Die Diskussion um die Reglementierung des Einsatzes von Verschlüsselungsverfahren wurde intensiv in der 2. Hälfte der 90er Jahre (des vergangenen Jahrhunderts) geführt. Fassen Sie wichtige Aussagen aus diesen Diskussionen zusammen und suchen Sie aktuelle Stellungnahmen zu diesen. Bzw. stellen Sie dar, wie akut diese Frage derzeit behandelt wird.




Der Grund weil die Verschlüsselungsverfahren eine so schwierig zu behandelnde Angelegenheit sind, liegt darin, dass sie Bereiche wie Privatsphäre und personenbezogene Daten betreffen. Es ist nicht nur eine Frage von Technologie, sondern auch von Kosten und Risiken, in dem Fall dass bestimmte elektronische Verfahren adoptiert werden. In dem Artikel 8, Kapitel II (Schutz personenbezogener Daten) der Charta der Grundrechte der Europäischen Union, die in Nizza am 7. Dezember 2000 proklamiert wurde, steht
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken
Es ist sicherlich ein Problem diese Richtlinien mit der Entwicklung der Verschlüsselungstechnologien zu versöhnen, genau weil es bestimmte Grenze gibt, zwischen dem Schutz der Privatsphäre in der Vermittlung oder Bearbeitung von Daten und der Nutzung einer potentiellen Waffe. Dieses Problem tauchte schon in den 90er Jahren als wichtige institutionelle Diskussion auf der internationalen Ebene auf.
Ich stelle ein Exkursus der Entwicklung dieser Diskussion, durch die wichtigsten gesetzlichen Maßnahmen und Richtlinien, die festgestellt oder vorgeschlagen wurde.
Datenschutz und die Vereinten Nationen
Richtlinien im Rahmen der computerbeschützten Daten wurden bei der Generalversammlung der UNO am 14. Dezember 1990 behandelt. Obwohl diese Richtlinien keine technischen Hinweise über die Überwachung des Computerdatenschutzes liefern, sind die Inhalte der Versammlung sehr wichtig, weil sie die menschenrechtlichen Implikationen des Datenschutz unterstreichen und betonen, dass der Zugang zu den Daten, die Privacy und Rechte der Betroffenen respektieren muss. Außerdem müssen die Zwecke des Datenzugangs bestimmt werden und andere Anwendung dieser Daten sind verboten. Der Grund des Zugangs zu den Daten muss nicht nur nachgewiesen sondern auch gesetzlich plausibel sein.
Das Internationale Panorama
Der Einsatz von Verschlüsselungstechnologien ist seit der Empfehlung des Europarates am 11.09.1995 zur Aktualität gebracht worden. Zur Zeit in Deutschland beschäftigt sich die Regierung um eine Lösung zu finden, die auch nicht in Kontrast mit der Gesellschaft für Informatik (GI) zutritt, die schon am 28. Februar 1996 ihre Bedenken gegen staatliche Einschränkung der Kryptographie in einer Presseerklärung veröffentlicht hat. In Frankreich ist die Herstellung, der Einsatz und der Export von Verschlüsselungsprogrammen seit Dezember 1990 genehmigungspflichtig. Nicht genehmigte Verschlüsselungsverfahren werden mit Geld- oder sogar mit Haftungsstrafen geahndet. In Belgien erlaubt ein Gesetz seit 1994 die Konfiszierung von Telekommunikationsgeräten; das Gesetz kann so in einem weiten Sinn auch im Rahmen von Verschlüsselungstechnologien angewendet . In Russland ist die Entwicklung und Herstellung, von Verfahren zur sicheren Speicherung oder Übertragung von Nachrichten seit April 1995 genehmigungspflichtig. Der Grund ist Staatssicherheit genauso wie die Kämpfung gegen die organisierte Kriminalität. Länder wie Australien, Dänemark, Finnland, Großbritannien, Irland, Island, Japan, Kanada, Litauen, Neuseeland, Niederlande, Norwegen, Österreich, Schweden, Schweiz, Spanien, Türkei, Ungarn, USA haben noch keine Reglementierung für den Einsatz der Verschlüsselungsverfahren.
Nach dem Arbeitspapier der AG Kryptographie des AK Technik (September 1996), sind die Staatlichen Reglementierungen über die Anwendung von Verschlüsselungsverfahren total nutzlos. Einige der Gründe sind, weil sie kaum kontrollierbar sind, weder aus technischer noch aus finanzieller Sicht; sie anderen staatlichen und wirtschaftlichen Interessen an der Sicherung von Daten gegen Risiken der Vertraulichkeit, Integrität und Zurechenbarkeit bei der Übertragung und Speicherung zuwiderlaufen. Wenn auf einer Seite sollten diese Techniken dem Kamp gegen die organisierte Kriminalität helfen, auf der anderen, können diese Verfahren genau von den selben Verbrechern angewandt werden. Dagegen braucht man bestimmte Kontrollstrukturen für die Überwachung der Regelungen, die riesige Kosten haben; trotzdem haben die Überwachungsbehörde gegen die richtigen Formen der Verschlüsselung keine Möglichkeit die Botschaft zu entziffern.
Das Problem der Überwachung ist gar nicht einfach zu lösen, vor allem weil es nicht nur Verschlüsselungs- und Entschlüsselungstechnologien betrifft, sondern auch die Sphäre der Speicherung der personenbezogenen Daten und die grenze des Zugangs zu denen. Überlegungen, wie das Problem einer Überwachung der Telekommunikation unter diesen Voraussetzungen gehandhabt werden kann, führen zu einigen denkbaren Handlungsalternativen.
1. Der Einsatz von Verschlüsselungsverfahren wird verboten; ggf. besteht ein Genehmigungsvorbehalt.
2. Es werden Algorithmen und Verfahren zugelassen, die Schwachstellen besitzen, die den Überwachungsbehörden bekannt sind.
3. Es werden Schlüssel(-teile) hinterlegt, die es im Fall einer Strafverfolgungsmaßnahme erlauben, die Daten zu entschlüsseln (Key-Escrow).
Es ist klar, dass alle diese Alternativen Vorteile und Nachteile haben; außerdem wenn es mögliche Vorteile für die Bürger gibt, können die Nachteile für die Regierung oder Behörde sein und umgekehrt.
Verschlüsselungstechnologien bedeutet nicht nur Sicherheit in der Übertragung von Daten, sondern auch in ihrer Speicherung auf Festplatten, Disketten oder CDs. In diesem besonderen Fall ist der Einsatz von Maßnahmen noch nicht klar, vor allem weil eine verschlüsselte Speicherung im allgemeinen unabhängig von zentralen Schlüsselverwaltungsinstanzen erfolgt. Außerdem wäre ihre Überwachung sehr kompliziert, weil sie nur durch „Hausdurchsuchungen“ möglich wäre. Immer nach dem Arbeitspapier erfordert die Überwachung von Verschlüsselungsverfahren für die Speicherung auch den Einsatz von bestimmten Regelungen für die Key-Escrow Verfahren, um unerwünschte Preiserhöhungen in der Kommerzialisierung der Daten zu verhindern. Zusammenfassend schlägt die Arbeitspapier vor, dass Verschlüsselungsverfahren für Datenübertragung und Datenspeicherung nicht getrennt werden sollten, weil sie eigentliche zum selben Bereich gehören.
Das Thema der Verschlüsselung liefert auch weitere Probleme, z.B., wie sinnvoll sind nationale Regelungen bei supranationaler Kommunikation? Wie kann man sich angesichts der Vielfalt unterschiedlicher nationaler Handels- und Nutzungsbeschränkungen überhaupt noch gesetzeskonform verhalten?
Schließlich braucht die Verschlüsselung klare Normen, technische Rahmenbedingen für den Einsatz eines Kryptogesetzes und Richtlinien für eventuelle Strafverfolgungsbehörde. Außerdem schlägt das Papier von 1996 drei Lösungen, die man im Rahmen der Reglementierung der Verschlüsselung vermeiden sollte:
1. Verbot der Kryptographie
2. schwache Algorithmen
3. Escrow Agencies
Schengener Durchführungsübereinkommen
Das Problem des Datenschutz ist Aktualität in Europa auch wegen des Übereinkommens zur Schaffung eines gemeinsamen Raumes für den freien Waren- und Personenverkehr, das am 14. Juni 1985 von den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik in dem kleinen Ort Schengen ein, unterzeichnet wurde. Innerhalb des Schengener Durchführungsübereinkommens (SDÜ) wurde im Jahr 1995 (als das Übereinkommen in Kraft trat) die Einrichtung eines Schengener Informationssystems (SIS) beschlossen). Das gemeinsame System bietet seinen Nutzern (mit Polizeiaufgaben betraute Dienststellen, Botschaften, Ausländerämter usw.) in Echtzeit zweckdienliche Informationen, die von einem der Mietgliedstaaten eingegeben wurden. Die Informationen betreffen Personen, die
• zur Festnahme mit dem Ziel der Auslieferung gesucht werden,
• zum Zwecke der Einreiseverweigerung ausgeschrieben sind,
• vermisst sind,
• die Gegenstand einer verdeckten Registrierung sind
Kontrolliert wird das SIS durch die Gemeinsame Kontrollinstanz für den Schutz personenbezogener Daten (GK). Der Tätigkeitsbericht wird regelmäßig erneut und veröffentlicht. Der Datenschutz der SIS-Verbindungen erfolgt durch einen Verschlüsselungsalgorithmus, der vom deutschen Bundesamt für die Sicherheit in der Informationstechnik und dem Unternehmen Bosch Telecom entwickelt worden war. Deswegen wurde beschlossen, dass Deutschland die entsprechenden Informationen bis Ende Mai 2000an die GK übermittelt würde. Das Hauptproblem dieses Datenzugangsystems, liegt darin, dass es besondere Fälle geben, in denen die personenbezogenen Daten so verarbeitet werden können, dass ihre Identität missbräuchlich verwendet werden kann. Die Lösung (Ende 90er Jahre) von SIS, besteht daraus, dass die Verarbeitungen nur durch Freiwille, ausdrückliche Zustimmung oder ausdrücklichen Antrag der betroffenen Person erfolgt werden darf.
Vertrag von Amsterdam
Mit dem Vertrag von Amsterdam (2. Oktober 1997) wird das Thema des Zugangs zu Informationen und Dokumenten bezüglich des Europäischen Parlaments, bei der Seite der Bürger der Mitgliedstaaten, behandelt. Der Vertrag ändert eigentlich den vorherigen Vertrag über die Gründung der Europäischen Gemeinschaft und betont, dass dieses Recht von besonderen Grundsätzen eingeschränkt werden soll. Diese Grundsätze wurden im Jahr 1999 bekannt gegeben und beruhen sich darauf, dass entsprechende Organe und Einrichtungen, für die Überwachung des Zugangs und der Anwendung der Daten entstehen müssen. Diese Organe und Einrichtungen, müssen unter der Kontrolle einer Kontrollinstanz sein, die für sie verantwortlich ist.
Agreement on Interterritorial Data Protection
Das Problem des elektronischen Datenschutz wird noch im Jahr 1998 ein schwere Angelegenheit, als den Agreement on Interterritorial Data Protection unterzeichnet wurde. Das Problem liegt darin, dass die verschiedenen Sicherheitsmassnahmen von dem Vertrauen und der Zuverlässigkeit vom entsprechenden Personal für die Datenübermittlung abhängig sind. Außerdem wird den Zugang zu den Daten nur mit Techniken wie Passwort oder Geheimcodes geschützt. Die Information selbst bleibt eigentlich zugänglich. Die Zivil- und Strafverantwortung wurden am 14. Januar 2003 vom BDSG (Bundesdatenschutzgesetz) festgestellt.
Der Datenschutz und seine zunehmende Wichtigkeit auch im Rahmen der öffentlichen Verwaltung, ist ein Recht, aber wie alle Rechte braucht reguliert zu werden damit es nicht ausgenutzt wird. Die Formulierung eines Gesetzes als Voraussetzung für die Verwendung von persönlichen Daten ist nur im Sinn des Allgemeininteresses zu verstehen. Diese Voraussetzungen werden vom Berliner Datenschutzgesetz (BlnDSG, 30.07.2001) reguliert. Nach diesem Gesetz ist eine Verarbeitung personenbezogener Daten nur durch die Berliner Behörden zulässig; außerdem muss die Erforderlichkeit der Operation nachgewiesen werden. Das Datenschutzgesetz ist in Spezialgesetzen geregelt, bezüglich die verschiedenen Behörde. Die Regelung für die bereichspezifische Verarbeitung personenbezogener Daten war schon im Gesetz vom 26.01.1993 erhalten. Dieses Gesetz findet man in Teil auch im Rahmen von Bundes- und Landesgesetzen.
Das Berliner Datenschutzgesetz reguliert auch die privaten Datenverarbeiter durch Aufsichtsbehörde der Länder. Am 24 Oktober 1995 wurde zusätzlich die Europäische Richtlinie zum Datenschutz vom dem Europäischen Rat vorgestellt. Damit waren alle Mitgliedstaaten verpflichtet bis 24 Oktober 1998 das eigene Datenschutzrecht zu einem höheren Niveau zu bringen uns so den Schutz der personenbezogenen Daten zu verbessern. Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
Diese Richtlinie war insbesondere wichtig, weil damit Begriffsbestimmungen im Rahmen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten geliefert werden. Insbesondere werden bestimmte Ausdrucke erklärt:
a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person");
b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
c) "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
d) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält,
e) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.
Richtlinie stellt außerdem fest, dass die Verantwortlichen für die Verarbeitung der Daten entsprechende technische Sicherheitsmassnahmen adoptieren müssen, deren Kosten proportional zum Schutzniveau und Risiko der Entschlüsselung sind.
Richtlinie für die elektronische Signatur
Am 13. Dezember 1999 wird die Richtlinie des Europäischen Parlaments und Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vorgestellt. Die Richtlinie soll die Verwendung elektronischer Signaturen erleichtern und zu ihrer rechtlichen Anerkennung beitragen. Sie liefert rechtliche Rahmenbedingungen für elektronische Signaturen und für bestimmte Zertifizierungsdienste. Die Richtlinie stellt fest, dass eine elektronische Signatur, die folgende Anforderungen erfüllen soll:

a) Sie ist ausschließlich dem Unterzeichner zugeordnet;

b) sie ermöglicht die Identifizierung des Unterzeichners;

c) sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;

d) sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Das Problem des elektronischen Datenschutzes ist von großer Aktualität klar auch vom Anfang des neuen Jahrtausends gewesen.
Bei der European Data Protection Conference in Athen am 10/11. Mai 2001 wurde darüber diskutiert ob die Möglichkeit der ISP (Internet Service Providers) die Traffic Data zu behalten kompatibel mit der Richtlinie des Artikels 8 der Charta der fundamentalen Rechte der Europäischen Union ist. Bei der Konferenz wurde betont, dass diese Operation nur in bestimmten Fällen geschehen soll, außerdem müssen die Gründe nachgewiesen werden, die Datenbehaltung muss kurzfristig sein und ihre Bedingungen müssen deutlich vom Gesetzt reguliert werden. Diese Richtlinie - wurde in der Konferenz betont - ist unverzichtbar für die Entstehung einer internationalen e-community.

Am 30. Mai 2001 wurde Brüssel eine Verordnung über den Zugangs der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission festgestellt. Zweck der Verordnung ist die Grundsätze und Bedingungen für geltende Einschränkungen für die Ausübung des in Artikel 255 des EG-Vertrags so festzulegen, dass ein größtmöglicher Zugang zu Dokumenten gewährleistet ist.
Der Vertrag über die Europäische Union betont die Wichtigkeit des Prinzips der Transparenz. Transparenz ermöglicht eine bessere Beteiligung der Bürger am Entscheidungsprozess und gewährleistet eine größere Legitimität, Effizienz und Verantwortung der Verwaltung gegenüber dem Bürger in einem demokratischen System. Auf diesen Gründen müssen die Organe der Union bereit sein um die Transparenz des Entscheidungsprozesses zu verbessern. Gemäß Artikel 28 Absatz 1 und Artikel 41 Absatz 1 des EU-Vertrags müssen Sicherheitsbestimmungen das Zugangsrecht für Dokumente beachtet werden. Bestimmte Dokumente sollten aufgrund ihres hochsensiblen Inhalts einer besonderen Behandlung unterliegen. Grundsätzlich sollten alle Dokumente der Organe für die Öffentlichkeit zugänglich sein. Der Schutz bestimmter öffentlicher und privater Interessen sollte jedoch durch Ausnahmen gewährleistet werden.
Nach dem Artikel 4 der Verordnung können die Organe den Zugang zu einem Dokument verweigern auf Grund des Schutzes

1. des öffentlichen Interesses im Hinblick auf die öffentliche Sicherheit, die Verteidigung und militärische Belange, die internationalen Beziehungen, die Finanz-, Währungs- oder Wirtschaftspolitik der Gemeinschaft oder eines Mitgliedstaats zu beschützen;
2. der Privatsphäre und der Integrität des Einzelnen und seiner Rechte
3. der personenbezogenen Daten.

Genau 16 Monaten nach der European Data Protection Conference wird das Problem noch mal Aktualität. Bei der Konferenz der Europäischen Datenschutzbeauftragten vom 11. September 2002 wird es festgestellt, dass zwangsweise systematische Speicherung von Verkehrsdaten der Telekommunikation geführt worden wären um Strafverfolgungs- und Sicherheitsbehörden den möglichen Zugang zu erlauben. Die Europäischen Datenschutzbeauftragten hatten viele Zweifeln, nicht nur im Bezug auf die Kosten einer solchen Operation , sondern auch im Bezug auf ihre Legalität und Legitimität, auch weil solche Maßnahmen nicht einmal von der Vereinigten Nationen vorgesehen sind. Wie kann sich eine solche Entscheidung mit der Richtlinien des Artikels 8 der Europäischen Menschenrechte über den Schutz und Respekt der Privatsphäre versöhnen? Auch in diesem Fall wurde betont, dass eine klare Feststellung der Bedingungen, Notwendigkeit und Zeitbegrenzung der Speicherung erforderlich war.
Der Schutz der Privatsphäre wird noch mal auf der internationalen Ebene bei der Internationalen Konferenz der Beauftragten für den Datenschutz und –Privacy in Sydney (10-12 September 2003) diskutiert. Vor allem wurde bei der Konferenz betont, wie die Veränderungen in unserer Informationsgesellschaft die Bedeutung neben die Arten der Kommunikation modifiziert haben. Die Globalisierung und ihre Tendenzen im Rahmen der Telekommunikation erfordern tiefe Überlegungen über Kommunikationsethik außer über Kommunikationstechnologien. Malcom Crompton (Australian Federal Privacy Commissioner bei der Konferenz) in seinem Willkommengespräch hat so dieses Thema vorgestellt:
“We are […] faced with the fact that nothing stays the same. And nothing is staying the same even faster than ever before! Politics change, cultures evolve, economies grow and decline, and technology develops. And as they do, the prior equilibrium must shift. The challenge for all of us working in the privacy area – regulators, legislators, commentators, advocates, data handlers – is to come to terms with the reality that effective respect for privacy is dynamic. What we are seeking is a dynamic equilibrium”.
Die Länder weltweit suchen ständig Wege um diese Dynamik zu erreichen; das Problem bleibt aber immer, wie dieses globale Streben mit dem Respekt für menschliche Würde und Privatdimension versöhnt werden kann, die so stark von Kultur und Geschichte der verschiedenen Völker abhängig sind.
Ist es richtig oder nicht, und ob ja in welcher Maß die Privatsphäre der Menschen in der elektronischen Kommunikation zu untersuchen, ist ohne Zweifel eine der größten Herausforderung für die neue Kommunikationsdimension und –Kultur des 21. Jahrhunderts.
Der letzte Schritt der Diskussion über den elektronischen Schutz der personenbezogenen Daten betrifft den Zugang zu Informationen über die Fluggäste (Passenger Name Records, PNR), vor allem in Bezug auf die Daten, die Daten, die zum United States’ Bureau of Customs and Border Protection (CBP) übertragen werden. Nach der Terroranschläge vom 11. September 2001 ist die Kontrolle der Fluggäste vor allem im amerikanischen Flugraum eine der wichtigsten Angelegenheiten im Rahmen der Nationalsicherheit und Kampf gegen Terrorismus. Auf diesen Gründen hat die Europäische Kommission bestimmte Maßnahmen übernommen um diesen Austausch von Daten mit dem amerikanischen Büro zu erlauben. Die Richtlinien für die Übertragung von PNR wurden durch die EUROPEAN COMMISSION DECISION of 14 May 2004 on the adequate protection of personal data contained in the Passenger Name Record of air passengers transferred to the United States’ Bureau of Customs and Border Protection festgestellt, die am 6. Juli in der offiziellen Zeitung der Europäischen Union veröffentlicht wurde.
Wie in allen Bereichen der Übertragung von personenbezogenen Daten, erfolgt diese Übermittlung innerhalb bestimmter Beschränkungen. Nur relevante Informationen sind zugänglich und das einzige Zweck dieser Kontrollen ist Bekämpfung des Terrorismus. CBP übernimmt die Verantwortung für die Nutzung und Verbreitung der Daten innerhalb der entsprechenden Behörde. Der Schutz der Daten erfolgt durch ein Verschlüsselungssystem end-to-end und die Übertragung wird vom Customs Data Centre überwacht. Außerdem sind die Daten nur von autorisierten Personell gesammelt, behandelt und verbreitet. Keine lokalen, staatlichen oder Bundesbehörde haben direkten elektronischen Zugang zu den Database, die PNR enthalten, außerhalb CBP selbst.

Für allgemeine Informationen

über den Internationalen Datenschutz : http://www.datenschutz-berlin.de/ueber/internat.htm
über Recht und Datenschutz: http://www.datenschutz-berlin.de/recht/bln/blndsg/blndsg.htm

Malcolm Crompton, Australian Federal Privacy Commissioner Welcome Speech 25th International Conference of Data Protection and Privacy Commissioners, Sydney 10-12 September 2003 – Integrale Version
MalcolmCrompton_SpeechF (doc, 54 KB)

COMMISSION DECISION
of 14 May 2004
on the adequate protection of personal data contained in the Passenger Name Record of air
passengers transferred to the United States’ Bureau of Customs and Border Protection
c-2004-1914_en (pdf, 91 KB)

RICHTLINIE 1999/93/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 13. Dezember 1999
über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen
EU_RL_de (pdf, 126 KB)

Themenkreis Privatsphäre: Steganographie



Wie auch Wikipedia betont, ist Steganographie die Wissenschaft, aber auch die Kunst eine Botschaft oder einen Dokument zu verbergen. Man benutzt Steganographie genau wie Kryptographie, im Rahmen vom Schutz der Privatsphäre oder um die Identität des Empfängers. Außerdem kann man durch Steganographie auch Veränderungen des Dokuments überprüfen und damit auch den Ursprung des Dokuments selbst beweisen. Unter diesem Sichtpunkt ist die Idee und der Prinzip von Steganographie sehr eng mit dem von Kryptographie verbunden. Trotzdem wurde es schon erklärt, dass Kryptographie kein Verbergen einer Botschaft ist, sondern eine Verschlüsselung. Wenn man den entsprechenden Schlüssel hat, kann die Botschaft decodieren. Aber in Kryptographie findet man keine zusätzlichen (verborgenen) Informationen wie mit der Steganographie. Der Hauptunterschied liegt dann darin, dass während mit Kryptographie hat man eine komplette, obwohl verschlüsselte Botschaft, mit Steganographie hat man ein Teil der Nachricht nicht (sofort) zur Verfügung, weil man es nicht sehen kann. Steganographie ist ohne Zweifel keine Unterklasse der Kryptographie und die beiden können auch in einem Dokument gleichzeitig und kombiniert verwandt werden.
Die Methode der Steganographie, wie z.B. unsichtbare Geheimtinte, Mikropunkte, Einbetten einer Nachricht in einer anderen werden normalerweise von den angewandten Medien gekennzeichnet, in dem Sinn, dass entsprechende Medien geeigneter als andere für besondere Methode sind.

Die Geheimtintemethode, im Rahmen von Druckmedien, besteht z.B. aus der Verwendung von besonderen unsichtbaren Tinten, wie Zitronensaft. Diese Methode kann einer weiteren Gruppen von Steganographie zugeschrieben, d.h. die technische Steganographie. Dazu zahlen auch Doppelboden von Briefumschlägen oder Seiten, die auf der Größe eines Mikropunkts versteckt werden. die technische Steganographie braucht in der Regel keine digitalen Medien und war schon seit der Antike bekannt.

Anderer Art der Steganographie ist die linguistische Steganographie, ein Beispiel davon ist das Semagramm, oder die Versteckung einer Nachricht in der graphischen Ausstellung eines Text, in diesem Fall Textsemagramm. Aber man kann auch Beispiele von Bildersemagrammen haben, d.h. wenn die besondere Stellung von Objekten oder Figuren in einem Bild Buchstaben oder sogar Worte darstellen. Zu linguistischer Steganographie zählt auch die Möglichkeit der Erstellung einer eigenen Geheimschrift, wie Open Code oder eine Geheimsprache die versteckte Nachrichten enthält oder auch eine Nachricht, die nur beim Lesen nach einem bestimmten Muster auftaucht.

Mit der Entwicklung der Technologie hat sich auch die Möglichkeit einer computergestützte Steganographie verstärkt. Diese Technik nutzt die so genannte Fehlertoleranz einiger elektronischen Daten (Audio- oder Bilderformat) aus, um diese Files leicht zu manipulieren und damit zusätzliche Daten zu liefern, ohne, dass die ursprünglichen Daten verändert werden.
Der Hauptgrund weil Stegaongraphie angewandt wird, ist dass viele Nationen die Verschlüsselung von Daten mit der Methode der Kryptographie nicht erlauben oder auch einfach nur weil es gibt mehrere Firmen, die enkodierte Kommunikation nicht akzeptieren.

Im Bereich Verschlüsselungs- und Sicherheitssoftware ist das Ziel nicht die Beschützung des Computers, sondern des Benutzers. Diese ist die Richtlinie des Unternehmens Steganos GmbH. Die Firma hat im Jahr 2003 den deutsche Markt für Consumer-Verschlüsselungssoftware geführt. Das Unternehmen bietet Software für die Anonymisierung des Benutzers beim Internetsurfen, wie z.B. die Steganos Security Suite, in der der neue Advanced Ecryption Standard (AES) Verschlüsselungsalgorithmus eingesetzt wurde. Der Prinzip von Steganos GmbH ist die Privatsphäre des Benutzers schon als Web-Besucher zu respektieren: die Identifizierung erfolgt so nicht als Speicherung der Personendateien, sondern durch Datum, Zeit und vor allem IP-Adresse.

Zusammen mit Steganographie und Kryptographie findet man auch andere alternative für die Geheimhaltung bei der Versendung von Daten. Ein Beispiel ist die so genannte Chaffing and Winnowing, eine Technik die im Jahr 1998 von Ronald L. Rivest vorgestellt wurde. Nach dieser wird eine Nachricht in Datenpakete eingeteilt und jedes Packet wird mit einem MAC (Message Authentication Code) verschlüsselt. Der Empfänger entschlüsselt die Nachricht durch einen Algorithmus und damit kann die richtige und ursprüngliche Reihenfolge der Nachricht wieder gebaut werden.

Nützliche Links für allgemeine Informationen über Steganographie sind:

http://www.Wikipedia.org
http://www.steganos.com
http://www.peticolas.net
http://www.stegoArchives.com
http://www.stego.com

für die verschiedene on line verfügbare steganographische „Tools“

http://www.darkside.com.au/gifshuffle
http://www.rugeley.demon.co.uk/security
ftp://ftp.funet.fi/pub/crypt/steganography/jpeg-jsteg-v4.diff.gz
ftp://ftp.csua.berkeley.edu/pub/cypherpunks/steganography/MandelSteg1.0.tar.Z
http://www.ctgi.net/nicetext/
http://www.outguess.org/
http://www.afn.org
http://securengine.isecurelabs.com/
http://www.cypherspace.org
ftp://idea.sec.dsi.unimi.it/pub/security/crypt/code/s-tools4.zip
http://www.demcom.com/en/products.htm
http://www.crosswinds.net/~shetzl/steghide/index.html
ftp://ftp.funet.fi/pub/crypt/steganography/stegodos.zip
http://www.fourmilab.ch/stego/
http://wbstego.wbailer.com/

• Zusammenfassung

Der Beitrag von Reinard Kuhlen beruht sich auf die Wichtigkeit der Kollaboration in der Hypertext Kommunikation. Das ist keine kulturelle Angelegenheit, sondern etwas, unter einem politischen Sichtpunkt beobachtet werden soll. Mit der Hypertextifizierung von den verschiedenen Arten von Wissen verschwinden die klassischen und traditionellen Bedeutungen von Autor und Leser. Alle sind gleichzeitig Kollaborateure in Zusammenarbeit. Deswegen wird den Satz von George P. Landow angenommen: “…a document no longer exists by itself. It always exists in relation to other documents…” . Diese besondere Interpretation zeigt, dass nicht die Autoren, sondern die Dokumente kollaborativ sind. Der bleibt in einem solchen Kontext gar nicht passiv. Die Voraussetzung für die Verwirklichung dieser Zusammenarbeit auf der Hypertext-Ebene ist die Entwicklung neuer Kommunikation- und Wissensverbreitungsstrukturen, die besseren Zugang zum Wissen und Inforation selbst erlauben, oder besser gesagt, die Fortsetzung der Telemediatisierung.
Diese Kollaboration hat besondere Konsequenzen. Erstens, dass das Wissen niemandem mehr gehört, sondern wird es ein öffentliches Gut, über das alle verfügen können und dürfen. Das heißt, dass die traditionelle Verbreitung des Wissens von einer Elite zum Publikum verschwinden soll. Im Rahmen von elektronischen Medien heißt es vor allem die Verfügbarkeit über Free and Open Software. Diese Freiheit bezüglich den Software bedeutet insbesondere die Freiheit zusammenfassend

1. den Software zu benutzen
2. den Software und seine Steuerung zu studieren nach den eigenen Bedürfnissen
3. den Software zu entwickeln und verbessern

dafür werden besondere Bedingungen für die Lizenzierung eines Softwares, wie die General Public License (GPL), eingerichtet um die Rechte der Nutzer zu beschützen.
Aus dem Begriff von Free and Open Software und Creative-commons-Lizenzierung entsteht die Idee von Open-Access-Publizierens. Ein Beispiel davon haben wir mit.
Kollaboration ist so eine kollektive Leistung die in verschiedenen Bereichen Herausforderung und Applikation finden kann.
Kuhlen betont die Wichtigkeit der so genannten Koautorschaft im Rahmen von Wissenschaft allgemein oder auch in besonderen Bereichen wie Künstlichen-Intelligenz-Forschung (er liefert das Beispiel der Kollaboration im Fall des Roboterfußball WM in Portugal).

Kollaboratives Publizieren in einem Open-Access-Kontext bedeutet auch ein besserer Wissensmanagement oder die Art wie eine Organisation Kontrolle über explizites und implizites Wissen ausübt. Mit dem Ausdruck „Wissen“ meint man die Summe der Mitgliedsbeiträge als Wissensressourcen der Organisation selbst. Dann versteht man, dass das Wissen eine dynamische Entität ist, die aus der Kommunikation als Hauptform der Kollaboration entsteht. Kommunikation ist ein konstruktives Prozess, in dem alle Teilnehmer aktive Rolle und austauschbare Rollen mitspielen können und dürfen. Um es zu erzielen, muss aber die Kollaboration etwas geplant und organisiert sein.
Vorausgesetzt, dass man Kommunikation von Kollaboration nicht trennen darf, das Problem liegt darin, ob man über Kommunikationsfreiheit oder Kommunikationsrechte spricht. Es besteht kein Zweifel, dass jeder ein Right to Communicate (R2C) hat, aber der Begriff „Kommunikation“ bleibt trotzdem kontrovers, vor allem wegen der sozialen, ökonomischen und politischen Konsequenzen, die sie impliziert. Diese Probleme verschärfen sich im globalen Kontext der Internet-Kommunikation, weil unterschiedliche Kulturen und Einstellungen die verschiedenen Ebenen der Kommunikation beeinflussen.

Eine bestimmte Paradigma sieht Kommunikation als seek, receive, impart, trotzdem ist diese Definition begrenzt und nicht ausreichend um das r2c im Prozess der Telemediatisierung zu kodifizieren.
Probleme im Rahmen des r2c (lock-in, Digital Divide und elektronischer Kolonialismus) werden von UNESCO und ITU innerhalb des Projekts NWICO (New World Information and Communication Order) schon seit mehr als 20 Jahren (vgl. auch McPhail, Thomas L.; Global Communication, Allyn and Bacon, Boston, MA 2002) behandelt, aber die fortschreitenden Globalisierungstendenzen machen notwendig wie nie zuvor sich mit Angelegenheiten wie Verfügbarkeit und Zugang zu den neuen Technologien in Entwicklungsländer auseinanderzusetzen. Diese Themen werden erneut im Kontext des WSIS (Weltgipfel über die Informationsgesellschaft) diskutiert, vor allem in dem Sinn wie die universalen Kommunikationsrechte sich mit den Bedürfnissen der politischen und ökonomischen Welteliten versöhnen können. Vor allem ist es ein Problem ob das Kommunikationsrecht wirklich als Menschenrecht erobert werden soll und in welchem Maß (oder ob) diese Erweiterung der Menschenrechten begrenzt werden sollte.
Das heutige Medienpanorama zeigt eine Welt, die einen one-way Flow of Information anbietet. Privilegierte Professionelle und Unternehmen kontrollieren eigentlich den Management der Öffentlichkeit.

Das Recht zu kommunizieren r2c, bleibt ein fundamentales Bedürfnis der Menschen in der Informationsgesellschaft um kollaboratives Lernen und Wissen und Open-Access-Initiative zu verwirklichen, aber man braucht dafür spezifische Maßnahmen, die Entstehung von Eliten und Informationsmonopolen vermeiden.


• Übertragbarkeit der Punkte 4.3 und 4.4 auf die gegenständliche Vorlesung

Was die zwei spezifischen Punkte des Beitrags von R. Kuhlen betrifft, ist es klar, dass innerhalb unserer Vorlesung ein kollaborativer Wissensmanagement aus der Mitarbeit aller Studenten/Kollaborateuren entstehen kann. Mit dem Ausdruck Mitarbeit meine ich die verschiedenen Beiträge, die die verschiedenen Teilnehmern liefern können (sollen), entweder aus persönlicher Erfahrung, Kenntnis oder Forschung. Diese Mitarbeit erfolgt durch den Austausch, als erste Form der Kommunikation, wie auch Kuhlen betont.

Ein kollaborativer Wissensmanagement ist der erste und unverzichtbare Schritt zu einem kollaborativen Lernen, in dem Sinn, dass das Wissen, Inhalte und operative Prozesse, nicht etwas statisches, sondern dynamisches wird. Nicht nur meine ich dynamisch als ein Two-Way Flow of Information zwischen Lehrer und Student, aber vor allem als Multi-Way Flow innerhalb eines Netzwerks, das aus allen Teilnehmern/Kollaborateuren besteht. Um es zu erreichen ist ohne Zweifel das „Instrument“ Weblog in unserer Plattform ::collabor:: ein grundlegendes TOOL für die asynchronische Vernetzung der Informationen für die Verfügbarkeit von gemeinsamem Wissen, das die Hauptressourcen eines kollaborativen Lernens darstellt.

Für weitere Infos über:

ITU und WSIS http://www.itu.int

UNESCO, http://www.unesco.org

Free Software,
http://portal.unesco.org/ci/en/ev.php-URL_ID=12034&URL_DO=DO_TOPIC&URL_SECTION=201.html
Wikipedia, http://www.Wikipedia.org