Linux Firewalls	http://www.oreilly.de/german/freebooks/linuxfire2ger/
Microsoft als Initialzünder für mehr Datenschutz in den USA? Autoren: Axel Spies, Oliver Stutz	http://www.datenschutz-cert.de/presse/veroeffentlichungen/spies_stutz.pdf
RAID Datenrettung	http://www.datenrettung.leitfaden.net/raid-datenrettung.html
RAID-Paper	http://www.cs.cmu.edu/~garth/RAIDpaper/Patterson88.pdf
Reform der Datenschutzrichtlinie 95/46/EG	http://www.bfdi.bund.de/DE/EuropaUndInternationales/ReformDatenschutzrichtlinie.html
Safe Harbor EU	http://export.gov/safeharbor/eu/eg_main_018493.asp
Sicherheitskonzepte E-Commerce	http://ddi.cs.uni-potsdam.de/Lehre/e-commerce/elBez2-5/page04.html
Taschenbuch der Informatik - Dieter Werner	http://winfwiki.wi-fom.de/index.php/Spezial:ISBN-Suche/9783446407541
TGDaily - His password was "password"	http://www.tgdaily.com/security-features/45564-his-password-was-password
Tracking und Gesetz	http://www.daten-speicherung.de/index.php/tracking-und-gesetz-spuren-im-netz/
Ulmer Urteil (Az.: 5T 153/90-01 LG Ulm)	https://www.ob-m.de/downloads/ulmer_urteil.pdf
Volkszählungsurteil	http://www.servat.unibe.ch/dfr/bv065001.html