Sicherheit im Computernetz

Transcription

Sicherheit im Computernetz
Datenschutz und Datensicherheit
PDF erstellt mit Hilfe des OpenSource-Werkzeugs „mwlib“. Für weitere Informationen siehe http://code.pediapress.com/
PDF generated at: Sun, 28 Aug 2011 11:38:50 UTC
Inhalt
Artikel
Informationssicherheit
1
Datensicherung
14
Privatsphäre
23
Datenschutz
28
Datenschutzgesetz (Österreich)
39
Computerkriminalität
49
Computerbetrug
50
Hacker (Computersicherheit)
51
Hacker
57
Verschlüsselung
69
Passwort
73
Netzwerk
78
Netzwerksicherheit
85
Windows Defender
88
Computervirus
90
Antivirenprogramm
107
Spyware
116
Contentfilter
118
E-Mail
119
Signature
131
Qualifizierte elektronische Signatur
133
Online-Community
136
Facebook
140
Elektronischer Handel
162
Electronic Banking
175
Referenzen
Quelle(n) und Bearbeiter des/der Artikel(s)
181
Quelle(n), Lizenz(en) und Autor(en) des Bildes
185
Artikellizenzen
Lizenz
187
Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden
Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem
Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. In der
Praxis orientiert sich die Informationssicherheit heute unter anderem an der ISO/IEC Standard-Reihe 2700x aber
auch zunehmend an ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common
Criteria). Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Der Begriff bezieht sich oft auf eine globale Informationssicherheit, bei der die Zahl der möglichen schädlichen
Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen
Verhältnis zum erwarteten Informationsgewinn steht. In dieser Sichtweise ist die Informationssicherheit eine
ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss. Daneben
bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium. In diesem Sinn liegt
Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist.
Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder
sicher oder nicht sicher sein kann.[1]
Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die
Sicherheit von nicht elektronisch verarbeiteten Informationen.
Schutzziele
Die Schutzziele der IT-Sicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesichert
werden müssen.
• Datenschutz
• Es geht hierbei nicht um den Schutz von allgemeinen Daten vor Schäden, sondern um den Schutz persönlicher
Daten vor Missbrauch.
• Der Schutz personenbezogener Daten stützt sich auf das Prinzip der informationellen Selbstbestimmung. Diese
wurde im BVerfG-Urteil zur Volkszählung festgeschrieben. Geschützt werden muss dabei die Privatsphäre, d.
h. Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben (geregelt in Datenschutzgesetzen, etwa dem
Bundesdatenschutzgesetz).
• Informationssicherheit (auch Datensicherheit); bezieht sich auf alle relevanten Informationen einer Organisation
oder eines Unternehmens einschließlich personenbezogener Daten
• Vertraulichkeit: Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt
sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
• Integrität: Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar
sein.
• Verfügbarkeit: Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten
Zeitrahmens gewährleistet werden.
• Randthemen und verwandte Begriffe
• Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
• Zurechenbarkeit (engl. accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner
eindeutig zugeordnet werden.“[2]
• Verbindlichkeit/Nichtabstreitbarkeit (engl. non-repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten
durchgeführter Handlungen“ möglich ist.[2] Sie ist unter anderem wichtig beim elektronischen Abschluss von
Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. [3]
1
• Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist
(Authentizität/Nachweisbarkeit)
• Zugriffssteuerung: Reglementierung des Zugriffes von außen
• in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
• IT-Sicherheit; Einrichtung und Aufrechterhaltung geeigneter betrieblicher und technischer Maßnahmen, um die
Einhaltung der Schutzziele der Informationssicherheit bei IT-gestützter Verarbeitung von Informationen zu
gewährleisten
•
•
•
•
Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
Einhaltung der betrieblichen Prozesse
Einrichtung geeigneter Sicherheitstechniken (Firewall, Zugriffschutz, Intrusion Detection, …)
Vorsorgemaßnahmen zur möglichst reibungslosen Weiterführung bzw. Wiederaufnahme der Produktion nach
Störungen
Teilaspekte
Folgende Aspekte sind in einer umfassenden Informationssicherheit zumindest teilweise enthalten:
• IT-Sicherheit bezeichnet die Sicherheit von technischen und logischen Systemen der Informations- und
Kommunikationstechnologie.
Grundsätzlich wird unter IT-Sicherheit der Zustand eines IT-Systems (oder auch einer Organisation) und der durch
IT verarbeiteten und gespeicherten Daten verstanden, in dem die Risiken, die bei jedem IT-Einsatz bestehen, durch
angemessenen Maßnahmen auf ein tragbares Maß reduziert wurden.
Verwandte Begriffe sind:
• Computersicherheit: die Sicherheit eines Computersystems vor Ausfall (man spricht von ungeplanter oder
geplanter Ausfallzeit, engl. downtime) und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff
(Datenschutz)
• Netzwerksicherheit (Eher ein Teilaspekt der Computersicherheit)
• Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in
ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen
Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen.
Hinreichende Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Nur wenn geeignete
Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten
nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und
organisatorischen Maßnahmen zum Datenschutz, welche in der Anlage zum § 9 BDSG und in den
Landesdatenschutzgesetzen beschrieben sind.
• Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche datenschutzrechtliche Begriff für
Datensicherheit.
2
3
Bedeutung der Informationssicherheit
In den frühen Kindertagen des (Personal-)Computers verstand man
unter Computersicherheit die Sicherstellung der korrekten Funktionalität
von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen
mechanischen Bauteilen) und Software (richtige Installation und
Wartung von Programmen). Mit der Zeit änderten sich die
Anforderungen an die Computer (Internet, Speichermedien); die
Aufgaben zur Computersicherheit mussten anders gestaltet werden.
Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel
der momentanen technologischen Welt.
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer
Geschäftstätigkeit, Privatpersonen in den meisten Belangen des
täglichen Lebens auf IT-Systeme angewiesen. Da neben der
Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in
der Regel größer sind als für Computer und Netzwerke in privaten
Haushalten, wird Informationssicherheit überwiegend in Unternehmen
betrieben. Entsprechende Verpflichtungen lassen sich im gesamten
deutschsprachigen Raum aus den verschiedenen Gesetzen zum
Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw.
herleiten. Dort stellt Informationssicherheit einen Baustein des
Risikomanagements dar. International spielen Vorschriften wie Basel II
und der Sarbanes-Oxley Act eine wichtige Rolle.
Einen Eindruck von der Komplexität und der grundsätzlichen
Bedeutung der Informationssicherheit für die Zukunft von
Informationsgesellschaften vermittelt nebenstehende Mind-Map.
Eine Mind Map der Informationssicherheit
Bedrohungen
Effekte oder Ziele
• Technischer Systemausfall
• Systemmissbrauch, durch illegitime Ressourcennutzung,
Veränderung von publizierten Inhalten, etc.
• Sabotage
• Spionage
• Betrug und Diebstahl
Ursachen oder Mittel
• Höhere Gewalt, zum Beispiel in Form von Blitzschlag, Feuer,
Vulkanausbruch oder Überschwemmung
verbrannter Laptop
• Fehlbedienung durch Personal oder zugangsberechtigte Personen
• Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
• Spoofing, Phishing, Pharming oder Vishing, bei dem eine falsche Identität vorgetäuscht wird
• Denial of Service-Angriff
• Man-in-the-middle-Angriffe beziehungsweise Snarfing
• Social Engineering
Viren, Würmer, Trojanische Pferde
Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele
Privatanwender mit dem Begriff primär den Schutz vor Viren und Würmern oder Spyware wie Trojanischen
Pferden.
Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen
von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine
rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien
über das Ausspionieren von Daten (zum Beispiel von Passwörtern) bis hin zum Öffnen des Rechners für entfernte
Benutzer (Backdoor).
Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile
für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs
ein, um diese für ihre Zwecke (UBE / UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze,
die auch illegal vermietet werden.
Angriffe und Schutz
Unter einem Angriff auf den Datenschutz und/oder Datensicherheit (repräsentiert durch zum Beispiel ein
Computersystem) versteht man jede Aktion/Vorgang, dessen Folge oder Ziel ein Verlust des Datenschutzes und/oder
der Datensicherheit ist. Auch technisches Versagen wird in diesem Sinne zunächst einmal als Angriff gewertet.
Statistische Sicherheit: Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das
System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen
erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.
Absolute Sicherheit: Ein System ist dann absolut sicher, wenn es jedem denkbaren Angriff widerstehen kann. Die
absolute Sicherheit kann nur unter besonderen Bedingungen erreicht werden, die die Arbeitsfähigkeit des Systems
oft erheblich einschränken (isolierte Systeme, wenige und hochqualifizierte Zugriffsberechtigte).
Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr
beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Analyse der Risiken,
möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.
Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was
Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.
Maßnahmen
Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden
Daten angepasst werden. Zu viele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zu wenig
Maßnahmen bleiben „lohnende“ Sicherheitslücken offen.
Management
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und
sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und
Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements
ist die Installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der
Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen
geschaffen werden.
4
Operative Maßnahmen
Maßnahmen sind unter anderem physische beziehungsweise räumliche Sicherung von Daten, Zugriffskontrollen, das
Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige
Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt
jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.
Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber
vor allem auch von jedem privaten Nutzer von Computern und Netzwerken in Privathaushalten für die
Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.
Software aktualisieren
Für viele Programme werden Aktualisierungen angeboten. Diese bieten nicht immer nur eine erweiterte oder
verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Besonders betroffen sind alle
Programme, die Daten mit dem Internet austauschen, wie zum Beispiel Betriebssysteme, Browser,
Schutzprogramme oder E-Mail-Programme. Die Aktualisierungen sollten so schnell wie möglich auf den
entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die
Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt
aus dem Internet geladen wird. Bei langsamen Datenverbindungen oder sehr großen Datenmengen ist es ratsam, die
Aktualisierungen von Massenspeichern, wie zum Beispiel CDs oder DVDs, zu laden.
Antiviren-Software verwenden
Wenn Daten aus dem Internet oder von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht
immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, sollten nur
Dateien oder Anhänge geöffnet werden, denen man vertraut oder es muss ein sogenanntes Antivirenprogramm
installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar
mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle und auch oft auf weit
verbreitete Betriebssysteme oder häufig genutzte Browser ausgerichtet.
Diversifikation
Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin,
Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen
oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen
und ansonsten gegebenenfalls den größten „Ruhm“ erlangen. Insofern kann es ratsam sein, auf Produkte von
kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.
Firewalls verwenden
Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Netzwerk-Firewall oder Personal
Firewall zu installieren. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen
Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die
Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.
Eingeschränkte Benutzerrechte verwenden
Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Das erfordert
entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines
Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen
daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert
werden können.
5
Sandkisten
"Sandkisten" (engl. "Sandboxes") sperren ein potentiell schädliches Programm ein. Im schlimmsten Falle kann das
Programm lediglich die Sandkiste zerstören. Beispielsweise gibt es keinen Grund, weshalb ein PDF-Reader auf
OpenOffice-Dokumente zugreifen muss. Die Sandkiste wäre in diesem Fall "alle PDF Dokumente und sonst nichts".
Technologien wie AppArmor und SE Linux ermöglichen den Bau einer Sandkiste.
Aktive Inhalte deaktivieren
Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen.
Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass
diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie
zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.
Sensible Daten verschlüsseln
Daten, die nicht in die Hände Dritter geraten sollen, müssen durch geeignete Maßnahmen, wie zum Beispiel PGP
oder Device-Encryption-Software verschlüsselt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten, die
zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch entsprechende Daten, die sich auf
Massenspeichern befinden, und beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während
des Surfens im Internet (siehe auch HTTPS). Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die
Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie
zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die
Kontrolle über den ungeschützten Computer erlangen können.
Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) sollten nicht
unverschlüsselt gespeichert oder übertragen werden.
Sicherungskopien erstellen
Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium
angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch
erledigt. Es können ebenso RAID-Systeme verwendet werden, die besonders bei großen Datenmengen und sich
häufig ändernden Daten eine gute Erweiterung (niemals einen Ersatz) zum herkömmlichen Backup darstellen.
Protokollierung
Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie
es zu Schäden an einem Rechnersystem gekommen ist.
Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden
Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Softwareentwicklung leicht
überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und
gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben. Durch eingeschränkte Freiheiten bei
der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von
Zirkelbezügen oder kritischen Typumwandlungen, wird in der Regel gleichzeitig auch das Potential von
Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete
Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten
Datenstrukturen.
Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne
Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken haben und
nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden,
modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel
6
Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel
Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen.
Auch bei Geräten, die nicht in einem Rechnernetz betrieben werden, kann die Informationssicherheit durch geeignete
Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode
(Computerabsturz) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von
Datenfeldern oder unzulässigen Zeigern, oder aber auch nach dem Auftreten von Programmfehlern durch
Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten
Laufzeitumgebungen unerlässlich, eine automatische Speicherbereinigung durchzuführen.
Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die
Verwendung von Proof-Carrying Code, erst während der Laufzeit zu überprüfen und deren Ausführung bei der
Nichteinhaltung von Sicherheitsrichtlinien zu verhindern.
Sensibilisierung und Befähigung der Mitarbeiter
Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die
Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten
Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche
Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder
gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt
werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social
Engineering, das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer orientiert sind und
gelernt haben, mit potenziellen Angriffen umzugehen. Die Mitarbeitersensibilisierung variiert typischerweise von
Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu
Sensibilisierungskampagnen.
Der Focus verschiebt sich dabei inzwischen von der reinen Sensibilisierung („Awareness“) hin zur Befähigung
(„Empowerment“) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützter Information
zu sorgen.[4] In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere
Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die
Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den dortigen Arbeitsabläufen passen – eine wichtige
Voraussetzung für die Akzeptanz.[5]
Audits/Überprüfung
Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von
Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und
technische Aspekte in den Vordergrund.
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige
Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von
informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu
erkennen und zu beseitigen.
Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und
überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses
während eines Audits getestet werden.
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren
Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist
unmittelbar konform zu Normen wie ISO 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine
Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein
Risikomanagement abverlangt wird.
7
Standards und „best practices“ im Überblick
Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren
internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und
die europäischen ITSEC-Standards sowie der neuere Common Criteria-Standard. Die Zertifizierung erfolgt in
Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.
• IT-Grundschutz-Kataloge des BSI
Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen,
die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Die
Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
• ISO/IEC 27001: Normenreihe für Informationsicherheitsmanagementsysteme (ISMS)
• ISO/IEC 27002:2005: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005,
geändert durch Technical Corrigendum 1 vom 1. Juli 2007)
• BS 7799-1
• BS 7799-2
• ITIL
• BS 15000
•
•
•
•
ISO 20000: IT-Service-Management
CobiT
ISO 13335: Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
ISO 27799: Health informatics – Security management in health using ISO 17799 speziell für den
Gesundheitsbereich
• Common Criteria for Information Technology Security Evaluation
• Trusted Computer System Evaluation Criteria
• Information Technology Security Evaluation Criteria
Mittlerweile hat sich der British Standard BS7799 Leitfaden zum Management von Informationssicherheit
durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.
Entwicklung der ISO/IEC-Standards
Im Rahmen der Standardisierung wurde in der Zusammenarbeit von ISO und IEC beschlossen, verschiedene
Standards zur Informationssicherheit unter dem Nummernkreis 2700x (Information technology – Security
techniques) zusammen zu fassen. Daneben existiert noch eine ganze Reihe weiterer ISO/IEC-Standards, wie auch
ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). Der
deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
• ISO/IEC FCD 27000 – Information security management systems – Overview and vocabulary; in Arbeit
• ISO/IEC 27001:2005 – Information security management systems – Requirements; hervorgegangen aus Teil 2
des British Standard BS7799
• ISO/IEC 27002:2005 – Code of practice for information security management; hervorgegangen aus Teil 1 des
British Standard BS7799
• ISO/IEC 27003 – Information security management systems – Implementation Guidelines; in Arbeit
• ISO/IEC CD 27004 – Information security management measurements; in Arbeit
• ISO/IEC FCD 27005 – Information security risk management; in Arbeit
Die ISO/IEC 27002:2005 führt in zwölf Aufgabenfelder Vorgaben für Risikoanalyse und -bewältigung (Section 4)
und insgesamt 123 Kontrollpunkte auf, die zum Teil sehr konkrete Handlungsanweisungen (Implementation
guidance) enthalten (Section 5–15). Da der Standard technikneutral ist, sind diese Handlungsanweisungen jedoch auf
der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und
technische Maßnahmen heruntergebrochen werden. Im Bereich der technischen Sicherheitsmaßnahmen lässt sich die
8
ISO/IEC 17799 sinnvoll durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der
Informationstechnik ergänzen.
Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an
ein Information Security Management System (ISMS) und ist, vergleichbar zu ISO 9001, ein Management-Standard,
nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive
erweitert werden: Vier weitere Standards der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.
Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von
Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen zum CISM (Certified Information
Security Manager) und CISA (Certified Information Systems Auditor) der ISACA, die Zertifizierung zum CISSP
(Certified Information Systems Security Professional) des (ISC)² (International Information Systems Security
Certification Consortium), die Zertifizierung zum TISP (Teletrust Information Security Professional)[6] der
TeleTrusT Deutschland e.V. sowie die GIAC-Zertifizierungen des SANS Institute.
Umsetzungsbereiche
Privathaushalte
Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu
erreichen. Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel Homebanking, Bearbeitung der
Dissertation) an das Internet sind diese Schwachstellen auch von außen nutzbar. Der Standard an IT-Sicherheit in
Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur (zum Beispiel
unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.
Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.
Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an
die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig,
dass auf ihnen Server-Programme laufen. Da Server-Dienste von vielen Betriebssystemen in der Standardinstallation
geladen werden, schließt man mit deren Deaktivierung eine Reihe wichtiger Angriffspunkte.
Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen, sind vielen Benutzern ebenfalls
fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und
regelmäßig Aktualisierungen einzuspielen.
Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls,
Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze
(Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es
Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu
sensiblen Daten zu erlangen.
IT-Sicherheit bei Sparkassen und Banken
Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von
Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und
Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen
IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen
Unternehmensgruppe als auch auf dem externen Markt zu finden. Bei anderen Finanzdienstleistungsinstituten,
Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen
identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
9
IT-Sicherheit bei anderen Unternehmen
Auch wenn die Gesetzgebungen und Prüfungen in weiteren Sektoren der Wirtschaft weniger streng sind behält die
IT-Sicherheit trotzdem auch hier ihren Stellenwert. Hilfestellungen gewähren hier die IT-Grundschutz-Kataloge des
BSI, deren Nutzung kostenfrei ist.
Risikomanagement in Unternehmen = IT-risk management
In unserer heutigen IT-Welt ist einerseits die Dezentralisierug durch Abgabe von Kapazitäten aber auch die
Vernetzung verschiedener Niederlassungen, bzw. bei Firmenzukäufen deren Anbindung an das bestehende zentrale
System von immer größerer Bedeutung.
Aus dieser Thematik erfolgen neue Anforderungen an die bestehenden Sicherheitskonzepte. Denn bei der
Datenübertragung aus einem internen, geschlossenen Kreislauf über eine externe (öffentliche) Verbindung zum
anderen Standort, schafft risikobehaftete Situationen. Die Auswirkungen für Unternehmen bestehen in:
•
•
•
•
•
Verlust von Daten,
Manipulation von Daten,
unzuverlässiger Empfang von Daten,
verspätete Verfügbarkeit von Daten,
Abkopplung von Systemen für das operative Geschäft,
• unzulässige Verwertung von Daten,
• fehlende Entwicklungsfähigkeit der eingesetzten Systeme.
Aber nicht nur im firmeninternen Datenaustausch liegt die Gefahr, es werden zunehmend Anwendungen direkt zu
den Nutzern übertragen, oder aber externe Mitarbeiter oder gar outgesourcten Dienstleistern auf im Unternehmen
gespeicherte Daten zuzugreifen und diese zu bearbeiten und zu verwalten. Für deren Zugriffsberechtigung muss eine
Authentisierung ebenso erfolgen können, wie eine Dokumentation der getätigten und veränderten Aktionen.
Dazu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen.
Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert. Da keine Methoden definiert
worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen
„Best-Practice“-Methoden entwickelt, wie zum Beispiel ITIL, Cobit, ISO oder Basel II.
Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken
abgedeckt sind. Als Standard für die sogenannte IT Governance sind einmal die zwingenden, sprich Gesetze (HGB,
AO, GOB) und Fachgutachten (SOA, 8. EU-Audit-Richtlinie) und die unterstützenden („Best Practice Methode“) zu
sehen.
Das bedeutet diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines
ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien,
sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder
konzeptionelle Aspekte wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.
So werden nun an die EDV besondere Anforderungen gestellt:
1.
2.
3.
4.
Verhinderung von Manipulationen
Nachweis von Eingriffen
Installation von Frühwarnsystemen
Interne Kontrollsysteme
Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar,
nachvollziehbar und konsistent sind. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden.
Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und
deren Änderungen müssen direkt zentral abrufbar sein.
Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein. Dadurch, dass weniger manuelle
Eingriffe notwendig sind, werden potentielle Gefahrenquellen ausgeschlossen. Die RZ-Automation umfasst somit
10
folgende Gebiete:
•
•
•
•
Risikofaktor Prozessablauf
Risikofaktor Ressourcen
Risikofaktor Technologie
Risikofaktor Zeit
IT-Sicherheit in öffentlichen Einrichtungen und Behörden
In diesem Bereich sind die IT-Grundschutz-Kataloge des BSI Standardwerke. In großem Maße erhalten diese Stellen
das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.
Strafrechtliche Aspekte
Jegliches rechtswidrige Verändern, Löschen, Unterdrücken oder Unbrauchbar-Machen fremder Daten erfüllt den
Tatbestand nach § 303a StGB (Datenveränderung). In besonders schweren Fällen ist dies auch nach § 303b I Nr. 1
StGB („Computersabotage“) strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Die
Durchführung von DDOS-Attacken stellt seit 2007 ebenfalls eine Computersabotage dar, gleiches gilt für jegliche
Handlungen, die zur Beschädigung eines Informationssystems, das für einen anderen von wesentlicher Bedeutung
ist, führen.
Das Ausspähen von Daten (§ 202a StGB), also die Erlangungs des Zugangs zu fremden Daten, die hiergegen
besonders geschützt sind, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das Abfangen fremder
Daten in Netzen oder aus elektromagnetischen Abstrahlungen ist seit 2007 ebenfalls strafbar, anders als bei § 202a
StGB kommt es hier nicht auf eine besondere Zugangssicherung an. Das sich Verschaffen, Erstellen, Verbreiten,
Öffentlich-Zugänglichmachen etc. von sog. „Hackertools“ steht ebenfalls seit 2007 unter Strafe, wenn damit eine
Straftat vorbereitet wird (§ 202c StGB).
Daten sind nach § 202a Abs. 2 in Verbindung mit Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie
„besonders gesichert“ sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heißt, erst wenn der Nutzer seine
Daten technisch schützt genießt er auch den strafrechtlichen Schutz. Die frühere Debatte, ob das „Hacken“ ohne
Abruf von Daten strafbar sei, ist hinfällig, seit der Wortlaut der Norm 2007 derart geändert wurde, dass Strafbarkeit
bereits mit Erlangung des Zugangs zu Daten einsetzt. Weiter ist umstritten, ob die Verschlüsselung zur besonderen
Sicherung zählt. Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern
lägen nur in „unverständlicher“ bzw. schlicht „anderer“ Form vor.
Als Computerbetrug wird nach § 263 a StGB mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren bestraft, wenn
Datenverarbeitungsvorgänge zur Erlangung von Vermögensvorteilen manipuliert werden. Schon die Erstellung,
Verschaffung, Anbietung, Verwahrung oder Überlassung dafür geeigneter Computerprogramme ist strafbar.
Zitate
„Ich glaube, dass es zunehmend wahrscheinlicher wird, dass wir bis 2017 einige katastrophale Systemfehler
erleben. Noch wahrscheinlicher, wir werden von einem fürchterlichen Systemausfall betroffen sein, weil
irgendein kritisches System mit einem nicht-kritischen verbunden war, das mit dem Internet verbunden wurde,
damit irgendjemand an MySpace herankommt – und dieses Hilfssystem wird von Malware infiziert.“
– Marcus J. Ranum, IT-Sicherheitsexperte[7] , zitiert nach Niels Boeing[8]
11
Literatur
• IBM X-Force Threat Reports [9] (zweimal jährlich erscheinende Berichte zur IT- und Internetsicherheit,
PDF-Downloads möglich – vgl. Anja Schütz, Florian Kalenda: IBMs X-Report: „Im Internet kann man
niemandem mehr trauen“ [10], ZDNet.de, 27. August 2009)
• „Technology Review“ Nr. 7/2009 – Fokus: IT-Sicherheit [11] (12 S. Sonderteil)
• Clay Wilson: Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress [12]
(Congressional Research Service, Update v. 29. Januar 2008 – PDF, 43 S., 260 kB)
• Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz
BSI-Standards zur IT-Sicherheit. Bundesanzeiger 2005, ISBN 3-89817-547-2
• Steffen Wendzel, Johannes Plötner: Praxisbuch Netzwerksicherheit. Galileo Computing, 2007, ISBN
978-3-89842-828-6
• Dieter Burgartz, Ralf Röhrig: Information Security Management – Praxishandbuch für Aufbau, Zertifizierung und
Betrieb. Vierteljährliche Aktualisierung, TÜV Media GmbH, ISBN 978-3-8249-0711-3
• Claudia Eckert: IT Sicherheit. 6. Auflage 2009, Oldenbourg, ISBN 978-3-486-58999-3
• ENISA Quarterly on Secure Software [13] (PDF-Datei; 1,86 MB)
• Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management
im IT-Bereich. Verlag Neue Wirtschafts-Briefe 2003, ISBN 3-482-52571-4
• Heinrich Kersten, Klaus-Dieter Wolfenstetter: Handbuch der Informations- und Kommunikationssicherheit
Fachverlag Deutscher Wirtschaftsdienst GmbH & Co. KG, Köln, 2000, ISBN 3871564036
• Stefan Kleinermann: Schlüsselelemente der IT-Sicherheit aus Sicht des IT-Sachverständigen proliteratur 2005,
ISBN 3-8661113-8-X
• Hans-Peter Königs: IT-Risiko-Management mit System Vieweg 2005, ISBN 3528058757 (Ausführliche
Rezension) [14]
• Michael Mörike: IT-Sicherheit. dpunkt 2004, ISBN 3-89864-290-9
• Michael Mörike, Stephanie Teufel: Kosten und Nutzen IT-Sicherheit. dpunkt 2006, ISBN 3-89864-380-8
• Ulrich Moser: Information Security. Sicherheitskonzepte für Unternehmen. BPX.ch ICT-Fachverlag, Rheinfelden
2005, ISBN 3905413388
• Klaus-Rainer Müller: IT-Sicherheit mit System. 3. Auflage. Vieweg, 2008, ISBN 3-8348-0368-5
• Hartmut Pohl, Gerhard Weck: Einführung in die Informationssicherheit Oldenbourg 1993, ISBN 3486220365
• Christoph Ruland: Informationssicherheit in Datennetzen VMI Buch AG, Bonn 1993, ISBN 3892380813
• Jürg Schneider: Informationssicherheit in der IT und persönliche Haftung der Verwaltungsräte Bibliothek zur
Zeitschrift für Schweizerisches Recht, Beiheft 48, Helbing Lichtenhahn Verlag, Basel 2008, ISBN
978-3-7190-2802-2
• Bruce Schneier: Angewandte Kryptographie. Pearson Studium, ISBN 978-3-8273-7228-4
• Bruce Schneier: Beyond Fear. Springer, ISBN 0-387-02620-7
• Bruce Schneier: Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. Broschiert, 2004, dpunkt Verlag, ISBN
3-89864-302-6
• Markus Schumacher: Hacker Contest. Xpert.press, ISBN 3-540-41164-X
• Clifford Stoll: Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten. Fischer
Taschenbücher, ISBN 3-596-13984-8
• Görtz, Stolp: Informationssicherheit im Unternehmen. Sicherheitskonzepte und -lösungen in der Praxis
Addison-Wesley 1999, ISBN 3827314267
• Johannes Wiele: Die Mitarbeiter als Firewall: Wie Sicherheitsbewusstsein entsteht. Über interne
Awareness-Kampagnen bei SAP und Cisco [15], LANline 7/2005, S. 56, ISSN 0942-4172
• Gerd Wolfram: Bürokommunikation und Informationssicherheit. Vieweg, Wiesbaden 1986, ISBN 3528036044
• Allgemeine IT-Sicherheits Broschüre für Konsumenten [16] (PDF-Datei; 1,66 MB)
• Hacker’s Guide. Markt und Technik, ISBN 3-8272-6522-3
12
• Hacking Intern. Data Becker, ISBN 3-8158-2284-X
• Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur
und Security Awareness E-Book als kostenfreier PDF-Download [17]
• BSI: Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen, August 2006, PDF
Download [18]
• Andreas Pfitzmann: PDF-Scriptum Sicherheit in Rechnernetzen: Mehrseitige Sicherheit in verteilten und durch
verteilte Systeme [19]
• Hakin9 – Hard Core IT Security Magazin [20] ist ein Magazin, das zweimonatlich erscheint; es dokumentiert
jeweils immer die neuesten Sicherheitsprobleme bzw. Lösungen.
Weblinks
• Bundesamt für Sicherheit in der Informationstechnik (BSI) [21]
• BSI für Bürger [22]
• Deutschland sicher im Netz e.V. [23]
• A Users’ Guide: How to raise information security awareness (DE) [24] – Juni 2006, ENISA (mit PDF-Datei
Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
• DIN NIA-01-27 IT-Sicherheitsverfahren [25]
• Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des
neuen Computerstrafrechts – von Christian Hawellek [26] (PDF-Datei; 734 kB)
• Computer Emergency Response Team des Deutschen Forschungsnetzes [27]
• Sicherheit unter Windows [28]
• Ken Thompson: Reflections on Trusting Trust. [29] Exzellenter englischer Artikel über Softwaresicherheit und
deren Untergrabung, etwa durch Trojaner. (PDF-Datei; 220 kB)
• Die Zeitschrift LANLine [30] hält eine Sammlung von Fachartikeln zum Thema IT-Security Awareness
(Sensibilisierung von Mitarbeitern) bereit.
• Umgang mit dem Mobiltelefon [31] – Sicherheitshinweise und Verhaltensregeln für Handy und PDA.
Einzelnachweise
[1] Einfache Darstellung der Informationssicherheit (http:/ / www. iks-jena. de/ mitarb/ lutz/ usenet/ Firewall. html#Sicherheit)
[2] Carsten Bormann et al.: Vorlesungsfolien 0. (http:/ / www-rn. informatik. uni-bremen. de/ lehre/ itsec/ itsec05-0a. pdf) In: Vorlesung
Informationssicherheit 1, SS 2005, Uni Bremen. 16. April 2005, abgerufen am 30. August 2008. Folie 25.
[3] Claudia Eckert: Vorlesung IT-Sicherheit, WS 2002/2003, TU Darmstadt. (http:/ / www. sec. informatik. tu-darmstadt. de/ pages/ lehre/
WS04-05/ itsec1/ folien/ itsec1_gesamt. pdf) Vorlesungsfolien Kap. 2, Folie 17. TU Darmstadt FG Sicherheit in der Informationstechnik,
20. Oktober 2004, S. 26, abgerufen am 19. November 2010 (PDF).
[4] Urs E. Gattiker: Why information security awareness initiatives have failed and will continue to do so (http:/ / www. cytrap. eu/ files/ info/
2007/ pdf/ 2007-10-18-CertGovNL-Presentation-fin-online. pdf). Präsentation auf der govcert.nl 2007 conference.
[5] Axel Tietz, Johannes Wiele: Awareness ist nur ein Anfang. Informationsdienst IT-Grundschutz, Nr. 5/6, Mai 2009, S. 28-30 (ISSN
1862-4375)
[6] Frank van der Beek: Wie lehrt man IT-Sicherheit am Besten? Eine empirische Studie (http:/ / pi1. informatik. uni-mannheim. de/ filepool/
theses/ diplomarbeit-2007-vanderBeek. pdf). S. 17.
[7] Marcus J. Ranum (http:/ / www. ranum. com/ index. html) (Homepage)
[8] Niels Boeing: Blitz und Donner in der Matrix (http:/ / www. heise. de/ tr/ Blitz-und-Donner-in-der-Matrix--/ blog/ artikel/ 102260)
(„Technology Review“, deutsche Ausgabe, 25. Januar 2008)
[9] http:/ / www-935. ibm. com/ services/ us/ iss/ xforce/ trendreports/
[10] http:/ / www. zdnet. de/ news/
digitale_wirtschaft_internet_ebusiness_ibms_x_report__im_internet_kann_man_niemandem_mehr_trauen_story-39002364-41501909-1. htm
[11] http:/ / www. heise. de/ tr/ Fokus-IT-Sicherheit--/ artikel/ 140860
[12] http:/ / www. fas. org/ sgp/ crs/ terror/ RL32114. pdf
[13] http:/ / www. enisa. europa. eu/ doc/ pdf/ publications/ enisa_quarterly_12_07. pdf
[14] http:/ / www. ephorie. de/ it-risiko-management. htm
[15] http:/ / www. lanline. de/ fachartikel/ die-mitarbeiter-als-firewall. html
13
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]
[31]
14
http:/ / www. sicher-im-internet. at/ pdf/ broschuere_allgemein. pdf
http:/ / www. securitymanager. de/ download/ securitymanager_ebook_awareness. pdf
https:/ / www. bsi. bund. de/ SharedDocs/ Downloads/ DE/ BSI/ Publikationen/ Studien/ WebSec/ WebSec_pdf. pdf?__blob=publicationFile
http:/ / dud. inf. tu-dresden. de/ ~pfitza/ DSuKrypt. pdf
http:/ / hakin9. org
http:/ / www. BSI. de
http:/ / www. bsi-fuer-buerger. de
http:/ / www. sicher-im-netz. de
http:/ / www. enisa. europa. eu/ act/ ar/ deliverables/ 2006/ ar-guide/ de
http:/ / www. nia. din. de/ sr/ nia27
http:/ / www. eicar. org/ information/ infomaterial/ HAWELLEK_LEITFADEN_. pdf
http:/ / www. dfn-cert. de
https:/ / www. bsdwiki. de/ Windows_-_Sicherheit_unter_Windows
http:/ / www. ece. cmu. edu/ ~ganger/ 712. fall02/ papers/ p761-thompson. pdf
http:/ / www. lanline. de
http:/ / www. safe-com. com/ index. php/ de/ Security-Info/ Sicherer-Umgang-mit-dem-Mobiltelefon-/ menu-id-218. html''Sicherer
Datensicherung
Datensicherung (engl.: Backup [ˈbækʌp]) bezeichnet das Kopieren von Daten in der Absicht, diese im Fall eines
Datenverlustes zurückkopieren zu können.
Die auf dem Speichermedium gesicherten Daten werden als Sicherungskopie, engl. Backup, bezeichnet. Die
Wiederherstellung der Originaldaten aus einer Sicherungskopie bezeichnet man als Datenwiederherstellung,
Datenrücksicherung oder Restore.
Sinn der Datensicherung
Die Datensicherung dient dem Schutz vor Datenverlust.
verbrannter Laptop
Datensicherung
15
Umsetzung
Die Aufbewahrung von Datensicherungen sollte örtlich entfernt von
der EDV-Anlage und in einer sicheren Umgebung erfolgen.
• Für Privatpersonen bieten sich externe Festplatten mit Firewire,
eSATA oder USB-Anschluss an. Diese lassen sich unkompliziert an
das zu sichernde System anschließen und wieder von diesem
trennen und ermöglichen so zumindest eine entfernte
Aufbewahrung. Auch netzwerkbasierende Festplatten sind einfach
anzuschließen und zu entfernen und damit sinnvolle Sicherungen
möglich.
kompakte Netzwerk-Festplatte
• Für kleinere Unternehmen eignen sich z. B. Bankschließfächer zur
Datenträgeraufbewahrung. Allerdings kann in der Regel nicht zu
jeder Zeit darauf zugegriffen werden, da der Zugang zu den Datenträgern nur während der Öffnungszeiten der
Bank möglich ist. Eine Alternative dazu stellt Online Backup dar: die Datensicherung erfolgt außer Haus, meist in
einem Rechenzentrum, und es kann jederzeit darauf zugegriffen werden. In diesem Fall ist aber darauf zu achten,
dass der Datentransfer in gesicherter Art und Weise erfolgt.
• Für größere Unternehmen können sich speziell gesicherte Safes oder Räumlichkeiten (sog. Zellen) zur
feuersicheren Unterbringung der Bandbibliothek lohnen. Auch können die gesicherten Daten auf mehrere
Standorte oder Rechenzentren verteilt werden.
Gesetzeslage
Die Pflicht zur Datensicherung in Betrieben ergibt sich unter anderem aus den gesetzlichen Vorschriften über eine
ordnungsgemäße, nachvollziehbare, revisionssichere Buchführung (HGB). Von der kurzzeitigen Aufbewahrung
(begrenzt auf einen Tag bis drei oder auch sechs Monate) unterscheidet sich die längerfristige Datenarchivierung,
die anderen Gesetzmäßigkeiten unterliegt. Die Grundsätze zur Archivierung und Nachprüfbarkeit digitaler
Datenbestände ist in Deutschland seit Januar 2002 für Unternehmen verbindlich in den Grundsätzen zum
Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), herausgegeben vom Bundesfinanzministerium,
zusammengefasst.
Dokumentation
Bei der Datensicherung ist es sehr wichtig, eine gute Dokumentation zu führen, da von ihr der Erfolg und die
Geschwindigkeit des Backups sowie der Wiederherstellung abhängen können.
Die Dokumentation sollte umfassen:
•
•
•
•
•
Ablauf der Datensicherung
Aufbau der Archivierung
zu treffende (Sofort-)Maßnahmen
Kompetenzen (der Mitarbeiter und Dienstleister)
Prioritäten für besonders zeitkritische Daten und Systeme
Für eine bessere Übersichtlichkeit ist die Dokumentation für Sicherung und Wiederherstellung jeweils getrennt in
einem Sicherungs- bzw. Wiederherstellungsplan festzulegen.
Datensicherung
Sicherungsarten
Je nach Veränderungsintensität der zu sichernden Daten können beim konkreten Sicherungsvorgang bestimmte
Sicherungsarten eingesetzt werden. Einzelne Sicherungsvorgänge können in Volldatensicherung, differenzieller und
inkrementeller Sicherung unterschieden werden. Differenzielle und inkrementelle Sicherung setzen mindestens eine
erfolgte Volldatensicherung voraus. Beim normalen Backup werden bestimmte Dateien und/oder Verzeichnisse
(Ordner) ausgewählt, deren Inhalt gesichert werden soll. Es besteht auch die Möglichkeit, nur bestimmte
Dateiformate zu sichern. Daneben lassen sich auch ganze Datenträger oder Partitionen daraus als Abbild sichern. In
allen Fällen ist es möglich, auch lediglich nur Teile aus einem vollständigen Sicherungssatz wiederherzustellen.
Man unterscheidet:
• Komplett- oder Vollsicherung, in den Programmen auch als „Normale Sicherung“ bezeichnet: Hierbei werden die
jeweils zu sichernden Daten (ein komplettes Laufwerk, eine Partition, bestimmte Verzeichnisse und/oder
bestimmte Dateien, bestimmte Dateiformate) komplett auf das Sicherungsmedium übertragen und als gesichert
markiert.
• Bei der Abbildsicherung (Image-Sicherung) wird der komplette Datenträger (meist die Festplatte, aber auch
USB-Massenspeicher, optische Medien oder bei einigen Programmen auch Datenträger im Netzwerk) oder
eine Partition durch ein 1:1-Abbild gesichert. So werden beispielsweise nicht nur die Nutzdaten, sondern das
ganze Dateisystem, inklusive Betriebssystem und Benutzereinstellungen, gespeichert. Der Vorteil dieser
Sicherung besteht darin, dass bei einem Totalausfall des Computers das Image auf den Datenträger
zurückgesichert wird und dadurch der vorherige Zustand voll wieder hergestellt ist. Bei der Wiederherstellung
wird entweder das ganze Dateisystem in seiner Originalstruktur wiederhergestellt (in diesem Fall ist kein
Dateisystemtreiber erforderlich, sondern lediglich ein Gerätetreiber für den Datenträgerzugriff), oder ein
besonderer Treiber liest regulär das Dateisystem und extrahiert nur die gewünschten Verzeichnisse und
Dateien aus der Sicherung, um diese als normale Verzeichnisse und Dateien in das aktuelle Dateisystem zu
integrieren bzw. die aktuellen mit den älteren gesicherten zu überschreiben. Seit einigen Jahren sind auch
Programme auf dem Markt, die solche Sicherungen ebenfalls inkrementell anlegen können.
• Differenzielle Sicherung: Bei diesem Verfahren werden alle Daten, die seit der letzten Komplettsicherung
geändert wurden oder neu hinzugekommen sind, gespeichert. Es wird also immer wieder auf der letzten
Komplettsicherung aufgesetzt. Man spart gegenüber einer neuen Vollsicherung Speicherplatz und Zeit.
• Inkrementelle Sicherung: Bei dieser Sicherung werden immer nur die Dateien gespeichert, die seit der letzten
inkrementellen Sicherung, oder beim ersten Mal seit der letzten Komplettsicherung, geändert wurden oder neu
hinzugekommen sind. Es wird also immer auf der letzten inkrementellen Sicherung aufgesetzt. Dieses Verfahren
hat den Nachteil, dass bei einer Wiederherstellung die Daten in der Regel aus mehreren Teilen wieder
zusammengesucht werden müssen.
Sonderfall Privatnutzer
Für Privatanwender hängt die Art der sinnvollsten Datensicherung stark von der zu Verfügung stehenden Hardware,
dem vorhandenen Fachwissen und nicht zuletzt von der persönlichen Einstellung zu den zu sichernden Daten und
deren Sicherung ab. Mit ausreichendem Engagement lassen sich schon mit einfachen Mitteln Backups erstellen und
die Sicherheit auf industrielles Niveau ausbauen.
Auf dem Softwaremarkt stehen sowohl kommerzielle als auch Freeware-Programme zur Verfügung. Zu den
bekanntesten kommerziellen Angeboten gehören die Programme True Image der Firma Acronis, ShadowProtect der
Firma StorageCraft, DriveImage XML von Runtime Software, Carbon Copy Cloner für Mac OS X der Firma
Bombich Software. Im Freeware-Bereich können TrayBackup, Cobian oder Areca als Beispiele genannt werden,
aber auch simple Tools wie robocopy von Microsoft oder rsync und die darauf basierende Backup-Lösung rsnapshot
unter UNIX. Ab Mac OS X 10.5 (Leopard) ist mit Time Machine eine automatisierte Backup-Lösung für Backups
16
Datensicherung
auf externe Festplatten (USB/FireWire oder Netzwerklaufwerke) in das Betriebssystem integriert.
Beispiel
Sinnvoll ist eine Sicherung auf einer separaten Festplatte. Eine externe Festplatte kann nach der Datensicherung
getrennt vom Computer an einem sicheren Ort aufbewahrt werden. Bei einer internen Festplatte ist wenigstens
darauf zu achten, dass eventuelle Viren und Schadprogramme während des regulären Betriebs keinen Schreibzugriff
auf das Sicherungsmedium haben. Festplatten mit sehr großem Speichervermögen werden immer preiswerter. Auch
auf einem USB-Speicher-Stick oder auf DVD/DVD-RW sind Sicherungen praktikabel. Brenner in Notebooks und
Desktop-PCs gehören seit langem zur üblichen Grundausstattung und die Leermedien sind günstig. Die einfachste
Möglichkeit, ohne Software und mit nur wenig Hintergrundwissen ein recht gutes Backup zu erstellen, ist die Anlage
von mindestens zwei Sicherungen im regelmäßigen Abstand auf physikalisch unabhängigen Datenträgern. So kann
das Großvater-Vater-Sohn-Prinzip nachgebildet werden. Mit drei oder mehr Medien lässt sich dieses Prinzip
dahingehend ausbauen, kleinschrittige Änderungen rückgängig machen zu können oder weiter zurückliegende
Versionen vorzuhalten. Mit anderen Medien lässt sich die Geschwindigkeit und Kapazität steigern.
Sind die Daten auf der ursprünglichen Festplatte entsprechend sortiert, kann die Sicherung aktueller oder besonders
wichtiger Daten in kürzeren Zeitabständen erfolgen (z. B. täglich) als die der übrigen Bestände.
Geschichte
In den 1990er Jahren versuchte Iomega, die Zip-Disketten mit – für damalige Verhältnisse – vergleichsweise hohen
Kapazitäten von 100, später bis zu 750 Megabyte im Bereich Backup-Lösungen zu positionieren. Magnetbänder
haben im privaten Bereich überaus niedrige Verbreitung und sind den Festplatten an Geschwindigkeit und vor allem
bei den Kosten pro Speicherplatz mittlerweile unterlegen. Im Energieverbrauch sowie in der Haltbarkeit sind sie
jedoch überlegen, was sie im Firmeneinsatz noch bestehen lässt. Festplatten bieten mittlerweile mit großen
Kapazitäten und relativ stabilen Gerätepreisen eine attraktive Alternative zu Wechselmedien. Auch Flash-Speicher
haben praktikable Kapazitäten erreicht und eignen sich daher als Sicherungsmedien.
17
Datensicherung
18
Medientypen der Datensicherung
Im Jahr 2005 wurden die meisten Datensicherungen von
festplattenbasierten Produktionssystemen auf Magnetband großer
Kapazität (z. B. Digital Linear Tape, Linear Tape Open), Festplatte
oder optischen Speicher wie CD-R, DVD, DVD-RAM und
vergleichbare Formate gemacht. Mit der Zunahme günstiger
Breitband-Internetverbindungen
gewinnen
Netzwerkund
Fern-Datensicherungen, so genannten Online Backups auf externen
Servern mehr Bedeutung.
Im Privatbereich werden auch weitere Sicherungsmedien eingesetzt
(siehe Sonderfall Privatnutzer)
Echtzeitanwendungen
Datenbanken müssen in einem konsistenten Zustand gesichert werden
(Datenkonsistenz, siehe auch Datenbankarchivierung). Dies erreicht
man durch Herunterfahren der Datenbank (Cold Backup) (hierbei ist
die Datenbank off-line und der Produktivbetrieb unterbrochen),
Datenexport aus der Datenbank oder Hot Backup.
Hot Backup
Tape Library (Innenansicht)
Ein Hot Backup ist eine Sicherung eines Systems (beispielsweise einer
Datenbank), die möglichst aktuell gehalten wird – im Idealfall ist sie auf dem gleichen Stand wie das Live-System.
Vorteil dieser Methode ist das Vorhalten eines aktuellen „Ersatz-Datenbestandes“, der im Fall eines Systemabsturzes
sofort einsatzbereit ist. Dies wird auch Online Backup genannt.
Cold Backup
Ein Cold Backup ist eine Sicherung eines Echtzeit-Systems, die erstellt wird, während das System nicht aktiv ist.
Dadurch wird erreicht, dass die Daten in einem konsistenten Zustand gesichert sind. Der Nachteil dieser Methode
liegt darin, dass das System einen gewissen Zeitraum nicht verfügbar ist. Für hochverfügbare Dienste ist sie also
ungeeignet; um Backups von Umgebungen zu machen, die beispielsweise nur tagsüber verfügbar sein müssen bietet
es sich hingegen an. Dies wird auch Offline Backup genannt.
Eine bei Oracle-Datenbanken verbreitete Methode ist, die Datenbank bei Beginn der Sicherung in den
Backup-Modus zu versetzen und danach wieder in den Produktionsmodus.
Verschiedene Hersteller von Datensicherungs-Programmen und andere Hersteller bieten Online-Integrationen
(Integrations-Agent) und Zusatzprodukte wie den Open File Manager von St. Bernhard an.
RAID (Split-Mirroring)
Eine weitere Datensicherungsmöglichkeit ist ein Festplattenverbund in Form eines Split-Mirror-RAIDs. Dies ist eine
besondere Art des RAID 1, bei dem eine Festplatte aus einem Verbund gespiegelter Platten im laufenden Betrieb
entfernt wird, um diese an einem gesonderten Ort zu lagern. Der Vorteil hierbei ist die sehr kurze Zeit die ein solches
Backup benötigt. Von der Initialisierung des Sicherungszeitpunktes, bis zum Entfernen des Sicherungsmediums aus
dem Verbund vergehen ca. 5 Sekunden. Diese Methode findet insbesondere bei der Sicherung größerer
Datenbanken, bei laufendem Betrieb, seine Anwendung. In solchen Szenarien ist es sonst schwierig eine konsistente
Kopie der Datenbank-Datei zu erhalten, bedingt durch die typischerweise hohe Anzahl der Datenbankzugriffe in
Datensicherung
kurzer Zeit.[1]
Datensicherungsstrategie
Eine Datensicherungsstrategie kann überall dort zum Einsatz kommen, wo es einzigartige Daten eines gewissen
Wertes gibt, sei es im Privatanwenderbereich, in Projekten oder im Unternehmensbereich. Letzterenfalls kann diese
als bindende Vorgabe in Form einer Richtlinie existieren.
In ihr kann festgelegt werden:
•
•
•
•
•
•
•
•
•
Wie die Datensicherung zu erfolgen hat.
Wer für die Datensicherung verantwortlich ist.
Wann Datensicherungen durchgeführt werden.
Welche Daten gesichert werden sollen.
Welches Speichermedium zu verwenden ist.
Wo die Datensicherung sicher aufbewahrt wird.
Wie die Datensicherung vor Daten-Diebstahl zu sichern ist (zum Beispiel durch Verschlüsselung).
Wie lange Datensicherungen aufzubewahren sind.
Wann und wie Datensicherungen auf ihre Wiederherstellbarkeit überprüft werden.
Außerdem sollte festgelegt werden, wann und ob (a) eine vollständige Sicherung (z.B. am Wochenende) und/oder
(b) eine inkrementelle oder differenzielle Sicherung (z.B. werktags um Mitternacht) durchgeführt wird.
Kriterien
Die optimale Datensicherungsstrategie ist von vielen Faktoren abhängig und daher in jedem Einzelfall neu zu
ermitteln. Wichtige Faktoren, die berücksichtigt werden müssen, sind:
Die Art der Daten
Maschinell wiederherstellbare Daten: Dazu gehört z. B. installierte Software, die nach einem Datenverlust nur
wieder eingespielt werden muss.
Manuell wiederherstellbare Daten: Dazu gehören z. B. erstellte Texte oder Erfassungen von Sachbearbeitern. Zu
beachten ist, dass auch die aufwendige Konfiguration und Administration von installierter Software in diese Rubrik
fällt.
Unersetzliche Daten: Dazu gehören z. B. digitale Fotos und Videos, aber auch eingescannte Belege, wenn die
Originale nicht mehr vorhanden sind.
Der Wert der Daten
Hier sind zwei Aspekte zu unterscheiden: Erstens, welcher Verlust entsteht, wenn die Daten unwiederbringlich
zerstört werden? Wenn z. B. in einem Unternehmen Daten tagesaktuell in der Nacht gesichert werden, müssen bei
einem Datenverlust kurz vor Feierabend alle Erfassungen wiederholt werden. Aus der Arbeitszeit der betroffenen
Mitarbeiter ergibt sich ein Anhaltspunkt für den Verlust. Vor allem bei den unersetzlichen Daten ist allerdings oft
auch der ideelle Wert zu berücksichtigen.
Zweitens, welcher Verlust entsteht durch die Zeit, die die vollständige Wiederherstellung benötigt und in der ggf.
nicht gearbeitet werden kann? Wenn z. B. die Installation eines PC einen Tag benötigt, kann der Schaden den Wert
der installierten Software weit übersteigen. Hier wäre also ein Sicherungsverfahren zu wählen, das es ermöglicht,
den installierten Stand sehr schnell wieder vollständig zu rekonstruieren (Image Copy).
19
Datensicherung
Die Änderungshäufigkeit der Daten
Dieser Faktor hat entscheidenden Einfluss auf die Anwendung und Gestaltung des Generationenprinzips. Daten mit
geringer Änderungshäufigkeit, wie z. B. Betriebssystem und installierte Software müssen nicht unbedingt
regelmäßig gesichert werden. Es kann auch ausreichend sein, diese Bereiche nur vor oder nach Eingriffen zu sichern.
Je schneller Daten verändert werden, desto geringer wird man die Zyklendauer der Sicherung entsprechend dem
Generationenprinzip wählen. Zu beachten ist hier auch die Verfallsdauer. Während es für viele Daten im
Geschäftsleben gesetzlich geregelte Aufbewahrungszeiten gibt (beispielsweise Rechnungsdaten), können z. B.
aktuelle Inhalte von Webseiten u. U. schon nach kurzer Zeit verworfen werden, wenn sie nicht mehr benötigt
werden.
Gesetzliche Anforderungen
Die Datensicherungsstrategie muss in der Lage sein, mögliche gesetzliche Auflagen zu garantieren (z. B.
Revisionssicherheit).
Zu beachten: GoBS (Grundsätze ordnungsmäßiger Buchführungssysteme) speziell: Absatz 5.1 und 5.2
Speicherort
Da es also sehr unterschiedliche Arten von Daten mit unterschiedlichen Anforderungen an die Sicherungsstrategie
gibt, ist es zweckmäßig diese Daten schon im Vorfeld auf verschiedene Speicherorte (Festplatten, Partitionen) zu
trennen. Für jeden Speicherort kann dann die optimale Strategie gewählt werden. Zusätzlich existieren
unfallgeschützte Datenspeicher. Bei einem Online-Backup werden die Daten in den meisten Fällen in einem
Rechenzentrum aufbewahrt.
Zeitaufwand der Datensicherung
Bei der Wahl eines geeigneten Konzepts spielt insbesondere aus unternehmerischer Sicht der für die Datensicherung
benötigte Zeitaufwand eine wichtige Rolle. Der Gesamtaufwand setzt sich aus dem wiederkehrenden
Sicherungsaufwand und dem im Falle eines Datenverlusts anfallenden Wiederherstellungsaufwand zusammen. Die
Relation, in der diese beiden Größen zu einander stehen, ist abhängig von der Auswahl eines konkreten
Datensicherungsverfahrens. Ein geringer Sicherungsaufwand wird insbesondere dann angestrebt, wenn große
Datenmengen während des Sicherungsvorganges gesperrt werden müssen, was bei modernen Systemen aber oft
vermieden werden kann. Zu diesem Zweck gibt es heutzutage Software, die Daten eines Systems im laufenden
Betrieb sichern kann.
Anforderungen
Je nach Medium und Art der Datensicherung werden die Kriterien anders ausfallen. Meistens erwähnt werden jedoch
folgende Punkte:
Regelmäßigkeit
Datensicherungen sollen in regelmäßigen, periodischen Abständen erfolgen. Diese Abstände variieren je nach
Anwendung. Eine monatliche Sicherung der Daten auf einem privaten PC kann durchaus ausreichend sein,
während in Produktionsumgebungen meistens tägliche Sicherungen der Produktivdaten erforderlich sind. Sie
erhöhen die Zuverlässigkeit der Datenwiederherstellung.
Aktualität
Die Aktualität der Datensicherung ist abhängig von der Anzahl der Datenänderungen. Je öfter wichtige Daten
verändert werden, desto häufiger sollten diese gesichert werden.
20
Datensicherung
Verwahrung
Datensicherungen von Unternehmen beinhalten unter anderem
Firmengeheimnisse oder personenbezogene Daten und müssen
vor unbefugtem Zugriff geschützt werden.
Anfertigung von zwei Datensicherungen
Die
Anfertigung
von
zwei
räumlich
getrennten
Datensicherungen
eines
Datenbestandes
erhöht
die
Zuverlässigkeit
der
Datenwiederherstellung,
um
die
Auswirkungen plötzlich auftretender Ereignisse wie Feuer oder
physikalischer Zufälle zu minimieren. Datensicherungen sollten
räumlich getrennt von der EDV-Anlage gelagert werden. Die
Backup-Server mit Brandschaden
Entfernung sollte so groß sein, dass eine Katastrophe (Brand,
Erdbeben, Flut …), welche die EDV-Anlage heimsucht, den
gesicherten Datenbestand nicht gefährdet. Alternativ können unfallgeschützte Datenspeicher eingesetzt
werden.
Ständige Prüfung auf Vollständigkeit und Integrität
Datensicherungen und Datensicherungsstrategien müssen regelmäßig überprüft und angepasst werden.
Wurden die Daten wirklich vollständig gesichert? Ist die eingesetzte Strategie konsistent? Erfolgte die
Sicherung ohne Fehler?
Regelmäßige Überprüfung auf Wiederherstellbarkeit
Ein Rückspielen der Daten muss innerhalb eines festgelegten Zeitraums durchgeführt werden können. Dazu
muss die Vorgehensweise einer Datenwiederherstellung ausreichend dokumentiert sein und die benötigten
Ressourcen (Personal, Medien, Bandlaufwerke, Speicherplatz auf den Ziellaufwerken) müssen verfügbar sein.
Datensicherungen sollten automatisch erfolgen
Manuelle Datensicherungen können durch menschliche Fehler beeinflusst werden.
Verwendung von Standards
Die Verwendung von Standards macht die Datenwiederherstellung einfacher.
Datenkompression
Datenkompression kann Speicherplatz sparen, hängt aber von der Komprimierfähigkeit der Daten ab. Moderne
Digital-Linear-Tape/Linear-Tape-Open-Laufwerke komprimieren die Daten bei der Sicherung.
Unkomprimierte Daten sind jedoch möglicherweise einfacher wiederherzustellen.
Zeitfenster
Sicherungsvorgänge können eine lange Zeit zur Fertigstellung benötigen, das kann in Produktionsumgebungen
unter Umständen zu Problemen führen (Beeinträchtigung des Datentransfers, Zugriffsmöglichkeit). Eine
Kompression kann ebenfalls Einfluss auf die Dauer der Datensicherung haben.
Löschung veralteter Datensicherungen
Nicht mehr benötigte Datensicherungen sollten gelöscht werden, damit die Vertraulichkeit der gespeicherten
Daten gewahrt bleibt.
• Das Vorgehen im Ernstfall sollte mehreren Mitarbeitern bekannt sein. Eine Checkliste für diesen Fall ist sehr
nützlich, da im Ernstfall oft niemand Zeit oder Nerven hat, nachzudenken, was als nächstes zu tun ist.
• Nach Möglichkeit sollten die Daten vor der Sicherung nicht komprimiert werden. Redundanz kann bei der
Wiederherstellung von Daten nützlich sein.
• Es ist zumindest ein Laufwerk bereitzuhalten, welches die verwendeten Medien lesen kann.
21
Datensicherung
• Der wirtschaftliche Nutzen von Datensicherungen (Kosten, um die Daten ohne Datensicherung
wiederherzustellen) muss in einem sinnvollen Verhältnis zu dem für die Datensicherung betriebenen Aufwand
stehen.
• Der einzig sichere Beweis einer erfolgreichen Datensicherung ist der Nachweis, dass die gesicherten Daten auch
vollständig und innerhalb eines angemessenen Zeitraums wiederhergestellt werden können. Aus diesem Grund
sollten in regelmäßigen Abständen Rücksicherungstests erfolgen.
Literatur
• Klaus-Rainer Müller: IT-Sicherheit mit System. Sicherheitspyramide – Sicherheits-, Kontinuitäts- und
Risikomanagement – Normen und Practices – SOA und Softwareentwicklung. 3. erweiterte und aktualisierte
Auflage. VIEWEG, Wiesbaden 2008, ISBN 978-3-8348-0368-9.
• W. Curtis Preston: Backup and Recovery. 1. Auflage. O'Reilly Media, Beijing u. a. 2007, ISBN
978-0-596-10246-3.
• Egbert Wald: Backup & Disaster Recovery. (Risikoanalyse und Präventionsmassnahmen, Datencrash und
Datenrettung, Notfallpläne und Katastrophen-Management). MITP, Bonn 2002, ISBN 3-8266-0585-3
(IT-Management).
Weblinks
• Links zum Thema Datensicherung [2] im Open Directory Project
Informationen
•
•
•
•
•
•
•
•
•
Alles zum Thema Datensicherung mit Erklärvideos [3]
Erklärung zum Thema Datensicherung von proDatenrettung [4]
Wikidorf-Artikel Grundlagen Datensicherung (Backup) unter Windows [5]
BSI: Infos zum Thema Datensicherung [6]
Methoden zur Datensicherung, 134-seitiger PDF-Artikel zu Backup-Strategien und Techniken [7] (1,36 MB)
Zusammenfassung zur Datensicherung mit UNIX-Bordmitteln [8] (PDF-Datei; 12 kB)
Artikel über Datensicherung im Rahmen von Forschungsprojekten [9]
Datensicherung mit Band, Festplatte und Virtual Tape Library im Überblick [10]
Tutorial für die private Datensicherung mit Crash Plan [11]
Einzelnachweise
[1] Projektseite des Microsoft Developer Network: How Split-Mirror Backup Works (http:/ / msdn. microsoft. com/ en-us/ library/ cc966458.
aspx#EFAA) (englisch)
[2] http:/ / www. dmoz. org/ World/ Deutsch/ Computer/ Software/ Backup/
[3] http:/ / www. verbraucher-sicher-online. de/ thema/ datensicherung
[4] http:/ / www. pro-datenrettung. net/ datenrettung-faq. html
[5] http:/ / www. wikidorf. de/ reintechnisch/ Inhalt/ Datensicherung
[6] https:/ / www. bsi-fuer-buerger. de/ BSIFB/ DE/ MeinPC/ Datensicherung/ datensicherung_node. html
[7] http:/ / www. net-tex. de/ backup. pdf
[8] http:/ / www. ostc. de/ howtos/ unix-backup-HOWTO. pdf
[9] http:/ / www. connecta. ag/ presse-aktuelles/ publikationen/ konzepte-und-werkzeuge-der-datensicherung. html
[10] http:/ / www. searchstorage. de/ themenbereiche/ backup-recovery/ fundamente/ articles/ 143887/
[11] http:/ / computerfibel. blogspot. com/ 2010/ 10/ bitte-backup. html
22
Privatsphäre
Privatsphäre
Privatsphäre bezeichnet den nicht-öffentlichen Bereich, in dem ein Mensch unbehelligt von äußeren Einflüssen sein
Recht auf freie Entfaltung der Persönlichkeit wahrnimmt.[1] Das Recht auf Privatsphäre gilt als Menschenrecht und
ist in allen modernen Demokratien verankert. Dieses Recht kann aufgrund des öffentlichen Interesses an einer
Person oder zu Zwecken der Strafverfolgung eingeschränkt werden.
Der Schutz der Privatsphäre ist im deutschen Grundgesetz aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.
V. m. Art. 1 Abs. 1)[2] abzuleiten. Das besondere Persönlichkeitsrecht dient dem Schutz eines abgeschirmten
Bereichs persönlicher Entfaltung. Dem Menschen soll dadurch ein spezifischer Bereich verbleiben, in dem er sich
frei und ungezwungen verhalten kann, ohne befürchten zu müssen, dass Dritte von seinem Verhalten Kenntnis
erlangen oder ihn sogar beobachten bzw. abhören können. Durch die Unverletzlichkeit der Wohnung (Art. 13 GG)
und durch das Post- und Fernmeldegeheimnis (Art. 10 GG) wird der Schutzbereich konkretisiert. Die Ausnahmen
hiervon (Abhören von Telefongesprächen und Wohnungen) werden als Lauschangriff bezeichnet und sind ebenfalls
gesetzlich geregelt.
Auch in den Vereinigten Staaten von Amerika hat Privatsphäre (Privacy) eine lange Tradition, die sich aus dem 4.
Zusatzartikel der Verfassung ableitet. Der Terminus Privacy wurde 1890 von dem späteren Richter Louis Brandeis
und dem Schriftsteller und Rechtsanwalt Samuel D. Warren im Artikel The Right to Privacy im Harvard Law
Review (Jahrgang 4, Nr. 5) als the right to be let alone definiert, also als das Recht, in Ruhe gelassen zu werden.
Bereiche
Die Privatsphäre kann in die folgenden Bereiche aufgeteilt werden:
1. Der Schutz personenbezogener Daten, ist in Deutschland im Landesrecht nicht im Grundgesetz (GG) selbst
verankert (siehe Datenschutz).
2. Die Unverletzlichkeit des Post- und Fernmeldegeheimnis festgeschrieben in Art. 10 [3] des GG, beinhaltet die
Sicherheit der Kommunikationsmittel wie Post, Telefon, E-Mail oder andere (siehe auch
Vorratsdatenspeicherung)
3. Die Unverletzlichkeit der Wohnung: laut Art. 13 [4] des GG dürfen von Richtern nur bei Gefahr im Verzug
Wohnungsdurchsuchungen angeordnet werden.
In der Schweiz wird die Privatsphäre durch generelle Normen (Art. 13 der Bundesverfassung = Schutz vor
staatlichen Uebergriffen; Art. 28 Zivilgesetzbuch = Schutz vor privaten Uebergriffen) sowie durch einige
Spezialnormen geschützt. Sie ist nur durch ein überwiegendes öffentliches oder privates Interesse verletzbar.
Geschichte der Privatsphäre
Antike
Die Idee einer privaten Sphäre des Individuums findet sich bereits in der griechischen und römischen Philosophie
(Antike), das Verhältnis von individuellem Wohl und Gemeinwohl wurde diskutiert, in der Praxis allerdings konnte
nur eine Elite dieses Recht einfordern.
Für Sklaven galten solche Freiheiten nicht. Sie hatten weder Anrecht auf Individualität, noch auf ein eigenes
Zimmer.
Mittelalter
Im Mittelalter wurde das Privatleben, der Bereich des Einzelnen, zurückgedrängt. Nur wenige Adelige und reiche
Bürger konnten sich ein privates Leben erlauben, in das niemand Einblick hatte (siehe auch Kemenate). Die meisten
23
Privatsphäre
24
mussten sich ein Schlafzimmer, eine Küche und ein Wohnzimmer miteinander teilen (Badezimmer gab es noch
kaum.) Teilweise schliefen sogar mehrere Leute zusammen in einem Bett. Das Gesinde schlief auf Bänken, Öfen
oder auf einer Strohschütte, ohne jede Privatsphäre. In den Bauernhöfen lebten und schliefen die Leute manchmal
mit dem Vieh unter einem Dach; es kam vor, dass die Knechte und Mägde im Stall schliefen.
Ein klein wenig Privatsphäre hatten die Mönche in ihren Klosterzellen, wenn sie sich in ihrer karg bemessenen
Freizeit etwas zurückziehen konnten. Novizen hatten wenig Privatsphäre, denn sie befanden sich ja noch in der
„Probezeit“.
Neuzeit
Die heutige Vorstellung einer Privatsphäre entstand mit dem Aufkommen des Bürgertums in der Neuzeit. Der
Humanismus, Liberalismus, Anarchismus und die Idee der individuellen Menschenrechte stehen im Gegensatz zum
Feudalismus, und später Kollektivismus, Faschismus und Kommunismus, die häufig im Namen des Gemeinwohls
individuelle Freiheitsrechte zurückstellen, und mit Geheimpolizeien vor allem abweichende Meinungen in der
Bevölkerung erforschen und verfolgen.
Kalter Krieg
Im Zuge des Ost-West-Konflikts (Kalter Krieg) spielen Geheimdienste, Abhörmaßnahmen und
Überwachungstechnologien eine große Rolle im Hintergrund, die der Öffentlichkeit oft erst nachträglich oder gar
nicht bekannt wird. Heimliche Überwachung tritt an die Stelle des offenen, sichtbaren Konflikts (heißer Krieg).
Die Volkszählung von 1987 in Deutschland stößt auf großen Widerstand in einem Teil der Bevölkerung,
Boykott-Aktionen und Proteste werden initiiert.
Seit 2001
Im Zuge der Terroranschläge vom 11. September
2001 in den USA und weiteren Anschlägen in der
Folge sowie neuen Überwachungstechnologien
werden, etwa von den Datenschutzbeauftragten,
aber auch von Bürgerinitiativen, vermehrte
Tendenzen des Eindringens in die Privatsphäre
beklagt. RFID, Lauschangriff, Videoüberwachung,
Gendatenbank oder Biometrie, wie sie etwa von
Innenpolitikern der großen Parteien forciert
werden, stellen für Befürworter Garanten der
inneren Sicherheit und öffentlichen Ordnung dar,
da sie Schutz gegen Terrorismus bieten würden.
Für Gegner erinnern sie eher an Dystopien, also
negative Utopien, wie sie in der Literatur etwa
George Orwell oder Aldous Huxley, und später die
Autoren
des
Cyberpunk-Genres,
als
Schreckensbilder entwarfen.
Vergleich einiger Staaten im "privacy ranking 2007" der Organisation
Privacy International. Ein Jahr zuvor stand Deutschland noch an der
Spitze. grün: Konsistente Hochhaltung der Menschenrechte hellgrün:
Signifikanter Schutz und Sicherungsmaßnahmen blass-grün: Adäquate
Sicherungsmaßnahmen gegen Missbrauch hellgelb: Einige
Sicherungsmaßnahmen, aber geschwächter Schutz gelb: Systematisches
Versagen die Sicherungsmaßnahmen aufrecht zu erhalten orange:
Verbreitete Überwachungsgesellschaften rot: Endemische
Überwachungsgesellschaften
Aber auch Wirtschaft und Werbung stellen mit Scoring- (Schufa), Marktforschungs-Maßnahmen und
Konsumenten-Profiling für Kritiker eine zunehmende Bedrohung von Privatsphäre dar, Adressenhandel, Spam oder
Phishing konstituieren einen neuen Graubereich zwischen legalen Belästigungen und betrügerischer Kriminalität.
Einige Cracker vermögen über das Internet in staatliche und Unternehmens-Datenbanken oder private Computer
einzudringen und erhalten so teils Einblick in intimste Daten.
Privatsphäre
Privatsphäre gefährdende Technologien
• RFID
•
•
•
•
•
im Bargeld
in Ausweisdokumenten (zum Beispiel Reisepass, Gesundheitskarte, JobCard)
in Waren aller Art (zum Beispiel in Jeans eingearbeitet)
in Fahrkarten
im menschlichen Körper als Ausweisdokument
• Gen-Datenbanken (zum Beispiel Genetischer Fingerabdruck, Gesichtserkennung)
• biometrische Datenbanken (zentral oder in RFID-Chips) mit:
•
•
•
•
Gesichtsmerkmale
Iriserkennung
biometr. Fingerabdruck
siehe auch Lifescan
• Bewegungsprofile
• durch RFID-Chips (zum Beispiel in Geld, Ausweisen, Implantaten, Fahrkarten, Kleidung, Aufklebern, usw.)
• durch satellitenbasierte PKW-Maut
• durch automatische Kfz-Kennzeichenregistrierung (Zeichenerkennungssoftware)
• durch städtische Gesichtserkennungssysteme (Beispiel: London, geplant: Peking)
• durch Handyortung
• TCG-Chips auf PC-Hauptplatinen (ehemals TCPA)
• Internetüberwachung
•
•
•
•
•
•
•
E-Mail-Überwachung
soziale Netzwerk Analyse
Vorratsdatenspeicherung der Verbindungsdaten bei Providern
Cookies
Zählpixel
durch Überwachungskameras oder Webcams
Ortung von WLANs und IP-Adressen
Neue Technologien haben dazu geführt, dass heute ein Verlust an Privatsphäre nur durch weitgehende Vermeidung
vieler moderner „Errungenschaften″ wie z. B. Handys, Bankomatkarten und Kreditkarten zu vermeiden ist. Aber
selbst dann ist es kaum möglich, vielen der nahezu omnipräsenten Überwachungstechnologien zu entgehen.
Viele Internetdienste und Technologien konvergieren, wobei die vergleichsweise guten europäischen Standards oft
durch ausländische Firmen umgangen werden. Beispielsweise erlauben es viele Nutzer von sozialen Netzwerken wie
Facebook, ihr E-Mail Konto oder IPhone zu durchsuchen, die Adressen zu speichern und anhand dessen die sozialen
Beziehungen zu analysieren, um Freunde und Bekannte automatisch zu finden, und Käufe bei Amazon können
automatisch dem Facebook-Freundeskreis empfohlen werden. Software erlaubt es inzwischen, Handy-Fotos
automatisch mit Profilen aus Sozialen Netzwerken zu verknüpfen[5] . Für den Zugang zu sehr vielen Bereichen, auch
zu behördlichen Diensten wie der Bundesagentur für Arbeit, wird eine E-Mail Adresse benötigt, die ermöglicht
eigentlich getrennte Daten zu verknüpfen. Auch die Einführung des zukünftigen Internet Protokolls IPv6 wird es
voraussichtlich stark erleichtern, Personen den von ihnen benutzten Internet-Adressen zuzuordnen, da eine
dynamische Adressvergabe dann technisch nicht mehr notwendig ist.
Internetdienstleister gehen zunehmend dazu über, persönliche Daten von Benutzern mit solchen zu verknüpfen, die
diese nicht selber eingegeben haben. Dabei helfen erhebliche theoretische und technische Fortschritte in dem Bereich
des Data-Mining, die in den letzten Jahren gemacht wurden. Beispielsweise wurde berichtet, dass der
25
Privatsphäre
Online-Versandhaus Amazon in Deutschland die Bestellung eines Mannes stornierte, weil für den Freund von dessen
volljähriger, nicht mehr bei den Eltern lebender Tochter ein Zahlungsrückstand gespeichert war[6] . Die Legalität
derartiger Datenverknüpfungen ist rechtlich bisher nur unzureichend geregelt.
Zitate
• „Die Gedanken sind frei, wer kann sie erraten, sie fliegen vorbei, wie nächtliche Schatten. Kein Mensch kann sie
wissen, kein Jäger erschießen. Es bleibet dabei: Die Gedanken sind frei!“ – (unbekannter Verfasser, kompletter
Liedtext und Hintergrund)
• „Ich kann mit meiner Familie und Freunden über Gott und die Welt reden, aber nicht mit Gott und der Welt über
meine engsten Verhältnisse.“ – Mathias Richling
• „Privatsphäre ist wie Sauerstoff – man schätzt sie erst, wenn sie fehlt“ – John Emontspool
In Film und Literatur
• 1984, Roman von George Orwell
• 1984, auf gleichnamigen Roman basierender Film
• Gattaca
•
•
•
•
•
•
•
Das Netz
Der Staatsfeind Nr. 1
Il mostro (Film)
Little Brother
Wahnsinnig verliebt
Schöne neue Welt, Roman von Aldous Huxley
Traveler
Literatur
• Helmut Bäumler (Hrsg.): E-Privacy. Datenschutz im Internet, Braunschweig und Wiesbaden: Vieweg, 2000.
• David Brin: The Transparent Society. Will Technology Force Us to Choose Between Privacy and Freedom?,
Reading, MA: Perseus Publishing, 1998, ISBN 0-7382-0144-8.
• Rafael Capurro: Ethik für Informationsanbieter und -nutzer, In: Kolg, Anton u.a.: Cyberethik. Verantwortung in
der digital vernetzten Welt, Stuttgart, Berlin, Köln: Kohlhammer, 1998.
• Diffie Whitfield; Landau, Susan: Privacy on the Line. The Politics of Wiretapping and Encryption, MIT Press,
1999.
• Simson Garfinkel: Database Nation. The Death of Privacy in the 21st Century, Sebastopol, CA usw.: O'Reilly,
2000, ISBN 1-56592-653-6.
• Sandro Gaycken/Constanze Kurz: 1984.exe - Gesellschaftliche, politische und juristische Aspekte moderner
Überwachungstechnologien, Bielefeld, 2008, ISBN 978-3-89942-766-0.
• John Gilliom: Overseers of the Poor. Surveillance, Resistance, and the Limits of Privacy, Chicago und London:
Chicago University Press, 2001, ISBN 0-226-29361-0.
• Ralf Grötker (Hrsg): Privat! Kontrollierte Freiheit in einer vernetzten Welt, Heise Zeitschriften Verlag,
Hannover, 2003, ISBN 3-936931-01-1
• Maximilian Hotter: Privatsphäre. Der Wandel eines liberalen Rechts im Zeitalter des Internets, Campus Verlag,
Frankfurt am Main/New York 2011 ISBN 978-3-593-39407-7
• Frederick S. Lane, III: The Naked Employee. How Technology is Compromising Workplace Privacy, New York
usw.: AMACOM, 2003, ISBN 0-8144-7149-8.
• Karden D. Loch; Conger, Sue; Oz, Effy: Ownership, Privacy and Monitoring in the Workplace: A Debate on
Technology and Ethic, In: Journal of Business Ethics 17, 1998, S. 653-663.
26
Privatsphäre
• Michael Nagenborg, Privatheit unter den Rahmenbedingungen der IuK-Technologie, Wiesbaden: VS Verlag
2005, ISBN 3-531-14616-5.
• Vance Packard: Die wehrlose Gesellschaft, Knaur, 1970
• Beate Rössler: Der Wert des Privaten, Suhrkamp Verlag Frankfurt am Main, 2001, ISBN 3-518-29130-0.
• Peter Schaar: Das Ende der Privatsphäre. Der Weg in die Überwachungsgesellschaft. 1. Auflage. C.
Bertelsmann, München 2007, ISBN 978-3-570-00993-2.
• Herman T. Tavani: Ethics & Technology. Ethical Issues in an Age of Information and Communication
Technology, o.A.: John Wiley & Sons, 2004, Kap. 5: Privacy and Cyberspace, ISBN 0-471-45250-5.
• van den Hoven, M.J.: Privacy or Information Injustice?, In: Pourciau, Lester J. (Hrsg.): Ethics and Electronic
Information in the Twenty-First Century, West Lafayette: Purdue University Press, 1999.
• Whitaker, Reg: The End of Privacy. How Total Surveillance is becoming a Reality, New York: The New Press,
1999, ISBN 1-56584-569-2.
Einzelnachweise
[1]
[2]
[3]
[4]
vgl: http:/ / www. servat. unibe. ch/ dfr/ bv101361. html
http:/ / www. servat. unibe. ch/ dfr/ bv090255. html
http:/ / bundesrecht. juris. de/ gg/ art_10. html
http:/ / bundesrecht. juris. de/ gg/ art_13. html
[5] http:/ / www. heise. de/ newsticker/ meldurrsichng/ Handy-identifiziert-Fotografierte-ueber-Facebook-Co-939784. html
[6] Vorsicht, Kuhttp://www.heise.de/newsticker/meldung/Handy-identifiziert-Fotografierte-ueber-Facebook-Co-939784.htmlnde: Sippenhaftung
bei Amazon. c't Magazin für Computertechnik, Heise Verlag, Heft Nr. 1 vom 21. Dezember 2009, Seite 66-67
Weblinks
Deutsche Quellen
• Der gläserne Mensch (http://www.ammering.org) (Datenschutzseite)
• Referat zum Schutz der Privatsphäre, zur Sphärentheorie und zum Kernbereich privater Lebensgestaltung (http://
www.cloeser.org/ext/Schutz der Privatsphäre.pdf) (PDF-Datei; 348 kB)
• Big Brother Awards für Deutschland (http://www.bigbrotherawards.de) und Österreich (http://www.
bigbrotherawards.at)
• Vom Menschenrecht, in Ruhe gelassen zu werden (http://www.heise.de/tp/deutsch/special/ech/8786/1.
html) (Telepolis)
• Begriffserläuterung von Privacy (http://www.nethics.net/nethics/de/themen/privacy/begriffserlaeuterung.
html)
• E-Commerce and E-Privacy – Entwicklungen im Internet (http://www.w3.org/2000/Talks/kiel-p3p/) (World
Wide Web Consortium)
• Versteckte Daten in digitalen Bilddateien (http://netzreport.googlepages.com/
versteckte_daten_in_jpeg_dateien.html): Gefahren für Privatsphäre und Datenschutz
• Ausführliche Aufzählung zum Thema Bewegungsprofile (http://sicherheitskultur.at/privacy.htm#location)
• Spuren im Internet (http://sicherheitskultur.at/spuren_im_internet.htm)
• Aspekte zum Thema Privatsphäre (http://sicherheitskultur.at/privacy_loss.htm), mit detaillierten Beispielen für
die aktuellen Gefährdungen der Privatsphäre
27
Privatsphäre
Englische Quellen
•
•
•
•
•
Electronic Privacy Information Center (http://www.epic.org)
Privacy International (http://www.privacyinternational.org)
Statewatch Europe (http://www.statewatch.org/) – monitoring the state and the civil liberties in Europe
Privacy (http://plato.stanford.edu/entries/privacy/) (Artikel aus der Stanford Encyclopedia of Philosophy)
Introduction to Dataveillance and Information Privacy, and Definitions of Terms (http://www.anu.edu.au/
people/Roger.Clarke/DV/Intro.html)
• Einführungstutorium Datenschutz- und Identitätsmanagement (https://www.prime-project.eu/tutorials/gpto/)
Datenschutz
Datenschutz bezeichnet den Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten. Der Begriff
wurde auch verwendet für Schutz wissenschaftlicher und technischer Daten gegen Verlust oder Veränderung – und
Schutz gegen Diebstahl dieser Daten. Heute bezieht sich der Begriff meist auf den Schutz personenbezogener Daten.
Bei personenbezogenen Daten wurde er auch für Schutz vor „Verdatung“ verwendet. Im englischen Sprachraum
spricht man von „privacy“ (Schutz der Privatsphäre) und von „data privacy“ oder „information privacy“ (Datenschutz
im engeren Sinne). Im europäischen Rechtsraum wird in der Gesetzgebung auch der Begriff „data protection”
verwendet.
Heute wird der Zweck des Datenschutzes darin gesehen, den Einzelnen davor zu schützen, dass er durch den
Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt
wird. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche
seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will den so genannten gläsernen Menschen
verhindern.
Bedeutung
Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil
Datenverarbeitung, Datenerfassung, Datenhaltung, Datenweitergabe und Datenanalyse immer einfacher werden.
Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische
Zahlungsmethoden schaffen neue Möglichkeiten zur Datenerfassung. Interesse an personenbezogenen Informationen
haben sowohl staatliche Stellen als auch private Unternehmen. Sicherheitsbehörden möchten beispielsweise durch
Rasterfahndung und Telekommunikationsüberwachung die Verbrechensbekämpfung verbessern, Finanzbehörden
sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken. Unternehmen versprechen sich von
Mitarbeiterüberwachung (siehe Arbeitnehmerdatenschutz) höhere Effizienz, Kundenprofile sollen beim Marketing
einschließlich Preisdifferenzierung helfen und Auskunfteien die Zahlungsfähigkeit der Kunden sicherstellen (siehe
Verbraucherdatenschutz, Schufa, Creditreform). Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile
der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.
Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, nehmen die Gefahren hinsichtlich des
Schutzes personenbezogener Daten laufend zu („Das Internet vergisst nicht.“). Die Verlagerung (z. B. Outsourcing,
Offshoring) von IT-Aufgaben in Regionen, in denen deutsche und europäische Gesetze nicht durchsetzbar sind und
ausländische Regierungen Zugang zu nicht für sie bestimmte Daten suchen, macht Datenschutz praktisch oft
wirkungslos. Datenschützer müssen sich deshalb zunehmend nicht nur mit den grundlegenden Fragen des
technischen Datenschutzes (Datensicherheit) sondern besonders mit der effektiven Durchsetzbarkeit von
Datenschutz auseinandersetzen, wenn sie Erfolg haben wollen.
28
Datenschutz
Geschichte
Ausgangspunkt der weltweiten Debatte um den Datenschutz sind die Pläne der US-Regierung unter John F. Kennedy
Anfang der 1960er Jahre, ein Nationales Datenzentrum zur Verbesserung des staatlichen Informationswesens
einzurichten. Dort sollten Daten aller US-Bürger registriert werden. Vor dem Hintergrund, dass es in den USA kein
flächendeckendes Melderegister oder Meldewesen gibt und auch keine bundesweit geltenden Ausweise, wurde diese
Planung in den nachfolgenden Debatten als Eingriff in das verfassungsrechtlich postulierte „Right to be alone“
betrachtet. Eine große Rolle spielte dabei auch das bereits 1890 von Samuel D. Warren und dem späteren
Bundesrichter Louis D. Brandeis entwickelte „The Right to Privacy“[1] , nach dem jedem Individuum das Recht
zustehe, selbst zu bestimmen, inwieweit seine „Gedanken, Meinungen und Gefühle“, mithin personenbezogene
Informationen, anderen mitgeteilt werden sollten. Das Vorhaben scheiterte im Kongress mit der Folge, dass
Forderungen nach gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten laut wurden. Ergebnis
war die Verabschiedung des Privacy Act – allerdings erst 1974 –, der Regeln für die Bundesbehörden einführte, die
bereits die wesentlichen Prinzipien des Datenschutzes enthielten: Erforderlichkeit, Sicherheit, Transparenz.
Überlegungen, das Gesetz allgemein auch auf den privaten Bereich auszudehnen, führten auf Grund eines
Sachverständigengutachtens, das zum fatalen Ergebnis kam, der Wettbewerb würde dies regeln, nicht zum Erfolg.
Über die amerikanische Debatte wurde auch in Europa berichtet. In Deutschland wurde Ende der 1960er Jahre nach
einem Begriff gesucht, der die unmittelbare Übersetzung des Begriffs „Privacy“ – (allgemeines) Persönlichkeitsrecht
– wegen der kontroversen Debatte seit dem 19. Jahrhundert sowie seiner Sperrigkeit – vermeiden sollte. In
Anlehnung an den Begriff „Maschinenschutz“ (Gesetzgebung zur Sicherheit von Arbeitsgerät) wurde in der
Wissenschaft das Wort „Datenschutz“ geschaffen, das zunächst wegen seiner Missverständlichkeit (nicht die Daten
werden geschützt, sondern die Menschen) kritisiert wurde, jedoch inzwischen international gebräuchlich ist (data
protection, protection des données, protección de datos, zaschtschyta danych, προστασία δεδομένων προσωπικού
χαρακτήρα usw.).
1970 verabschiedete Hessen als erstes Bundesland der BRD ein Landesdatenschutzgesetz; 1977 folgte das
Bundesdatenschutzgesetz (BDSG), die Schwerpunkte lagen in der Bestimmung der Voraussetzung für die
Einführung von Datenschutzbeauftragten und der Vorrangstellung des Schutzes personenbezogener Daten.
Landesdatenschutzgesetze waren 1981 für alle Bundesländer beschlossen.
Ein Meilenstein war die Prägung des Begriffs des informationellen Selbstbestimmungsrechts, das heißt das Recht
des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, im
Zusammenhang mit dem Volkszählungsurteil 1983.
1995 wurde die Europäische Datenschutzrichtlinie 1995/46/EG verabschiedet. In den Jahren 2001 und 2006 folgten
Novellierungen des BDSG. Die letzten drei Novellen stammen vom 29. Mai 2009, 2. und 3. Juli 2009[2] .
29
Datenschutz
Regelungen
Internationale Regelungen
Seit 1980 existieren mit den OECD
Guidelines on the Protection of Privacy and
Transborder Data Flows of Personal Data
international gültige Richtlinien, welche die
Ziele haben, die mitgliedstaatlichen
Datenschutzbestimmungen weitreichend zu
harmonisieren,
einen
freien
Informationsaustausch
zu
fördern,
Vergleich einiger Staaten im "privacy ranking 2007" der Organisation Privacy
ungerechtfertigte Handelshemmnisse zu
International.
(je
heller
der
Farbton,
desto höher ist das Schutzniveau)
vermeiden und eine Kluft insbesondere
zwischen
den
europäischen
und
US-amerikanischen Entwicklungen zu verhindern.
1981 verabschiedete der Europarat mit der Europäischen Datenschutzkonvention eines der ersten internationalen
Abkommen zum Datenschutz. Die Europäische Datenschutzkonvention ist bis heute in Kraft, sie hat jedoch lediglich
empfehlenden Charakter. Dagegen sind die Datenschutzrichtlinien der Europäischen Union für die Mitgliedstaaten
verbindlich und in nationales Recht umzusetzen.
Vereinigte Staaten
Der Datenschutz ist in den Vereinigten Staaten kaum rechtlich durch Gesetze oder andere Vorschriften geregelt. Der
Zugriff auf private Daten ist in vielen Fällen gesellschaftlich akzeptiert, z. B. eine Bonitätsprüfung vor der
Vereinbarung eines Arbeitsverhältnisses oder vor der Anmietung einer Wohnung. Es gibt zwar Regelungen für
einzelne Teilbereiche, z. B. den Children's Online Privacy Protection Act (COPPA, deutsch: „Gesetz zum Schutz der
Privatsphäre von Kindern im Internet“) und im Bereich Krankenversicherung den Health Insurance Portability and
Accountability Act (HIPAA), jedoch keine umfassende Regelung für den Umgang mit persönlichen Daten.
Ein möglicher Grund dafür ist, dass in den USA der Regierung wenig zugetraut wird, personenbezogene
Informationen wirklich zu schützen. Es wird argumentiert, in vielen Fällen kollidiere der Datenschutz mit den
Vorgaben im 1. Zusatzartikel zur Verfassung der Vereinigten Staaten (First Amendment), der die Meinungsfreiheit
regelt. Auch sei schon in vielen Staaten der Welt der Datenschutz als Instrument zur Unterdrückung der
Meinungsfreiheit eingesetzt worden.
Der Oberste Gerichtshof der Vereinigten Staaten hat zwar im Fall Griswold v. Connecticut 1965 die Verfassung
dahingehend interpretiert, dass sie dem Einzelnen ein Recht auf Privatsphäre zugesteht. Dennoch erkennen nur sehr
wenige US-Bundesstaaten ein Recht des Individuums auf Privatsphäre an. Eine der wenigen Ausnahmen ist
Kalifornien. In Artikel 1, Abschnitt 1, der kalifornischen Verfassung ist ein unveräußerliches Recht auf Privatsphäre
festgelegt und die kalifornische Gesetzgebung hat diesen Grundsatz in einigen rechtlichen Regelungen zumindest
ansatzweise umgesetzt. So verpflichtet z. B. der California Online Privacy Protection Act (OPPA) aus dem Jahr
2003 Betreiber kommerzieller Internetseiten oder Onlinedienste, die über ihre Webseiten personenbezogene
Informationen über Bürger des Staates Kalifornien sammeln, auf selbigen Seiten einen auffälligen Hinweis über ihre
Umgangsweise mit den Daten zu platzieren und diese – inhaltlich jedoch nicht näher vorgegebenen – selbstgesetzten
Datenschutzrichtlinien auch einzuhalten.
Das US-Handelsministerium entwickelte zwischen 1998 und 2000 das (freiwillige) Safe Harbor-Verfahren, mit dem
US-Unternehmen im Umgang mit europäischen Geschäftspartnern einfacher die Einhaltung der
Datenschutzrichtlinie der EU-Kommission (95/46/EC) belegen können sollen.
30
Datenschutz
Es gibt in den USA keine umfassende unabhängige Datenschutzaufsicht, lediglich die im Bereich Handel tätige
Federal Trade Commission (FTC), die sich gelegentlich auch mit Datenschutzproblemen befasst. Die FTC schreitet
jedoch nur dann ein, wenn ein Unternehmen seine selbst gesetzten Datenschutzrichtlinien nicht einhält; es gibt
jedoch keinerlei Mindestvorgaben über die Existenz oder Ausgestaltung einer solchen Selbstverpflichtung.
Verpflichtet sich also ein Unternehmen nicht freiwillig zum Datenschutz, schreitet auch die FTC nicht ein, da ja kein
Verstoß gegen irgendwelche Vorschriften vorliegt.
Im Gegensatz zu europäischen Regelungen gibt es in den USA keinerlei rechtliche Vorgaben über die
Aufbewahrungsdauer gesammelter personenbezogener Daten. Es gibt des Weiteren kein Recht auf Auskunft
gegenüber Behörden oder Unternehmen, welche Daten zur Person gespeichert sind (mit Ausnahme des Freedom of
Information Act), sowie kein Recht auf Berichtigung falscher Daten. Sämtliche bestehenden Datenschutzregelungen
beziehen sich nur auf Bürger der USA und solche, die sich langfristig in den USA aufhalten, nicht auf Daten, die aus
dem Ausland kommen.
Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat daher die im März 2008 zwischen der Bundesrepublik
Deutschland und den USA vereinbarte Erweiterung des im Prümer Vertrag geregelten innereuropäischen
automatisierten Datenaustausches auf die USA kritisiert.
Europäische Union
Mit der Richtlinie 95/46/EG (Datenschutzrichtlinie) haben das Europäische Parlament und der Europäische Rat
Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Die Richtlinie gilt jedoch nicht für den
Bereich der justiziellen und polizeilichen Zusammenarbeit, die so genannte Dritte Säule der Union. In Deutschland
wurde die Richtlinie im Jahr 2001 mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer
Gesetze in nationales Recht umgesetzt. Geregelt wird auch die Übermittlung von personenbezogenen Daten an
Drittstaaten, die nicht Mitglied der EU sind, bzw. einem Vertragsstaat des Abkommens über den europäischen
Wirtschaftsraum angehören: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein
„angemessenes Schutzniveau“ gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten,
wird von der Kommission getroffen, die dabei von der so genannten Artikel-29-Datenschutzgruppe beraten wird.
Aktuell (Stand 02/2011) wird gemäß Entscheidung der Kommission von folgenden Drittstaaten ein angemessenes
Schutzniveau gewährleistet: Schweiz, Kanada, Argentinien, Guernsey, Isle of Man, Israel, sowie bei der Anwendung
der vom US-Handelsministerium vorgelegten Grundsätze des „Sicheren Hafens“ und bei der Übermittlung von
Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP).
Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an die
US-amerikanischen Zollbehörden ist stark umstritten. Der Europäische Gerichtshof (EuGH) hat auf Grund einer
Klage des Europäischen Parlaments diese Entscheidungen der Kommission und des Rates annulliert.
Ergänzt wurde die allgemeine Datenschutzrichtlinie durch die bereichsspezifische Richtlinie 2002/58/EG
(Datenschutzrichtlinie für elektronische Kommunikation).
Vom EU-Parlament wurde mit den Stimmen von Christdemokraten und Sozialdemokraten am 14. Dezember 2005
eine Richtlinie über eine obligatorische Vorratsdatenspeicherung von Verkehrsdaten der Telekommunikation und
des Internets gebilligt. Diese Richtlinie verpflichtet die Mitgliedstaaten zur Einführung von
Mindestspeicherungsfristen von sechs Monaten (Internet) bzw. einem Jahr (Telefonie). Diese Richtlinie über die
Vorratsdatenspeicherung wird von Bürgerrechtsorganisationen und Datenschutzbeauftragten kritisiert und ist
ebenfalls Gegenstand einer Klage vor dem EuGH.
31
Datenschutz
Bundesrepublik Deutschland
Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht auf
informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er
welche persönlichen Informationen bekannt gibt.
Dieses Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt. Dagegen wurde in den meisten
Landesverfassungen eine Datenschutzregelung aufgenommen, so in Berlin (Art. 33), Brandenburg (Art. 11), Bremen
(Art. 12), Mecklenburg-Vorpommern (Art. 6 Abs. 1 und 2), Nordrhein-Westfalen (Art, 4 Abs. 2 sowie die
Verbürgung der Einrichtung des Datenschutzbeauftragten in Art. 77a), Rheinland-Pfalz (Art. 4a), Saarland (Art. 2
Abs. 2), Sachsen (Art. 33), Sachsen-Anhalt (Art. 6 Abs. 1) und Thüringen (Art. 6).
Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den
privaten Bereich (d. h. für alle Wirtschaftsunternehmen, Institutionen, Vereinen, etc. gegenüber natürlichen
Personen). Daneben regeln die Datenschutzgesetze der Länder den Datenschutz in Landes- und Kommunalbehörden.
Datenschutzrechtliche Regelungen finden sich darüber hinaus in etlichen weiteren Gesetzen, etwa dem
Telekommunikationsgesetz und dem Telemediengesetz, die jeweils für ihren Anwendungsbereich speziellere
Regelungen
zum
Datenschutz
enthalten.
Diese
bereichsspezifischen
Regelungen
gehen
dem
Bundesdatenschutzgesetz jeweils vor, das BDSG gilt nur ergänzend.
Die öffentlichen Stellen des Bundes sowie die Unternehmen, die geschäftsmäßig Telekommunikations- oder
Postdienstleistungen erbringen, unterliegen der Aufsicht durch den Bundesbeauftragten für den Datenschutz. Die
Landesbehörden werden durch die Landesdatenschutzbeauftragten kontrolliert. Die privaten Unternehmen (bis auf
Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen
Bereich, die beim Landesdatenschutzbeauftragten oder bei den Landesbehörden (z. B. Innenministerium) angesiedelt
sind. Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet,
da einige Landesdatenschutzbeauftragte und alle Landesbehörden nicht „in völliger Unabhängigkeit“ arbeiten,
sondern die Landesregierung weisungsbefugt ist.[3]
Österreich
Rechtsgrundlage für den Datenschutz ist in Österreich das Datenschutzgesetz 2000 (DSG 2000). Die Einhaltung des
Datenschutzes kontrolliert die Datenschutzkommission. Deren geschäftsführendes Mitglied ist derzeit Eva
Souhrada-Kirchmayer.
Möglich ist aber auch die zivilrechtliche Durchsetzung des Datenschutzes bei den ordentlichen Gerichten
(insbesondere Löschung und Richtigstellung von fehlerhaften Daten).
Schweiz
Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und
für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.
Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den Eidgenössischen Datenschutz- und
Öffentlichkeitsbeauftragten und sein Sekretariat. Momentan wird diese Stelle durch Hanspeter Thür bekleidet.
Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone zuständig. Sie sind dem Eidg.
Datenschutzbeauftragten nicht unterstellt, sondern kontrollieren unabhängig.
Ein bemerkenswerter Unterschied zu den Regelungen in z. B. Deutschland und Österreich ist die Tatsache, dass in
der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 u. Art. 18a): Werden
Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder
Persönlichkeiteprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv
durch den Inhaber der Datensammlung informiert werden. Ähnlich wie es in Deutschland und Österreich definiert
ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders
32
Datenschutz
schützenswerten Daten gleichgestellt.
Kirche
In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorge- und
Beichtgeheimnis im Kirchenrecht schriftlich verankert. Heute schützt für den Bereich der römisch-katholischen
Kirche das weltweit gültige kirchliche Gesetzbuch Codex Iuris Canonici (CIC) das Persönlichkeitsrecht auf Schutz
der Intimsphäre in Canon 220. In Deutschland gelten die Datenschutzgesetze von Bund und Ländern im Bereich der
öffentlich-rechtlichen Kirchen (einschließlich Caritas und Diakonie) nicht unmittelbar, da die Kirchen diesbezüglich
ein Selbstbestimmungsrecht haben. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz
der EKD (DSG-EKD), in der römisch-katholischen Kirche in Deutschland die Anordnung über den kirchlichen
Datenschutz (KDO) und in der alt-katholischen Kirche die Ordnung über den Schutz von personenbezogenen Daten
(Datenschutz-Ordnung, DSO) im Bereich des Katholischen Bistums der Alt-Katholiken in Deutschland.
Verfahren
Hauptprinzipien des Datenschutzes sind
• Datensparsamkeit und Datenvermeidung,
• Erforderlichkeit,
• Zweckbindung.
Sind (dennoch) Daten einmal angefallen, so sind technisch-organisatorische Maßnahmen zur Gewährleistung des
Datenschutzes zu treffen (Datensicherheit). Hierzu gehört insbesondere die Beschränkung des Zugriffs auf die Daten
durch die jeweils berechtigten Personen. Für automatisierte Abrufverfahren (Online-Verfahren) sind besondere
Regeln zu beachten.
Aus den Prinzipien der Datensparsamkeit und der Erforderlichkeit folgt, dass Daten zu löschen (vgl.
Datenvernichtung) sind, sobald sie nicht mehr benötigt werden. Nicht mehr erforderliche Daten, die wegen
gesetzlicher Aufbewahrungs- und Dokumentationspflichten (insb. im Steuerrecht bis zu 10 Jahren) nicht gelöscht
werden dürfen, sind zu sperren.
Zu den grundlegenden Datenschutzanforderungen gehören ferner die unabdingbaren Rechte der Betroffenen (insb.
das Recht auf Auskunft über die zu der jeweiligen Person gespeicherten Daten) und eine unabhängige
Datenschutzaufsicht.
Auf der Internationalen Datenschutzkonferenz 2005 haben die Datenschutzbeauftragten in ihrer „Erklärung von
Montreux“ darüber hinaus an die international anerkannten Datenschutzprinzipien erinnert. Diese sind:
•
•
•
•
•
•
•
•
•
•
•
Prinzip der Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten
Prinzip der Richtigkeit
Prinzip der Zweckgebundenheit
Prinzip der Verhältnismäßigkeit (vgl. Verhältnismäßigkeitsprinzip)
Prinzip der Transparenz
Prinzip der individuellen Mitsprache und namentlich der Garantie des Zugriffsrechts für die betroffenen Personen
Prinzip der Nicht-Diskriminierung
Prinzip der Sicherheit
Prinzip der Haftung
Prinzip einer unabhängigen Überwachung und gesetzlicher Sanktionen
Prinzip des angemessenen Schutzniveaus bei grenzüberschreitendem Datenverkehr
33
Datenschutz
Geltungsbereich
Der Datenschutz bezieht sich auf die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten.
Definitionen:
• Erheben = Beschaffen, § 3 Abs. 3 BDSG.
• Verarbeiten = Speichern, Verändern, Übermitteln, Sperren, Löschen, § 3 Abs. 4 BDSG.
• Nutzen = Jedes Verwenden, soweit es sich nicht um Verarbeiten handelt, d.h. Verwenden ist der Oberbegriff für
Verarbeiten und Nutzen, § 3 Abs. 5 BDSG.
Datenschutzkontrolle
Als Aufsicht für den öffentlichen Sektor gibt es:
• der Bundesbeauftragte für den Datenschutz, für den Bereich der Bundesbehörden
• die Landesbeauftragten für den Datenschutz, für den Bereich von Landesbehörden
• besondere Datenschutzbeauftragte bei Körperschaften, Anstalten und Stiftungen des öffentlichen Rechtes (z. B.
Rundfunkdatenschutzbeauftragter)
Zusätzlich haben Behörden die Möglichkeit / Verpflichtung behördliche Datenschutzbeauftragte zu ernennen. Diese
können einzelne Aufgaben (z. B. Führung des Datenschutzregisters) übernehmen, verhindern jedoch nicht die
Kontrolle durch den übergeordneten Beauftragten.
Im nicht-öffentlichen Bereich ist die Datenschutzaufsicht landesrechtlich geregelt. Diese ist z. B. bei der
Bezirksregierung, dem Innenministerium oder dem Landesbeauftragten für Datenschutz angesiedelt. Für Post- und
Telekommunikationsunternehmen ist ebenfalls der Bundesbeauftragte für den Datenschutz zuständig.
Ab einer bestimmten Firmengröße muss nach dem Bundesdatenschutzgesetz ein betrieblicher
Datenschutzbeauftragter bestellt werden. Diese sind teilweise im Berufsverband der Datenschutzbeauftragten
Deutschlands organisiert.
Auch verschiedene Vereine beschäftigen sich mit der Stärkung des Datenschutzes, etwa die Deutsche Vereinigung
für Datenschutz, die Gesellschaft für Datenschutz und Datensicherheit, das FIfF, der FoeBuD, oder in Österreich die
ARGE Daten.
Konflikte
Datenschutz kollidiert in verschiedenen Bereichen mit anderen Zielen. Diese Zielkonflikte müssen durch ein
Abwägen des Datenschutzes mit andern Zielen gelöst werden. Ein übertriebener Datenschutz oder Datenschutz am
falschen Ort kann auch schädlich sein.
Datenschutz und Informationsfreiheit
Datenschutz steht grundsätzlich im Konflikt mit der Forderung nach Informationsfreiheit. Informationsfreiheit
bedeutet, dass Informationen der öffentlichen Verwaltung (Verwaltungstransparenz) und Politik dem Bürger
öffentlich gemacht werden (Öffentlichkeitsprinzip). Diese Informationen unterliegen jedoch auch dem Datenschutz
und sollten daher vertraulich behandelt werden. Dieser Zielkonflikt wird sehr unterschiedlich gelöst. In Schweden
wird das Öffentlichkeitsprinzip traditionell weitaus höher bewertet als der Datenschutz. Selbst hochprivate Daten
wie die Einkommensteuererklärung sind öffentlich. In Deutschland bestand traditionell eine geringe Bereitschaft
öffentlicher Verwaltungen zur Veröffentlichung von Informationen. Erst 2006 wurde diese Haltung durch das
Informationsfreiheitsgesetz gelockert. Die Abwägung zwischen den Belangen von Informationsfreiheit und
Datenschutz wurde in § 5 Informationsfreiheitsgesetz weitgehend zu Gunsten des Datenschutzes vorgenommen:
„Zugang zu personenbezogenen Daten darf nur gewährt werden, soweit das Informationsinteresse des
Antragstellers das schutzwürdige Interesse des Dritten am Ausschluss des Informationszugangs überwiegt
34
Datenschutz
oder der Dritte eingewilligt hat. Besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 des
Bundesdatenschutzgesetzes dürfen nur übermittelt werden, wenn der Dritte ausdrücklich eingewilligt hat“
– § 5 Informationsfreiheitsgesetz[4]
Ähnliche Konflikte ergeben sich auch auf Unternehmensebene. Hier kollidiert ein eventueller Auskunftsanspruch
von Kunden oder Dritten mit dem Datenschutz. So hatte etwa der Mobilfunkbetreiber T-Mobile den Wunsch eines
Kunden, den Absender von Werbe-SMS zu erfahren, mit dem Hinweis auf Datenschutz abgewiesen – und wurde
erst durch ein Urteil des Bundesgerichtshof (Az. I ZR 191/04) dazu gezwungen.[5]
Kosten des Datenschutzes
Datenschutz verursacht Kosten und steht damit im Konflikt zu dem Ziel von Unternehmen und Verwaltungen,
kosteneffizient zu arbeiten[6] . Datenschutz kann (wenn auch in geringerem Umfang) zu Kostenersparnissen
beitragen.
Ihnen entstehen unter anderem Kosten:
• für den Datenschutzbeauftragten und seine Organisation (z. B. Sachmittel, Mitarbeiterschulungen)
• dadurch, dass die betriebliche Datenverarbeitung durch den Datenschutz komplizierter und damit teurer wird
(z. B. Zugriffsrechtverwaltung, Lösch-, Archivierungs- und Sperrfunktionen)
• durch die Bearbeitung der Anfragen von Dritten über gespeicherte Daten und Korrektur- bzw. Löschforderungen
• durch die Dokumentation und Prüfung der vorgenommenen Maßnahmen des Datenschutzes
Dazu kommen indirekte Kosten, zum Beispiel in Form von Mehrfacheingaben von Daten wenn eine automatisierte
Datenübernahme unzulässig ist (z. B. darf das Finanzamt nicht automatisiert Adressänderungen der Steuerpflichtigen
vom Einwohnermeldeamt übernehmen). Auch sind Nutzungen von Daten, die zu Geschäftschancen führen, aufgrund
des Datenschutzes teilweise nicht zulässig. So dürfen z. B. Banken nicht den Zahlungsverkehr ihrer Kunden
daraufhin auswerten, ob diese Geschäftsverbindungen zu Wettbewerbern haben, und ihnen daraufhin
Produktangebote unterbreiten.
Von noch größerer Bedeutung sind volkswirtschaftliche Kosten, welche daraus entstehen, dass bei Nichtexistenz von
perfekter Information eine wesentliche Abweichung von den Annahmen eines vollkommenen Marktes vorliegt.
Datenschutz, der (sonst wäre er inhaltsleer) den Fluss an Informationen mindert, verringert automatisch die
volkswirtschaftliche Effizienz (hierzu und zu weiteren Literaturhinweisen vgl. Maennig 2006). Im Extremfall wird
das Verbergen von Informationen mit Hinweis auf den Datenschutz als Versuch interpretiert, sich oder sein
Unternehmen zum Schaden Anderer bzw. der Gesellschaft falsch oder unvollständig darzustellen, indem
beispielsweise unangenehme Informationen unterdrückt werden. Als typisches Beispiel werden Gesetze genannt, die
finanzielle Informationen schützen. Diese machen es beispielsweise Personen und Unternehmen mit
Insolvenzhistorie möglich, sich ebenso positiv darzustellen wie andere Personen und Unternehmen. Wenn sie
daraufhin Kredite, Kreditkarten etc. erhalten, besteht die Gefahr, dass die Zahl der zukünftigen „defaults“ und somit
das Kreditrisiko steigt – mit der Folge von höheren Risikomargen für alle, auch die Unbescholtenen.
Aufgrund der mit Datenschutz einhergehenden volkswirtschaftlichen Kosten lautet die ökonomische Antwort auf die
Frage nach dem Datenschutz nicht ja oder nein; vielmehr wird nach einer optimalen Menge und Ausgestaltung des
Datenschutzes gesucht.
Zu Kostenersparnissen können z. B. beitragen:
• Geringere Datenmengen aufgrund des Prinzips der Datensparsamkeit
• Effizientere EDV-Systeme aufgrund systematischerer DV-Organisation und -Dokumentation
Der Kostenaspekt wird seit den Anfängen des Datenschutzes thematisiert[7] . Eine Studie von 1985 wies für die Zeit
von 1977 bis 1985 datenschutzinduzierte Kosten von
• bis 0,3 Millionen Mark bei fast allen kleinen und einigen mittleren Unternehmen,
• 0,3 bis 0,6 Millionen Mark bei dem überwiegenden Teil der mittleren Unternehmen und
35
Datenschutz
• 1 bis 3 Millionen Mark bei den meisten Großunternehmen auf.
Einige wenige Großunternehmen wiesen Kosten von mehr als 20 Millionen Mark auf[8] . Aufgrund immer weiter
verschärfter Datenschutzregelungen sind die Kosten heute um ein Vielfaches höher.
Auch fehlender Datenschutz verursacht Kosten in teils erheblicher Höhe bei den Organisationen. Als direkte Kosten
sind hier z. B. Bußgelder für die Nichteinhaltung von Datenschutzbestimmungen zu nennen. Verstöße gegen
Datenschutz sind potentiell geeignet, das Image der Organisation zu beschädigen und damit das Geschäft zu
schädigen.
Datenschutz und Kriminalitätsbekämpfung
In der Öffentlichkeit vielfach diskutiert ist der Konflikt zwischen Datenschutz und Kriminalitätsbekämpfung. Ein
weitgehender
Zugriff
der
Strafverfolgungsbehörden
auf
personenbezogene
Daten
(auch
von
Unschuldigen/Unverdächtigen) erleichtert diesen die Arbeit. Ein Datenschutz ist hier jedoch besonders wichtig, da
ein Überwachungsstaat mit dem Prinzip eines Rechtsstaates unvereinbar ist. Der Schutz der Grundrechte der
Einwohner bedarf des gesetzlichen Regelung der Zugriffs- und Speichermöglichkeiten der Strafverfolgungsbehörden
auf persönliche Daten. Der Umfang dieser Möglichkeiten und damit verbunden das Verhältnis zwischen Nutzen
(Sicherheit) und Schaden (Eingriff in die Freiheits- und Bürgerrechte) ist politisch hoch umstritten. Während die
einen auch bei kleineren Eingriffen das Bild eines Überwachungsstaates bemühen, lautet ein pauschales Schlagwort
der Gegenseite „Datenschutz ist Täterschutz“.
Für die Abwägung der Interessen des Datenschutzes und der Kriminalitätsbekämpfung muss die konkrete
Maßnahme betrachtet werden. Ansatzpunkte für eine Bewertung sind:
• Schwere der Eingriffe in den Datenschutz
• Grad der Eignung der Maßnahme zur Verbesserung der Kriminalitätsbekämpfung
Die Themen, an denen sich die Diskussion um Datenschutzes und Kriminalitätsbekämpfung festmacht, wechselte im
Laufe der Zeit. In den 1970ern wurde die Rasterfahndung und ab den 1990er Jahren die Videoüberwachung intensiv
diskutiert. Heute macht sich die Diskussion z. B. an DNA-Reihenuntersuchungen, der Einführung von biometrischen
Daten (Fingerabdruck, Gesichtsmaße, zukünftig eventuell Irisscan) und RFID-Chips in den Reisepass
(Elektronischer Reisepass) fest.
Datenschutz und Wissenschaft
Auch wissenschaftliche Datensammlungen unterliegen dem Datenschutz. Hier kann ein Konflikt zwischen der
Forschungsfreiheit und Datenschutz entstehen. Unproblematisch ist aus Datenschutzsicht die Verwendung
pseudonymisierter oder gar anonymisierter Daten. Vielfach werden in der Wissenschaft jedoch auch
personenbezogene Daten genutzt. In diesen Fällen wäre eine konsequente Anwendung der datenschutzrechtlichen
Vorschriften manchmal ein Verbot der wissenschaftlichen Forschungen. Um dies zu vermeiden bestehen
Sonderregelungen für wissenschaftliche Forschungen. Auf internationaler Ebene bestehen die
Europarat-Empfehlung zum Schutz personenbezogener Daten für Zwecke der wissenschaftlichen Forschung und
Statistik (Nr. R [83] 10), auf nationaler Ebene gibt es Ausnahmetatbestände im BDSG für wissenschaftliche
Forschung. So z. B. im Bezug auf die Einwilligung der Betroffenen (§ 4a (2)), der Datenerhebung (§ 13 (2) Ziffer 8),
der Datenspeicherung, -veränderung und -nutzung (§ 14 (2) Ziffer 9 bzw. (5) Ziffer 2) oder der Löschung und
Sperrung (§ 20 (7) Ziffer 1).
Dennoch stellt die Einhaltung des Datenschutzes in vielen wissenschaftlichen Forschungen einen Kostenfaktor und
eine Einschränkung bei der Erhebung und Nutzung von Daten dar.
36
Datenschutz
Datenschutz und Medizin
In der Medizin besteht ein besonderes Maß an Vertraulichkeit (siehe Ärztliche Schweigepflicht). Daher sind
Datenschutzvorschriften hier relativ unstrittig.
Konfliktfelder sind hier der Datenaustausch zwischen Ärzten, Krankenkassen, Krankenhäusern und anderen
Dienstleistern im Gesundheitswesen. Eine wirksame und kostengünstige Behandlung (z. B. die Vermeidung von
Doppeluntersuchungen) setzt Wissen über Vorerkrankungen, bisherige Diagnose und Behandlung und
Medikamentennutzung voraus. Ein Austausch dieser Daten erfolgt aufgrund der Datenschutzvorschriften hier nur
manuell. Für die diesbezügliche Diskussion siehe: Elektronische Gesundheitskarte.
Spezielles Problem Flugmedizin
Ein spezielles Problem entsteht für Deutschland - voraussichtlich zum Jahr 2013 - im Bereich der Flugmedizin.
Bisher bleiben in Deutschland die von den Fliegerärzten erhobenen Befunde und Gesundheitsdaten der Luftfahrer
und Bewerber in der Obhut der Fliegerärztlichen Untersuchungsstellen. Die Daten werden unanonymisiert
ausschließlich auf Antrag der Untersuchten oder zur Aufklärung etwaiger signifikanter Rechtsverstöße der
Beteiligten den Luftfahrtbehörden überstellt. Die Europäische Luftsicherheitsagentur EASA arbeitet seit mehreren
Jahren an einheitlichen europäischen Standards [9] für die Fliegerärztlichen Tauglichkeitsuntersuchungen , die
voraussichtlich im Jahr 2013 in Kraft treten und die heutigen deutschen Regelungen ablösen sollen.
Nach den absehbaren Vorgaben der EASA dürften große Mengen intimer Gesundheitsdaten der Piloten künftig
routinemäßig behördlich verwertet und verwaltet werden. Das gilt auch für taugliche Probanden, deren Daten - z.B.
nach Einschätzung des Deutschen Fliegerarztverbandes - überhaupt nicht zu einer Behörde überstellt werden sollten.
Nach Einschätzung des Verbandes ist bei den künftigen EASA-Richtlinien nicht einmal sichergestellt, dass der
Länder-übergreifende Austausch sensibler Gesundheitsdaten der Luftfahrer unterbleiben wird. Dieser Austausch
würde naturgemäß die Krankheitsfeststellungen der Betroffenen beinhalten und damit besonders schützenswerte
Daten international behördlich preisgeben.
Literatur
• Lukas Bauer/Sebastian Reimer (Hrsg.): Handbuch Datenschutzrecht. facultas Verlag (2009), ISBN
978-3-7089-0509-9
• Helmut Bäumler: E-Privacy – Datenschutz im Internet. Vieweg Verlag, ISBN 3-528-03921-3
• Peter Berger: Unerkannt im Netz. Sicher kommunizieren und recherchieren im Internet. Reihe Praktischer
Journalismus, UVK Konstanz 2008, ISBN 978-3-86764-087-9
• Bergmann, Möhrle, Herb: Kommentar zum Datenschutzrecht. Boorberg-Verlag. Stuttgart: Stand: 41. Lieferung
April 2010 ISBN 3-415-00616-6.
• Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. (Hrsg.): Datenschutz - Eine
Vorschriftensammlung. TÜV Media GmbH. Köln 2009. ISBN 978-3-8249-1103-5
• Barbara Broers, Birgit Pauls: Datenschutz? - Ich hab´ nicht zu verbergen. - Datenschutzratgeber für Jugendliche.
ISBN 978-3-8370-3495-0
• Hans Peter Bull: Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenaskese. In:
NJW. Jg. 2006, Nr. 23
• Wolfgang Däubler, Thomas Klebe, Peter Wedde, Thilo Weichert: Bundesdatenschutzgesetz. Kompaktkommentar
zum BDSG und anderen Gesetzen. 3. Aufl. 2010. Bund-Verlag GmbH, ISBN 978-3-7663-3917-1
• Wolfgang Däubler: Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz. 5. Aufl. 2010.
Bund-Verlag GmbH, ISBN 978-3-7663-3919-5
• Daniela Eidt, Jens Bölscher, Johann-Matthias Graf v.d. Schulenburg: Die besondere Problematik des
Datenschutzes in der PKV. In: Versicherungswirtschaft. Nr. 2, 2000, S. 115–119.
• Hansjürgen Garstka: Informationelle Selbstbestimmung und Datenschutz. Das Recht auf Privatsphäre. (PDF) [10]
37
Datenschutz
• GDD e. V. (Hrsg.): Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen. 1. Aufl. 2002.
DATAKONTEXT-FACHVERLAG GmbH, ISBN 3-89577-224-0
• Thomas Giesen: Das Grundrecht auf Datenverarbeitung, in: JZ 2007, S. 918 bis 927.
• Andreas Höpken, Helmut Neumann: Datenschutz in der Arztpraxis — Ein Leitfaden für den Umgang mit
Patientendaten. 2., überarbeitete Auflage C.F. Müller ISBN 978-3-8114-3461-5
• Andreas Kladroba: Das neue Datenschutzrecht in der betrieblichen Praxis, Diskussionsbeiträge aus dem
Fachbereich Wirtschaftswissenschaften der Universität Duisburg-Essen, Campus Essen Nr. 131, Essen 2003
• Gerhard Kongehl (Hrsg): Datenschutz-Management in Unternehmen und Behörden. Haufe 2005, ISBN
3-8092-1705-0
• Wolfgang Maennig (2006), Zur Ökonomik des Datenschutzes, in: A. Peilert (Hg.), Private
Sicherheitsdienstleistungen und Datenschutz, S. 1-24.
• Alexander Roßnagel: Handbuch Datenschutzrecht, Verlag C.H. Beck 2003, ISBN 3-406-48441-7
• Martin Rost: Verkettbarkeit als Grundbegriff des Datenschutzes? in: Innovativer Datenschutz, Für Helmut
Bäumler 2004: 315–334, (PDF) [11]
• Peter Schaar: Das Ende der Privatsphäre. Der Weg in die Überwachungsgesellschaft. C. Bertelsmann. München
2007. ISBN 978-3-570-00993-2
• Christiane Schulzki-Haddouti: Vom Ende der Anonymität. Die Globalisierung der Überwachung. ISBN
3-88229-185-0
• Pär Ström: Die Überwachungsmafia. Das gute Geschäft mit unseren Daten. München 2005, ISBN 3-446-22980-9
• Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Praxishandbuch Schuldatenschutz, 2008
• Bogislav Wilmers-Rauschert: Datenschutz in der freien Jugend- und Sozialhilfe. 1. Aufl. 2004, Boorberg, ISBN
3-415-03367-8
Weblinks
www.datenschutz.de [12] – Virtuelles Datenschutzbüro
Deutscher Datenschutz- und Informationsfreiheitsbeauftragter [13]
Datenschutz-Wiki des BfDI [14]
Österreichische Datenschutzkommission [15]
Schweizerischer Datenschutz- und Öffentlichkeitsbeauftragter [16]
Datenschutzportal der Europäischen Union [17]
Gesetze, Akteure und Schutzmaßnahmen (nicht mehr online verfügbar) – Kommentierte Linksammlung zu
Datenschutz und Datensicherheit, Tagesschau/ARD
• Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der
Aufsichtsbehörden für den Datenschutz - ZAfTDa [18]
• Beschluss der EU Kommission über das angemessene Datenschutzniveau in Israel [19]
•
•
•
•
•
•
•
38
Datenschutz
39
Einzelnachweise
[1] Harvard Law Review IV, S. 193 ff (http:/ / groups. csail. mit. edu/ mac/ classes/ 6. 805/ articles/ privacy/ Privacy_brand_warr2. html)
[2] www.datenschutz-kommentar.de/novelle (http:/ / datenschutz-kommentar. de/ novelle/ )
[3] Völlige Unabhängigkeit der Datenschutzaufsicht, Schreiben der EU-Kommission über die Einleitung eines Vertragsverletzungsverfahrens
gegen die Bundesrepublik Deutschland (http:/ / www. lfd. niedersachsen. de/ master/ C12961914_N12250872_L20_D0_I560. html)
[4] § 5 Informationsfreiheitsgesetz (http:/ / bundesrecht. juris. de/ ifg/ __5. html)
[5] Bei unerwünschten Werbe-SMS: Bloß nicht antworten (http:/ / www. heise. de/ newsticker/ meldung/ 92998), heise.de, 19. Juli 2007
[6] Reinhard Vossbein: Datenschutz-Controlling: Kosten und Nutzen von Datenschutzlösungen, 2002, ISBN 3-922746-45-4
[7] Computerwoche.de: Welche Kosten können der Wirtschaft für den Datenschutz zugemutet werden? (http:/ / www. computerwoche. de/
heftarchiv/ 1976/ 13/ 1201036/ ), Computerwoche 13/1976
[8] Erwin Grochla (Hrsg.): Kosten des Datenschutzes in der Unternehmung, 1985, ISBN 3-528-03602-8
[9] Commission Regulation (EC) laying down detailed Implementing Rules for the medical fitness of civil aviation personnel pursuant to
Regulation (EC) No 216/2008 of the European Parliament and of the Council (http:/ / easa. europa. eu/ agency-measures/ docs/ opinions/
2010/ 07/ Draft Opinion Part-MED. pdf)
[10] http:/ / www. bpb. de/ files/ YRPN3Y. pdf
[11] http:/ / www. maroki. de/ pub/ privacy/ fgb_www. pdf
[12] http:/ / www. datenschutz. de/
[13] http:/ / www. bfdi. bund. de/
[14] http:/ / www. bfdi. bund. de/ bfdi_wiki/ index. php/ Hauptseite
[15] http:/ / www. dsk. gv. at/
[16] http:/ / www. derbeauftragte. ch/
[17] http:/ / ec. europa. eu/ justice_home/ fsj/ privacy/
[18] http:/ / www. fh-giessen-friedberg. de/ zaftda/
[19] http:/ / eur-lex. europa. eu/ LexUriServ/ LexUriServ. do?uri=OJ:L:2011:027:0039:01:DE:HTML
Basisdaten
Titel:
Datenschutzgesetz 2000
Langtitel:
Bundesgesetz über den Schutz
personenbezogener Daten
Abkürzung:
DSG 2000
Typ:
Bundesgesetz
Geltungsbereich:
Republik Österreich
Rechtsmaterie:
Datenschutzrecht
Inkrafttretensdatum:
1. Jänner 2000 (BGBl 165/1999)
Letzte Änderung:
30. Dezember 2009 (BGBl 135/2009)
Bitte beachten Sie den Hinweis zur geltenden Gesetzesfassung!
Das Datenschutzgesetz 2000 regelt den Schutz personenbezogener Daten in Österreich. Als solche gelten etwa
E-Mail-Anschrift, Geburtsdatum oder Telefonnummer. Diese oder ähnliche Angaben dürfen ohne vorherige
Zustimmung des Betroffenen nur in speziellen Fällen weitergegeben werden. Die Datenschutzkommission ist durch
dieses Gesetz eingerichtet.
Das DSG 2000 setzt die Europäische Datenschutzrichtlinie in nationales Recht um und wurde 2005 grundlegend
novelliert.
Definitionen (§ 4)
• Personenbezogene Daten sind Angaben zu Personen, deren Identität bestimmt oder zumindest bestimmbar sind.
z.B. Name, SV-Nr., Adressen
• Nur indirekt personenbezogen sind Daten, bei denen der Personenbezug der Daten vom Auftraggeber,
Dienstleister oder Empfänger mit rechtlich zulässigen Mitteln nicht bestimmt werden kann.
• Sensible Daten sind gesetzlich definiert: Daten über rassische oder ethnische Herkunft, politische Meinung,
Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben.
• Zustimmung ist die gültige, ohne Zwang abgegebene Willenserklärung der betroffenen Person zur konkreten
Verwendung der Daten "in Kenntnis der Sachlage". Diese kann schriftlich, mündlich oder auch schlüssig
abgegeben werden (keine Formvorschrift).
Räumlicher Anwendungsbereich
Die Bestimmungen sind in Österreich anzuwenden.
Darüber hinaus auf die Verwendung von Daten im Ausland, soweit in anderen Mitgliedstaaten der Europäischen
Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers (§ 3).
Öffentliche - Private Daten
Laut § 1 DSG 2000 hat jedermann Anspruch auf Geheimhaltung personenbezogener Daten. Eine öffentliche
Verfügbarkeit dieser Daten schließt diesen Anspruch jedoch aus. Im öffentlich-rechtlichen Bereich (Gerichte, Ämter
usw.) besteht jedoch eine gewisse Auskunftspflicht (siehe Amtshilfe, Vollzugshilfe).
Datensicherheit
Datensicherheitsmaßnahmen sind organisatorische, personelle und technische Maßnahmen zur Datensicherheit, um
eine ordnungsgemäße Datenverwendung zu sichern, die Daten vor Zerstörung und Verlust geschützt sind, dass ihre
Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.
Datengeheimnis (Verschwiegenheitspflicht)
Das Datengeheimnis des § 15 DSG 2000 verpflichtet Auftraggeber, Dienstleister und ihre Mitarbeiter Daten aus
Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder
zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit
kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.
Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln.
Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes
besteht, diese vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Grund von Anordnungen
übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses zum Auftraggeber oder
Dienstleister einhalten werden.
40
41
Einrichtungen nach dem DSG
Datenverarbeitungsregister
Hauptartikel: Datenverarbeitungsregister
Das Datenverarbeitungsregister vergibt eine siebenstellige Registernummer, die DVR-Nummer, an Unternehmen. In
Österreich besteht grundsätzlich Meldepflicht jeder Datenanwendung, allerdings mit einer Reihe von Ausnahmen im
Einzelfall.
Datenschutzkommission
Hauptartikel: Datenschutzkommission
Die Datenschutzkommission besteht aus sechs weisungsfreien
Datenschutzkommission ist im Bundeskanzleramt eingerichtet.
Mitgliedern.
Die
Geschäftsstelle
der
Kontrollbefugnisse der Datenschutzkommission
Die Kontrollbefugnisse ergeben sich aus § 30 DSG 2000:
• Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines
Auftraggebers oder Dienstleisters an die Datenschutzkommission wenden.
• Die Datenschutzkommission ist berechtigt, Räume des Auftraggebers oder Dienstleisters zu betreten,
Datenverarbeitungsanlagen in Betrieb zu setzen, Verarbeitungen durchzuführen und Kopien von Datenträgern
herzustellen.
• Die Datenschutzkommission kann zur Herstellung des rechtmäßigen Zustandes Empfehlungen aussprechen, für
deren Befolgung eine angemessene Frist gesetzt werden kann.
• Wird einer solchen Empfehlung nicht innerhalb der gesetzten Frist entsprochen, kann die Datenschutzkommission
u.a. ein Verfahren zur Überprüfung der Registrierung einleiten, Strafanzeige nach § 51 oder 52 erstatten, Klage
vor dem zuständigen Gericht nach § 32 Abs 5 erheben.
Gegen Bescheide der Datenschutzkommission
Verwaltungsgerichtshofes ist zulässig.
ist
kein
Rechtsmittel
zulässig.
Die
Anrufung
des
Datenschutzrat
Der Datenschutzrat ist beim Bundeskanzleramt eingerichtet. Er berät die Bundesregierung und die
Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes.
Die wesentlichen materiellen Pflichten
Grundrecht auf Datenschutzrecht
Alle Pflichten, die sich aus dem Datenschutzrecht ergeben, sind letztlich Ausfluss des Grundrechts auf
Datenschutzrecht[1] . Dieses steht in § 1 DSG 2000 im Verfassungsrang und lautet:
Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf
Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.
Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder
wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich
sind.
Der sachliche Schutzbereich dieses Grundrechts umfasst die Geheimhaltung personenbezogener Daten[2] .
Konsequenterweise wird dieses Grundrecht aus Ergänzung zu Artikel 8 EMRK angesehen[3] . Der persönliche
Schutzbereich umfasst natürliche Personen und juristische Personen[4] .
Indirekt ergibt sich daraus der Ansatz des Datenschutzrechts, dass personenbezogene Daten an sich nicht verwendet
werden sollen, außer es liegt eine Ausnahme vor, die dies zulässt. Die Lösung datenschutzrechtlicher Probleme ist
somit immer eine Suche nach Ausnahmen, um herauszufinden, ob die Verwendung von Daten zulässig ist oder nicht.
Insoweit spricht auch das Österreichische Datenschutzrecht von dem datenschutzrechtlichen Verbot mit
Erlaubnisvorbehalt[5] .
Zulässigkeit der Datenverwendung und Datenübermittlung, Nichtverletzung der
schutzwürdigen Geheimhaltungsinteressen
§ 7 Abs 1 DSG 2000 bestimmt, dass Daten grundsätzlich nur dann verarbeitet werden dürfen, soweit Zweck und
Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen
Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
Eine Übermittlung von Daten ist nach § 7 Abs 2 DSG 2000 nur dann zulässig, wenn diese
1. aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht
verletzt werden.
Die Zulässigkeit einer Datenverwendung setzt nach § 7 Abs 3 überdies voraus, dass die dadurch verursachten
Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung
stehenden Mitteln erfolgen und dass die Grundsätze des § 6 eingehalten werden.
Viele Unternehmen übersehen, dass auch innerhalb eines Konzerns Datenübermittlung zwischen
Konzerngesellschaften unter diese Bestimmung fallen, da es kein "Konzernprivileg" im Datenschutzrecht gibt und
Konzerngesellschaften (etwa die Mutter- und Tochtergesellschaft oder zwei Schwester-GmbHs) datenschutzrechtlich
wie "Dritte" zu behandeln sind (und daher unter Umständen durch solche Übermittlungen auch DVR-Meldepflichten
ausgelöst werden können).
Die oben beschriebenen, in § 7 Abs 1 enthaltenen "schutzwürdigen Geheimhaltungsinteressen" der Betroffenen sind
bei Verwendung nicht-sensibler Daten nach § 8 Abs 1 dann nicht verletzt, wenn
1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die
Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. Dies ist
etwa der Fall, wenn die Daten zur Vertragserfüllung notwendig sind.
Für sensible Daten enthält § 9 DSG 2000 eine abschließende Aufzählung, wann die schutzwürdigen
Geheimhaltungsinteressen nicht verletzt sind.
42
Datenschutzgrundsätze
§ 6 DSG 2000 enthält verschiedene Grundsätze, nach denen Datenverarbeitung erfolgen muss, etwa den Grundsatz
von Treu und Glauben, das Zweckbindungsprinzip, das Wesentlichkeitsprinzip, das Sachlichkeits- und
Aktualitätsprinzip und das Anonymisierungsprinzip.
Weitere materielle Pflichten
Bei jeder Datenanwendung muss u.a. auch die Einhaltung der Datensicherheitsmaßnahmen (§ 14), des
Datengeheimnisses (§ 15) und der Sonderbestimmungen beachtet werden, siehe bei den jeweiligen Überschriften in
diesem Beitrag.
Die formellen Pflichten
Meldepflicht beim DVR
Jeder Auftraggeber hat vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission
(Einzubringen direkt beim DVR) mittels eines Formulars zu erstatten. Es gibt eine Reihe von Ausnahmen zur
Meldepflicht; die wichtigste liegt vor, wenn die Datenanwendung einer Standardanwendung der Standard- und
Musterverordnung entspricht.
Die Aufgabe eines Auftraggebers ist somit vor allem, zu prüfen, ob die durchgeführten Datenanwendungen im
Hinblick auf die Menge der Datenarten und die Empfänger(kreise) der Daten Rahmen der Standardanwendungen
bleiben (dann besteht keine Meldepflicht) oder über diese Hinausgehen.
Die Meldungen sind aktuell zu halten. Bei Nichtmeldung oder Nichtaktuellhaltung droht eine Verwaltungsstrafe bis
EUR 9.445,-- (§ 52 Abs 2 DSG 2000) und es kann der "Verfall" von Datenträgern und Programmen ausgesprochen
werden (d.h. diese dürfen nicht mehr verwendet werden). Der Versuch ist strafbar.
Vorabkontrollpflichtige Datenanwendungen
Der Vollbetrieb einer meldepflichtigen Datenanwendung darf unmittelbar nach Abgabe der Meldung aufgenommen
werden (§ 18 Abs 1).
Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere
Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im
Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
1.
2.
3.
4.
sensible Daten enthalten oder
strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder
die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder
in Form eines Informationsverbundsystems durchgeführt werden sollen,
erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen werden.
43
Genehmigung für internationalen Datenverkehr durch DSK
Die Übermittlung und Überlassung von Daten an Empfänger in Mitgliedstaaten der Europäischen Union ist keinen
Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des
öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen (§ 12
Abs 1).
Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit
angemessenem Datenschutz (§ 12 Abs 2). Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird durch
Verordnung des Bundeskanzlers festgestellt. Aufgrund einer Datenschutz-Angemessenheits-Verordnung sowie
EU-Entscheidungen sind dies Argentinien, Canada, Schweiz, Guernsey, Isle of Man sowie US-Unternehmen, die
sich den Bestimmungen der Safe Harbor-Vereinbarung unterworfen haben.[6]
Darüber hinaus ist nach § 12 Abs 3 DSG 2000 der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
2. Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
3. die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im
innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt
werden oder
5. der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins
Ausland gegeben hat oder
6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen
abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen
Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19
Abs. 2) ausdrücklich angeführt ist oder
9. es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der
Meldepflicht ausgenommen sind.
Alle anderen Datenübermittlungen oder Datenüberlassungen sind nach § 13 DSG 2000 von der
Datenschutzkommission vorher mittels Bescheid zu genehm igen. Die Datenschutzkommission kann die
Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen.
Die Genehmigung ist, wenn im Empfängerstaat ein generell geltenden angemessenen Datenschutzniveaus fehlt, dann
zu genehmigen, wenn für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten
Einzelfall angemessener Datenschutz besteht; oder der Auftraggeber glaubhaft macht, dass die schutzwürdigen
Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt
werden.
Typischer Weise geschieht dies unter Zuhilfenahme der "Standardvertragsklauseln" der EU [7], die zwischen Sender
und Empfänger der Daten unterzeichnet werden und dann bei der Datenschutzkommission mit dem
Genehmigungsantrag mitgesandt werden.
Gerade in internationalen Konzernen ist die Genehmigung der verschiedensten Datenströme aufgrund des Fehlens
eines "Konzernprivilegs" zur Zeit- und Kostenintensiven Aufgabe gewachsen, was auf Kritik derselben stößt.[8]
Jüngste Entwicklung ist die Einführung so genannter Verbindlicher Unternehmensvorschriften ("Binding Corporate
Rules" - BCRs), die ein einheitliches Datenschutzniveau schaffen sollen und dadurch eine Verbesserung bei den
Genehmigungsverfahren.
44
Genehmigung von Informationsverbundssystemen durch DSK
Ein Informationsverbundsystem ist laut § 4 Z 13 DSG 2000 die gemeinsame Verarbeitung von Daten in einer
Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder
Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur
Verfügung gestellt wurden. Typischer Fall ist etwa, dass in einem Konzern mehrere Konzerngesellschaften in
dieselbe Datenbank (etwa Kunden-, CRM-, Mitarbeiterdatenbank) hineinarbeiten.
Für ein Informationsverbundsystem ist nach § 50 DSG 2000 ein Betreiber zu bestellen.
Informationsverbundsysteme sind nach § 17 Abs 2 Z 4 DSG 2000 vom DVR vorab zu genehmigen.
Schriftlicher Dienstleistervertrag beim Outsourcing
§ 11 Abs 2 DSG 2000 bestimmt, dass Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die
nähere Ausgestaltung der Dienstleisterpflichten zum Zweck der Beweissicherung schriftlich festzuhalten sind.
Diese Pflicht wird häufig übersehen, auch lange Outsourcing-Verträge oder Service-Level-Agreements enthalten oft
keinerlei Bestimmungen zum Datenschutzrecht.[9]
Die Datenschutzkommission stellt auf ihrer Webseite einen Mustervertrag [10] zum Download zur Verfügung.
Verpflichtung zum Datengeheimnis
Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers)
übermitteln. Siehe dazu oben zum Datengeheimnis.
Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes
besteht, diese vertraglich zu verpflichten, dass sie Daten aus Datenanwendungen nur auf Grund von Anordnungen
übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder
Dienstleister einhalten werden (§ 15 Abs 2).
Die vertragliche Verpflichtung kann etwa im Dienstvertrag, aber auch in einem gesonderten Dokument, etwa einer
Geheimhaltungserklärung oder einer vom Mitarbeiter zu unterschreibenden "Privacy Policy" erfolgen.
Die einzelnen Rechte
Recht auf Geheimhaltung
Ergibt sich aus dem Grundrecht in § 1 DSG 2000.
Recht auf Auskunft
Laut § 26 hat der Auftraggeber dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben.
Die erste Auskunft eines Jahres zu den aktuellen Daten hat dabei (nach Abs. 6) kostenfrei zu erfolgen.
Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger
oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in
allgemein verständlicher Form anzuführen.
Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der
Verarbeitung seiner Daten beauftragt sind.
Das Unternehmen hat einem Auskunftsbegehren innerhalb von acht Wochen nachzukommen oder schriftlich zu
begründen, warum sie nicht oder nicht vollständig erteilt wird. Bei Nichterledigung oder nicht
vollständiger/ordentlicher Erledigung seines Auskunftsbegehrens kann sich der Betroffene bei der
Datenschutzkommission beschweren. Die Beschwerde ist "formlos" etwa schriftlich oder per E-Mail an die DSK
möglich.
45
Recht auf Richtigstellung oder Löschung
Laut § 27 muss jeder Auftraggeber Daten korrigieren oder löschen wenn:
1. ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
2. auf begründeten Antrag des Betroffenen.
Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu
entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte
Löschung oder Richtigstellung nicht vorgenommen wird.
Sonderbestimmungen
Verwendung im familiären Rahmen
Nach § 45 DSG 2000 dürfen natürlichen Personen Daten für ausschließlich persönliche oder familiäre Tätigkeiten
verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt wurden oder ihnen sonst rechtmäßigerweise,
insbesondere in Übereinstimmung mit § 7 Abs 2 zugekommen sind. Für andere Zwecke dürfen solche Daten nur mit
Zustimmung des Betroffenen übermittelt werden.[11]
Statistische Datenerhebungen
§ 46 DSG 2000 enthält Sonderbestimmungen für wissenschaftliche Forschung und Statistik.
Adressverzeichnisse
Sonderbestimmungen für Adressverlage in § 151 GewO.
Kein Datenschutzbeauftragter in Österreich
Die Rolle eines Datenschutzbeauftragten ist im Wesentlichen eine deutsche Erfindung, die nur in wenigen anderen
Ländern übernommen wurde.[12] Die EU-Datenschutzrichtlinie 95/46/EG enthält in Art. 18 Abs. 2 mehrere
unterschiedliche Möglichkeiten für die Mitgliedsstaaten, die Meldepflicht zu vereinfachen. Der
Datenschutzbeauftragte ist nur eine Option. Das österreichische Datenschutzgesetz sieht keinen betrieblichen
Datenschutzbeauftragten vor.
Auch wenn es keine Verpflichtung zur Einsetzung eines betrieblichen Datenschutzbeauftragten gibt, ist es vor allem
in größeren Unternehmen durchaus üblich eine bestimmte Person mit Agenden des Datenschutzrechts zu befassen,
um etwa die Einhaltung formaler Pflichten wie Melde- und Genehmigungspflichten, die Abarbeitung von
Auskunftsanfragen nach § 26 sicherzustellen und eine "Schnittstelle" zum Betriebsrat in Fragen der
Personaldatenverarbeitung zu haben. Im Ministerialentwurf zur Novelle zum DSG 2008 ist eine Verpflichtung zur
Bestellung eines Datenschutzbeauftragten für Betriebe mit mindestens 20 Mitarbeitern enthalten (§ 15a).[13] Dies
wird in den Stellungnahmen mehrfach kritisiert.[14] [15] [16] Im überarbeiteten Entwurf (DSG-Novelle 2010 [17] ) ist
die Verpflichtung nicht mehr enthalten.
46
Arbeitnehmerdatenschutz
§§ 96 und 96a ArbVG enthalten Bestimmungen u.a. über Personaldatensysteme, Personalbeurteilungssysteme,
Personalüberwachungssysteme. Derartige Systeme können betriebsratspflichtig sein.
Ein typischer Fall für eine Betriebsratspflicht ist die betriebliche Videoüberwachung von Mitarbeitern, die überdies
beim DVR vorab zugenehmigen ist, wenn die Videobilder digital gespeichert werden.
Ein anderer Fall, in dem sowohl Betriebsratspflicht als auch Melde- und Genehmigungspflichten bei DVR und DSK
ausgelöst werden können, ist die Einführung von Whistleblowing-Systemen.
Schadenersatz und Strafen
Schadenersatz
Schadenersatz ist nach § 33 DSG 2000 auf dem Zivilrechtsweg einzuklagen.[18]
Strafgerichtliche Strafbestimmungen
• § 51 DSG 2000: Datenverwendung in Gewinn- und Schädigungsabsicht: Bis 1 Jahr Freiheitsstrafe.
• Straftatbestände des "Computerstrafrechts" im StGB, z.B. § 126a StGB Datenbeschädigung bis 5 Jahren
Freiheitsstrafe.
Verwaltungsstrafbestimmungen
• bis EUR 25.000 Geldstrafe für vorsätzlichen oder widerrechtlichen Zugang zu einer Datenanwendung,
vorsätzliche Verletzung des Datengeheimnisses oder wenn entgegen einem rechtskräftigem Urteil oder Bescheid
Daten verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder wenn Daten vorsätzlich entgegen §
26 Abs 7 DSG 2000 gelöscht werden.
• bis EUR 10.000 Geldstrafe für Nichterfüllung der Meldepflicht, Datenübermittlung ins Ausland ohne
Genehmigung der Datenschutzkommission, Verletzung von Offenlegungs- oder Informationspflichten, gröbliches
Außerachtlassen von Sicherheitsmaßnahmen.
Der Versuch ist strafbar. In allen Fällen kann der "Verfall" von Datenträgern und Programmen ausgesprochen
werden (d.h. diese dürfen nicht mehr verwendet werden).
Zuständig für die Entscheidung ist die Bezirksverwaltungsbehörde.
Literatur
• Dohr, Pollirer, Weiss: DSG, Kommentar. Loseblattsammlung (Verlag Manz, Wien)
• Knyrim: Praxishandbuch Datenschutzrecht, Leitfaden für richtiges Registrieren, Verarbeiten, Übermitteln,
Zustimmen, Outsourcen, Werben uvm.. Verlag Manz, Wien, 1. Auflage 2003
• Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich
zwischen deutschem, englischem und österreichischem Recht. Verlag Dr. Kovac, Hamburg 2011, ISBN
978-3-8300-5418-4.Link zum Buch [19]
47
Weblinks
• Datenschutzgesetz [20] im Rechtsinformationssystem der Republik Österreich (RIS)
•
•
•
•
•
Literatur zum österreichischen Datenschutzrecht [21]
ARGE Daten – Österreichische Gesellschaft für Datenschutz [22]
Datenschutzkommission [23]
Musterformular für Auskunftsbegehren [24] (PDF-Datei; 31 kB)
Datenschutzbericht 2005 der Datenschutzkommission [25] (PDF-Datei)
Einzelnachweise
[1] Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem
und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, S. 329
[6] http:/ / ec. europa. eu/ justice_home/ fsj/ privacy/ thridcountries/ index_en. htm
[7] http:/ / ec. europa. eu/ justice_home/ fsj/ privacy/ modelcontracts/ index_de. htm
[8] http:/ / www. preslmayr. at/ puplikationen/ ArtikelKnyrim_Rechtspanorama%2030. 10. 06. pdf
[9] http:/ / www. preslmayr. at/ puplikationen/
ArtikelKnyrim_Datenschutz%20und%20Datenrettung%20beim%20Outsourcing__EcolexHeft504. pdf
[10] https:/ / www. dsk. gv. at/ site/ 6208/ default. aspx
[11] OGH-Entscheidung zur Verwendung "eigener Daten" zum Download (http:/ / www. preslmayr. at/ puplikationen/
ArtikelKnyrim_Schutz_seiner_Kundendaten_EcolexHeft873. pdf)
[12] Gesellschaft für Datenschutz und Datensicherung: Berufsbild Datenschutzbeauftragter: Eine deutsche „Success Story“ mit Vorbildwirkung
(https:/ / www. gdd. de/ nachrichten/ news/ berufsbild-datenschutzbeauftragter-eine-deutsche-201esuccess-story201c-mit-vorbildwirkung), 27.
April 2005
[13] Österreichisches Parlament: 182/ME (XXIII. GP) Datenschutzgesetz-Novelle 2008 (http:/ / www. parlament. gv. at/ PG/ DE/ XXIII/ ME/
ME_00182/ pmh. shtml)
[14] Stellungnahme des Datenschutzrates zur DSG-Novelle 2008 (http:/ / www. parlament. gv. at/ PG/ DE/ XXIII/ ME/ ME_00182_90/
imfname_116932. pdf)
[15] Stellungnahme der Wirtschaftskammer zur DSG-Novelle 2008 (http:/ / www. parlament. gv. at/ PG/ DE/ XXIII/ ME/ ME_00182_60/
imfname_110766. pdf)
[16] Stellungnahme des Österreichischen Roten Kreuzes zur DSG-Novelle 2008 (http:/ / www. parlament. gv. at/ PG/ DE/ XXIII/ ME/
ME_00182_48/ imfname_110753. pdf)
[17] DSG-Novelle 2010 (http:/ / www. parlament. gv. at/ PG/ DE/ XXIV/ ME/ ME_00062/ pmh. shtml)
[18] OGH-Entscheidung zu § 33 (http:/ / www. preslmayr. at/ puplikationen/
ArtikelKnyrim_Schadensersatz_wegen_Warnlisteneintragung_medien_und_recht_02. 2006. pdf)
[19] http:/ / www. verlagdrkovac. de/ 978-3-8300-5418-4. htm
[20] http:/ / www. ris2. bka. gv. at/ GeltendeFassung. wxe?QueryID=Bundesnormen& Gesetzesnummer=10001597
[21] http:/ / www. preslmayr. at/ datenschutz. htm
[22] http:/ / www. argedaten. at
[23] http:/ / www. dsk. gv. at
[24] http:/ / www. arbeiterkammer. at/ pictures/ d24/ Muster_Auskunftsbegehren. pdf
[25] http:/ / www. dsk. gv. at/ Datenschutzbericht2005. pdf
48
Computerkriminalität ist im engeren Sinne die Bezeichnung für Straftaten besonders der Wirtschaftskriminalität,
bei denen der Computer als Tatmittel oder als Gegenstand der deliktischen Handlungen eine wesentliche Rolle
spielt. Der Begriff wird umgangssprachlich im weiteren Sinne auch für im Zusammenhang mit Computern stehende
Handlungen verwandt, die zwar keine Straftaten, jedoch rechtswidrige Handlungen darstellen. Dabei hängt die
Zuordnung zu den jeweiligen Bereichen insbesondere davon ab, ob am entsprechenden Tatort einschlägige
Strafvorschriften existieren.
Nach der polizeilichen Kriminalstatistik zählen im engeren Sinne zur Computerkriminalität[1] (bezogen auf
Deutschland):
•
•
•
•
•
•
Betrug mittels rechtswidrig erlangter Kreditkarten mit PIN
Computerbetrug (§ 263a StGB)
Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung (§§ 269, 270 StGB)
Datenveränderung, Computersabotage (§§ 303a, 303b StGB)
Ausspähen von Daten (§ 202a StGB)
• Softwarepiraterie
• private Anwendung z. B. Computerspiele, oder
• in Form gewerbsmäßigen Handelns
• Herstellen, Überlassen, Verbreiten oder Verschaffen sogenannter „Hacker-Tools“, welche darauf angelegt sind,
„illegalen Zwecken zu dienen“, („Hackerparagraf“ § 202c StGB)[2]
Zur Computerkriminalität im weiteren Sinne zählen (bezogen auf Deutschland):
• alle Delikte, bei denen die EDV zur Planung, Vorbereitung oder Ausführung eingesetzt wird
Quellen
[1] PKS BKA, Computerkriminalität 2005 (http:/ / www. bka. de/ pks/ pks2005/ p_3_21. pdf)
[2] Tagesschau: Bundesrat billigt Gesetz zu Computerkriminalität – Per Gesetz in die Illegalität gedrängt? (nicht mehr online verfügbar)
Weblinks
• CuMK – Modus Operandi: Mediendelikte – Kommentar zu Erscheinungsformen der IuK-Kriminalität (http://
www.mediendelikte.de/)
• § 303a StGB Datenveränderung (http://bundesrecht.juris.de/bundesrecht/stgb/__303a.html), § 303b StGB
Computersabotage (http://bundesrecht.juris.de/bundesrecht/stgb/__303b.html)
• INHOPE (https://www.inhope.org/) – Dachverband von Internet-Beschwerdestellen, die transnational
operieren und Beschwerden über illegale Inhalte im Internet entgegennehmen.
• Aufsatz: Zur Strafbarkeit von Kopierschutzmaßnahmen auf Audio-CDs gemäß § 303a StGB (http://www.
hrr-strafrecht.de/hrr/archiv/03-07/index.php3?seite=6)
• Aufsatz: Phishing: Brauchen wir einen Sondertatbestand zur Verfolgung des Internetphishings? (http://www.
hrr-strafrecht.de/hrr/archiv/04-12/index.php3?seite=6)
• „Cyberkriminalität wird zum Milliardengeschäft“ (http://www.sueddeutsche.de/,cm2/computer/artikel/583/
71512/) – Interview mit Jewgenij und Natalya Kaspersky („Süddeutsche Zeitung“, 8. März 2006 – vgl.
Kaspersky Labs)
• Homepage Europarat Cyberkriminalität (http://www.coe.int/t/DG1/LEGALCOOPERATION/
ECONOMICCRIME/cybercrime/default_en.asp)
49
• Schultz, Neue Strafbarkeiten und Probleme – Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur
Bekämpfung der Computerkriminalität vom 20. September 2006 = MIR Dok. 180–2006 (http://www.
medien-internet-und-recht.de/volltext.php?mir_dok_id=398)
Computerbetrug
Computerbetrug ist in Deutschland gemäß § 263a [1] des Strafgesetzbuches (StGB) strafbar. Wegen des
Regelstrafrahmens von Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe handelt es sich nach § 12 Abs. 2 StGB um
ein Vergehen. Auf Grund des Vergehenscharakters des Computerbetruges ergibt sich die Strafbarkeit des Versuchs
nicht aus § 23 Abs. 1 Var. 1 StGB, sondern bedarf nach § 23 Abs. 1 Var. 2 StGB der ausdrücklichen Bestimmung im
Gesetz. Die Versuchsstrafbarkeit des Computerbetruges folgt jedoch aus § 263a Abs. 2 StGB in Verbindung mit
§ 263 [2] II StGB. Geschütztes Rechtsgut des § 263a StGB ist (wie bei § 263 StGB) das Vermögen.
Der Tatbestand des Computerbetruges dient vor allem dazu, Täuschungshandlungen, die gegenüber Computern oder
Automaten in der Absicht begangen werden, sich einen rechtswidrigen Vermögensvorteil zu verschaffen, unter
Strafe zu stellen; denn beim Computerbetrug irrt sich kein Mensch, wie es der Tatbestand des Betruges gemäß § 263
StGB fordert. Vor diesem Hintergrund muss die Auslegung des § 263a StGB betrugsnah geschehen, also im
Hinblick darauf, ob, wenn an Stelle des Computers ein Mensch stünde, ein Betrug gemäß § 263 Abs. 1 StGB
gegeben wäre.
Der Tatbestand umfasst zwei generelle Merkmale:
1. Es muss eine Datenverarbeitung vorliegen.
2. Diese wird beeinflusst.
Datenverarbeitung ist dabei ein elektronisch-technischer Vorgang, bei dem durch Aufnahme und Verknüpfung von
Daten ein Arbeitsergebnis erzielt wird. Die Beeinflussung dieses Datenverarbeitungsvorgangs ist nicht nur das
„Hineinregieren“ in einen bereits ablaufenden Vorgang, sondern (nach zutreffender Auffassung) auch das
Ingangsetzen des Vorgangs.
Tatbestandsmäßig ist die Beeinflussung, wenn mindestens eine von vier möglichen Handlungen vorliegt:
1.
2.
3.
4.
die unrichtige Gestaltung des Programms
die Verwendung unrichtiger oder unvollständiger Daten
die unbefugte Verwendung von Daten
die sonst unbefugte Einwirkung auf den Ablauf.
Die erforderliche betrugsnahe Auslegung des Tatbestandes kommt insbesondere in den beiden zuletzt genannten
Tathandlungen zum Ausdruck: Eine unbefugte Verwendung von Daten ist (nach umstrittener, aber zutreffender
Auffassung) gegeben, wenn das Verhalten des Täters bei der Datenverwendung Täuschungswert hat. Unerheblich
ist, ob die Daten durch den Computer überprüft werden (zu enge computerspezifische Auslegung), während
andererseits es nicht ausreicht, dass die Datenverwendung dem Willen des über die Datenverarbeitungsanlage
Verfügungsberechtigten entspricht (zu weite subjektivierende Auffassung).
50
Computerbetrug
Weblinks
• Gesetzestext § 263a StGB [3]
• Online-Kommentierung zu § 263a StGB [4]
• MIR Dok. 100–2006 – Bemerkung zur polizeilichen Kriminalitätsstatistik 2005 im Bezug auf Phänomene der
IuK-Kriminalität [5]
• Website mit Forum zu aktuellen Fällen und allgemeinen Rechtsfragen zu diesem Thema [6]
Fußnoten
[1]
[2]
[3]
[4]
[5]
[6]
http:/ / dejure. org/ gesetze/ StGB/ 263a. html
http:/ / dejure. org/ gesetze/ StGB/ 263. html
http:/ / bundesrecht. juris. de/ bundesrecht/ stgb/ __263a. html
http:/ / www. mediendelikte. de/ 263aComputerbetrug. htm
http:/ / www. medien-internet-und-recht. de/ volltext. php?mir_dok_id=315
http:/ / www. computerbetrug. de
Hacker aus dem Bereich der Computersicherheit beschäftigen sich mit Sicherheitsmechanismen und deren
Schwachstellen. Während der Begriff auch diejenigen beinhaltet, die Sicherheitslücken suchen, um sie aufzuzeigen
oder zu korrigieren, wird er von den Massenmedien und in der allgemeinen Öffentlichkeit häufiger für Personen
benutzt, die unerlaubt in fremden Systemen solche Lücken ausnutzen. Entsprechend ist der Begriff stark positiv
beziehungsweise negativ belegt.[1]
Abhängig von der Motivation und Loyalität zu den Gesetzen, wird unterschieden zwischen White-Hat-, Grey-Hatund Black-Hat-Hackern, wobei insbesondere Black-Hats auch als Cracker bezeichnet werden.
White-, Grey- und Black-Hats
Nachdem eine Gruppe jugendlicher Hacker, bekannt als The 414s, in zahlreiche Computersysteme der Vereinigten
Staaten eindrang, forderte der Kongressabgeordnete Dan Glickman eine Untersuchung und neue Gesetze gegen das
Hacken.[2] Neal Patrick, der damals 17-jährige Sprecher der Hackergruppe, wurde am 26. September 1983 vor dem
Repräsentantenhaus der Vereinigten Staaten über die Gefahren des Hackens befragt, und noch im gleichen Jahr
wurden sechs Gesetzesentwürfe zur Computerkriminalität in das Repräsentantenhaus eingebracht.[3] In Deutschland
wurde im August 1986 Computersabotage im Allgemeinen, und die unbefugte Manipulation von Daten im
besonderen, als spezielle Form der Sachbeschädigung in das Strafgesetzbuch aufgenommen (§ 202a, § 303a und
§ 303b des StGB).
Nach der Einführung der Gesetze zur Computerkriminalität begannen sich White-Hat-, Grey-Hat- und
Black-Hat-Hacker voneinander abzugrenzen, abhängig von der Gesetzmäßigkeit ihrer Tätigkeiten. Diese Einteilung
basiert auf alten Western-Filmen, welche „Cowboys“ aufgrund ihrer Hutfarbe als „gut“ (weiß), „neutral“ (grau) oder
„böse“ (schwarz) charakterisiert:
White-Hats („Weiß-Hüte“):
Verwenden ihr Wissen sowohl innerhalb der Gesetze als auch innerhalb der Hackerethik, beispielsweise
indem sie professionelle Penetrationstests ausführen.
Black-Hats („Schwarz-Hüte“):
Handeln mit krimineller Energie und beabsichtigen beispielsweise, das Zielsystem zu beschädigen oder Daten
zu stehlen.
Grey-Hats („Grau-Hüte“):
51
Verstoßen möglicherweise gegen Gesetze oder restriktive Auslegungen der Hackerethik, allerdings zum
Erreichen eines höheren Ziels. Beispielsweise durch die Veröffentlichung von Sicherheitslücken, um ein
Leugnen unmöglich zu machen und die Verantwortlichen dazu zu zwingen, diese zu beheben. Grey-Hats
zeichnen sich dadurch aus, dass sie nicht eindeutig als „gut“ oder „böse“ einzustufen sind.
Mangels klarer Trennlinie nimmt diese Unterteilung in der Praxis wenig Bezug auf real existierende Personen und
steht vielmehr als Begrifflichkeit für eine bestimmte Art des Hackens.
Kontroverse zum Hackerbegriff
Als Reaktion auf schlechte Presse vertritt das Jargon File seit 1990 den Standpunkt, dass der Begriff ‚Hacker’ für die
Personengruppen, die ihre Aktivitäten betont auf die Umgehung von Sicherheitsmechanismen legen, ungeachtet
ihrer Motivation zu missbilligen ist und schlägt stattdessen Cracker vor.[4] Die Forderung, ein anderes Wort zu
verwenden, wurde jedoch von der Presse nicht wahrgenommen oder weitestgehend ignoriert.
Hacker aus dem Bereich der Computersicherheit, insbesondere der Teil, der sich als gesetzestreu versteht, erheben
weiterhin einen Mitverwendungsanspruch auf den Hackerbegriff und akzeptieren die Bezeichnung als Cracker nur
für die dunkler gefärbten Richtungen. Auch von ihnen wird mitunter eine deutliche Abgrenzung zwischen Hacker
und Cracker gefordert. Ein Teil derart abgegrenzter Cracker möchten sich jedoch ebenfalls als Hacker bezeichnet
wissen.
Daneben zählen Skriptkiddies innerhalb der Computersicherheit zu den Crackern. Sie nutzen vorgefertigte
Automatismen, um (meist unter schriftlicher Anleitung) in fremde Computersysteme einzudringen oder sonstigen
Schaden anzurichten. Obgleich ihnen die beim Hackerbegriff notwendige tiefe Grundlagenkenntnis der Materie
fehlt, werden Skriptkiddies innerhalb des Boulevardjournalismus gewöhnlich als „Hacker“ betitelt.[5]
Populäre Techniken
Social Engineering
Beschreibt eine Technik, die es erlaubt, über gesellschaftliche Kontakte an die vom Hacker begehrten
Informationen zu gelangen.
Trojanisches Pferd
Als Trojanisches Pferd bezeichnet man ein Programm, welches als nützliche Anwendung getarnt ist, im
Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.
Backdoor
Dieser Begriff bezeichnet einen (oft vom Autor eingebauten) Teil eines Computerprogramms, der es
Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer
sonst geschützten Funktion eines Computerprogramms zu erlangen. Als Beispiel sei das Universalpasswort für
ein BIOS genannt oder eine spezielle (meist durch einen Trojaner heimlich installierte) Software, die einen
entsprechenden Fernzugriff auf das Computersystem ermöglicht.
Rootkits
Die Rootkit-Technik dient dazu, bestimmte Objekte und Aktivitäten vor den Augen des Anwenders zu
verbergen. So werden sie meist nach dem Einbruch in ein Computersystem auf dem kompromittierten System
installiert, um geheime Prozesse und Dateien zu verstecken sowie zukünftige Logins des Eindringlings zu
verbergen.
Denial of Service (DoS)
Meint eine Außerstandsetzung eines Netzwerkdienstes, beispielsweise durch Überlastung.
Exploit
52
Ein Exploit ist ein Computerprogramm oder Skript, welches spezifische Schwächen oder Fehlfunktionen eines
anderen Computerprogramms ausnutzt, um erweiterte Privilegien zu erlangen oder um eine DoS-Attacke
auszuführen.
Vulnerability Scanner
Diese Technik dient der automatischen Analyse von Computersystemen. Dabei suchen Hilfsprogramme
gezielt nach Sicherheitslücken in einer Anwendung, einem Computer oder einem Netzwerk und können dabei
helfen, Anfälligkeiten zu erkennen.
Sniffer
Ein Sniffer realisiert die Technik, den Datenverkehr eines Netzwerks oder eines am Rechner angeschlossenen
Gerätes zu empfangen, aufzuzeichnen, darzustellen und gegebenenfalls auszuwerten. Beispielsweise kann ein
Netzwerk-Sniffer dafür genutzt werden, um Passwörter auszuspionieren und übertragene Daten einzusehen.
Keylogger
Eine Technik zum Aufzeichnen der Tastatureingaben, zum Beispiel um an diverse Zugangsdaten zu gelangen.
Virus
Ein Computervirus ist ein Computerprogramm oder Skript, welches die spezielle Eigenschaft hat, sich selbst
zu reproduzieren, sobald es einmal ausgeführt wird. Dadurch gelangt der Virus auf andere Datenträger, wie
Netzwerklaufwerke und Wechselmedien. Durch Interaktion des Benutzers, der ein infiziertes Wechselmedium
an ein anderes System anschließt oder eine infizierte Datei startet, gelangt der Virencode auch dort zur
Ausführung, wodurch weitere Systeme von dem Virus infiziert werden. Neben der geheimen Verbreitung kann
die Schadfunktion des Virus vom Anwender nicht kontrollierbare Veränderungen am System vornehmen. Auf
diese Weise ist es möglich, zahlreiche Rechner eines Firmennetzwerks oder gar Server aus dem Internet halb
automatisiert zu kompromittieren.
Wurm
Im Gegensatz zum Virus benötigt der Computerwurm ein auf dem System bereits installiertes Hilfsprogramm,
welches er dazu verwendet, um sich auf ein anderes System zu kopieren. Das könnte zum Beispiel ein
bestimmtes E-Mail-Programm sein, welches der Wurm fernsteuert, um sich an alle dort eingetragenen
Adressaten zu verteilen. Je nach Art des Hilfsprogramms kann sich der Wurmcode auf dem neu infizierten
System manchmal sogar selbst ausführen, weshalb dann keine Interaktion mit dem Benutzer mehr notwendig
ist, um sich von dort aus weiter zu verbreiten. Daher ist diese Methode sehr effizient. Auf Systemen, die nicht
über das benötigte Hilfsprogramm verfügen, kann sich der Wurm allerdings nicht reproduzieren.
physischer Zugang
Eine häufig unterschätzte Möglichkeit, sich Zugang zu verschaffen, besteht darin, in die Räumlichkeiten zu
gelangen, in denen sich sicherheitskritische Hardware befindet.
Historischer Abriss aus dem Bereich Phreaking und Computersicherheit
Chronisten der Hackerkultur gehen bei ihrer Suche nach dem Ursprung teilweise zurück bis in die Antike. Die
griechische Erfindung des Trojanischen Pferdes gilt manchen als erster Hack überhaupt.[6] Operatoren der
Telegrafen- (seit Mitte der 1840er) und Telefonnetze (seit Ende der 1870er), die häufig ebensolche
Technikenthusiasten waren, wie die Hacker heute, nutzten ihr Wissen, um das Netz für ihre eigenen Zwecke zu
verwenden. Sie gelten als Vorläufer der heutigen Hacker.[6] Einer der berühmtesten unter ihnen war der Erfinder
Thomas A. Edison.[6] Die entsprechende Verwendung des Wortes Hacker ist eng mit der Geschichte des Computers
verbunden, wobei Hacker aus dem Bereich der Netzwerk- und Computersicherheit aus der Subkultur des Phreaking
hervorgegangen sind:[7] [6]
53
1971 veröffentlicht der Yippie Abbie Hoffman in seinem Buch „Steal This Book“ und einem Rundbrief namens
„Youth International Party Line“ Methoden, um die Gebührenzahlung an Telefongesellschaften zu umgehen. Im
selben Jahr erscheint auch ein entsprechender Bericht im Hochglanzmagazin „Esquire“,[8] sowie ein Jahr später im
radikalen Magazin „Ramparts“. Infolgedessen entsteht die Ära des kostenlosen Telefonierens, das sogenannte
Phreaking. Dies stellt die erste markante Assoziation zwischen dem Begriff Hacken und dem Überwinden von
Sicherheitsbarrieren dar, in dessen Zusammenhang oft der Hacker John T. Draper, auch bekannt als Captain Crunch,
und Joe Engressia erwähnt wird.
1973 sind die beiden späteren Gründer von Apple Computer, Steve Wozniak und Steve Jobs, auch im
Phreaking-Umfeld aktiv und bauen zusammen mit John T. Draper Blue-Boxes.[6]
1981 wird der Chaos Computer Club (CCC) gegründet, ein deutscher Verein von und für Hacker, der im deutschen
Raum hauptsächlich für die Belange im Bereich Datenschutz, Informationsfreiheit und Datensicherheit tätig ist und
für ein Menschenrecht auf Kommunikation eintritt. Er wird gegründet, um Hackern eine Plattform zu geben, so dass
sie über Aktivitäten und entdeckte Sicherheitslücken berichten können, ohne Strafverfolgung befürchten zu müssen.
1982 bricht eine Gruppe von sechs Teenagern in etwa 60 Rechnersysteme von Institutionen ein, die sich von
Laboratorien aus Los Alamos bis Manhattans Krebszentrum Sloan-Kettering erstrecken, bevor sie festgenommen
werden. Die Hackergruppe nennt sich nach der Vorwahl ihres Ortes Milwaukee „The 414s“. Sie werden im darauf
folgenden Jahr vom FBI gefasst, wodurch der Fall eine große Popularität erlangt. Aufgrund der damaligen
Gesetzeslage werden die meisten von ihnen jedoch nicht angeklagt. In der Cover-Story des Newsweek-Artikels
„Beware: Hackers at play“ vom 5. September 1983 findet sich ihre Geschichte wieder. Das ist die erste Benutzung
des Worts ‚Hacker‘ in überregionalen Medien, die den Begriff in abwertender Weise verwenden.
1983 erscheint der Film WarGames und führt in der breiten Öffentlichkeit zum Phänomen der Massenparanoia vor
Hackern und ihren mutmaßlichen Fähigkeiten, durch hacken eine nukleare Katastrophe herbeiführen zu können.
Gleichzeitig erhält der Geheimdienst Secret Service eine Abteilung für Kreditkarten- und Computerbetrug.
1984 startet der erste alljährliche Chaos Communication Congress, die älteste und größte internationale
Hackerkonferenz in Europa. Im selben Jahr stellt der CCC mit dem BTX-Hack eine Schwachstelle im bislang als
sicher titulierten BTX-System der Bundespost unter Beweis. Ebenfalls 1984 gründet jemand, der sich Lex Luthor
nennt, eine Hackergruppe namens „Legion of Doom“ (LoD/H), die später eine der bekanntesten Hackergruppen wird
und sich mit einer konkurrierenden Gruppe „Masters of Deception“ einen erbitterten Kampf liefert. In den frühen
1990er Jahren werden beide Hackergruppen in Zusammenarbeit zwischen dem Secret Service und dem FBI
zerschlagen, wobei viele ihrer Mitglieder verhaftet werden.
1985 wird Loyd Blankenship (ein bekannter US-amerikanischer Hacker, der sich selbst „The Mentor“ nennt)
verhaftet, woraufhin er ein noch heute oft zitiertes Schreiben mit dem Titel „Hacker’s Manifesto“ veröffentlicht. Es
verschafft einen groben Einblick in die Gefühlswelt eines damaligen Hackers der Phreaking-Kultur. Im selben Jahr
beginnt eine Hannoversche Hackergruppe um Karl Koch und Markus Hess mit einer Reihe von Einbrüchen in
verschiedene westliche Computersysteme, um die Daten an den russischen Geheimdienst (KGB) zu verkaufen. Die
Hacks werden unter anderem durch einen Bug in der Emacs-Komponente movemail möglich. Erst im März 1989
gelingt es der Polizei und dem Bundesnachrichtendienst die Hackergruppe endgültig zu zerschlagen, wobei der
KGB-Hack in der Öffentlichkeit auf sich aufmerksam macht, da er den ersten bekannten Cyberspionagefall darstellt.
1987 wird die Organisation „Computer Emergency Response Team“ (CERT) gegründet, die sich durch öffentliche
Mittel finanziert und möglichst zeitnah Warnungen vor Sicherheitslücken herausgibt. Im selben Jahr gelingt es
norddeutschen Hackern, Zugriff auf die Systeme im von NASA und ESA betriebenen SPANet zu erhalten, was
später als NASA-Hack bezeichnet wird.
1988 schreibt Robert Tappan Morris aus Neugierde ein Programm, welches auf dem UNIX-System automatisiert
nach bekannten Schwachstellen sucht. Es ist in der Lage, diese Schwachstellen zu gebrauchen, um sich auf andere
Systeme zu kopieren und dort auszuführen. Als sein Versuch außer Kontrolle geriet, sieht sich die Computerwelt mit
dem ersten Wurm konfrontiert, der sich über das ARPAnet (dem Vorgänger zum Internet) verbreitet und dank seiner
54
permanent arbeitenden Verbreitungsroutine über 6.000 vernetzte Computer der Regierung und Universitäten
blockiert. Über ein unzureichend gesichertes Computersystem gelingt es im selben Jahr erstmals einem Eindringling,
die First National Bank von Chicago um 70 Millionen US$ zu erleichtern. Wenig später wird der Hacker Kevin
Mitnick, alias condor, verhaftet, weil er die E-Mail von Sicherheitsbeamten des MCI Communications und Digital
Equipment Corporation (DEC) insgeheim überwachte. Acht Monate in Einzelhaft und weitere sechs Monate im Half
Way House sind die Folge seiner Tat. Danach soll er, größtenteils mit Hilfe von Social Engineering, mehrfach in das
Netzwerk des Pentagon eingedrungen sein. Auch legt man ihm den Einbruch in das System der NSA und das
Eindringen in das NORAD-Netzwerk zur Last, wobei er selbst vor allem Letzteres immer bestritten hat. Mehr als
fünf Jahre lang gilt er als die meistgesuchte Person in den USA, bis er 1995 erneut vom FBI verhaftet und zunächst
zwei Jahre ohne Gerichtsverhandlung gefangen gehalten wird. Ebenfalls im Jahr 1988 wird Kevin Poulsen
beschuldigt, Telefonanlagen manipuliert zu haben. Zu einer erfolgreichen Anklage kommt es jedoch erst 1993, in der
ihm und zwei seiner Freunde, Ronald Austin und Justin Peterson, vorgeworfen wird, zwischen 1990 und 1993
zahlreiche Radiogewinnspiele manipuliert zu haben. Das Trio erlangte Kontrolle über alle Telefonleitungen der
Radiostation und stellte damit sicher, dass ausschließlich ihre eigenen Anrufe durchkamen, wodurch sie zwei
Porsche, 20.000 US$ und einige Reisen gewannen. Kevin Poulsen verbringt daraufhin fünf Jahre seines Lebens im
Gefängnis.
1990–1999 Das Aufkommen von Würmern und Viren nimmt in dieser Zeit rapide zu. 1993 startet die erste
DEF CON, eine alljährliche Hackerkonferenz, in Las Vegas. Mitte der 1990er Jahre berichtet der US-amerikanische
Bundesrechnungshof, dass im Schnitt 250.000 Mal im Jahr Hacker versuchen, auf Dateien des
Verteidigungsministeriums zuzugreifen. Nach deren Bericht sind etwa 65 Prozent der Versuche erfolgreich.[9] 1997
dringt ein 15 Jahre alter kroatischer Jugendlicher in die Computer einer Luftwaffenbasis in Guam, USA, ein. Eine
Gruppe von Hackern um Natasha Grigori, Gründerin von antichildporn.org, nutzen erstmals in der Hackergeschichte
ihre Fertigkeiten, um die Verteiler von Kinderpornografie gezielt zu verfolgen und ihre Informationen an die Hüter
der Gesetze weiterzugeben. 1998 werden zwei Hacker von einem Gericht in China zum Tode verurteilt. Ende der
1990er Jahre gibt es die ersten organisierten, politisch motivierten Hackerattacken in den USA.
2000–2005 Anfang 2000 werden DDoS-Attacken populär, eine Variante von DoS, welche automatisiert von
mehreren Rechnern gleichzeitig ausgeführt wird. Politisch motivierte Hacker verunstalten Webseiten der indischen
und israelischen Regierungen, um auf die Unterdrückung in Kaschmir und Palästina aufmerksam zu machen.
Permanenten Hackerattacken ausgesetzt, unterbricht Microsoft seine Entwicklung und schickt erstmals über 8.000
Programmierer zu einer Schulung, die dazu dienen soll, programmiertechnische Schwachstellen künftig zu
vermeiden.
Siehe dazu auch den Artikel in der englischsprachigen Wikipedia.[10]
Hackermagazine
Zum Informationsaustausch unter Hackern wurden seit den 1980ern eine Reihe von Untergrund-Magazinen
gegründet. Beispiele sind das 2600 Magazin und das inzwischen nur noch unregelmäßig veröffentlichte
Phrack-Magazin. Diese Entwicklung wurde von den Phreaks der frühen 1970er Jahre angeschoben, die in illegalen
Untergrund-Magazinen wie der TAP ihre Informationen weitergaben.
Es gibt jedoch auch Magazine, die völlig legal sind. Ein bekanntes deutschsprachiges Magazin ist die vom Chaos
Computer Club herausgegebene Datenschleuder.
55
Literatur
• Thomas Ammann, Matthias Lehnhardt, Gerd Meißner & Stephan Stahl: Hacker für Moskau. Deutsche
Computer-Spione im Dienst des KGB. Wunderlich, Reinbek 1989, ISBN 3-8052-0490-6.
• A. Curic: Computer, Hacker, Pioniere. Die Wegbereiter unserer digitalen Welt. Lingen Verlag, Bergisch
Gladbach 1995.
• Suelette Dreyfus: Underground. Tales of hacking, madness, and obsession on the electronic frontier. Mandarin,
Kew/Australia 1997, ISBN 1-86330-595-5.
• Boris Gröndahl: Hacker. Rotbuch-Verlag, Hamburg 2000, ISBN 3-434-53506-3 (Rotbuch 3000 TB 3007).
• Katie Hafner, John Markoff: Cyberpunk. Outlaws and Hackers on the Computer Frontier. Simon & Schuster,
New York NY u. a. 1995, ISBN 0-684-81862-0 (A Touchstone Book).
• Pekka Himanan: Die Hacker-Ethik und der Geist des Informations-Zeitalters. Riemann, München 2001, ISBN
3-570-50020-9.
• Egmont R. Koch, Jochen Sperber: Die Datenmafia. Computerspionage und neue Informationskartelle. Rowohlt
Verlag, Reinbek bei Hamburg 1996, ISBN 3-499-60247-4 (Rororo 60247 rororo-Sachbuch).
• Armin Medosch, Janko Röttgers (Hrsg.): Netzpiraten. Die Kultur des elektronischen Verbrechens. Verlag Heinz
Heise, Hannover 2001, ISBN 3-88229-188-5 (Telepolis).
• Kevin D. Mitnick, William L. Simon: Die Kunst der Täuschung. Risikofaktor Mensch. mitp Verlag, Bonn 2003,
ISBN 3-8266-0999-9.
• Denis Moschitto, Evrim Sen: Hackerland. Das Logbuch der Szene. 3. aktualisierte und erweiterte Auflage.
Tropen-Verlag, Köln 2001, ISBN 3-932170-29-6.
• Denis Moschitto, Evrim Sen: Hackertales. Geschichten von Freund + Feind. Tropen-Verlag, Köln 2000, ISBN
3-932170-38-5, Website [11].
• Glyn Moody: Rebel Code. Linux and the open Source Revolution. Allen Lane, London u. a. 2001, ISBN
0-7139-9520-3 (Auch: Penguin Books, London 2002, ISBN 0-14-029804-5).
• Tamás Polgár (Tomcat): FREAX. The brief History of the Computer Demoscene. Volume 1. CSW-Verlag,
Winnenden 2005, ISBN 3-9810494-0-3.
• Clifford Stoll: Kuckucksei. Die Jagd auf die deutschen Hacker, die das Pentagon knackten. 5. Auflage,
aktualisierte Neuausgabe. Fischer-Taschenbuch-Verlag, Frankfurt am Main 2001, ISBN 3-596-13984-8 (Fischer
13984).
• Ed Skoudis: Counter hack. A step-by-step guide to computer attacks and effective defenses. Prentice Hall PTR,
Upper Saddle River NJ 2002, ISBN 0-13-033273-9.
• Ed Skoudis, Tom Liston: Counter hack reloaded. Prentice Hall, Upper Saddle River NJ 2006, ISBN
0-13-148104-5.
Weblinks
• SWR Forum – Hacker und Häcksen [12] Radiosendung des SWR
Einzelnachweise
[1] siehe Hacker (http:/ / ulm. ccc. de/ old/ chaos-seminar/ hacker/ hacker. pdf) – Vortragsfolien von Frank Kargl (CCC Ulm, 2003) die einen
Überblick über die Wurzeln und Geschichte der Hackerbewegung aus Sicht des CCC geben.
[2] Timeline: The U.S. Government and Cybersecurity (http:/ / www. washingtonpost. com/ wp-dyn/ articles/ A50606-2002Jun26. html). In:
Washington Post, 14. April 2006
[3] siehe David Bailey: Attacks on Computers: Congressional Hearings and Pending Legislation. In: 1984 IEEE Symposium on Security and
Privacy. 1984, S. 180, doi: 10.1109/SP.1984.10012 (http:/ / dx. doi. org/ 10. 1109/ SP. 1984. 10012).
[4] Seit Jargon-File 2.1.1 (http:/ / www. catb. org/ jargon/ oldversions/ jarg211. txt) von 1990 steht innerhalb der akademischen Hackerkultur die
Bezeichnung Cracker, und nicht Hacker, für jemand, der Sicherheitsbarrieren umgeht (CRACKER: One who breaks security on a system.
Coined c. 1985 by hackers in defense against journalistic misuse of HACKER …).
[5] Siehe The Kids are out to play (http:/ / www. heise. de/ tp/ r4/ artikel/ 7/ 7888/ 1. html). In: Telepolis.
56
[6] siehe Boris Gröndahl: Hacker. ISBN 3434535063.
[7] siehe Jonas Löwgren's Vorlesungsnotitzen zu Origins of hacker culture(s) (http:/ / webzone. k3. mah. se/ k3jolo/ HackerCultures/ origins.
htm)
[8] Ron Rosenbaum: Secrets of the Little Blue Box (http:/ / www. webcrunchers. com/ crunch/ esq-art. html). In: Esquire Magazine. Oktober
1971 ( online (http:/ / www. webcrunchers. com/ crunch/ Play/ history/ suckin. html)).
[9] siehe Report Warns of Security Threats Posed by Computer Hackers (http:/ / query. nytimes. com/ gst/ fullpage.
html?res=9900E2D81039F930A15756C0A960958260). In: New York Times, 23. Mai 1996.
[10] Timeline of hacker history in der englischsprachigen Wikipedia
[11] http:/ / www. hackertales. de
[12] http:/ / chaosradio. ccc. de/ media/ dossier/ 2008-08-18-swr2_forum-hacker_und_haecksen. mp3
Hacker
Hacker hat im technischen Bereich mehrere Bedeutungen. Das Wort wird alltagssprachlich gebraucht, um jemanden
zu bezeichnen, der über ein Netzwerk in Computersysteme eindringt und zugleich Teil einer entsprechenden
Subkultur ist. In engerem Sinne gebrauchen seit den 1950er Jahren weitere Subkulturen den Ausdruck zur
Selbstbezeichnung. Gemeinsames Merkmal ist dabei, dass ein Hacker ein Technikenthusiast ist, der umfangreiche
technische, vor allem computertechnische Grundlagenkenntnisse besitzt.[1] In einem übergreifenden Sinn umfasst
‚Hacker’ experimentierfreudige Personen, die mit ihren Fachkenntnissen eine Technologie beliebiger Art außerhalb
ihrer normalen Zweckbestimmung oder ihres gewöhnlichen Gebrauchs benutzen.
Innerhalb der Computersicherheit sehen Teile der Subkultur ihre Absicht darin, Sicherheitslücken aufzuzeigen und
zu beseitigen, und schreiben dem Begriff einen positiven Anklang zu. In der allgemeinen Öffentlichkeit wird er
häufiger für Personen benutzt, die unbefugt Sicherheitsbarrieren umgehen und solche Lücken ausnutzen, wobei
‚Hacker’ abgrenzbar von ‚Skriptkiddie’ ist: Ein Hacker besitzt tiefe Grundlagenkenntnis, ein Skriptkiddie nicht.
Innerhalb des Boulevardjournalismus und der Politik werden beide Ausdrücke gewöhnlich nicht unterschieden.[2]
Eine unterschiedliche Bedeutung als Entwickler findet sich in einer weiteren Subkultur, die durch Freie Software
und Open Source in der Öffentlichkeit steht und keinen direkten Bezug zur Computersicherheit hat.
In seiner dritten Verwendung bezieht sich der Begriff auf Bastler, vornehmlich aus dem Bereich der Informationsund Kommunikationstechnik, die sich eingehend mit Hard- und Software auseinandersetzen.
Überblick
Im Hackerjargon erstreckt sich das Betätigungsfeld eines Hackers auf ein beliebiges Gebiet der Technologie. Als
Beispiel kann auch jemand auf dem Fachgebiet der Astronomie ein Hacker sein.[3]
Im Bereich des Computers ist ein Hacker eine Person, die Spaß an der Erstellung und Veränderung von
Computersoftware oder -hardware hat und gleichzeitig einen besonderen Sinn für Ästhetik, Kreativität und
Originalität („hack value“) sowie einfallsreicher Experimentierfreudigkeit („playful cleverness“) aufweist.
Im Bereich der Softwareentwicklung weist der Begriff vom Kontext abhängig anerkennende, neutrale bis
abwertende Anklänge auf: Innerhalb der Hackerkultur steht er als Titel für einen talentierten und passionierten
Programmierer.[4] Demgegenüber kann er allgemein auch für jemanden stehen, der ein Problem durch eine Reihe
gezielter minimaler Änderungen oder Erweiterungen (hacks) eines bestehenden Quelltextes löst. Ein Hack gilt
einerseits als verblüffend einfache, (manchmal) elegante und pfiffige Lösung eines nichttrivialen Problems. Er kann
sich andererseits aber auch auf eine rasch erstellte, ineffiziente, unschöne und ungeschliffene Lösung
(quick-and-dirty hack) beziehen, die eher einer temporären Problemlösung (kludge) gleicht. In diesem letzteren
Kontext kann Hacker den negativen Beiklang eines Entwicklers haben, der für seine unsoliden Lösungen bekannt ist.
Im Bereich der Hardwareentwicklung entwickelt oder verändert ein Hacker Hardware, schreibt Gerätetreiber und
Firmware oder beschäftigt sich mit den physikalischen Grundlagen der Netzwerke, insbesondere wenn er dabei
Dinge außerhalb der Spezifikation verwendet. Daran angelehnt gibt es auch Strömungen, in denen Hacken
57
Hacker
allgemeiner als übergreifende Kultur des kreativen Umgangs mit Technik jeglicher Art verstanden wird, wodurch
der Begriff ‚Hacker’ in verschiedenen (auch nicht informationstechnischen) Bereichen Verwendung findet.[5] [6]
Im Bereich der Computersicherheit wird die Herausforderung des Hackens darin gesehen, Sicherheitsmechanismen
zu überwinden und somit Schwachstellen erkennen zu können oder genauer Systeme zum Beispiel per Social
Engineering zu unterwandern oder per Reverse Engineering auf Design- und Programmierfehler hin zu untersuchen.
Unter Umgehung der Sicherheitsvorkehrungen können sie so Zugriff auf ein Computernetzwerk, einen Computer,
eine gesicherte Komponente (zum Beispiel Chipkarte) oder Zugang zu gesperrten Daten oder einer sonst geschützten
Funktion eines Computerprogramms erhalten.
Abgrenzung
Was einen Hacker von anderen Technikenthusiasten hervorhebt, ist die selbstbezügliche Hingabe im Umgang mit
Technik. Ohne dass dies für einen Beobachter zwangsläufig sinnvoll erscheint, kann er sich aus Spaß am Hacken
durchaus für die Lösung von Problemen begeistern, die aus rein praktischen Erwägungen gar keine sind. Wie das
Jargon File beschreibt, genießt ein Hacker die intellektuelle Herausforderung, auf kreative Weise Grenzen zu
überwinden oder zu umgehen. Neben der üblichen Nutzung von Technik geht es darum, etwas auszuprobieren und
zu entwickeln. Technik zu überarbeiten und dabei auch in einer Weise zu verwenden, für die sie ursprünglich nicht
vorgesehen war, entwickelte sich so zu einem wesentlichen Merkmal ihrer Kultur.[5] [6] Das bezieht sich auf
Hardware genauso wie auf Software.
In der Hackerkultur ist ein Hacker allgemein eine Person, die einen gewissen sozialen Status erreicht hat und die
durch ihre Identifikation mit den kulturellen Werten und durch Besitz hinreichender Fachkenntnisse einen
entsprechenden Grad an gesellschaftlicher Anerkennung aufweist (treffendes Zitat aus Eric S. Raymonds „How to
become a Hacker“: Wenn Du ein Teil dieser Kultur bist, zu ihrem Sein und ihrer Entwicklung beigetragen hast,
andere Mitglieder Dich kennen und Hacker nennen, dann erst bist Du ein Hacker).[7] Die Zusammenarbeit
untereinander ist innerhalb der jeweiligen Szene ein weiterer wesentlicher Bestandteil der Hackerkultur. Ein
Bezugspunkt für das Selbstverständnis der Hackerszene bildet die Hackerethik, die deren Werte verdeutlicht und
sich zum Beispiel in der Auffassung manifestiert, dass der Zugriff auf Wissen frei, dezentral, antibürokratisch und
antiautoritär sein soll.[8] Jeder sollte sehen können, wie die Welt funktioniert, wobei niemand jemals gezwungen sein
sollte, das Rad ein zweites Mal zu erfinden. Die Hackerethik kann indes für jede Subkultur unterschiedliche
Schwerpunkte beinhalten und ist selbst innerhalb der jeweiligen Szene nicht zwingend einheitlich definiert.
Als Beispiel für eine Abgrenzung zum Begriff ‚Hacker’ nennt Boris Gröndahl in seinem Buch „Hacker“ den
US-amerikanischen Unternehmer und Programmierer Bill Gates, Gründer von Microsoft. Dieser gilt seit seiner
Kindheit als geradezu fanatischer Computerfan. Selbst seine äußere Erscheinung einer blassen und bebrillten Person
entspricht dem Hackerklischee. Laut Gröndahl ist er dennoch kein Hacker, da ihm die soziale Komponente des
Hackerdaseins fehlt.[5]
Abgrenzung zum Begriff ‚Cracker’
Die Definition und Verwendung von ‚Hacker’ ist Gegenstand einer anhaltenden Kontroverse zwischen den
verschiedenen Subkulturen. Das Jargon File verdeutlicht das Selbstverständnis der akademischen Hackerkultur, eine
Bezeichnung, die auf das ursprünglich akademische Umfeld jener Subkultur schließen lässt, nicht aber bedeutet, dass
Hacken damals eine akademische Studienrichtung gewesen sei. Während das Jargon File als Reaktion auf schlechte
Presse seit 1990 sämtliche Hacker, die ihre Aktivitäten betont auf die Umgehung von Sicherheitsmechanismen
legen, ungeachtet ihrer Motivation nicht als Hacker, sondern als Cracker betitelt sehen will,[9] werden innerhalb der
Computersicherheits-Hackerkultur lediglich destruktive Hacker sowie Skriptkiddies Cracker genannt.
Demgegenüber gibt es auch Hacker, die eine solche Abgrenzung aus Ermangelung einer klaren Trennlinie zwischen
„gut“ und „böse“ ablehnen.
58
Hacker
Neben diesem Gebrauch gibt es eine weitere Verwendung, in der speziell jemand als (Software-) Cracker betitelt
wird, der sich darauf versteht, Schutzmechanismen einer Software auszuhebeln. Kulturübergreifend gilt dies
ungeachtet von deren Motivation, also auch dann, wenn das Cracken von Software als legaler Sport betrieben wird,
indem Cracker den Programmschutz selbstgeschriebener und eigens für diesen Zweck freigegebener Software
(CrackMes) aushebeln. All diese Verwendungen machen seine Bedeutung stark vom jeweiligen Kontext abhängig.
Herleitung und Verwendung
US-amerikanische Funkamateure verwendeten Mitte der 1950er Jahre den Begriff ‚hacking’ als Ausdruck für
besonders einfallsreiche Anpassungen ihrer Geräte, die dazu dienten, deren Leistung zu verbessern.[3]
In den späten 1950er Jahren wurde ‚hacking’ auch vom Modelleisenbahnclub des MIT (Massachusetts Institute of
Technology), genauer dem TMRC (Tech Model Railroad Club of MIT), verwendet, welcher ebenfalls Bezug zur
Anpassung ihrer elektronischen und mechanischen Geräte nahm.[10] Das Wort Hack stand zunächst im Kontext von
technikbasierten Streichen oder entsprach einem Wort für besonders geschickte oder gewagte Taten. Hat ein Student
des MIT einen raffinierten Streich ausgeheckt, galt der Übeltäter als Hacker. Der Gebrauch des Wortes ‚Hack’
verschob sich zur Technik, die benötigt wird, um den Streich auszuführen und wurde später für eine schlaue
technische Lösung im Allgemeinen verwendet, ohne sich dabei unbedingt auf den Computer zu beziehen.[11] [12]
‚Hacker‘ bezogen auf Computerprogrammierung tritt am MIT erstmals Anfang der 1960er Jahre im Zusammenhang
mit dem Labor für künstliche Intelligenz (MIT Artificial Intelligence Laboratory, kurz AI Lab) auf. Zusammen mit
Hackern des TMRC und Mitstreitern aus anderen akademischen US-Einrichtungen, wie Stanford, Berkeley und
Carnegie Mellon, gehören sie zu den Ursprüngen der akademischen Hackerkultur, aus der später die Freie-Softwareund Open-Source-Bewegung hervorgegangen sind.
Als Mitglieder des Modellbahnklubs damit begannen, mit einem DEC PDP-1 Computer zu arbeiten, wurde ihr Slang
nun auch in schriftlicher Form auf den Computer übertragen. Die in digitaler Form zuerst bekannte Verwendung des
Begriffs ‚Hacker’ wurde auf diese Weise von der Ausgabe der Studentenzeitung The Tech vom 20. November 1963
der technischen Fachschule des MIT registriert und bezog sich zunächst auf Personen, die mit der Technik des
Telefonnetzes herumspielten.[13]
Der Journalist Steven Levy beschreibt in seinem Buch "Hackers – Heroes of the Computer Revolution" eine weitere
Subkultur der Hacker, die in den 1970er Jahren in der Region von San Francisco, der Westküste der Vereinigten
Staaten, entstand und sich von der akademischen Hackkultur losgelöst entwickelte. Rund um den Homebrew
Computer Club trafen sich technikinteressierte Menschen, die sich für die Idee eines persönlichen Computers
begeistern konnten; eine Idee, die von der damals vorherrschenden Industrie als absurd abgetan wurde. Angefangen
von der Vorstellung, Computer für alle Menschen öffentlich zugänglich zu machen und sogar im Heimbereich
einzusetzen, über praktische Projekte und Entwicklungen, bis hin zur Geburt einer vollkommen neuen Industrie im
Silicon Valley, haben sie die Entwicklung des persönlichen Computers (Mikrocomputer, später auch Heimcomputer,
heute meist PC) entscheidend vorangetrieben.[5] Der persönliche Computer löste ein großes Wachstum der
Hackergemeinschaft aus, wobei populäre Computerbausätze die Tradition der Hacker förderten, die Technik
wirklich zu verstehen.[14] Ihre ursprünglich stark hardwareorientierte Kultur entwickelte sich weiter und
konzentrierte sich dabei zunehmend auf Software; später gingen aus ihr die Softwarecracker- und Demoszene
hervor.[11]
Eines der ersten Programme, die auf dem PDP-1 am MIT entwickelt wurden, bot eine Schnittstelle zum
Telefonsystem, die den unerlaubten Zugriff auf die Vermittlungsstellen ermöglichte. Die Manipulation von
Vermittlungsstellen eines Telefonsystems gehört indes zu einer weiteren Subkultur, bekannt als Phreaking, deren
Anhänger man Phreak (auch Phreaker) nennt. Auch wenn es in der Frühzeit erhebliche Überschneidungen der
akademischen Hackerkultur zu den Praktiken des Phreaking gab,[13] [15] sind beide Subkulturen deutlich voneinander
abgrenzbar: Während innerhalb der akademischen Hackerkultur das Überwinden von Sicherheitsbarrieren eher eine
nebensächliche Rolle spielte, entwickelte sich dies unter den Anhängern der Phreaking-Kultur zum zentralen Punkt
59
Hacker
ihrer Tätigkeit. Von der Phreaking-Kultur ausgehend entstanden die heutigen Netzwerkhacker oder allgemeiner
Hacker aus dem Bereich der Computersicherheit,[11] die wie keine andere Subkultur das öffentliche Verständnis zum
Hackerbegriff prägte.
Der Hauptunterschied zwischen den drei ursprünglichen Subkulturen ist ihre größtenteils getrennte historische
Entstehung und Entwicklung, weshalb sie sich durch ihre jeweils eigene Sicht zum Hackerbegriff, Tradition und
Folklore auszeichnen. Zu einem Großteil nicht miteinander übereinstimmende Standpunkte finden sich vor allem
zwischen der akademischen Hackerkultur und der Kultur des Phreaking und deren Nachkömmlingen, von denen sich
die akademische Hackerkultur ebenso distanziert sehen will, wie von der Subkultur der Softwarecracker.[3] [16]
Hacken im Sinn des Einbruchs in Computer findet sich zwar bereits vor 1983 im Computerjargon,[17] aber bis zu
diesem Zeitpunkt gab es kein öffentliches Bewusstsein dafür, dass solche Tätigkeiten stattfanden.[18] Dies änderte
sich mit dem Kinofilm WarGames, der zur allgemeinen Annahme der US-Bürger beitrug, dass jugendliche Hacker
eine Gefahr für die nationale Sicherheit der USA darstellen könnten. Diese Befürchtung wurde konkreter, als
allgemein bekannt wurde, dass eine Gruppe jugendlicher Hacker aus Milwaukee, Wisconsin, genannt The 414s, in
Computersysteme in den ganzen USA und in Kanada eindrangen, einschließlich denen des Los Alamos National
Laboratory, Sloan-Kettering Cancer Center und der Security Pacific Bank. Der Fall zog schnell die Aufmerksamkeit
der Medien auf sich.[19] Der Newsweek-Artikel "Beware: Hackers at play" war die erste Benutzung des Worts in den
überregionalen Medien, die den Begriff ‚Hacker‘ in abwertender Weise verwendeten.[20] Nicht nur in der breiten
Öffentlichkeit erhielt der Begriff so einen schlechten Beiklang, sondern auch in der Politik[21] und Justiz[22] , wo er
seither Computeranwender beschreibt, die an Einbrüchen in fremde Rechner beteiligt waren. Dass jene Hacker mehr
zur Tradition und Mentalität der Phreaking-Kultur gehörten und nicht für die gesamte Hackerkultur standen, fand in
den darauf folgenden Jahren in der Berichterstattung der Massenmedien kaum Beachtung.
Unabhängig von dieser Entwicklung wurde in der akademischen Hackerkultur der Begriff ‚Hacker’ als Bezeichnung
für außergewöhnlich gute Programmierer geprägt. In einem übergreifenden Sinn gleicht das Wort innerhalb der
Hackerszene auch heute noch einem Rang: Es zeugt von Respekt und stellt eine Auszeichnung für herausragende
Fertigkeiten dar, welche von Mitgliedern der Szene als nicht vorschnell verliehen gilt.[4]
Demgegenüber werden auch skurrile, meist auf die Schnelle erstellte Notlösungen als Hack bezeichnet, die zwar
funktionieren, aber bei weitem nicht perfekt sind. In Bezug auf einen Entwickler, dessen Quellcode eine einzige
Aneinanderreihung solcher Hacks darstellt, deutet das Wort ‚Hacker’ auf einen schlampigen Programmierstil und
stellt in diesem Kontext keine Ehrung dar.
Seit 1988 wird im Rahmen des Chaos Computer Club (CCC) die weibliche Rolle, die sog. Haeckse, geprägt.[23]
1993 wurde ‚Hacker’ in der ersten Version des "Internet Users' Glossary" (RFC1392) wie folgt definiert: Eine
Person, die Spaß daran hat, sich mit technischen Details von Systemen, insbesondere von Computer- und
Netzwerksystemen, auseinanderzusetzen.[1]
Seit Mitte der 1990er Jahre etablierte sich der Begriff Hacktivist als Bezeichnung für jemand, der sich in seiner
Eigenschaft als Hacker politisch engagiert.[24]
Hackerkultur
Trotz teilweise gegensätzlicher Standpunkte entwickelten sich zwischen den folgenden Subkulturen
Gemeinsamkeiten in politischen und sozialen Zielen und eine übergreifende Wertschätzung für die
Auseinandersetzung mit Technik. Vor allem seit Mitte der 1980er gibt es Überschneidungen bezüglich Ideen und
Mitgliedermasse, insbesondere im europäischen Raum, wodurch zeitgenössische Hacker vermehrt
kulturübergreifende Wurzeln aufweisen und sich nicht sicher einer einzigen Subkultur zuordnen lassen.
60
Hacker
61
Die akademische Hackerkultur
An akademischen US-Einrichtungen bildete sich zwischen Ende 1950 und 1970
eine Hackerkultur, die u.a. von Eric Steven Raymond in "The Art of Unix
Programming" als akademische Hackerkultur bezeichnet wird.[25]
Das MIT startete Anfang der 1960er ein Projekt, das ein paralleles Arbeiten
mehrerer Anwender auf einem DEC PDP Rechner ermöglichen sollte. Dieses
Projekt wurde der Kern des AI-Laboratoriums, wo sich die ersten Hacker unter
den Studenten aus dem Informatikumfeld etablierten, die sich zunächst auf
Mathematik und Theorien der künstlichen Intelligenz spezialisierten. Bis zur
Einstellung des darauf entwickelten ITS-Betriebssystems im Mai 1990 war der
„AI“-Rechner des MIT ein zentraler Treffpunkt der frühen akademischen
Hackergemeinschaft.
Das „Hackeremblem“, 2003 von
Eric S. Raymond als
übergreifendes Symbol für die
Linux-, Open-Source-, GNU- und
BSD-Hackerkultur vorgeschlagen
Das folgenreichste Vermächtnis der akademischen Hackerkultur ist das Internet.
Obgleich die Initiative für ein solches Datennetz vom Verteidigungsministerium
der USA ausging, geschah seine praktische Entwicklung zum Großteil an den Universitäten, wo das Konzept von
Hackern begeistert aufgenommen und von ihrer Kultur und innovativen Ideen maßgeblich geprägt wurde.
Die akademische Hackerkultur entwickelte sich weiter, verschmolz mit der Unix-Szene, nahm weitere Elemente aus
dem Internet der 1970er und 1980er Jahre sowie Teile der Homecomputerszene (Mikrocomputer-Bastler) auf und
überschneidet sich in der Gegenwart fast vollständig mit der Open-Source- und Freie-Software-Bewegung.
Das Selbstverständnis der Bewegung ist seit Mitte der 1970er im Jargon File dokumentiert, welches aktuell von Eric
S. Raymond gepflegt wird, das zuvor unter der Obhut von Guy L. Steele, Jr. stand.
Free-Software- und Open-Source-Hackerkultur
→ Hauptartikel: Freie Software und Open Source
Innerhalb der frühen akademischen Hackerkultur war es bereits selbstverständlich, Quellcode offen zu legen und
eigene Softwareverbesserungen mit anderen Programmierern zu teilen. Ein prominenter Hacker, der wesentliche
Beiträge zum Selbstverständnis der akademischen Hackerkultur geleistet hat, ist Richard Stallman. Die
Hackergemeinschaft und das intellektuelle Klima rund um den „AI“-Rechner des MIT inspirierte ihn maßgeblich bei
der Schaffung des GNU-Projekts im September 1983.[8] Gefolgt von der Gründung der Free Software Foundation
(FSF), einer gemeinnützigen Stiftung, die seit 1985 der Förderung und Entwicklung von GNU und freier Software
dienen sollte. ‚Freie Software’ ist eine soziale Bewegung, die unfreie Software als gesellschaftliches Problem
begreift. Wobei „frei“ hier nicht „kostenlos“ bedeutet (‚Freie Software’ ist nicht dasselbe wie ‚Freeware’), sondern die
Freiheiten für die Gesellschaft meint, die ein derart lizenziertes (auch kommerzielles) Produkt bietet. In den Augen
der FSF ist die Entscheidung für oder gegen Freie Software deshalb primär eine ethische und soziale Entscheidung.
Dagegen begreift die im Februar 1998 gegründete Open Source Initiative (OSI) quelloffene Software als bloßes
Entwicklungsmodell, wobei die Frage, ob Software quelloffen sein sollte, dort eine rein praktische und keine
ethische Frage ist. Die FSF wirft der OSI daher eine Ablenkung von den wesentlichen Punkten vor.[26] Der Hacker
Eric S. Raymond hat den Begriff ‚Open Source’ in der Annahme eingeführt, dass das unpopuläre Thema ‚Freiheit’
Geldgeber für solche Projekte abschrecken könne.
Auch wenn es sich heute um zwei unterschiedliche Bewegungen mit unterschiedlichen Ansichten und Zielen
handelt, verbindet sie die gemeinsame Wertschätzung für quelloffenen Code, was in zahlreichen Projekten mündet,
in denen sie zusammenarbeiten.
Hacker
Die Hackerkultur des Phreaking
→ Hauptartikel: Phreaking
Die Hackerszene aus dem Bereich der Computersicherheit geht historisch zurück auf Phreaking,[11] eine Subkultur,
die sich mit der Manipulation von Telefonverbindungen auseinandersetzt, was insbesondere die Möglichkeit bietet,
Telefonkonferenzen zu schalten und kostenlose Telefongespräche zu führen. Die Wurzeln dieser Subkultur reichen
zurück bis Mitte der 1840er Jahre, als die ersten größeren Telegrafennetze in Betrieb gingen; über 30 Jahre später
gefolgt von den ersten Telefonnetzen. Technikbegeisterte Operatoren aus dieser Zeit nutzten ihr Wissen, um das
Netz für ihre eigenen Zwecke zu verwenden. Sie gehören zu den Vorläufern jener Hacker.[5] Die Praktiken des
Phreaking entwickelten sich allerdings erst mit Aufkommen automatischer Vermittlungsstellen der
Telefongesellschaften und erreichten ihren Höhepunkt in den 1970er bis Mitte der 1990er Jahre. Sie blieben nicht
mehr den Operatoren vorbehalten, sondern wurden vor allem von eingeweihten Endkunden genutzt.
Weiterentwickelt hat sich diese Kultur im Rahmen der Microcomputer-DFÜ-Szene der 1980er. Allmählich begann
die Entwicklung von Computernetzwerken und die Telefongesellschaften wendeten sich computergesteuerten
Telefonanlagen zu. Ein Teil der Telefonhacker entwickelten sich daraufhin zu Hackern der digitalen
Computernetzwerke. So entstand die Kultur der Netzwerkhacker oder allgemeiner die Kultur der Hacker auf dem
Gebiet der Computersicherheit.[11]
Phreaking wurde auch zum Zwecke des Eindringens in fremde Computer betrieben, um die hohen Telefonkosten für
langandauernde DFÜ-Verbindungen nicht tragen zu müssen. In diesem Zusammenhang dienten die Praktiken des
Phreaking auch dazu, eine Rückverfolgung solcher Aktivitäten zu erschweren.
Weite Popularität erreichte diese Hackerszene schließlich mit der Verfügbarkeit von Internetanschlüssen für
Privathaushalte während der 1990er und war dabei insbesondere im Umfeld des Magazins 2600: The Hacker
Quarterly und der Newsgruppe alt.2600 verwurzelt.
Hacker in der Computersicherheit
→ Hauptartikel: Hacker (Computersicherheit)
Der Schriftsteller Peter Glaser prägte den Begriff ‚Datenreise’, eine Metapher für das neugierige Herumstöbern in
Rechnern der Forschungsinstitute, welches von diesen Hackern als eine Art Hobby betrieben wurde. Innerhalb von
Deutschland nutzten sie für ihren Zugriff zunächst das Datex-P-Netz der Deutschen Telekom. Sie bedienten sich
bekannter Schwachstellen, wie z. B. die Standardkennung „system“ mit dem Passwort „manager“, welche auf DEC
Vax/VMS-Rechnern installationsbedingt vorhanden war und aus Bequemlichkeit der Administratoren oft nicht
geschlossen wurde. Besonderer Beliebtheit erfreuten sich seit spätestens 1984 die Forschungsrechner des CERN, der
Europäische Organisation für Kernforschung in Genf, die sich in dieser Zeit unfreiwillig als Hackerschule Europas
etablierte.[27]
Daran angelehnt suchen und nutzen Hacker aus dem Bereich der Computersicherheit allgemein Sicherheitslücken,
die es ermöglichen, unter Umgehung der Sicherheitsvorkehrungen Zugriff auf ein sonst geschütztes System zu
erlangen. Abhängig von der Motivation und Loyalität zu den Gesetzen wird unterschieden zwischen White-Hat
(gesetzestreu), Black-Hat (handelt mit krimineller Energie) und Grey-Hat (nicht eindeutig als „gut“ oder „böse“
einzustufen).
62
Hacker
Die Hackerkultur der Hobbyisten aus der Homecomputerszene
→ Hauptartikel: Crack (Software) und Demoszene
Der Ursprung dieser Kultur orientiert sich an den bastelnden Amateurfunkern, wie es sie schon seit den 1920er
Jahren gibt.[11] Ihr starkes Interesse an Elektronik lieferte fruchtbaren Boden für den Gebrauch moderner
Technologie. Sie konnten sich für die Idee begeistern, Computer im Heimbereich einzusetzen, was von der damalig
vorherrschenden Industrie der 1970er-Jahre als absurd abgetan wurde. Hacker aus San Francisco, hier vor allem
Mitglieder aus dem Homebrew Computer Club, aus dem später zahlreiche Firmen hervorgingen (darunter Apple
Computer Inc.), legten daher selbst Hand an und waren an der Entwicklung des persönlichen Computers maßgeblich
beteiligt[5] (siehe auch: Hacker (Hardware)).
Heimcomputer, wie der Commodore 64 mit Farbdarstellung und für damalige Verhältnisse ansprechender
Audioqualität, zogen in den 1980er-Jahren zahlreiche Spieler und Entwickler in ihren Bann. Anhänger der
ursprünglich stark hardwareorientierten Subkultur wendeten sich zunehmend der Software zu. Die kommerzielle
Software (hier insbesondere die Computerspiele) wurde von den Herstellern immer öfter mit mehr oder weniger
ausgeklügelten Kopierschutzmechanismen versehen. Den Kopierschutz auszuhebeln, um die Software für sich selbst
und für befreundete Computerbenutzer in einem kopierbaren Zustand zu bringen, entwickelte sich unter diesen
Hackern zu einer technischen Fertigkeit und Begabung. Mitunter wurde die Software auch um nützliche Funktionen
erweitert und Programmierfehler beseitigt, die die Softwareentwickler übersahen.
Hacker, welche die Fähigkeit hatten (meist kompilierten) Softwarecode zu manipulieren, um
Kopierschutzmechanismen zu umgehen, nannte man seit Anfang der 1980er-Jahre auch „Softwarecracker” oder kurz
„Cracker“. In den frühen 1980er-Jahren entstanden hieraus Crackergruppen und schließlich der sich auf das
Aushebeln von Kopierschutzmechanismen kommerzieller Software spezialisierende Teil der Warez-Szene.
Die Crackergruppen rivalisierten untereinander. Der erste, der es schaffte, den Kopierschutz einer neuen Software zu
knacken, erntete den Ruhm, weshalb die gecrackte Software entsprechend kenntlich gemacht wurde, um sie einer
Crackergruppe zuordnen zu können. Immer öfter erzeugten sie dafür so genannte „Demos“ (auch Cracktro), meist in
Form von musikalisch unterlegten Echtzeit-Animationen, die dem Crack beigelegt wurden. Es dauerte nicht lange,
bis die Macher der Demos untereinander konkurrierten. Dabei galt es zunächst, mit dem geringsten Code die
bestmöglichen Effekte zu erzielen und dank pfiffiger Programmierlösungen die Technik möglichst über die
Herstellerspezifikationen hinaus auszureizen. Innerhalb der daraus entstandenen Demopartys entwickelte sich eine
Plattform, auf der technische und künstlerische Fertigkeiten der Demomacher demonstriert werden konnten. In den
späten 1990er-Jahren hat sich daraus eine selbständige Demoszene entwickelt, die sich nun zum Teil von der
Warez-Szene distanziert sehen will.
Jenseits der widerrechtlichen Manipulation kommerzieller Software bildete sich auch eine legale Crackerszene
begeisterter Programmierer, die mithilfe ihrer eigenen CrackMes einen Sport auf geistiger Ebene praktizieren.
Hardwarehacker
→ Hauptartikel: Hacker (Hardware)
Hardwarehacker treten als sich gegenseitig stark unterscheidende Unterform in jeder Subkultur auf. Als Beispiel sei
der Chaos Computer Club (CCC) als einflussreichste Vereinigung von Hackern im deutschen Raum genannt.
Obwohl Sicherheitsfragen sein wesentliches Beschäftigungsfeld sind und Politik, Industrie, Presse, Datenschützer
und Banken ihn für dieses Thema als quasi-offizielle amtliche Expertenorganisation konsultieren,[28] sieht er das
Hacken wesentlich allgemeiner als übergreifende Kultur des kreativen Umgangs mit Technik jeglicher Art. Wau
Holland war eine der Leitfiguren des Clubs und prägte die Formulierung: Ein Hacker ist jemand, der versucht einen
Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.[29]
In der Frühzeit bestand die stärkste kulturelle Verbindung zu den Hardwarehackern in der Entwicklung der
Homecomputerszene.
63
Hacker
Gemeinsamkeiten und Unterschiede
Auch wenn die Hacker am MIT ebensolche Technikenthusiasten waren, wie die Hacker der frühen
Homecomputerszene an der Westküste der Vereinigten Staaten, so unterschieden sie sich doch grundlegend in ihren
Einstellungen und Zielen. Während erstere geprägt von ihrer Herkunft und Ausbildung elitär erzogen wurden, und in
der Regel kein Interesse daran hatten, ihr Wissen an das „einfache Volk“ weiterzugeben, war dies bei den
Westküstenhackern vollkommen anders. So galt u.a. die Forderung von Bob Albrecht, für die Popularisierung des
Computers die einfache (volksnahe) Programmiersprache Basic zu verwenden, am MIT als geradezu lächerlich.[5]
Überschneidungen zwischen Phreaking und den Westküstenhackern gibt es mit John T. Draper, der Mitglied des
Homebrew Computer Club war und in dessen Umfeld schon vor der Gründung aktiv gewesen ist, sowie Steve
Wozniak, der vor seiner Mitgliedschaft mit Draper zusammen im Phreaking-Umfeld tätig war und mit ihm
zusammen Blue-Boxen gebaut hatte.
Besonders zwei Subkulturen haben teilweise gegensätzliche Standpunkte zu der Frage, wer legitimerweise als
Hacker bezeichnet werden darf: Grundlage ist eine moralische Trennlinie zwischen dem („guten“) wissbegierigen
Erforschen innerhalb der akademischen Hackerkultur und der („bösen“) egoistischen Gebührenhinterziehung, wie sie
innerhalb der Kultur des Phreaking praktiziert wird. Allerdings finden sich in Levys Heldenepos "Hackers - Heroes
of the Computer Revolution" Hinweise darauf, dass es diese Trennlinie in einer solchen Klarheit nicht gab.[30] Die
Erforschung und Anwendung bedenklicher Verfahren wurde eher von den damaligen Hackern beider Kulturen
praktiziert.[5] Dennoch gibt es vor allem unter den Anhängern der akademischen Hackerkultur Hacker, die sich von
den Phreaks bis hin zu den heutigen Computersicherheitshackern distanziert sehen wollen und ihnen mitunter die
Betitelung als ‚Hacker’ streitig machen.
Die akademische Hackerkultur unterscheidet sich von der Computersicherheits-Hackerkultur dahingehend, dass bei
der akademischen Hackergemeinschaft die Schaffung neuer und die Verbesserung bestehender Infrastrukturen im
Vordergrund steht, insbesondere des eigenen Softwareumfelds. Computersicherheit ist dabei kein relevanter Aspekt.
Ein Grundwissen zu Computersicherheit ist allerdings auch in der akademischen Hackergemeinschaft üblich. Zum
Beispiel merkte Ken Thompson während seiner Turing-Award-Rede 1983 an, dass es möglich ist, in das
UNIX-login-Programm eine Hintertür einzubauen, so dass es zwar die normalen Passwörter akzeptiert, aber
zusätzlich auch ein Generalpasswort. Er nannte dies ‚Trojanisches Pferd‘. Thompson argumentierte, dass man den
C-Compiler zur Verschleierung des ganzen so ändern könnte, dass er beim Übersetzen des login-Programms diese
Hintertür automatisch hinzufügte. Da der C-Compiler selbst ein Programm ist, das mit einem Compiler übersetzt
wird, könnte man schließlich diese Compileränderung automatisch beim Übersetzen des Compilers selbst einfügen,
ohne dass diese Manipulation noch aus dem Compilerquelltext ersichtlich wäre. Sie wäre somit nur noch in
übersetzten Compilern vorhanden und so rein in übersetzen Programmen ohne jede Spur in der Quelltextbasis
weitergegeben.
Thompson distanzierte sich aber deutlich von den Tätigkeiten der Computersicherheits-Hacker: "I would like to
criticize the press in its handling of the 'hackers', the 414 gang, the Dalton gang, etc. The acts performed by these
kids are vandalism at best and probably trespass and theft at worst. ... I have watched kids testifying before
Congress. It is clear that they are completely unaware of the seriousness of their acts."[31]
Ein weiterer prominenter Fall zur Überschneidung zwischen diesen beiden Kulturen ist Robert T. Morris, der zur
Hackergemeinschaft am „AI“-Rechner des MIT gehörte, trotzdem aber den Morris-Wurm schrieb. Das Jargon File
nennt ihn daher "a true hacker who blundered" („einen echten Hacker, der versagt hat“).[32]
Die akademische Hackergemeinschaft sieht die nebensächliche Umgehung von Sicherheitsmechanismen als legitim
an, wenn dies zur Beseitigung konkreter Hindernisse bei der eigentlichen Arbeit getan wird. In besonderen Formen
kann so etwas auch ein möglicher Ausdruck von einfallsreicher intellektueller Experimentierfreudigkeit sein.[33]
Nichtsdestoweniger tendieren die Anhänger der akademischen Subkultur dazu, die Beschäftigung mit
Sicherheitslücken negativ zu bewerten und sich davon zu distanzieren. Üblicherweise bezeichnen sie Leute, die dies
tun, als Cracker und lehnen jede Definition des Hackerbegriffs grundsätzlich ab, die eine Betonung auf Aktivitäten
64
Hacker
im Zusammenhang mit der Umgehung von Sicherheitsmechanismen einschließt.[34]
Die Computersicherheits-Hackerkultur andererseits unterscheidet im Allgemeinen nicht so streng zwischen den
beiden Subkulturen. Sie beschränken die Verwendung des Cracker-Begriffs stattdessen auf ihre Kategorien der
Skript-Kiddies und Black-Hat-Hacker. Aus dem Bereich der Computersicherheit sehen z. B. Teile des CCC die
akademische Hackerbewegung als konservative Fraktion einer einzelnen größeren, verwobenen und allumfassenden
Hackerkultur.[7]
Eine wesentliche Begegnung beider Subkulturen gab es im Fall des KGB-Hack. Eine Gruppe von Hackern, die dem
Chaos Computer Club nahestanden (der sich aber davon distanzierte, von diesen Aktivitäten etwas gewusst zu
haben), brach dabei in Computer von militärischen und wissenschaftlichen Einrichtungen in Amerika ein. Die dort
vorgefundenen Daten verkauften sie an den KGB, einer von ihnen, um seine Drogensucht zu finanzieren. Der Fall
konnte aufgeklärt werden, weil Wissenschaftler aus dem Umfeld der akademischen Hackerkultur Wege fanden, die
Einbrüche zu protokollieren und zurückzuverfolgen. Der Film 23 – Nichts ist so wie es scheint zeigt das (mit fiktiven
Elementen ausgeschmückte) Geschehen aus der Perspektive der Angreifer. Clifford Stoll, ein Astronom, der
maßgeblich zur Aufklärung beitrug, hat in seinem Buch Kuckucksei und in der Fernsehdokumentation Der KGB, der
Computer und Ich den Fall aus der anderen Perspektive beschrieben.
Ein weiterer Unterschied ist, dass akademische Hacker historisch an Forschungsinstituten arbeiteten und die dortigen
Computer nutzten. Im Gegensatz dazu hatte der prototypische Computersicherheits-Hacker nur Zugriff auf einen
Heimcomputer und ein Modem. Seit Mitte der 1990er jedoch, als Heimcomputer üblich wurden, die für Unix-artige
Betriebssysteme geeignet waren und als erstmals kostengünstige Internetzugänge für Privathaushalte verfügbar
waren, haben sich viele Personen von außerhalb dem Weg der akademischen Hackergemeinschaft angeschlossen.
Alle drei Subkulturen haben auch etwas mit dem Ändern von Hardware zu tun. In der Frühzeit der Netzwerkhacker
bauten Phreaker Blue-Boxen und verschiedene ähnliche Geräte. Die akademische Hackerkultur hat Legenden zu
mehreren Hardware-Hacks in ihrer Folklore, z. B. über einen mysteriösen Schalter, der mit 'Magie' beschriftet war,
der an eine PDP-10 am MIT-Labor für Künstliche Intelligenz angeschlossen war, und der auf den ersten Blick
prinzipiell keine Wirkung haben konnte. Wenn man ihn betätigte, stürzte dennoch der Computer ab.[35] Die frühen
Hobby-Hacker bauten ihre Computer selbst aus Bausätzen zusammen. Diese Tätigkeiten sind jedoch während der
1980er größtenteils ausgestorben, als preisgünstige vorgefertigte Heimcomputer verfügbar wurden, und als
Forschungsinstitutionen den Wissenschaftlern Arbeitsplatzrechner zur Verfügung stellten, statt einen zentralen
Computer, der von allen gemeinsam benutzt wurde; als das Telefonnetz auf digitale Vermittlungsstellen umgestellt
wurde, wodurch das Netzwerkhacken sich auf das Anwählen fremder Computer per Modem verlagerte.
Weitere Assoziationen zum Hackerbegriff
Im Allgemeinen besteht eine starke Assoziation zwischen den Begriffen ‚Hacker’ und ‚Computerfreak’ oder
‚-spezialist’, wobei mit diesen Bezeichnungen auf größeren Erfahrungsreichtum in der Computeranwendung
hingedeutet wird, ohne jedoch das für den Hackerbegriff notwendige tiefe Grundlagenkennwissen zwingend
vorauszusetzen. Auch nennen sich Leute, die eine Affinität zur Hackerkultur zeigen, gerne ‚Nerd’ oder ‚Geek’, was
im Computerkontext eine spezielle Art des Computerfreaks charakterisiert.
Unter allen Hackerkulturen versteht man unter einem Hack oft auch eine verblüffend einfache, (manchmal) elegante
und pfiffige Lösung eines nichttrivialen Problems, was einen besonders geschickten Hacker als jemanden beschreibt,
der die Dinge mit einfachen Mitteln angeht. Im Jargon File wird gar scherzhaft jemand als Hacker bezeichnet, der
sinnbildlich nur mit einer Axt als Werkzeug Möbel herstellen kann.
65
Hacker
Literatur
• Boris Gröndahl: Hacker, Reihe Rotbuch 3000, Rotbuch Verlag, Hamburg 2000, ISBN 3-434-53506-3
• Michael Hasse: Die Hacker: Strukturanalyse einer jugendlichen Subkultur [36] (1994).
• Christian Imhorst: Die Anarchie der Hacker - Richard Stallman und die Freie-Software-Bewegung, Tectum
Verlag, Marburg 2004, ISBN 3-8288-8769-4
• Jon Erickson: Hacking: Die Kunst des Exploits, dpunkt Verlag, Heidelberg 2008, ISBN 3-898-64536-3
• Logik Bomb: Hacker's Encyclopedia [37] 1997
• Katie Hafner, John Markoff: Cyberpunk: Outlaws and Hackers on the Computer Frontier. Simon & Schuster
1991, ISBN 0-671-68322-5
• Bruce Sterling: The Hacker Crackdown [38]. Bantam 1992, ISBN 0-553-08058-X
• Michelle Slatalla, Joshua Quittner: Masters of Deception: The Gang That Ruled Cyberspace. HarperCollins 1995,
ISBN 0-06-017030-1
• Suelette Dreyfus: Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier. Mandarin
1997, ISBN 1-86330-595-5
• Dan Verton: The Hacker Diaries : Confessions of Teenage Hackers. McGraw-Hill Osborne Media 2002, ISBN
0-07-222364-2
Hacker als akademische Bewegung
• Eric S. Raymond, Guy L. Steele (Hrsg.): The New Hacker's Dictionary (The MIT Press, 1996), ISBN
0262680920
• Eric S. Raymond: The Art of Unix Programming [39]. Prentice Hall International 2003, ISBN 0131429019
• Steven Levy: Hackers: Heroes of the Computer Revolution. Doubleday 1984, ISBN 0-385-19195-2
• Turkle, Sherry (1984),The Second Self: Computers and the Human Spirit, New Edition: MIT Press 2005, ISBN
0262701111. Deutsch Die Wunschmaschine. Vom Entstehen der Computerkultur, Reinbek: Rowohlt 1984
• Paul Graham: Hackers and Painters 2004, ISBN 0-59-600662-4
• Karim R. Lakhani, Robert G Wolf: Why Hackers Do What They Do: Understanding Motivation and Effort in
Free/Open Source Software Projects [40]. In J. Feller, B. Fitzgerald, S. Hissam, and K. R. Lakhani(Hrsg.):
Perspectives on Free and Open Source Software (MIT Press, 2005)
Weblinks
Der Siegeszug der Hacker [41], Themenabend auf ARTE im Juni 2011
The Script Kiddies Are Not Alright [42] – Artikel bei Telepolis, vom 8. August 2001
Kernel-Hacker [43] – Seite im Glossar bei heise online
Interview mit Steven Levy [44] (englisch) – Über die unterschiedlichen Hacker-Subkulturen und mehr, beim
Chaosradio, vom 22. Januar 2007
• The Word "Hacker" [45] (englisch)
•
•
•
•
• Wie-werde-ich-Hacker-HOWTO [46], vom CCC aus dem Englischen übersetzt. Original von Eric Steven
Raymond: How To Become A Hacker [47] (englisch)
• Akademisches Hackertraining [48] Artikel von Ulrich Hottelet auf ZEIT Online, 6. August 2009
Hacker als akademische Bewegung
• The Hacker Community and Ethics [49]: An interview with Richard M. Stallman, 2002
66
Hacker
• Wie werde ich ein Hacker [50], vom CCC aus dem englischen übersetzt. Original von Eric S. Raymond (ein
Anhänger der Open-Source-Bewegung): How To Become A Hacker [51]
• Become A Free Software Hacker [52] (aus der Perspektive der Free-Software-Bewegung)
Quellen
[1] Laut RFC1983 (http:/ / rfc. net/ rfc1983. html), dem aktuellen Internet Users' Glossary, ist ein Hacker jemand, der Spaß daran hat, sich mit
technischen Details von Systemen, insbesondere Computer- und Netzwerksystemen, auseinanderzusetzen. Die erste Version des Glossary
findet sich unter RFC1392 (http:/ / rfc. net/ rfc1392. html).
[2] Siehe "The Kids are out to play" (http:/ / www. heise. de/ tp/ r4/ artikel/ 7/ 7888/ 1. html), in: Telepolis
[3] siehe Jargon-File "Hacker" (http:/ / catb. org/ ~esr/ jargon/ html/ H/ hacker. html)
[4] siehe Jargon-File "Real-Programmer" (http:/ / catb. org/ ~esr/ jargon/ html/ R/ Real-Programmer. html) & "The Story of Mel" (http:/ / www.
jargon. net/ jargonfile/ t/ TheStoryofMel. html); Open Source Jahrbuch 2004 (http:/ / www. opensourcejahrbuch. de/ download), S. 356 zum
passionierten Programmierer (vgl. Levy 1984)
[5] siehe Hacker von Boris Gröndahl aus der Reihe Rotbuch 3000 (ISBN 3434535063)
[6] Technologie beliebiger Art außerhalb ihrer Zweckbestimmung nutzen: siehe Telepolis zum 22C3 "Von bösen Crackern keine Spur" (http:/ /
www. heise. de/ tp/ r4/ artikel/ 21/ 21683/ 1. html) von Helmut Merschmann, Spiegel-Online "Ikea-Hacker" (http:/ / www. spiegel. de/
netzwelt/ web/ 0,1518,498722,00. html) von Konrad Lischka
[7] siehe unter Eric S. Raymond "How to become a Hacker" (en) (http:/ / www. catb. org/ ~esr/ faqs/ hacker-howto. html) & (dtsch. Übersetzung)
(http:/ / koeln. ccc. de/ archiv/ drt/ hacker-howto-esr. html)
[8] siehe unter Open Source Jahrbuch 2005 (http:/ / www. opensourcejahrbuch. de/ 2005/ download. html)
[9] Seit Jargon-File 2.1.1 (http:/ / www. catb. org/ jargon/ oldversions/ jarg211. txt) von 1990 steht innerhalb der akademischen Hackerkultur die
Bezeichnung Cracker, und nicht Hacker, für jemand, der Sicherheitsbarrieren umgeht (CRACKER: One who breaks security on a system.
Coined c. 1985 by hackers in defense against journalistic misuse of HACKER …).
[10] siehe tmrc.mit.edu "Hackers" (http:/ / tmrc. mit. edu/ hackers-ref. html) - "Here at TMRC, where the words "hack" and "hacker" originated
and have been used proudly since the late 1950s,..."
[11] siehe Jonas Löwgren's Vorlesungsnotitzen zu Origins of hacker culture(s) (http:/ / webzone. k3. mah. se/ k3jolo/ HackerCultures/ origins.
htm)
[12] siehe unter tmrc.mit.edu "MIT Building 20" (http:/ / tmrc. mit. edu/ bldg20. html) - "... creativity inundated the place to such a level that the
term hacking was created by TMRC members. TMRCies (TMRC members) soon learned to „hack“ electronic and mechanical devices to help
their purposes. The practice to make things do what you need, even if they were not designed for it (a hack) became part of MIT's culture";
tmrc.mit.edu "MITCo" (http:/ / tmrc. mit. edu/ mitco) & "Chronology of hacks" (http:/ / hacks. mit. edu/ Hacks/ by_year)
[13] siehe Fred Shapiro "Antedating of Hacker" (http:/ / listserv. linguistlist. org/ cgi-bin/ wa?A2=ind0306B& L=ads-l& P=R5831& m=24290)
(American Dialect Society Mailing List, 13. Juni 2003)
[14] Mit dem MITS Altair 8800 kam 1975 der erste in Serie produzierte Personalcomputer als Bausatz (397,- US$), aber auch als Komplettgerät
(695,- US$) auf den Markt (siehe 8bit-museum.de "Timescape 1975" (http:/ / www. 8bit-museum. de/ docs/ timebottom.
htm#Timescape1975)). Es handelte sich um eine unausgegorene, aber bezahlbare Hardware mit Kippschalter als Eingabegerät und
Leuchtdioden als Ausgabeeinheit. Innerhalb der frühen Homecomputer-Szene erfreute er sich großer Beliebtheit und diente den Mitgliedern
des Homebrew Computer Clubs als Kernstück für eigene Erweiterungen.
[15] siehe tmrc.mit.edu "History" (http:/ / tmrc. mit. edu/ history) - "The ingenuity of TMRC members in manipulating the MIT telephone system,
the MIT lock system, and MIT in general, became the stuff of legend with the 1984 publication of „Hackers“, by Steven Levy"
[16] siehe Jargon-File 4.4.7 "Cracker" (http:/ / catb. org/ jargon/ html/ C/ cracker. html)
[17] siehe die Version des Jargon File von 1981 (http:/ / www. catb. org/ jargon/ oldversions/ jarg1-81-MM-DD. txt), Eintrag "hacker", letzte
Bedeutung.
[18] siehe WindowSecurity.com "Computer hacking: Where did it begin and how did it grow?" (http:/ / www. windowsecurity. com/ whitepapers/
Computer_hacking_Where_did_it_begin_and_how_did_it_grow_. html) (October 16, 2002)
[19] Detroit Free Press (27. September 1983); Philip Elmer-DeWitt: The 414 Gang Strikes Again (http:/ / www. time. com/ time/ magazine/
article/ 0,9171,949797,00. html). Time magazine (29. August 1983), S. 75
[20] Der Newsweek-Artikel "Beware: Hackers at play" war die erste Benutzung des Worts in den überregionalen Medien, die den Begriff
‚Hacker‘ in abwertender Weise verwendeten (Newsweek - 5. September 1983, S. 42-46,48; siehe auch 1nekit software magazine "Hacking: Art
or Science" (http:/ / www. onekit. com/ store/ review/ hacking~dotdot~_art_or_science~question~. html) by Mark Hinge)
[21] siehe Timeline: The U.S. Government and Cybersecurity (http:/ / www. washingtonpost. com/ wp-dyn/ articles/ A50606-2002Jun26. html)
Washington Post vom 14. April 2006
[22] David Bailey: Attacks on Computers: Congressional Hearings and Pending Legislation. 1984 IEEE Symposium on Security and Privacy
(1984), S. 180, doi 10.1109/SP.1984.10012.
[23] siehe unter haecksen.org (http:/ / www. haecksen. org/ index. php/ Hauptseite)
[24] siehe unter thehacktivist.com "What is Hacktivism?" (http:/ / www. thehacktivist. com/ ?pagename=hacktivism)
[25] Eric S. Raymond: The Art of Unix Programming (http:/ / www. faqs. org/ docs/ artu/ ch20s06. html)
67
Hacker
68
[26] http:/ / www. gnu. org/ philosophy/ free-software-for-freedom. de. html
[27] Ein Hacker in "Die Zeit", 23. Oktober 1987, S. 13-16
[28] siehe unter Telepolis "The Script Kiddies Are Not Alright" (http:/ / www. heise. de/ tp/ r4/ artikel/ 9/ 9266/ 1. html); Das Parlament (http:/ /
www. bundestag. de/ dasparlament/ 2006/ 34-35/ Thema/ 027. html) Nr. 34 - 35 / 21. August 2006; tagesschau.de ccc zur Netzkontrolle (http:/
/ www. webcitation. org/ 5rYyM7JQs) & zum Wahlcomputer (http:/ / www. webcitation. org/ 5rYyJuvK5) & zum Reisepass / biometrische
Daten (http:/ / www. webcitation. org/ 5rYy8sqSd)
[29] siehe Hacker (http:/ / ulm. ccc. de/ old/ chaos-seminar/ hacker/ hacker. pdf) - Vortragsfolien von Frank Kargl (CCC - Ulm, 2003) die einen
Überblick über die Wurzeln und Geschichte der Hackerbewegung aus Sicht des CCC geben.
[30] Steven Levy: Hackers: Heroes of the Computer Revolution. Doubleday 1984, ISBN 0-385-19195-2
[31] Ken Thompson: Reflections on Trusting Trust (http:/ / www. ece. cmu. edu/ ~ganger/ 712. fall02/ papers/ p761-thompson. pdf).
Communications of the ACM 27:8 (August 1984)
[32] Jargon File: Bibliography (http:/ / www. catb. org/ jargon/ html/ pt03. html#bibliography)
[33] http:/ / gnu. mirrorspace. org/ philosophy/ rms-hack. html
[34] http:/ / groups. google. com/ group/ net. misc/ msg/ 5f706369944b69d6
[35] http:/ / www. catb. org/ ~esr/ jargon/ html/ magic-story. html
[36] http:/ / www. neue-information. de/ fileadmin/ neue-information/ pdf/ hasse_hacker. pdf
[37] http:/ / insecure. org/ stf/ hackenc. txt
[38] http:/ / www. mit. edu/ hacker/ hacker. html
[39] http:/ / www. catb. org/ ~esr/ writings/ taoup/ html/ index. html
[40] http:/ / freesoftware. mit. edu/ papers/ lakhaniwolf. pdf
[41] http:/ / www. arte. tv/ hackers
[42] http:/ / www. heise. de/ tp/ r4/ artikel/ 9/ 9266/ 1. html
[43]
[44]
[45]
[46]
[47]
[48]
[49]
[50]
[51]
[52]
http:/ / www. heise. de/ glossar/ entry/ Kernel-Hacker-397919. html
http:/ / chaosradio. ccc. de/ cri011. html
http:/ / www. paulgraham. com/ gba. html
http:/ / koeln. ccc. de/ prozesse/ writing/ artikel/ hacker-howto-esr. xml
http:/ / catb. org/ ~esr/ faqs/ hacker-howto. html
http:/ / www. zeit. de/ online/ 2009/ 32/ informatik-hackertraining?page=all
http:/ / gnu. mirrorspace. org/ philosophy/ rms-hack. html
http:/ / koeln. ccc. de/ ablage/ artikel/ hacker-howto-esr. xml
http:/ / www. catb. org/ ~esr/ faqs/ hacker-howto. html
http:/ / www. wikihow. com/ Become-a-Free-Software-Hacker
Verschlüsselung
69
Verschlüsselung
Verschlüsselung nennt man den
Vorgang, bei dem ein klar lesbarer
Text
(Klartext)
(oder
auch
Informationen anderer Art, wie Tonoder Bildaufzeichnungen) mit Hilfe
eines
Verschlüsselungsverfahrens
(Kryptosystem) in eine „unleserliche“,
das heißt nicht einfach interpretierbare
Zeichenfolge
(Geheimtext)
umgewandelt wird. Als entscheidend
wichtige
Parameter
der
Verschlüsselung werden hierbei ein
oder auch mehrere Schlüssel verwendet.
Durch Verschlüsselung wird mithilfe eines geheimen oder auch öffentlichen Schlüssels
aus einem Klartext ein Geheimtext erzeugt
Das wissenschaftliche Forschungsgebiet, das sich mit Verschlüsselungsverfahren und ihrer Geschichte beschäftigt,
wird als Kryptographie bezeichnet. Die Kryptographie ist ein Teilgebiet der Kryptologie.
Einführung
Beispiel für die Verschlüsselung eines Klartextes in einen Geheimtext:
DiesisteinKlartextunderwirdnunverschluesselt
GLHVLVWHLQNODUWHAWXQGHUZLUGQXQYHUVFKOXHVVHOW
In diesem Beispiel wurde der Klartext mithilfe des Verfahrens der Caesar-Verschlüsselung unter Verwendung des Schlüssels „C“
verschlüsselt.
Den umgekehrten Vorgang, also die Verwandlung des Geheimtextes zurück in den Klartext, nennt man
Entschlüsselung. Die Algorithmen zur Verschlüsselung und Entschlüsselung müssen nicht identisch sein. Ebenso
können verschiedene Schlüssel für die Verschlüsselung und die Entschlüsselung zum Einsatz kommen. Bei
symmetrischen, insbesondere bei den klassischen Verschlüsselungsmethoden, werden jedoch stets identische
geheime Schlüssel zur Verschlüsselung und Entschlüsselung benutzt. Kryptographische Methoden mit
unterschiedlichen Schlüsseln zur Ver- und Entschlüsselung werden als asymmetrische Verfahren (engl.: Public key
methods) bezeichnet. Hierbei verwendet der Sender den öffentlichen Schlüssel des Empfängers zur Verschlüsselung
und der Empfänger seinen geheim gehaltenen, öffentlich nicht bekannten, sogenannten privaten Schlüssel zur
Entschlüsselung.
Sprachlich zu trennen von der Entschlüsselung, also der Tätigkeit des befugten Empfängers einer Geheimnachricht,
mithilfe des in seinem Besitz befindlichen (geheimen) Schlüssels, den Geheimtext in einen klar lesbaren Text
(Klartext) zurückzuverwandeln, ist der Begriff „Entzifferung“. Als Entzifferung wird die Kunst bezeichnet, dem
Geheimtext seine geheime Nachricht zu entringen, ohne im Besitz des Schlüssels zu sein. Dies ist die Tätigkeit eines
„Codeknackers“ (engl.: codebreaker). Das Forschungsgebiet, das sich mit der Entzifferung von Geheimtexten
befasst, heißt Kryptoanalyse (auch Kryptanalyse) und ist neben der Kryptographie das zweite Teilgebiet der
Kryptologie. Die Kryptoanalyse dient dabei nicht ausschließlich nur zur unbefugten Entzifferung von geheimen
Nachrichten, sondern sie befasst sich auch ganz wesentlich mit der Prüfung der Wirksamkeit und Sicherheit
kryptographischer Verfahren.
Verschlüsselung
In der zwischenmenschlichen Kommunikation bedeutet Verschlüsselung allgemeiner den Austausch von
Informationen, die mittels Symbolen an einen Gegenüber übermittelt werden, von dem entsprechend eine Deutung
der Symbole erfolgt. Als Symbole dienen hierbei zum Beispiel Sprache, Mimik, Gestik, Lautierungen. Das richtige
Verstehen einer Nachricht kann unter Umständen problematisch sein, weil eine korrekte Deutung der Symbole im
Sinne der Absicht des Senders nicht immer gelingt (vergleiche Vier-Seiten-Modell).
Begriffsabgrenzung
Die Verschlüsselung ist eine Funktion, die abhängig von einem Schlüssel einen Klartext in einen Geheimtext
überführt, dergestalt, dass es mit der Entschlüsselung eine Umkehrfunktion gibt, mit der man aus dem Geheimtext
wieder den Klartext erhält.[1]
Kryptographen bemühen sich um eine Abgrenzung von Begriffen, die umgangssprachlich synonym benutzt werden.
Beispiele:
• Chiffrierung: Bei der Chiffrierung werden alle Zeichen einzeln anhand eines Verschlüsselungsverfahrens
verschlüsselt. Beispiel hierfür ist die Cäsar-Verschlüsselung, bei welcher ein Zeichen aus dem Alphabet als
Schlüssel verwendet wird und anhand der Position des Buchstabens im Alphabet die Buchstaben des Klartextes
zyklisch verschoben werden.
• Codierung: Beim Codieren werden alle Zeichen eines Zeichenvorrats einem anderen Zeichenvorrat zugeordnet.
Ein Beispiel hierfür ist die Codierung aller alphabetischen Zeichen in den ASCII-Code.
• Entziffern: Übertragen eines Chiffretextes in einen Klartext ohne bekannten Schlüssel (siehe auch: Brechen).[2]
Verschlüsselungsmethoden
Eine grobe Unterscheidung in symmetrische und asymmetrische Verschlüsselungssysteme ergibt sich aus der Weise,
in der kryptographische Schlüssel an die am Verfahren Beteiligten vermittelt werden:
Bei symmetrischen Systemen besitzen beide Kommunikationspartner denselben Schlüssel und müssen diesen vor
Beginn der Kommunikation sicher ausgetauscht haben (zum Beispiel mittels Diffie-Hellman-Schlüsselaustausch
oder der Zusendung per Post). Bekannte klassische symmetrische Verfahren sind die Cäsar-Chiffre, der DES und das
One-Time-Pad (informationstheoretisch sicher). Zu den modernen und derzeit als sicher angesehenen Verfahren
gehören der Rijndael, Twofish sowie 3DES, wobei dem Rijndael durch seine Erhebung zum Advanced Encryption
Standard und aufgrund seiner Bevorzugung durch staatliche US-amerikanische Stellen eine herausragende Rolle
zukommt.
Asymmetrische Systeme zeichnen sich dadurch aus, dass für jeden Teilnehmer ein Schlüsselpaar generiert wird. Ein
Schlüssel jedes Paars wird veröffentlicht, der andere bleibt geheim. Die Asymmetrie ergibt sich, da Daten, die mit
dem einen Schlüssel des Schlüsselpaares verschlüsselt wurden, nur mit dem zweiten Schlüssel des Schlüsselpaares
entschlüsselt werden können. Das bekannteste dieser Verfahren ist das RSA-Kryptosystem.
Schlüsselverteilung
Um die Schlüssel zu verteilen, gibt es drei Techniken:
Manuelle Verteilung von Schlüsseln
Verwendet Methoden der Offline-Auslieferung. Die manuelle Auslieferung von Schlüsseln muss für die
meisten Benutzer mindestens einmal erfolgen. Die Verteilung weiterer Schlüssel kann dann durchgeführt
werden, indem der manuell verteilte Schlüssel zur Verschlüsselung der anderen eingesetzt wird.
Schlüsselverteilung auf der Basis eines Centers
Bei der Verteilung wird auf eine vertrauenswürdige dritte Partei zurückgegriffen.
Schlüsselverteilung auf der Basis von Zertifikaten
70
Verschlüsselung
Hier werden zwei Klassen von Verteilungstechniken unterschieden: Schlüsseltransfer (Verschlüsselung lokal
erzeugter Schlüssel, bspw. mit dem RSA-Kryptosystem) und Schlüsselaustausch (Schlüssel wird sowohl lokal
als
auch
beim
entfernten
Schlüsselmanagementsystem
kooperativ
erzeugt,
bspw.
Diffie-Hellman-Schlüsselaustausch)
Verschlüsselungsklassen
Man unterscheidet zwei grundlegende Verschlüsselungsklassen, die einzeln oder in Kombination eingesetzt werden
können, um Nachrichten zu verschlüsseln.[3]
• Substitution: Bei der Substitution werden Zeichen durch andere ersetzt. Zum Beispiel werden alle Buchstaben
durch Zahlen ersetzt.
• Transposition: Bei einer Transposition werden die Zeichen untereinander vertauscht. Zum Beispiel wird der Text
rückwärts geschrieben, oder man vertauscht jeden zweiten mit jedem fünften Buchstaben.
Verschlüsselungsmodi
Wenn Verschlüsselungen bei derselben Klartext-Eingabe immer zu denselben Geheimtexten führen, erhöht sich die
Wahrscheinlichkeit, der Verschlüsselung durch analytische Verfahren auf die Spur kommen zu können. Bei einer
Block-Verschlüsselung werden Zeichen als Block, zum Beispiel jeweils vier Buchstaben, übersetzt. Eine
Strom-Verschlüsselung überträgt unmittelbar jedes Zeichen oder jedes Bit. Der verschlüsselte Text oder auch der
Klartext kann mit in den Schlüssel einfließen. Bei Vorgabe eines beliebigen Startzeichens, des sogenannten
Initialisierungsvektors, werden durch die Rückkopplung bei selbem Schlüssel und selbem Klartext unterschiedliche
Chiffretexte erzeugt. Die Modi heißen:
Electronic code book (ECB)
Aus einem Klartextblock wird immer derselbe Geheimtext erzeugt.
Cipher block chaining (CBC)
In die Verschlüsselung fließt der jeweils vorher verschlüsselte Block ein.
Cipher Feedback Mode (CFB)
Strom-Chiffrierung mit Rückkopplung des Chiffretextes
Output Feedback (OFB)
Strom-Chiffrierung mit Rückkopplung des Klartextes
Counter Mode (CTR)
Strom-Chiffrierung mit einem Zähler
Klartextverarbeitung
Klartexte können bei den meisten Verfahren nicht als Ganzes verschlüsselt werden, da die verwendeten Algorithmen
bezüglich der Menge der zu verschlüsselnden Daten limitiert sind. Je nach Art der Klartextverarbeitung
unterscheidet man daher zwei unterschiedliche Verfahren:
• Bei der Blockverschlüsselung wird der Klartext vor der Verschlüsselung in Blöcke gleicher Größe aufgeteilt.
Diese Blöcke werden dann einzeln verschlüsselt.
• Bei der Stromverschlüsselung wird der Klartext zeichen- oder bitweise verschlüsselt. Solche Algorithmen
bezeichnet man auch als „Online-Algorithmen“.
Blockbasierte Verfahren liefern in der Regel bessere Ergebnisse. Allerdings müssen zu kleine Blöcke dabei durch
bedeutungslose Zeichen aufgefüllt werden, so dass sie eine höhere Übertragungskapazität in Anspruch nehmen.
71
Verschlüsselung
Übertragung der Nachricht
Eine verschlüsselte Nachricht muss in der Regel über mehrere Stationen übertragen werden. Heute handelt es sich
dabei meist um einzelne Computersysteme, das heißt die verschlüsselte Nachricht wird über ein Rechnernetzwerk
übertragen. Man unterscheidet dabei zwei grundlegend unterschiedliche Übertragungsweisen:
• Bei der Leitungsverschlüsselung wird die Nachricht nur jeweils für den Nachbarrechner verschlüsselt
(Punkt-zu-Punkt-Verschlüsselung). Dieser entschlüsselt die Nachricht, verschlüsselt sie wiederum (mit einem
möglicherweise anderen Verfahren) und schickt sie an seinen Nachbarn – und so weiter bis zum Zielrechner. Der
Vorteil dieses Verfahrens besteht darin, dass sich jeweils nur Nachbarrechner auf ein Verschlüsselungsverfahren
und verwendete Schlüssel einigen müssen. Darüber hinaus kann diese Übertragungsweise auf einer sehr niedrigen
Protokollebene (etwa bereits in der Übertragungs-Hardware) angesiedelt werden. Der Nachteil besteht darin, dass
jeder einzelne Rechner auf dem Übertragungsweg vertrauenswürdig und sicher sein muss.
• Bei der Ende-zu-Ende-Verschlüsselung wird die Nachricht vom Absender verschlüsselt und in dieser Form
unverändert über mehrere Rechner hinweg zum Empfänger übertragen. Hier hat keiner der übertragenden
Rechner Einsicht in den Klartext der Nachricht. Der Nachteil besteht allerdings darin, dass sich der Absender mit
jedem möglichen Empfänger auf ein Verschlüsselungsverfahren und zugehörige(n) Schlüssel einigen muss.
Verschlüsselungsbeispiel
Als Beispiel dient eine Mitteilung von Kapitänleutnant Hartwig Looks, Kommandant des deutschen U-Boots U 264,
die am 19. November 1942 mit einer ENIGMA-M4 verschlüsselt wurde (siehe dort).
Kryptographie und Kryptanalyse
Als Vertreter gegensätzlicher Interessen stehen sich Kryptographen und Kryptoanalytiker gegenüber. Die
Entwicklung der Verschlüsselungstechniken erfolgte meist im Militär. Die eine Seite (Kryptographen) versuchte ihre
Nachrichten zu verschlüsseln – die Gegenseite (Kryptoanalytiker) versuchte, diese zu entziffern. Heute ist die
Forschung auf dem Gebiet der Verschlüsselung wesentlich breiter. Es gibt zahlreiche Personen wie auch
Institutionen, die sowohl neue Verschlüsselungstechniken entwickeln als auch gleichzeitig versuchen, bestehende zu
brechen.
In der Hoffnung, einem kryptographischen Verfahren dadurch zusätzliche Sicherheit zu verleihen, wurden
Verschlüsselungsalgorithmen gerne geheim gehalten, was als Security by Obscurity bezeichnet wird. Kryptologen
argumentieren, dadurch steige das Risiko heimlicher, aber routinemäßiger Angriffe auf verschlüsselte Information
oder Transportwege. Daher bemühen sich Wissenschaftler heute, die Algorithmen von einer breiten Öffentlichkeit
analysieren zu lassen. Denn so lange möglichst viele Fachleute keine Schwachstelle finden, gilt ein Verfahren noch
als sicher. Die Offenlegung des Verfahrens bildet Kerckhoffs’ Prinzip.
Möglichkeiten der Kryptoanalyse bilden unter anderem Brute Force (das heißt ausprobieren aller möglicher
Schlüssel) und Seitenkanalattacken.
Literatur
• Klaus Schmeh: Codeknacker gegen Codemacher. w3l, 2007 , ISBN 3937137890
• Bruce Schneier: Angewandte Kryptographie. Pearson Studium, 2005, ISBN 3-8273-7228-3
• Simon Singh: Geheime Botschaften. Dtv, 2001, ISBN 3-423-33071-6 (Übersetzung des Buches The Code Book:
The Science of Secrecy from Ancient Egypt to Quantum Cryptography. New York: Anchor Books, 1999. ISBN
0385495323)
72
Verschlüsselung
Weblinks
•
•
•
•
•
Eine Einführung in die Anwendung der Verschlüsselung [4]
Vorlesung über IT-Sicherheit mit Schwerpunkt Verschlüsselung an der FH Frankfurt [5]
Verschlüsselungsverfahren und ihre Anwendungen [6]
Simon Singh: The Code Book (1999). Kostenloser Download (Stand Januar 2011) [7]
Einführung in das Thema Verschlüsselungen [8]
Einzelnachweise
[1] Beutelspacher, Albrecht ; Neumann, Heike ; Schwarzpaul, Thomas: Kryptografie in Theorie und Praxis : mathematische Grundlagen für
Internetsicherheit, Mobilfunk und elektronisches Geld. 2. Auflage. Vieweg + Teubner, 2010, ISBN 978-3-8348-0977-3, S. 22-29.
[2] Oberkommando der Wehrmacht: Allgemeine Schlüsselregeln für die Wehrmacht. Berlin 1944, Seiten 5f. Abgerufen: 26. August 2010. PDF;
0,9 MB (http:/ / www. cdvandt. org/ Dv-g7. pdf)
[3] Friedrich L. Bauer: Entzifferte Geheimnisse, Methoden und Maximen der Kryptographie. Springer, Berlin 2000 (3. Auflage), Seiten 46ff.
ISBN 3-540-67931-6
[4] http:/ / www. hermetic. ch/ crypto/ introg. htm
[5] http:/ / www. fbmnd. fh-frankfurt. de/ ~scheidem/
[6] http:/ / www. heise. de/ security/ Harte-Nuesse-Verschluesselungsverfahren-und-ihre-Anwendungen--/ artikel/ 39275/ 0
[7] http:/ / www. simonsingh. net/ Code_Book_Download. html
[8] http:/ / www. verschluesselungen. net
Passwort
Ein Passwort (englisch password), auch Passphrase, Kennwort, Schlüsselwort, Codewort (auch: Kodewort),
Losung, Losungswort oder Parole (von italienisch la parola; deutsch: „das Wort“) genannt, dient zur
Authentifizierung und eindeutigen Identifizierung. Hierzu wird eine Information benutzt, die als Ausweis dient und
möglichst unverwechselbar die eigene Identität bestätigt. Die Authentizität des sich so Ausweisenden bleibt nur
höchstens so lange gewahrt, wie das Passwort geheim bleibt, das heißt, es nicht Dritten bekannt wird. Der
Zusammenhang zwischen Passwort und dessen Nutzer muss gesondert hergestellt und überprüft werden (zum
Beispiel durch die Bank auf dem besonders vor Manipulation geschützten Postweg).
Eine Persönliche Identifikationsnummer (PIN) ist ein Passwort, das ausschließlich aus Ziffern besteht.
Einsatz von Passwörtern
Eine Parole war im Militär ursprünglich ein als Erkennungszeichen
dienendes Wort, um bei Dunkelheit oder bei unbekannten
Kombattanten Freund und Feind zu unterscheiden. Noch heute wird
von nachtpatrouillierenden Soldaten bei der Wache oder auf Manövern
die Frage nach der Parole gestellt. Im Mittelalter wurde manche
Burgbelagerung durch den Verrat des Losungswortes entschieden.[1]
Häufiger Einsatz von Passwörtern findet in der Computerwelt in
Anmeldung bei Wikipedia
Verbindung mit einem Benutzernamen statt, z. B. bei Wikipedia. Hier
ist das Passwort eine beliebige, vom Nutzer selbstgewählte alphanumerische Zeichenfolge.
Passwörter werden außerdem im Bereich der Kindersicherung verwendet, um Kindern den Zugriff auf Fernseher,
Receiver oder ungeeignete Programminhalte zu verwehren.
73
Passwort
Verfahren
Das einfachste Verfahren besteht darin, innerhalb einer klar definierten Gruppe von Eingeweihten ein gemeinsam
bekanntes Passwort zu vereinbaren. In der IT-Technik spricht man von einem „Shared Secret“. Das Wesentliche bei
diesem Verfahren ist es, dass beide Kommunikationspartner (nämlich erstens derjenige, der Einlass in eine Sache
oder zu einem Service erfragt, und zweitens derjenige, der Einlass gewährt oder verweigert) das gleiche „richtige“
Passwort kennen. Ein Nachteil dieses Verfahrens ist es, dass bei einem Passwort-Verrat, alle Beteiligten
gleichermaßen verdächtichtigt werden müssen, nicht vertraulich mit den Passwort umgegangen zu sein.
Um eine höhere Sicherheit zu erreichen, wird in der IT-Technik heute zu einem Passwort ein kryptologisches Hash
gebildet, und nur dieses wird auf der prüfenden Seite gespeichert. Das Klartextpasswort ist idealerweise alleinig im
Kopf einer einzigen Person gespeichert. Wird nun dass Passwort verwendet, um einen Einlass in das System zu
bekommen, wird zu dem eingegebenen Passwort wieder das Hash berechnet. Der Zugriff kann gewährt werden,
wenn dieses Hash mit dem abgespeicherten Hash übereinstimmt. Das kryptologische Hash wird nach einem
definiertem Verfahren so gebildet, dass aus der Kenntnis des Hashes, das Passwort nicht zurückberechnet werden
kann. Trotzdem bieten sich hier Möglichkeiten eines Angriffes. Wurde das Hash z.B. durch einen Hackerangriff
erbeutet, so lässt sich durch systematisches Probieren (die sogenannte Brute-Force-Methode) eventuell das richtige
Passwort finden.
Einmalkennwörter können nur einmal zur Authentifizierung benutzt werden und sind danach ungültig. So entsteht
kein Schaden, wenn das Passwort während der Authentifizierung ausgespäht wird. Traditionell werden mehrere
Einmalkennwörter auf Vorrat festgelegt und in Form einer Liste vermerkt, die sicher verwahrt werden muss. Solche
Einmalkennwörter werden zum Beispiel als Transaktionsnummern (TAN) beim Online-Banking verwendet. Sie
können aber auch erst kurz vor ihrer Benutzung unter Einbeziehung der Uhrzeit und einer PIN erzeugt werden und
nur zur Benutzung binnen weniger Minuten geeignet sein.
Wahl von sicheren Passwörtern
Moderne Verschlüsselungsverfahren sind technisch so weit
fortgeschritten, dass sie in der Praxis außer durch das Austesten aller
möglichen Schlüssel – der sogenannten Brute-Force-Methode – meist
nur durch einen Wörterbuchangriff geknackt werden können. Die
Schwachstelle ist bei beiden Angriffen das vom Benutzer gewählte
Passwort. Damit ein Passwort nicht unsicherer ist als die eigentliche
Verschlüsselung (112 bis 128-Bit-Schlüssel bei gängigen Verfahren),
ist für dieses theoretisch eine Folge von etwa 20 zufälligen Zeichen
erforderlich. Falls das Passwort nicht aus zufälligen Zeichen besteht,
sind sogar deutlich längere Zeichenfolgen nötig, um die gleiche
Sicherheit zu erreichen.
Da die Länge der Passwörter, die zur Verschlüsselung verwendet
Zufällige Passwort-Erzeugung mit der
werden können, softwareseitig oft begrenzt ist (zum Beispiel bringen
Passwortverwaltung KeePass
Passwörter mit mehr als 32 Zeichen bei AES keinerlei
Sicherheitsgewinn), sollte man immer Zeichenkombinationen wählen, die aus seltenen Wörtern und Wortstellungen,
Phantasiewörtern oder fremdsprachigen Wörtern, Anfangsbuchstaben eines Satzes, Zahlen und/oder Sonderzeichen
oder noch besser Kombinationen davon bestehen. Deren Bestandteile sollten für einen gut über die Person und ihre
Interessen informierten Angreifer nicht vorhersehbar sein. Eine Alternative ist es, einen Passwortgenerator zu
benutzen und sich das Passwort entweder gut einzuprägen oder an einem geheimen Ort zu notieren.
Ein relativ sicheres Passwort könnte sein: 0aJ/4%(hGs$df"Y! (16 Zeichen). Die Problematik solcher
Zufallszeichenfolgen ist jedoch, dass sie schwer zu merken sind und deshalb irgendwo notiert werden. Eine leichter
74
Passwort
zu merkende Alternative ist ein einstudierter, zeichenweise veränderter Satz wie „dIE bANANNE*3 durch 1/4
nIKOTIN.“ (32 Zeichen), wichtig ist hier das Einstreuen von genügend Zufallszeichen. Gut geeignet ist die
Verwendung der Anfangsbuchstaben eines Satzes (z. B. Ie90%dÄf7€! gebildet aus den fett hervorgehobenen
Zeichen von „Ich esse 90 % der Äpfel für 7 € !“). Einige Passwortgeneratoren bieten die Option zur Bildung
phonetischer Buchstabenkombinationen in Form von zufällig kombinierten Wortsilben. Eine weitere Alternative zur
Erzeugung von Passphrasen mit bekannter Entropie ist die Diceware-Methode.
Die Verwendung von Sonderzeichen kann zwar einen Sicherheitsgewinn bringen, da ein Passwort dadurch
komplexer wird, dennoch sollte man bedenken, dass auf nicht allen Tastaturen die gleichen Sonderzeichen
vorhanden sind (zum Beispiel: Sprach-spezifische Sonderzeichen, ältere Mobiltelefone).
Sicherheitsfaktoren
Die Sicherheit eines Passwortes hängt vor allem davon ab, dass es geheim bleibt. Andere Faktoren zum Schutz des
Passwortes sind z. B.:
• Passwörter zur Authentifizierung bieten die größte Sicherheit, wenn diese nur einmalig verwendet werden. Jeder
wiederholte Einsatz des Passwortes erhöht die Gefahr, bei unverschlüsseltem Transfer oder
Spionage-Maßnahmen (wie z. B. durch Keylogging oder Phishing) das Passwort zu verraten.
• Passwörter sollten regelmäßig geändert werden.
• Es empfiehlt sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer
Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung
weiterhin verwehrt.
• Speziell gegen Phishing im Internet empfiehlt es sich, das Passwort als Hash-Wert aus einem Passwort,
welches sich der Benutzer aussucht, sowie der Domain der Webseite zu bilden. Dies führt einerseits dazu, dass
jede Webseite automatisch ein anderes Passwort bekommt, selbst wenn der Benutzer immer das gleiche
Passwort eingeben sollte. Phishing kann auf diese Weise ausgeschlossen werden. Gegen Keylogger hilft dies
jedoch nur bedingt.
• Die Übertragung des Passwortes vom Benutzer zum System sollte sicher sein, z. B. durch Verwendung von
verschlüsselten Kanälen zur Übertragung (siehe auch SSL). Dadurch wird es bei sicherer Implementierung und
ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Passwort in Erfahrung zu
bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um SSL-Verschlüsselungen in
angemessener Zeit zu knacken.
• Passwörter sollten nicht aufgeschrieben und nicht unverschlüsselt gespeichert werden. Bei der prüfenden
Komponente sollte das Passwort gar nicht gespeichert werden, sondern nur ein mit einer kryptologischen
Hashfunktion berechneter Hashwert. Um Brute-Force-Angriffe auf den Hashwert mit Hilfe von Hash-Tabellen
(z. B. Rainbow Tables) zu verhindern, sollte in den Hashwert auch ein Zufallswert (Salt) eingehen.
• Viele Passwörter können von Angreifern leicht erraten werden. Da die meisten Passwörter von menschlichen
Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht
einprägsam sein müssen, kommen häufig einfach zu ratende Passwörter zum Einsatz, wie z. B. der eigene Name
oder der Name eines Familienmitgliedes, des Freundes oder Haustieres, sowie Geburtstage oder Adressen.
• Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass Computer keinen „echten“ Zufall mit maximaler
Entropie generieren können. Man spricht von Pseudo-Zufallsgeneratoren. Diese Schwachstelle kann jedoch
nur in den seltensten Fällen ausgenutzt werden, da zuerst das Muster, mit dem der Generator arbeitet, also
Parameter und auch die Saat (das sind weitere, zufällige Parameter) erschlossen werden müssen. „Echten“
Zufall kann man z. B. mit Überlagerung von Schallwellen gewinnen, wenn man diese aufzeichnet und in
digitale Form bringt.
• Das Passwort sollte lang genug sein, um nicht durch Ausprobieren (Brute-Force-Angriff) ermittelt werden zu
können. Das System sollte außerdem einen ausreichend großen Zeichensatz verwenden, mit dem das Passwort
75
Passwort
76
gebildet wird. Die erforderliche Länge und Zusammensetzung hängt von mehreren Faktoren ab:
• Welche Zeichen verwendet werden (Ziffern, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da
Ziffern nur zehn Variationen von 0–9, Buchstaben hingegen 26 oder mit Groß- bzw. Kleinschreibung sogar 52
Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Passwort deutlich erschweren).
Sonderzeichen bieten die größte Variationsdichte, sind allgemein aber schwerer einzuprägen.
• Ein Passwort kann auch mithilfe von Zeichen sicherer gemacht werden, die es auf der Tastatur nicht gibt, z. B.
„®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer acht gelassen. Zum Eintippen
verwendet man unter Windows dann Alt + 0174, Alt + 0164 und Alt + 0169. Die Ziffern müssen bei
eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden.
• Wie schnell der Zugriff auf das Passwort ist (z. B. sind Webserver-Zugriffe generell langsamer als direkte
Dateizugriffe auf den Hash-Wert des Passwortes).
• Ob das Passwort mittels eines Wörterbuchangriffs gefunden werden kann. Dies kann durch Kunstwörter ohne
logischen Bezug, wie z. B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht verhindert werden, da
Wörterbuchangriffe auf Listen bekannter Passwörter und Begriffe zugreifen und komplexere
Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter
brechen. Auch das Einstreuen von ein oder zwei Ziffern oder Sonderzeichen hilft hier nicht.
Zudem sollte das System nach einer bestimmten Zahl von fehlerhaften Eingaben keine neuen Eingaben akzeptieren,
bis eine bestimmte Zeit vergangen ist bzw. das System manuell wieder freigeschaltet wurde.
Die folgende Tabelle gibt die benötigte Rechenzeit eines Brute-Force-Angriffs auf verschiedene Passwörter wieder.
In diesem Beispiel wird eine Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer pro
Sekunde durchprobieren kann - dies entspricht ungefähr der Leistung eines modernen Standard-PCs mit
leistungsfähiger Grafikkarte (z. B. Radeon HD 6770)[2] . Weiters wird für dieses Beispiel angenommen, dass das
Passwort als md5-hash, ohne weitergehende Sicherungsmaßnahmen wie z. B. Salt, vorliegt. Es ist zu beachten dass
die Werte dieser Tabelle nur ein Beispiel darstellen und sich in der Praxis auch sehr deutlich davon unterscheiden
können:[3] [4]
Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde
Passwortlänge
Zeichenraum
4 Zeichen
5 Zeichen
6 Zeichen
7 Zeichen
8 Zeichen
9 Zeichen
10 Zeichen
26 [a-z]
<1 Sekunde <1 Sekunde <1 Sekunde
8 Sekunden 217 Sekunden 94 Minuten
52 [A-Z;a-z]
<1 Sekunde <1 Sekunde 20 Sekunden
17 Minuten 909 Minuten
787 Stunden 4,7 Jahre
62 [A-Z;a-z;0-9)
<1 Sekunde <1 Sekunde 58 Sekunden
60 Minuten 62 Stunden
159 Tage
27 Jahre
22 Jahre
2.130 Jahre
96 (+Sonderzeichen) <1 Sekunde 8 Sekunden 791 Sekunden 21 Stunden 84 Tage
41 Stunden
Ungünstige Passwörter
Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben oder deren Verwendung als
Passwörter gut dokumentiert ist. Dies ist dann möglich, wenn durch Kompromittierung von Webseiten große
Mengen von Passwörtern bekannt werden. Zu diesen Passwörtern zählen nicht nur statische Begriffe, sondern auch
Bildungsmuster, die vorhersehbar sind. Einige Beispiele:[5] [6] [7]
•
•
•
•
Einfache Zeichenketten von der Tastatur, z. B. asdf, wsxedc, tzughj etc.
Einfache Ziffernketten, 123456, 54321, 13131 etc.
Typische Begriffe aus dem Bereich der Authentifikation, also Varianten von Passwort, geheim usw.
Eigennamen – da diese häufig in Wörterbüchern zu finden sind, wird ein Wörterbuchangriff ermöglicht
• Und deren Abwandlung in der Form von Kose-, Ruf- und Spitznamen.
Passwort
• Vokale oder Selbstlaute
• Geburtsjahre, Geburtstage o. Ä.
• und deren Verwendung als Anhang an einen anderen Begriff
• Typische Techniken, um Passwortwechsel zu vereinfachen, wie z. B. Anhängen von Ziffern oder Monatskürzeln
an einen feststehenden Begriff.
Diese sogenannten Trivialpasswörter können in vergleichsweise übersichtlichen Listen zusammengefasst werden
und sind leicht zu recherchieren. Passwortcracker erzeugen sie seit vielen Jahren auch teilweise automatisch, daher
geht von ihnen keine Schutzwirkung mehr aus.
Generell sollte man Passwörter verwenden, die den oben vorgestellten Mustern nicht folgen. Hierbei können
Programme helfen, die Passwörter erstellen (siehe unten).
Passwort-Formeln
Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Gleichzeitig
ermöglicht dieses Prinzip beliebig hohe Sicherheit. Der Nutzer merkt sich eine für alle Passwörter geltende Formel,
die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche
variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Firmenname. Von einer solchen Zeichenkette
nimmt man bestimmte Zeichen und kombiniert sie mit nach einem festen Schema vorgegebenen Zahlen und
Sonderzeichen. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Chiffriercode und erhält
damit individuelle und gleichzeitig sichere Passwörter.
Alternativen
Anstatt Passwörter manuell eingeben zu lassen, können Schlüssel auch in einer Schlüsseldatei abgelegt werden. Bei
Anwendungen wie beispielsweise SSH können statt Passwörtern zur Authentifizierung auch öffentliche Schlüssel
dienen, die durch ihre Länge den üblichen Passwörtern überlegen sind. Hierbei ist der private Schlüssel geheim zu
halten. Aufgrund der Länge wird er auf einem Datenträger gespeichert. Für den Fall, dass Unbefugte diesen privaten
Schlüssel auslesen, kann dieser zusätzlich mit einem Passwort geschützt werden.
Eine andere Alternative für eine Zugangskontrolle ist es, statt die Kenntnis eines Passwortes vorauszusetzen, den
Besitz eines einmaligen Objektes zu verlangen. Dieses Objekt, das man Security-Token nennt, kann z.B. eine
Chipkarte sein, oder ein besonderer USB-Stick. Um den Token vor Missbrauch zu schützen wird er oft zusätzlich
durch ein Passwort geschützt. Man spricht dann von einer "zwei Wege Authentifizierung", da zur Authentifizierung
sowohl der "Besitz eines Objektes" erforderlich ist, wie auch die "Kenntnis eines Geheimnisses".
Einzelnachweise
[1]
[2]
[3]
[4]
[5]
http:/ / kennwort. info (http:/ / kennwort. info/ was-ist-ein-kennwort)
hashcat.net (http:/ / hashcat. net/ oclhashcat/ #performance). Abgerufen am 23. August 2011
Thor's Password Strength Checker (http:/ / www. hammerofgod. com/ passwordcheck. aspx). Abgerufen am 16. August 2011
Password Recovery Speeds (http:/ / www. lockdown. co. uk/ ?pg=combi). Abgerufen am 16. August 2011
Passwortdaten von Flirtlife.de kompromittiert (http:/ / www. heise. de/ newsticker/ Passwortdaten-von-Flirtlife-de-kompromittiert--/
meldung/ 73396). In: Heise online. 22. Juni 2006.
[6] Bruce Schneier: MySpace Passwords Aren't So Dumb (http:/ / www. wired. com/ politics/ security/ commentary/ securitymatters/ 2006/ 12/
72300). In: Wired. 14. Dezember 2006.
[7] 10 Most Common Passwords (http:/ / www. pcmag. com/ article2/ 0,1759,2113976,00. asp). In: PC Magazin. 18. April 2007.
77
Passwort
78
Weblinks
• Sichere Online-Passwörter immer zur Hand (http://de.onsoftware.com/
sichere-online-passworter-immer-zur-hand/), Leitfaden: Passwort-Formeln als Alternative zu
Kennwortverwaltern, 23. Jun 2009
• Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter. (http://www.microsoft.com/germany/technet/
sicherheit/newsletter/kennwoerter2.mspx), Microsoft TechNet, 10. Dez 2004
• Zur Problematik unterschiedlicher Passphrase-Formeln bei WEP (http://www.Joern.De/WEP/)
• Thema Passwörter (https://www.verbraucher-sicher-online.de/thema/passwoerter), Verbraucher sicher online
• eKaay Sesame (http://www.ekaay.com/sesame/) Einloggen ohne Passwort, sondern mit dem Handy (neues
Verfahren, Uni Tübingen, 2010)
Netzwerk
Als Netzwerke werden Systeme bezeichnet, deren
zugrundeliegende Struktur sich mathematisch als
Graph modellieren lässt und die über
Mechanismen zu ihrer Organisation verfügen. Der
Graph besteht aus einer Menge von Elementen
(Knoten), die mittels Verbindungen (Kanten)
miteinander verbunden sind. Ein geschlossener
Zug aus Kanten und Knoten heißt Masche.
Dass der Großteil der Knoten zu einer oder
mehreren Maschen gehört, ist das eigentliche
Kennzeichen eines Netzwerks gegenüber anderen
Typen von Strukturen.
Schematische Darstellung eines Netzes
Netzwerke werden auf einer abstrakten Ebene in
der Netzwerkforschung untersucht und in der Praxis in den jeweiligen Anwendungsgebieten, aus denen die
konkreten Netze stammen.
Basistypen von Netzwerken
Kettennetzwerk
Hintereinander angeordnete Knoten. Informationen bzw. Waren bewegen sich entlang und es gibt nur einen
möglichen Weg.
Stern- oder Knotennetzwerk
Ein zentraler Knoten, um den sich die anderen Knoten gruppieren. Informationen und Waren laufen sämtlich über
den zentralen Knoten.
all-channel-Netzwerk
Jeder Knoten ist mit jedem verbunden. Informationen bzw. Waren können über beliebige Wege weitergegeben
werden.
Netzwerk
Übernahmen in Einzelwissenschaften
In der Ethnologie, der Soziologie und der Psychologie wurde der Begriff als „Soziales Netzwerk“ übernommen, in
der Betriebswirtschaftslehre als „Netzwerkorganisation“. In der Systemtheorie wird mit „Netzwerk“ eine Menge von
miteinander auf definierte Weise verbundenen, autonomen Objekten bezeichnet, die ein gesamtes System bilden.
Auch in der Politikwissenschaft wird der Netzwerkbegriff verwendet. In der Steuerungstheorie wird unter
Politiknetzwerken das Zusammenwirken privater (Unternehmen, Interessensgruppen) und öffentlicher Akteure in
bestimmten Politikbereichen verstanden. Das Ergebnis sind nicht-hierarchische, dezentrale politische Netzwerke.
Andere Autoren verwenden das Netzwerkkonzept allgemein für die Bezeichnung verschiedener Formen
öffentlich-privater Kooperation, die nicht unbedingt dezentral organisiert sein muss. Thematisiert wird von beiden
Ansätzen der Austausch von Ressourcen zwischen den beteiligten Akteuren. Politiknetzwerke können hinsichtlich
der Politikformulierung- und -implementation entstehen. Eine der neusten Entwicklungen stellt die Differierende
Netzwerktheorie (DFN-Theorie) dar.
Neuerdings wird in den Kulturwissenschaften versucht, den Netzwerkbegriff als Basis zur Verständigung der
Einzelwissenschaften über bestimmte Gegenstandsbereiche nutzbar zu machen und deshalb transdisziplinär
(Transdisziplinarität) zu konzeptualisieren.[1]
Auch einige Theorien der Internationalen Beziehungen, wie Global Governance und Strömungen des
Konstruktivismus, konstatieren die Entstehung von Netzwerken auf internationaler Ebene. Auch diese sind meist
gemischter Natur; die beteiligten Akteure sind beispielsweise internationale Organisationen, Staaten, einzelne
Ministerien bzw. staatliche Agenturen, INGOs, NGOs und/oder Unternehmen. Zu ihren Aktivitäten gehören
beispielsweise der Einsatz für bestimmte Minderheiten und für die Umwelt, das Setzen neuer Themen auf die
globale Agenda sowie das Verhandeln von globalen Standards.
Der Begriff Netzwerk hat sich auch in der Computerwelt verbreitet. Computernetze werden meist schlicht als
„Netzwerk“ bezeichnet. Auch wenn viele Akademiker dies für falsch halten, so hat sich dieser Begriff durchgesetzt.
(Hintergründe dazu findet man im Artikel zu Computernetzen.)
Netzwerke als Interaktionsform
Entstehung
Organisationsstrukturen haben sich stark verändert in den letzten 20 Jahren. Eine sehr dynamische Umwelt, forciert
durch schnellen technologischen Wandel und daraus resultierendem raschen Informationsaustausch führt zum
Phänomen der Globalisierung. Mit der Umwelt, verändert sich auch der Markt immer schneller. Organisationen
bestehen inzwischen nicht selten über mehrere Nationen hinweg. Macht ist ganz neu verteilt, der internationale
Wettbewerb ist hart und erfordert flexible Organisationsstrukturen. Die Grenzen in und zwischen Organisationen
verändern sich ebenso wie die Grenzen zwischen Umwelt und Organisationen (boundaryless organization). Der
Fokus steht nicht mehr auf der Institution der Organisation, sondern dem „organizing“. Dieser Umstand zieht
Veränderungen der Organisationsstruktur (nämlich hin zu Netzwerken) und der Netzwerksteuerung nach sich.
Quasi-Internalisierung und Quasi-Externalisierung
Netzwerke entstanden nach Sydow (2010) durch den Trend zur disaggregierten Organisation. Dabei wirken die
Prozesse der „Quasi-Externalisierung“ und der „Quasi-Internalisierung“. Zunächst zur Quasi-Externalisierung: Durch
die Vermarktlichung wird ein traditionell vertikal bzw. horizontal integriertes Unternehmen „disaggregiert“, d.h.
ausgegliedert. Es entstehen auf diese Weise hochgradig autonome, marktlich geführte interne Einheiten. Ein Beispiel
hierfür können betriebszugehörige Unternehmensberatungen sein, die sowohl Aufträge von ihrer eigenen
Organisation, als auch externe Aufträge annehmen können. Der zweite Prozess (Quasi-Internalisierung) bezieht sich
auf die traditionelle Stellung eines einzelnen Unternehmens im Markt. Diese Stellung ist durch den
79
Netzwerk
Zusammenschluss und teilweise auch durch die Vermarktlichung neu hierarchisiert worden. Die Unternehmen haben
einen Wandel vollzogen von autonomen Positionen auf dem Markt zu autonomen Unternehmungen mit
hierarchieartigen Beziehungen untereinander. Der Prozess der Hierarchisierung lässt sich beispielhaft aufzeigen
anhand des Zulieferer-Netzwerks großer Automobilkonzerne wie BMW. Die einzelnen Zulieferer sind zwar
autonome Organisationen (wie z.B. BASF, Siemens und Hella), aber durch Verträge und Kaufkraft eines so großen
Wirtschaftspartners hierarchisch von den Entscheidungen von BMW abhängig und damit untergeordnet. Eine
Quasi-Internalisierung findet aufgrund der Intensivierung der Zusammenarbeit von schon locker bestehenden
Austauschbeziehungen zwischen einzelnen Organisationen statt.
Wie können solche Netzwerke gesteuert werden?
Netzwerksteuerung
Im allgemeinen Verständnis bedeutet Steuerung „das Bemühen im Verringerung der Differenz“ (Luhmann, 1988).
Netzwerksteuerung bedeutet demnach nach Sydow die Steuerung interorganisationaler Netzwerke mit der
Bemühung, eine Differenz zwischen einem gewünschten und sich aufzeigenden Systemzustand zu verringern.
Angestrebt wird hierbei eine graduelle Beeinflussung von Ereignissen und Interaktionen.
Insgesamt können 4 Steuerungsebenen unterschieden werden. (Sydow &Windeler, 2000)
Ebene des interorganisationalen Netzwerks
Im Fokus steht hierbei die Steuerung des Netzwerkes mit Organisationen, deren Interaktionen und Beziehungen.
Grundlage hierfür bildet die Annahme, dass Netzwerke als soziales System zu verstehen sind, dass sich vor allem
durch die Qualität von Bezeichnungen beschreiben lässt. Es resultiert daraus, dass das Systemverhalten vor allem
von der Qualität des Beziehungszusammenhangs abhängig ist. Dementsprechend wird auf dieser Ebene der
Steuerung die Einflussnahme und Gestaltung über den Beziehungszusammenhang (z.B. kooperative, kompetitive
Unternehmensbeziehungen) berücksichtigt.
Steuerung einzelner Organisationen
Hierbei wird die wechselseitige Beeinflussung von Organisationen betrachtet: Einerseits inwieweit das Management
der Unternehmen die Netzwerksteuerung ermöglicht bzw. begrenzt und andererseits inwieweit die
Netzwerksteuerung das Management dieser Unternehmen beeinflusst.
Ebene der Steuerung von Organisationen und Netzwerken
Im Zentrum dieser Ansicht steht das Individuum; genauer inwieweit die Aktivitäten von Individuen in intra- und
interorganisationalen Netzwerken gesteuert werden können. Bei dieser komplexen Darstellung ist zu
berücksichtigen, dass Individuen dabei in einem doppelten Handlungsrahmen agieren (intraorganisational: das
Individuum mit dem Arbeitsvertrag; interorganisational: im Netzwerk als Ganzes).
Ebene institutioneller Kontexte
Im Vordergrund steht hierbei die Betrachtung der Beeinflussung bzw. die Beeinflussbarkeit der Netzwerke über
Veränderungen von Akteurkonstellationen, Technologien (Werkzeuge, Wissensbestände...), staatliche Regulation
(Gesetze) und Praktiken (Finanzierung, Produktion..).
Bei der Netzwerksteuerung ist es sinnvoll nicht nur die Stufe des Netzwerkes allein zu betrachten, sondern es sind
die 4 beschriebene Ebenen in ihrer Komplexität und wechselseitigen Beeinflussung zu berücksichtigen.
80
Netzwerk
Knoten und Kanten
Netzwerke sind eine Konfiguration aus Knoten und Kanten. Knoten, die als Akteure verstanden werden, können
sowohl Einzelpersonen als auch Gruppen sein. Die Kanten verbinden die einzelnen Akteure miteinander und stellen
somit eine Beziehung dar. Die Einbettung der Akteure in eine Vielzahl von Beziehungen reduziert die Komplexität
für den Einzelnen. Die Kanten dienen den Akteuren als Kanäle, über die Informationen und Wissen transportiert und
ausgetauscht werden.
Beziehungsstärke
Die Beziehungsstärke der Akteure untereinander wird bestimmt durch die emotionale Intensität, dem Grad des
Vertrauens, der Reziprozität und der gemeinsam verbrachten Zeit. Entsprechend der Ausprägung dieser Merkmale
lassen sich starke und schwache Beziehungen unterscheiden. Starke Beziehungen sind durch eine engmaschige
Struktur gekennzeichnet, innerhalb der die Motivation der Akteure hoch ist Informationen und Wissen zu tauschen
und weiterzuleiten. Schwache Beziehungen sind durch eine offene Struktur gekennzeichnet, die es Informationen
ermöglicht größere Distanzen zu überwinden.
Dichte
Die Dichte des Netzwerkes gibt an, wie stark die Akteure untereinander vernetzt sind. Je größer die Anzahl der
Beziehungen ist, desto stärker erhöht sich die Möglichkeit Informationen auszutauschen.
Reichweite
Die Reichweite gibt an, in welchem Maß die Beziehungen der Akteure über das eigene Netzwerk hinausreichen.
Wissenstransfer in Netzwerken
Wissenstransfer und Wissensaustausch stehen in komplexen Beziehungen zu Dichte, Reichweite und
Beziehungsstärke des Netzwerkes.
Starke Beziehungen eignen sich durch die stärkere emotionale Bindung der Akteure für den Transfer von
komplexem und implizitem Wissen. Hier sind die Akteure eher bereit, Zeit aufzuwenden um komplexe
Zusammenhänge zu erklären und schwer zu verbalisierendes Wissen weiterzugeben. Allerdings versperren starke
Beziehungen durch ihre Redundanz Kommunikationswege, auf denen neue Informationen in das Netzwerk gelangen
können. Für die Diffusion von neuen Wissensinhalten sind schwache Beziehungen besser geeignet, da hier eine
größere Anzahl von Akteuren erreicht wird und eine größere Offenheit des Netzwerkes gewährleistet wird.
Schwache Bindungen sind der Grundstein für Kreativität und innovative Entwicklungen.
Die Dichte des Netzwerkes stellt die Grundlage für Wissensaustausch und Wissenskombination dar, wobei es hier
wichtig für den Akteur ist, den Wert der einzelnen Beziehungen zu kennen. Reichen die Beziehungen der Akteure
über die Grenzen des Netzwerkes hinaus, erleichtert eine gemeinsame Wissensbasis den Transfer von Wissen und
das Lernen voneinander. Je komplexer ein Akteur in der Lage ist zu netzwerken, umso leichter fällt es ihm
komplexes Wissen zu entwickeln, zu transportieren und mit dem im Netzwerk vorhandenen Wissen zu kombinieren.
Neben der großen Bedeutung von Netzwerkbeziehungen und deren Gestaltung für den Wissensgewinn und
-austausch, spielt vor allem das von der Organisation/ dem Netzwerk getätigte Wissensmanagement auf allen Ebenen
der Informationsverarbeitung eine entscheidende Rolle. Die systematische Förderung von Kreativität zur
Ideengenerierung, sowie die Gestaltung von Strategien zum Wissenstransfer zwischen Akteuren und das
Zugänglichmachen von im Netzwerk vorhandenem Wissen stellt eine wichtige Voraussetzung für Innovationen in
Netzwerken dar.
81
Netzwerk
Netzwerkmanagement
Sydow und Windeler (1997) unterscheiden folgende 4 Funktionen des interorganisationalen Managements.
Managementfunktionen
Selektion
Die grundlegende Überlegung hierbei ist, wer soll ins Netzwerk aufgenommen werden bzw. wer soll im Netzwerk
verbleiben. Die Partner müssen hierfür eine Passung von der Intention und der Eignung aufweisen, um somit die
Netzwerkziele zu erfüllen. Zu differenzieren sind die Positivselektion (Auswahl geeigneter Netzwerkpartner),
Negativselektion (Aussortierung ungeeigneter Netzwerkpartner) und die Re- Selektion (Auswahl bewährter Partner).
Allokation
Im Wesentlichen handelt es sich hierbei um die Verteilung von Ressourcen, Zuständigkeiten und Aufgaben. Diese
Verteilung sollte entsprechend der jeweiligen Kompetenzen bzw. der Konkurrenzvorteile erfolgen.
Regulation
An dieser Stelle wird die Frage aufgeworfen, wie und worüber die Erledigung der Aufgaben aufeinander abgestimmt
werden sollen. Im Zentrum steht dabei die Ausarbeitung von informellen und formellen Regeln der Zusammenarbeit.
Evaluation
Von Bedeutung in diesem Zusammenhang sind die Verteilung und Bestimmung der Kosten und des Nutzens im
Netzwerkzusammenhang. Die Analyse kann sich hierbei auf das gesamte Netzwerk, auf ein Teilnetzwerl oder auf
einzelne dyadische Beziehungen beziehen.
Fazit
Diese Funktionen sind als ständige Aufgabe des Managements zu verstehen. Entscheidung ist die Ausbalancierung
der daraus resultierenden Spannungsverhältnisse: Autonomie vs. Abhängigkeit; Vertrauen vs. Kontrolle,
Kooperation vs. Wettbewerb. Dies gilt es bei der Netzwerksteuerung zuberücksichtigenund im Netzwerk
auszutarieren.
Netzwerkberatung
Unter Netzwerkberatung versteht man die Beratung von Organisationen, die in einem Netzwerk kooperieren bzw.
die Beratung dieser Kooperationen oder Netzwerke selbst (S. Manning & J. Sydow, 2006). Im Gegensatz zur
Organisationsberatung stehen bei der Netzwerkberatung mehrere rechtlich selbstständige Netzwerkakteure im Fokus
der Beratung.
Beratungsansätze
Nach Sydow (2006) können die Ansätze der Beratung grob in drei Klassen unterteilt werden: inhaltsorientierte,
prozessorientierte und reflexive Beratung. Bei der inhaltsorientierten Beratung steht die Vermittlung von Fachwissen
im Mittelpunkt. Die Beratung ist dabei an die inhaltliche Expertise des Beraters, sowie dessen Fähigkeit, Probleme
zu definieren, geknüpft. Der prozessorientierte Beratungsansatz geht hingegen davon aus, dass Fachwissen in der
Organisation bzw. in dem Netzwerk prinzipiell vorhanden ist, zur konkreten Problembewältigung aber erst
mobilisiert werden muss. Die reflexive Beratung unterscheidet sich von den anderen Beratungsansätzen
dahingehend, dass das Einfühlungsvermögen des Beraters in komplexe Kontexte und die Reflexion der
Angemessenheit seiner Beratungspraktiken im Vordergrund steht. Außerdem wird sowohl dem Berater, als auch
dem Kunden eine aktivere Rolle im Beratungsprozess zugeschrieben. Diese drei Beratungsansätze schließen
82
Netzwerk
einander nicht aus, sondern können in der Praxis kombiniert angewendet werden.
Erscheinungsformen der Netzwerkberatung
Die Netzwerkberatung kann durch einen einzelnen Berater bzw. ein einzelnes Beratungsunternehmen erfolgen. Bei
dieser Form der Beratung wird weiterhin unterschieden zwischen externer (durch ein eigenständiges
Beratungsunternehmen) und interner Beratung (durch eine Beratungsabteilung innerhalb der Organisation). Eine
zweite Form der Netzwerkberatung stellt die Vernetzung von Beratern und Beratungsunternehmen dar. Dabei sind
die einzelnen Berater und Beratungsunternehmen rechtlich selbstständige Akteure, aber wirtschaftlich, aufgrund
eines gemeinsamen Auftrages, mehr oder weniger voneinander abhängig. Tendenziell handelt es sich bei
Beratungsnetzwerken um längerfristige Kooperationen, die häufig arbeitsteilig agieren. Vorteile von
Beratungsnetzwerken sind die Bündelung von Kompetenzen, die Förderung von Lernen und Innovationen, die
Auslastung von Kapazitäten und die Akquisition neuer Kunden (S. Manning & J. Sydow, 2006).
Aufgaben der Netzwerkberatung
Nach Sydow gehören zu den Aufgaben der Netzwerkberatung:
• die Bildung,
• das Management,
• die (Weiter-) Entwicklung und
• die Beendigung
von interorganisationalen Arrangements zwischen zwei oder mehr Organisationen.
Einzelnachweise
[1] Böhme, Hartmut, Barkhoff, Jürgen und Jeanne Riou: Netzwerke. Eine Kulturtechnik der Moderne. Köln 2004
Literatur
• Albert-László Barabási: Linked. The New Science of Networks, Cambridge (Mass). 2002. ISBN 978-0738206677
• Jürgen Barkhoff, Hartmut Böhme, Jeanne Riou (Hg.): Netzwerke. Eine Kulturtechnik der Moderne, Köln,
Weimar, Wien 2004. ISBN 978-3412155032
• Göbel, E. (2004). Selbstorganisation. In: Schreyögg, G. & von Werder, A.: Handwörterbuch
Unternehmensführung und Organisation. 4., völlig neu bearbeitete Auflage. Stuttgart: Schäffer-Poeschel,
1312-1318.
• Hertel, G. & U. Konradt (2007). Telekooperation und virtuelle Teamarbeit. München: Oldenbourg Verlag.
• Klaus Beyrer, Micvhael Andritzky (Hg.): Das Netz. Sinn und Sinnlichkeit vernetzter Systeme, Heidelberg 2002.
• Jan Broch, Markus Rassiller, Daniel Scholl (Hg.): Netzwerke der Moderne. Erkundungen und Strategien,
Würzburg 2007. ISBN 978-3826037207
• Joshi, A., Lazarova, M.B., & Liao, H. (2009). Getting Everyone on Board: The Role of Inspirational Leadership
in Geographically Dispersed Teams. In: Organization Science, 20(1), 240-252.
• Lothar Krempel: Visualisierung komplexer Strukturen. Grundlagen der Darstellung mehrdimensionaler
Netzwerke, Frankfurt am Main, New York 2005. ISBN 978-3593378138
• Manfred Faßler: Netzwerke. Einführung in die Netzstrukturen, Netzkulturen und verteilte Gesellschaftlichkeit,
München 2001. ISBN 978-3825222116
• Regnet, E. (2009). Der Weg in die Zukunft - Anforderungen an die Führungskraft. In: von Rosenstiel, L., Regnet,
E. & Domsch, M.E.: Führung von Mitarbeitern. Handbuch für erfolgreiches Personalmanagement. Stuttgart:
Schäffer-Poeschel, 36-50.
83
Netzwerk
• Sebastian Gießmann: Netze und Netzwerke. Archäologie einer Kulturtechnik, 1740–1840, Bielefeld 2006. ISBN
978-3899424386
• Sebastian Gießmann: Netze als Weltbilder. Ordnungen der Natur von Donati bis Cuvier. In: Ingeborg Reichle,
Steffen Siegel, Achim Spelten (Hg.): Verwandte Bilder. Die Fragen der Bildwissenschaft, Berlin 2007, S.
243–261. ISBN 978-3865990341
• Sebastian Gießmann: Graphen können alles. Visuelle Modellierung und Netzwerktheorie vor 1900. In: Ingeborg
Reichle, Steffen Siegel, Achim Spelten (Hg.): Visuelle Modelle, München 2008, S. 269–284. ISBN
978-3-7705-4632-9
• Shamir, B. (1999). Leadership in boundaryless organizations: Disposable or indispensible? In: European Journal
of Work and Organizational Psychology, 8 (1), 49-71.
• Sydow, J. H. & A. H. Windeler (2000). Steuerung von und in Netzwerken - Perspektiven, Konzepte, vor allem
aber offene Fragen. In: Sydow, J. H. & A. H. Windeler (Hrsg.): Steuerung von Netzwerken: Konzepte und
Praktiken. Wiesbaden: Westdeutscher Verlag, 1-24.
• Sydow, J. (2010). Management von Netzwerkorganisationen – Zum Stand der Forschung. In: Sydow, J. (Hrsg.):
Management von Netzwerkorganisationen: Beiträge aus der „Managementforschung“. 5., aktualisierte Auflage.
Wiesbaden: Gabler, 373-470
• Wiendieck, G. (2009). Führung und Organisationsstruktur. In: von Rosenstiel, L., Regnet, E. & Domsch, M.E.:
Führung von Mitarbeitern. Handbuch für erfolgreiches Personalmanagement. Stuttgart: Schäffer-Poeschel,
551-560.
Weblinks
• Eine Übersicht über verschiedene Netzwerke (http://www.nachhaltigkeit.info/artikel/netzwerke_716.htm)
gibt es im Lexikon der Nachhaltigkeit (http://www.nachhaltigkeit.info)
84
Netzwerksicherheit
Netzwerksicherheit
Netzwerksicherheit (auch Netzsicherheit) ist kein einzelner feststehender Begriff, sondern umfasst alle
Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in Netzwerken. Diese Maßnahmen sind
keinesfalls nur technischer Natur, sondern beziehen sich auch auf die Organisation (z. B. Richtlinien, in denen
geregelt wird, was die Betreiber des Netzwerkes dürfen sollen), den Betrieb (Wie kann ich Sicherheit im Netzwerk
in der Praxis anwenden, ohne gleichzeitig den Ablauf des Betriebs zu stören?) und schließlich auch auf das Recht
(Welche Maßnahmen dürfen eingesetzt werden?).
Vertiefung
Sicherheit an sich ist dabei immer nur relativ zu sehen und kein fester Zustand. Einerseits muss überlegt werden, wie
wertvoll die Daten sind, die im Netzwerk kursieren und andererseits ist das Netzwerk durch Ausbau und technische
Weiterentwicklung immer Veränderungen unterworfen, die sich auch in geänderter Sicherheitsarchitektur
widerspiegeln müssen. Steigerungen im Bereich der Sicherheit sind oft mit größer werdenden Hürden bei der
Benutzung einhergehend.
Das Thema Sicherheit beginnt oft mit der Frage, wie ein Netz gegen den Zugriff von außen geschützt werden kann
(Firewall/DMZ). Anwender können die Ressourcen des Netzwerks erst nach einer Identifizierung und einer
anschließenden Authentifizierung und Autorisierung nutzen. Damit eine Kompromittierung eines Rechners im
Netzwerk erkannt werden kann, werden Rechner oft überwacht. Dies kann intern (Sind die Daten noch konsistent?
Sind Veränderungen aufgetreten?) oder auch extern (Sind die Dienste des Rechners noch erreichbar und funktional?)
geschehen. Potentieller Datenverlust durch fehlerhafte Software, Fehlbedienung, Fahrlässigkeit oder
Altersverschleiß der Hardware wird durch eine Datensicherung verhindert, die dann separat gelagert wird.
Sicherheitslücken in Software kann durch das rechtzeitige Einspielen von Software-Aktualisierungen
entgegengewirkt werden. Zusätzliche Sicherheit kann noch durch den Einsatz bestimmter Software erhöht werden,
die als sicher gilt, weil sie z. B. einer Open-Source-Lizenz unterliegt. Auch der entgegengesetzte Fall kann
vorkommen: Software, die als unsicher gilt, kann verboten werden. Durch Schulung der Anwender kann ein
Sicherheitsbedürfnis oder Problembewusstsein entstehen, indem man vermittelt, dass die Daten eines Netzwerkes
sehr wertvoll sind. Dadurch soll der Anwender Verständnis für die Maßnahmen aufbringen und sie nicht unterlaufen,
indem er komplizierte Passwörter auf Zettelchen schreibt und diese an seinen Monitor klebt. Schließlich kann der
physische Zugang zum Netzwerk selbst noch mit Hilfe von Zugangskontrollen beschränkt werden.
Weil die Vernetzung des Internets immer mehr zunimmt, spielt das Thema Netzwerksicherheit auch eine immer
größere Rolle. Die Infrastrukturen von Firmen werden komplizierter, immer mehr Informationen müssen online
verfügbar sein und/oder verwaltet werden …
Mögliche Angriffe
So vielfältig wie Netze sind, so vielfältig sind auch die Angriffsmöglichkeiten auf ein Netz. In vielen Fällen werden
mehrere Angriffe kombiniert, um ein Ziel zu erreichen.
Angriffe auf Software(-implementierungen)
Da Kommunikationsnetze immer aus einer (großen) Menge von Systemen bestehen, werden sehr oft genau diese
Systeme über das Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf Schwächen in
Software(-implementierungen):
• Pufferüberlauf – vor allem in Programmen in der Programmiersprache C findet man häufig den Fehler, dass über
einen Puffer hinausgeschrieben wird und hierbei andere Daten oder Kontrollinformationen überschrieben werden
85
Netzwerksicherheit
• Stack Smashing – hierbei überschreibt z. B. ein Pufferüberlauf den Stack eines Programmes, hierdurch können
Schadroutinen eingeschleust und ausgeführt werden (Exploit)
• Formatstring-Angriffe – Ausgaberoutinen, wie printf, nutzen einen Format-String um eine Ausgabe zu
modifizieren. Durch die Nutzung sehr spezieller Formatierungsanweisung können hierbei Speicherbereiche
überschrieben werden.
• und anderen Exploit
Angriffe auf Netzwerkprotokolle
• Man-In-The-Middle-Angriff – falls keine gegenseitige Authentifizierung durchgeführt wird, täuscht ein Angreifer
den Kommunikationspartnern jeweils den anderen vor (z. B. telnet, rlogin, SSH, GSM, Ciscos XAUTH)
• Unerlaubte Ressourcennutzung – falls keine sichere Authentifizierung bzw. sichere Autorisierung vorhanden
(z. B. rlogin)
• Mitlesen von Daten und Kontrollinformationen – alle unverschlüsselten Protokolle, wie POP3, IMAP, SMTP,
Telnet, rlogin, http
• Einschleusen von Daten oder Informationen – alle Protokolle ohne ausreichende Nachrichtenauthentifizierung,
wie POP3, SMTP, Telnet, rlogin, http
• Tunnel können verwendet werden, um Datenverkehr in zugelassene Protokolle (z. B. Http) einzubetten. Dadurch
können Firewallregeln unterlaufen werden. Eine genauere Beschreibung findet sich unter [1].
• Beispiel: Der SSH-Client baut über Https und den Proxy eine Verbindung zu einem Server außerhalb des
internen Netzes auf. Dadurch umgeht er die Regeln, die den SSH-Verkehr nach außen kontrollieren. Diese
Verbindung kann auch umgedreht werden, wodurch eine Verbindung von außen in das interne Netz geschaltet
wird.
• Die Bekämpfung erfordert entsprechende Regeln im Proxy, die eine Einschränkung der Methoden CONNECT
bzw. POST bewirken. Der Url-Filter UfdbGuard ermöglicht es, Https-Tunnel zu erkennen und zu blockieren.
Angriffe auf die Netzstruktur
• Die Überlastung von Diensten wird als DoS-Angriff bezeichnet. Besonders verteilte DoS-Angriffe werden auch
als DDoS-Angriffe bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket auskommen, wie z. B. der
TCP-SYN-Angriff, da hierbei die Absenderadresse und somit die Herkunft gefälscht werden kann.
Tarnung von Angriffen
• Fragmentierung von Paketen, vor allem bei überlappenden Fragmenten, kann genutzt werden um Angriffe vor
Angriffserkennern zu verstecken
• Spoofing – das Fälschen von meist Absendeadressen zum Verschleiern der Herkunft von Paketen (siehe auch
Firewall)
Verwandte Angriffe (werden durch die verteilte Struktur eher begünstigt)
• Social Engineering wird die Vorgehensweise genannt, eine Person dazu zu bringen, ein Passwort oder einen
Schlüssel zu verraten.
• Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen. Geschieht dies durch Ausprobieren aller
Möglichkeiten spricht man von einer Brute-Force-Attacke.
• Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern erfolgreich machen.
• Aus der Außenwelt kommende Daten werden nicht auf ihre Validät überprüft, sondern als „korrekt“
hingenommen (Tainted Data oder Cross-Site Scripting und SQL Injection).
• Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE („unsolicited bulk e-mail“) und
insbesondere wenn es sich um Werbung handelt als UCE („unsolicited commercial e-mail“) bezeichnet.
86
Netzwerksicherheit
• Würmer, Trojanische Pferde, Dialer oder Viren darstellen.
• Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln falscher Webseiten können durch
Phishing ausgenutzt werden.
• Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen, die per Mail versandt wurden.
Vorsorge
Die Vorsorge-Maßnahmen sind ebenso vielfältig, wie die Angriffsmöglichkeiten. Mit Hilfe einer Authentifizierung
wird der Benutzer erkannt und es werden die ihm zustehenden Rechte zugewiesen (Autorisierung). Man spricht von
einem Single-Sign-On, hierbei sollte nur eine einmalige Anmeldung notwendig sein, um alle erlaubten Ressourcen
zu nutzen. Sehr verbreitet ist hierbei Kerberos, welches mittlerweile die Basis für die Windows-Netze bildet.
Ursprünglich wurde es vom MIT entwickelt.
Die Sicherheit von Computernetzen ist Gegenstand internationaler Normen zur Qualitätssicherung. Wichtige
Normen in diesem Zusammenhang sind vor allem die amerikanische TCSEC und die europäische ITSEC-Standards
sowie der neuere Common Criteria Standard. Die Zertifizierung der Sicherheit erfolgt in Deutschland in der Regel
durch das Bundesamt für Sicherheit in der Informationstechnik.
Protokolle, Architekturen und Komponenten
•
•
•
•
•
•
•
•
•
Kerberos – für Authentifizierung, Autorisierung und Abrechnung
X.509 – Standard für Zertifikate und deren Infrastruktur
IPsec – mächtigstes (und komplexes) Protokoll zum Schutz von Verbindungen
SSL/TLS – das am meisten verbreitete Sicherheitsprotokoll. Schützt beispielsweise http, welches dann mit https
bezeichnet wird.
S/MIME, PGP – Standards für den Schutz von E-Mails
EAP – eine modulares Protokoll zur Authentifizierung in z. B. WPA, TLS und IPsec.
Firewalls – zum Filtern von Paketen. Hierbei können gezielt gefälschte Pakete verworfen werden.
IDSe erkennen Angriffe.
Honeypots – zur schnellen Auffindung von bekannten Sicherheitslücken und Angriffsvektoren.
Literatur
• Roland Bless u. a.: Sichere Netzwerkkommunikation. Grundlagen, Protokolle und Architekturen. Springer Verlag,
Berlin u. a. 2005, ISBN 3-540-21845-9 (X.systems.press).
• Hacker's Guide. Sicherheit im Internet und im lokalen Netz. Limitierte Sonderausgabe.
Markt-und-Technik-Verlag, München 2001, ISBN 3-8272-6136-8 (New technology).
• Günter Schäfer: Netzsicherheit. Algorithmische Grundlagen und Protokolle. dpunkt-Verlag,Heidelberg 2003,
ISBN 3-89864-212-7 (dpunkt.lehrbuch).
• Markus Schumacher, Utz Rödig, Marie-Luise Moschgath: Hacker Contest. Sicherheitsprobleme, Lösungen,
Beispiele. Springer, Berlin u. a. 2003, ISBN 3-540-41164-X (Xpert.press).
• Clifford Stoll: Kuckucksei. Die Jagd auf die deutschen Hacker, die das Pentagon knackten. Aktualisierte
Neuausgabe. Fischer-Taschenbuch-Verlag, Frankfurt am Main 1998, ISBN 3-596-13984-8 (Fischer 13984).
• Steffen Wendzel, Johannes Plötner: Risikoanalyse, Methoden und Umsetzung. (Optimale Netzwerk- und
Serverabsicherung, für Unix, Linux- und Windows-Systeme. VPN, OpenVPN, IT-Grundschutz, Penetration
Testing, Viren, Würmer und Trojaner). 2. aktualisierte und erweiterte Auflage. Galileo Press, Bonn 2007, ISBN
978-3-89842-828-6 (Galileo Computing).
87
Netzwerksicherheit
88
Weblinks
• http://www.opensecurityarchitecture.org Offene Community für die Entwicklung einer standard-basierten
Sicherheitsarchitektur
• http://www.securityfocus.com/
• http://www.bsi.de/IT-Grundschutz-Kataloge
• http://board.protecus.de/f10.htm Diskussionsplattform zum Thema Netzwerksicherheit
• http://www.trojaner-board.de Diskussionsplattform zum Thema Netzwerksicherheit
• http://www.sans.org/
• Fachartikel und Branchennews zum Thema Netzwerksicherheit [2]
• Vorlesung Netzsicherheit an der TU Illmenau [3]
• Vorlesung Netzsicherheit an dem Karlsruher institut für Technologie (KIT) [4]
Referenzen
[1]
[2]
[3]
[4]
http:/ / www. heise. de/ security/ artikel/ 43716/ 1
http:/ / www. searchnetworking. de/ themenbereiche/ sicherheit/
http:/ / www. tu-ilmenau. de/ fakia/ Netzsicherheit. netzsicherheitbuch. 0. html
http:/ / telematics. tm. kit. edu/ teaching. php
Windows Defender
Windows Defender
Entwickler
Microsoft
Aktuelle Version 1.1.1593 (Windows XP, Windows Server 2003)
1.1.1600 (Windows Vista)
1.1.5005.0 (Windows 7)
(12. November 2009)
Betriebssystem
Windows Server 2003 / Windows Server 2008 / Windows XP / Windows Vista / Windows 7
Kategorie
Sicherheitssoftware
Lizenz
Freeware
Deutschsprachig ja
microsoft.com
[1]
Windows Defender, früher unter dem Namen Microsoft AntiSpyware vermarktet, ist eine Sicherheitssoftware der
Firma Microsoft zur Erkennung von potenziell unerwünschter Software (vorwiegend Spyware). Windows Defender
ist in Windows Vista und Windows 7 vorinstalliert, steht jedoch auch kostenlos für Windows XP (Service Pack 2
oder höher) und Windows Server 2003 (Service Pack 1 oder höher) zur Verfügung.
Das Programm hieß ursprünglich Microsoft Windows AntiSpyware und war in der Betaversion eins erhältlich, bevor
es durch das neue Programm Windows Defender ersetzt wurde. Die derzeitige Version 1.1 war in Microsofts
Sicherheitspaket Windows Live OneCare enthalten.
Windows Defender
Funktionen
Die Hauptfunktion von Windows Defender sind die Vorbeugung gegen und die Entfernung von Spyware und
Malware. Daneben hat das Programm aber auch die folgenden weiteren Funktionen.
Echtzeitschutz
Im Windows Defender kann der Endanwender auch einige weitere Schutzoptionen nutzen:
• Auto Start – Zeigt alle Anwendungen an, die automatisch nach dem Computerstart geladen werden.
• Internet Explorer Add-ons – Zeigt die Erweiterungen des Internet Explorers an, die automatisch mitgestartet
werden.
• Internet Explorer Einstellungen – Zeigt die Sicherheitseinstellungen des Browsers an.
Windows-Vista-spezifische Funktionen
In Windows Vista blockiert der Windows Defender automatisch alle Autostartanwendungen, die
Administratorrechte erfordern. Dies erhöht die Sicherheit des Systems (siehe auch Benutzerkontensteuerung): Der
Benutzer muss den automatischen Start eines Programms mit erhöhten Rechten explizit bestätigen oder die Rechte
des Programms verringern.
Systemanforderungen
Die offiziellen Systemanforderungen von Microsoft lauten:
•
•
•
•
•
•
•
233 MHz Prozessor
64 MByte, besser 128 MByte Arbeitsspeicher (RAM)
Windows XP mit Service Pack 2 oder höher, Windows Server 2003 Service Pack 1 oder höher
20 MByte Festplattenspeicher
Microsoft Internet Explorer 6.0
Internetverbindung mit mindestens 28,8 kBit/s
Windows Installer 3.1 oder höher
Die aktuelle Windows-Defender-Version ist laut Microsoft im Gegensatz zu den Betaversionen nicht mehr mit
Windows 2000 kompatibel, da dieses Betriebssystem 2005 seinen Mainstream-Support verlassen hat und deshalb
nur noch mit Sicherheits-, aber keinen Zusatzaktualisierungen mehr versorgt wird.
Nachfolger
Im Dezember 2008 kündigte Microsoft die Entwicklung der Antivirenlösung „Morro“ an, das dann offiziell
„Microsoft Security Essentials“ genannt wurde. Die kostenlose Sicherheitslösung ersetzt sowohl den Windows
Defender als auch Windows Live OneCare, ist jedoch im Gegensatz zum Windows Defender nicht unter Windows
Server 2003 lauffähig. Nutzer von Windows Defender erhalten jedoch weiterhin Definitionsaktualisierungen.
Weblinks
• Windows-Defender-Website bei Microsoft [1]
89
Windows Defender
Referenzen
[1] http:/ / www. microsoft. com/ germany/ athome/ security/ spyware/ software/ default. mspx
Computervirus
Ein Computervirus (von lateinisch virus für „Gift“, „Schleim“; im Singular „das Computervirus“, alltagssprachlich
auch „der Computervirus“, Plural „die Computerviren“) ist ein sich selbst verbreitendes Computerprogramm, welches
sich in andere Computerprogramme einschleust und sich damit reproduziert. Die Klassifizierung als Virus bezieht
sich hierbei auf die Verbreitungs- und Infektionsfunktion.
Einmal gestartet, kann es vom Anwender nicht kontrollierbare Veränderungen am Status der Hardware (zum
Beispiel Netzwerkverbindungen), am Betriebssystem oder an der Software vornehmen (Schadfunktion).
Computerviren können durch vom Ersteller gewünschte oder nicht gewünschte Funktionen die Computersicherheit
beeinträchtigen und zählen zur Malware.
Der Ausdruck Computervirus wird umgangssprachlich auch für Computerwürmer und Trojanische Pferde genutzt,
da es oft Mischformen gibt und für Anwender der Unterschied kaum zu erkennen ist.
Arbeitsweise
Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und schadet ihm dabei
häufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder durch
Fehler im Virus kann das Virus das Wirtssystem oder dessen Programme auf verschiedene Weisen beeinträchtigen,
von harmloseren Störungen bis hin zu Datenverlust.
Viren brauchen, im Gegensatz zu Computerwürmern, einen Wirt, um ihren Maschinencode auszuführen. Ohne
eigenständige Verbreitungsroutinen können Computerviren nur durch ein infiziertes Wirtsprogramm verbreitet
werden. Wird dieses Wirtsprogramm aufgerufen, wird – je nach Virentyp früher oder später – das Virus ausgeführt,
das sich dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine eventuell vorhandene
Schadwirkung ausführen kann.
Heutzutage sind Computerviren fast vollständig von Würmern verdrängt worden, da fast jeder Rechner an das
Internet oder lokale Netze angeschlossen ist und die aktive Verbreitungsstrategie der Würmer in kürzerer Zeit eine
größere Verbreitung ermöglicht. Viren sind nur noch in neuen Nischen von Bedeutung.
Unterschied zwischen Virus und Wurm
Computerviren und -Würmer verbreiten sich beide auf Rechnersystemen, jedoch basieren sie zum Teil auf
vollkommen verschiedenen Konzepten und Techniken.
Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese so anpasst, dass das
Virus mit ausgeführt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zählen normale
Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausführbaren Inhalten
sowie Bootsektoren (auch wenn Letztere normalerweise vom Betriebssystem nicht als Datei repräsentiert werden).
Die Verbreitung auf neue Systeme erfolgt durch Kopieren einer infizierten Wirtsdatei auf das neue System durch
einen Anwender. Dabei ist es unerheblich, auf welchem Weg diese Wirtsdatei kopiert wird: Früher waren die
Hauptverbreitungswege Wechselmedien wie Disketten, heute sind es Rechnernetze (zum Beispiel via E-Mail
zugesandt, von FTP-Servern, Web-Servern oder aus Tauschbörsen heruntergeladen). Es existieren auch Viren, die
Dateien in freigegebenen Ordnern in lokalen Netzwerken infizieren, wenn sie entsprechende Rechte besitzen.
Im Gegensatz zu Viren warten Würmer nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet
zu werden, sondern versuchen, aktiv in neue Systeme einzudringen. Sie nutzen dazu Sicherheitsprobleme auf dem
90
Computervirus
Zielsystem aus, wie zum Beispiel:
• Netzwerkdienste, die Standardpasswörter oder gar kein Passwort benutzen,
• Design- und Programmierfehler in Netzwerkdiensten,
• Design- und Programmierfehler in Anwenderprogrammen, die Netzwerkdienste benutzen (zum Beispiel
E-Mail-Clients).
Ein Wurm kann sich dann wie ein Virus in eine andere Programmdatei einfügen; meistens versucht er sich jedoch
nur an einer unauffälligen Stelle im System mit einem unauffälligen Namen zu verbergen und verändert das
Zielsystem so, dass beim Systemstart der Wurm aufgerufen wird (wie etwa die Autostart-Funktion in
Microsoft-Windows-Systemen).
In der Umgangssprache werden Computerwürmer wie „I Love You“ oft als Viren bezeichnet, da der Unterschied für
Anwender oft nicht ersichtlich ist.
Gefährdungsgrad unterschiedlicher Betriebssysteme
Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Virusinfektion ist
oder wie hoch die Wahrscheinlichkeit für eine systemweite Infektion ist. Grundsätzlich sind alle Betriebssysteme
anfällig, die einem Programm erlauben, eine andere Datei zu manipulieren. Ob Sicherheitssysteme wie
beispielsweise Benutzerrechtesysteme vorhanden sind und verwendet werden, beeinflusst, in wie weit sich ein Virus
auf einem System ausbreiten kann.
Betriebssysteme ohne jegliche Rechtesysteme wie etwa MS-DOS, auf MS-DOS basierende Microsoft Windowsoder Amiga-Systeme sind die anfälligsten Systeme. Wenn der Benutzer ausschließlich als Administrator arbeitet und
somit das Rechtesystem nicht eingreifen kann, sind jedoch auch neuere Microsoft Windows NT-, Unix- und
Unix-ähnliche Systeme wie Linux und Mac OS X genauso anfällig.
Besonders bei Windows NT und darauf basierenden Systemen wie Windows 2000 oder XP besteht das Problem,
dass zwar ein gutes Benutzerrechtesystem vorhanden ist, dieses aber in der Standardeinstellung nicht verwendet
wird, um die Rechte des Anwenders einzuschränken. Ein Grund dafür ist, dass nach der Installation von einigen
Windows-Versionen die automatisch eingerichteten Benutzerkonten Administratorenrechte besitzen. Anders jedoch
ab Windows Vista, wo die Einrichtung eines Standardkontos nicht die vollen Administratorrechte hat und mit Hilfe
der Benutzerkontensteuerung (UAC) wird zudem das System geschützt. Die meisten Linux-Distributionen richten
bei der Installation ein Nutzerkonto ohne administrative Rechte ein, so dass beim normalen Benutzen des Computers
zunächst nur beschränkte Rechte zur Verfügung stehen und nur der spezielle Root-Account Administratorenrechte
besitzt.
Wenn ein Anwender mit einem Benutzerkonto mit eingeschränkten Rechten arbeitet, kann ein Virus sich nur auf
Dateien verbreiten, für die der Benutzer die entsprechenden Rechte zur Veränderung besitzt. Dieses bedeutet
normalerweise, dass Systemdateien vom Virus nicht infiziert werden können, solange der Administrator oder mit
Administratorrechten versehene Systemdienste nicht Dateien des infizierten Benutzers aufrufen. Eventuell auf dem
gleichen System arbeitende Benutzer können meist ebenfalls nicht infiziert werden, so lange sie nicht eine infizierte
Datei des infizierten Benutzers ausführen oder die Rechte des infizierten Benutzers es erlauben, die Dateien von
anderen Benutzern zu verändern.
Da Windows-Systeme heute die weiteste Verbreitung auf PCs haben, sind sie derzeit das Hauptziel von
Virenautoren. Die Tatsache, dass sehr viele Windows-Anwender mit Konten arbeiten, die Administratorrechte
haben, sowie die Unkenntnis von Sicherheitspraktiken bei der relativ hohen Zahl unerfahrener Privatanwender macht
Windows-Systeme noch lohnender als Ziel von Virenautoren.
Während für Windows-Systeme über hunderttausende Viren bekannt sind, liegt die Zahl der bekannten Viren für
Linux und das klassische Mac OS deutlich niedriger. In „freier Wildbahn“ werden allerdings weitaus weniger
verschiedene Viren beobachtet, als theoretisch bekannt sind. Das erste Virus für Apples Mac-OS-X-Betriebssystem
91
Computervirus
wurde am 13. Februar 2006 im Forum einer US-amerikanischen Gerüchteseite veröffentlicht. Bis dahin galt das
Betriebssystem der Macintosh-Computer als gänzlich von Viren und Würmern unbelastet. Der Hersteller von
Windows-Antivirenprogrammen Sophos stellt in seinem Security Report 2006 öffentlich fest, dass Mac OS X
sicherer sei als Windows.[1]
Bei Unix- und Linux-Systemen sorgen ebenfalls die hohen Sicherheitsstandards und die noch seltene Verbreitung
dieser Systeme bei Endanwendern dafür, dass sie für Virenautoren momentan kein lohnendes Ziel darstellen und
Viren „in freier Wildbahn“ praktisch nicht vorkommen. Anders sieht es bei Computerwürmern aus. Unix- bzw.
Linux-Systeme sind wegen der hohen Marktanteile bei Internet-Servern mittlerweile ein häufiges Ziel von
Wurmautoren.
Allgemeine Prävention
Allgemeine Prävention für sämtliche Betriebssysteme
Anwender sollten niemals unbekannte Dateien oder Programme aus unsicherer Quelle ausführen und generell beim
Öffnen von Dateien Vorsicht walten lassen. Das gilt insbesondere für Dateien, die per E-Mail empfangen wurden.
Solche Dateien – auch harmlos erscheinende Dokumente wie Bilder oder PDF-Dokumente – können durch
Sicherheitslücken in den damit verknüpften Anwendungen auf verschiedene Weise Schadprogramme aktivieren.
Daher ist deren Überprüfung mit einem aktuellen Antivirenprogramm zu empfehlen.
Betriebssystem und Anwendungen sollten regelmäßig aktualisiert werden und vom Hersteller bereitgestellte Service
Packs und Patches/Hotfixes eingespielt werden. Dabei ist zu beachten, dass es einige Zeit dauern kann, bis Patches
bereitgestellt werden.[2] Einige Betriebssysteme vereinfachen diese Prozedur, indem sie das automatische
Herunterladen und Installieren von Aktualisierungen unterstützen. Manche unterstützen sogar das gezielte
Herunterladen und Installieren nur derjenigen Aktualisierungen, die sicherheitskritische Probleme beheben. Dazu
gibt es auch die Möglichkeit, die Service Packs und Hotfixes für Windows 2000 und Windows XP via
„Offline-Update“ einzuspielen. Diese Offline-Updates sind besonders bei neuen PCs zu empfehlen, da andernfalls
der PC bereits beim ersten Verbinden mit dem Internet infiziert werden könnte.
Die eingebauten Schutzfunktionen des Betriebssystems sollten ausgenutzt werden. Dazu zählt insbesondere, nicht als
Administrator mit allen Rechten, sondern als Nutzer mit eingeschränkten Rechten zu arbeiten, da dieser keine
Software systemweit installieren darf.
Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Ausblenden von bekannten
Dateianhängen sollte deaktiviert werden, um nicht versehentlich Dateien auszuführen, die man sonst als getarnten
Schädling erkennen würde. Auch durch die Autostartfunktion für CD-ROMs und DVD-ROMs können Programme
bereits beim Einlegen eines solchen Datenträgers ausgeführt und damit ein System infiziert werden.
Es empfiehlt sich, die auf den meisten Privatrechnern vorinstallierte Software von Microsoft zu meiden oder sicherer
zu konfigurieren, da sie meist so konfiguriert sind, dass sie für den Anwender den höchsten Komfort und nicht die
höchste Sicherheit bieten. Auch bieten sie durch ihren extrem hohen Verbreitungsgrad eine große Angriffsfläche.
Vor allem Internet Explorer und Outlook Express sind hier zu nennen. Sie sind die am häufigsten von Schädlingen
angegriffenen Anwendungen, da sie weit verbreitet und in den Standardeinstellungen leicht angreifbar sind. Die
zurzeit bedeutendsten Alternativen zum Internet Explorer sind Firefox sowie Opera, da beide deutlich mehr
Sicherheit versprechen. Alternativen zu Outlook Express sind beispielsweise Mozilla Thunderbird, Opera oder The
Bat.
Es existieren auch Computerviren für Nicht-Microsoft-Betriebssysteme wie Symbian OS, Linux, Mac OS und
Betriebssysteme der BSD-Reihe.
Da diese Viren jedoch kaum verbreitet sind, stellen sie für den Benutzer keine große Gefahr da. Ein Grund dafür ist
einerseits die geringere Verbreitung dieser Plattformen (deren Verbreitung lag Anfang 2009 bei ca. fünf Prozent),[3]
92
Computervirus
sodass Virenschreiber diese Systeme in der Vergangenheit eher verschont haben und es andererseits für die
Schadprogramme eine erhebliche Schwierigkeit bietet, weitere Infektionsopfer zu finden. Ein weiterer, technischer
Grund ist die explizite Rechtetrennung vieler anderer Betriebssysteme. Bei quelloffenen Betriebssystemen kommt
noch hinzu, dass es viele verschiedene Distributionen gibt, was wiederum eine Einschränkung für Viren darstellt.
Personal Firewall
Personal Firewalls zeigen gegen Viren keine Wirkung, da ihre Funktionalität auf die Arbeitsweise von Würmern
zugeschnitten ist und Viren nicht beeinträchtigt.
Antivirensoftware
Antivirenprogramme schützen im Wesentlichen nur vor bekannten
Viren. Daher ist es bei der Benutzung eines solchen Programms
wichtig, regelmäßig die von den Herstellern bereitgestellten
aktualisierten Virensignaturen einzuspielen. Viren der nächsten
Generation (Tarnkappenviren) können von Antivirensoftware fast nicht
mehr erkannt werden[4] (siehe auch Rootkit).
Mit Hilfe dieser Programme werden Festplatte und Arbeitsspeicher
nach schädlichen Programmen durchsucht. Antivirenprogramme bieten
Ein Online-Scanner erkennt einen Virus
meist zwei Betriebsmodi: einen manuellen, bei dem das
Antivirenprogramm erst auf Aufforderung des Benutzers alle Dateien
einmalig überprüft (on demand) und einen automatischen, bei dem alle Schreib- und Lesezugriffe auf die Festplatte
und teilweise auch auf den Arbeitsspeicher überprüft werden (on access). Es gibt Antivirenprogramme, die mehrere
für das Scannen nach Viren verantwortliche Programmmodule (engines) nutzen. Wenn diese unabhängig
voneinander suchen, steigt die Erkennungswahrscheinlichkeit.
Antivirenprogramme bieten nie vollständigen Schutz, da die Erkennungsrate selbst bei bekannten Viren nicht bei
100 % liegt. Unbekannte Viren können von den meisten dieser Programme anhand ihres Verhaltens entdeckt werden
(„Heuristik“); diese Funktionen arbeiten jedoch sehr unzuverlässig. Auch entdecken Antivirenprogramme Viren oft
erst nach der Infektion und können das Virus unter Umständen nicht im normalen Betrieb entfernen.
Besteht der berechtigte Verdacht einer Infektion, sollten nacheinander mehrere On-Demand-Programme eingesetzt
werden. Dabei ist es sinnvoll, darauf zu achten, dass die Programme unterschiedliche Engines nutzen, damit die
Erkennungsrate steigt. Es gibt Antivirenprogramme verschiedener Hersteller, welche die gleichen Scan-Methoden
anwenden, also im Grunde eine ähnlich hohe Erkennungswahrscheinlichkeit haben und damit auch ein ähnliches
Risiko, bestimmte Viren zu übersehen. Verschiedene On-Access-Antivirenprogramme („Wächter“, „Guard“, „Shield“,
etc.) sollten nie gleichzeitig installiert werden, weil das zu Fehlfunktionen des PC führen kann: Da viele dieser
On-Access-Scanner bereits beim Hochfahren des Betriebssystems nach Bootsektorviren suchen, werden sie quasi
gleichzeitig gestartet und versuchen einen alleinigen und ersten Zugriff auf jede zu lesende Datei zu erlangen, was
naturgemäß unmöglich ist und daher zu schweren Systemstörungen führen kann bzw. muss.
Werden mehrere On-Demand-Scanner installiert und – auch unabhängig, also nicht gleichzeitig – gestartet und
ausgeführt, sind falsche Virenfunde häufig, bei denen das eine Programm die Virensignaturen des anderen auf der
Festplatte oder im Arbeitsspeicher als Virus erkennt bzw. schon gesicherte Virendateien im so genannten
„Quarantäne-Ordner“ des anderen Programms findet. Auch ein On-Access-Scanner kann deshalb bei einem
zusätzlich gestarteten On-Demand-Scanvorgang eines anderen Virensuchprogramms im Konkurrenzprodukt also
fälschlich eine oder mehrere Viren finden.
Grundsätzlich sollte gelegentlich, aber regelmäßig der gesamte PC auf Viren untersucht werden, da – mit Hilfe neuer
Virensignaturen – alte, früher nicht erkannte Virendateien entdeckt werden können und darüber hinaus auch die
93
Computervirus
„Wächtermodule“ ein und desselben Herstellers manchmal anders suchen und erkennen als der zugehörige
On-Demand-Scanner.
Schutz durch Live-Systeme
Live-Systeme wie Knoppix, die unabhängig vom installierten Betriebssystem von einer CD gestartet werden, bieten
nahezu vollständigen Schutz, wenn keine Schreibgenehmigung für die Festplatten erteilt wird. Weil keine
Veränderungen an Festplatten vorgenommen werden können, kann sich kein schädliches Programm auf der
Festplatte einnisten. Speicherresidente Malware kann aber auch bei solchen Live-Systemen Schaden anrichten,
indem diese Systeme als Zwischenwirt oder Infektionsherd für andere Computer dienen können. Malware, die direkt
im Hauptspeicher residiert, wird erst bei einem Reboot unschädlich gemacht.
Computervirentypen
Bootviren
Bootviren zählen zu den ältesten Computerviren. Diese Viren waren bis 1995 eine sehr verbreitete Form von Viren.
Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record
(MBR) einer Festplatte.
Der Bootsektor ist der erste physische Teil einer Diskette oder einer Festplattenpartition. Festplatten haben außerdem
einen so genannten Master Boot Record. Dieser liegt wie der Bootsektor von Disketten ganz am Anfang des
Datenträgers. Bootsektoren und MBR enthalten mit den Bootloadern die Software, die von einem Rechner direkt
nach dessen Start ausgeführt wird, sobald die Firmware bzw. das BIOS den Rechner in einen definierten
Startzustand gebracht hat. Üblicherweise laden Boot-Loader das installierte Betriebssystem und übergeben diesem
die Kontrolle über den Computer.
Wie beschrieben sind Boot-Loader-Programme, die vor dem Betriebssystem ausgeführt werden und deshalb für
Viren sehr interessant: Bootviren können in das Betriebssystem, das nach ihnen geladen wird, eingreifen und dieses
manipulieren oder dieses komplett umgehen. Dadurch können sie sich beispielsweise auf Bootsektoren eingelegter
Disketten verbreiten.
Lädt ein Rechner nicht den MBR der Festplatte sondern den infizierten Bootsektor einer Diskette, versucht das
enthaltene Bootvirus meist, sich in den MBR der Festplatte zu verbreiten, um bei jedem Start des Computers ohne
Diskette aktiv werden zu können.
Bootviren haben jedoch mit den technischen Limitierungen, die mit dem Speicherort „Bootsektor“ oder vor allem
„MBR“ einhergehen, zu kämpfen: Sie können maximal 444 Bytes groß sein, sofern sie nicht noch weitere Teile auf
anderen Teilen der Festplatte verstecken. Der MBR ist nach Industrienorm ein Sektor, also 512 Byte groß, aber
einige Bytes werden für die Hardware- und BIOS-Kompatibilität verbraucht. Außerdem müssen sie die Aufgaben
des Boot-Loaders übernehmen, damit das System funktionsfähig bleibt, was von dem ohnehin schon sehr geringen
Platz für die Virenlogik noch weiteren Platz wegnimmt. Da sie vor einem Betriebssystem aktiv werden, können sie
außerdem nicht auf von einem Betriebssystem bereitgestellte Funktionen wie das Finden und Öffnen einer Datei
zurückgreifen.
Seit 2005 gibt es auch Bootsektorviren für CD-ROMs. Diese infizieren bootfähige CD-ROM-Abbilddateien. Es ist
technisch möglich, einen Bootsektorvirus für ein bootfähiges lokales Netzwerk oder für einen USB-Stick zu
erstellen, dies ist aber bis jetzt noch nicht geschehen.
Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut
funktionierenden Schutz vor ihnen haben. Zwar gibt es Bootsektorviren, die diesen Schutz umgehen können, doch ist
ihre Verbreitung im Allgemeinen sehr langsam. Durch die technischen Probleme, die mit diesem Virentyp
einhergehen, fordern sie vom Virenautor außerdem deutlich mehr Wissen und Programmierfertigkeiten, während sie
94
Computervirus
95
zugleich seine Möglichkeiten stark einschränken.
Dateiviren und Linkviren
Linkviren oder Dateiviren sind der am häufigsten anzutreffende
Virentyp.
Sie
infizieren
ausführbare
Dateien
oder
Programmbibliotheken auf einem Betriebssystem.
Um eine ausführbare Datei zu infizieren, muss das Virus sich in diese
Wirtsdatei einfügen (oft direkt am Ende, da dies am einfachsten ist).
Außerdem modifiziert das Virus die Wirtsdatei so, dass das Virus beim
Programmstart aufgerufen wird. Eine spezielle Form von Linkviren
wählt eine andere Strategie und fügt sich in eine bestehende
Programmfunktion ein.
Zu den verschiedenen Arten von Linkviren siehe Infektionsarten.
Teil der Infektionsroutine eines
Windows-Dateivirus, das PE-Dateien infiziert;
Assemblersprache.
Makroviren
Makroviren benötigen Anwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in
nicht-infizierten Dokumenten oder fügen entsprechende Makros ein, falls diese noch nicht vorhanden sind.
Makros werden von den meisten Office-Dokument-Typen verwendet, wie zum Beispiel in allen Microsoft-Officesowie OpenOffice.org-Dokumenten. Aber auch andere Dokumentdateien können Makros enthalten. Sie dienen
normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu automatisieren oder zu vereinfachen.
Häufig unterstützen Anwendungen mit solchen Dokumenten ein spezielles Makro, das automatisch nach dem Laden
des Dokuments ausgeführt wird. Dies ist ein von Makroviren bevorzugter Ort für die Infektion, da er die höchste
Aufrufwahrscheinlichkeit hat. Wie Linkviren versuchen auch Makroviren, noch nicht infizierte Dateien zu befallen.
Da die meisten Anwender sich nicht bewusst sind, dass beispielsweise ein Textdokument ausführbare Inhalte und
damit ein Virus enthalten kann, gehen sie meist relativ sorglos mit solchen Dokumenten um. Sie werden sehr oft an
andere Anwender verschickt oder auf öffentlichen Servern zum Herunterladen angeboten. Dadurch können sich
Makroviren recht gut verbreiten. Um das Jahr 2000 herum stellten sie die größte Bedrohung dar, bis sie darin von
den Computerwürmern abgelöst wurden.
Ein Schutz gegen Makroviren besteht darin, dafür zu sorgen, dass nur zertifizierte Makros von der Anwendung
ausgeführt werden. Dies ist insbesondere für (größere) Unternehmen und Behörden von Interesse, wo eine zentrale
Zertifizierungsstelle Makros zum allgemeinen Gebrauch vor deren Freigabe überprüft und akzeptierte Makros
zertifiziert.
Es empfiehlt sich weiterhin, das automatische Ausführen von Makros in der entsprechenden Anwendung
auszuschalten.
Computervirus
96
Skriptviren
Ein Skript ist ein Programm, welches nicht durch einen Kompilierer in
Maschinensprache übersetzt wird, sondern durch einen Interpreter
Schritt für Schritt ausgeführt wird. Ein Skript wird häufig auf
Webservern verwendet (zum Beispiel in Form der Skriptsprache Perl
oder PHP) bzw. durch in Webseiten eingebettete Skriptsprachen (zum
Beispiel JavaScript).
Ein Skript wird gerne in Webseiten zusätzlich zu normalem HTML
oder XML eingesetzt, um Funktionen zu realisieren, die sonst nur unter
Teil des Source-Codes von Html.Lame, einem
Zuhilfenahme
ausführbarer
Programme
auf
dem
Server
Skriptvirus, das HTML-Dateien infiziert.
(CGI-Programme) realisierbar wären. Solche Funktionen sind zum
Beispiel Gästebücher, Foren, dynamisch geladene Seiten oder Webmailer. Skriptsprachen sind meist vom
Betriebssystem unabhängig. Um ein Skript auszuführen, wird ein passender Interpreter – ein Programm, das das
Skript von einer für den Menschen lesbaren Programmiersprache in eine interne Repräsentation umsetzt und dann
ausführt – benötigt. Wie alle anderen Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren
kann.
Im Falle von HTML-Dateien fügt sich das Skriptvirus in einen speziellen Bereich, den Skriptbereich, einer
HTML-Datei ein (oder erzeugt diesen). Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments um
ihn schließlich auszuführen. Diese speziellen Skriptviren verhalten sich also fast genauso wie die oben
beschriebenen Makroviren.
Unix-, Mac-OS-X- und Linux-Systeme benutzen für die Automatisierung vieler Aufgaben Skripte, welche zum
Beispiel für eine Unix-Shell wie bash, in Perl oder in Python geschrieben wurden. Die Kommandozeileninterpreter
aus MS-DOS und Windows können ebenfalls spezielle Skripte ausführen. Auch für diese Skriptsprachen gibt es
Viren, die allerdings nur Laborcharakter haben und in der „freien Wildbahn“ so gut wie nicht anzutreffen sind. Sie
können außerdem nicht, wie in HTML eingebettete Skriptviren, versehentlich eingefangen werden, sondern man
muss – wie bei einem Linkvirus – erst ein verseuchtes Skript auf sein System kopieren und ausführen.
Mischformen
Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen wie zum Beispiel
Viren, die sowohl Dateien als auch Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch
Programmdateien infizieren können. Bei der Zusammensetzung ist beinahe jede Variation möglich.
EICAR-Testdatei
Die EICAR-Testdatei ist eine Datei, die benutzt wird, um Virenscanner
zu testen. Sie ist kein Virus und enthält auch keinen „viralen“ Inhalt,
sondern ist nur per Definition als Virus zu erkennen. Jeder
Virenscanner sollte diese Datei erkennen. Sie kann deswegen benutzt
werden, um auf einem System – das von keinem Virus infiziert
wurde – zu testen, ob der Virenscanner korrekt arbeitet.
Meldung der EICAR-Testdatei nach der
Ausführung
Computervirus
Infektionsarten
Companion-Viren
Companion-Viren infizieren nicht die ausführbaren Dateien selbst, sondern benennen die ursprüngliche Datei um
und erstellen eine Datei mit dem ursprünglichen Namen, die nur das Virus enthält, oder sie erstellen eine Datei mit
ähnlichem Namen, die vor der ursprünglichen Datei ausgeführt wird. Es handelt sich also nicht um ein Virus im
eigentlichen Sinne, da kein Wirtsprogramm manipuliert wird.
Unter MS-DOS gibt es beispielsweise Companion-Viren, die zu einer ausführbaren EXE-Datei eine versteckte Datei
gleichen Namens mit der Endung „.com“ erstellen, die dann nur das Virus enthält. Wird in der Kommandozeile von
MS-DOS ein Programmname ohne Endung eingegeben, sucht das Betriebssystem zuerst nach Programmen mit der
Endung „.com“ und danach erst nach Programmen mit der Endung „.exe“, so dass der Schädling vor dem eigentlichen
Programm in der Suchreihenfolge erscheint und aufgerufen wird. Der Schädling führt, nachdem er sich meist im
Arbeitsspeicher festgesetzt hat, das ursprüngliche Programm aus, so dass der Benutzer oft nichts von der Infektion
bemerkt.
Überschreibende
Überschreibende Computerviren sind die einfachste Form von Viren, wegen ihrer stark zerstörenden Wirkung aber
am leichtesten zu entdecken. Wenn ein infiziertes Programm ausgeführt wird, sucht das Virus nach neuen
infizierbaren Dateien und überschreibt entweder die ganze Datei oder nur einen Teil derselben (meist den Anfang)
mit einer benötigten Länge. Die Wirtsdatei wird dabei irreparabel beschädigt und funktioniert nicht mehr oder nicht
mehr korrekt, wodurch eine Infektion praktisch sofort auffällt.
Prepender
Diese Art von Computerviren fügt sich am Anfang der Wirtsdatei ein. Beim Ausführen der Wirtsdatei wird zuerst
das Virus aktiv, das sich weiterverbreitet oder seine Schadwirkung entfaltet. Danach stellt das Virus im
Arbeitsspeicher den Originalzustand des Wirtsprogramms her und führt dieses aus. Außer einem kleinen Zeitverlust
merkt der Benutzer nicht, dass ein Virus gerade aktiv wurde, da die Wirtsdatei vollkommen arbeitsfähig ist.
Appender
Ein Appender-Virus fügt sich an das Ende einer zu infizierenden Wirtsdatei an und manipuliert die Wirtsdatei derart,
dass es vor dem Wirtsprogramm zur Ausführung kommt. Nachdem das Virus aktiv geworden ist, führt es das
Wirtsprogramm aus, indem es an den ursprünglichen Programmeinstiegspunkt springt. Diese Virusform ist leichter
zu schreiben als ein Prepender, da das Wirtsprogramm nur minimal verändert wird und es deshalb im
Arbeitsspeicher nicht wieder hergestellt werden muss. Da Appender einfach zu implementieren sind, treten sie
relativ häufig auf.
Entry Point Obscuring
Der Fachbegriff „Entry Point Obscuring“ (kurz: EPO) heißt übersetzt „Verschleierung des Einsprungspunktes“.
Viren, die diese Technik benutzen, suchen sich zur Infektion einen bestimmten Punkt in der Wirtsdatei, der nicht am
Anfang oder am Ende liegt. Da dieser Punkt von Wirt zu Wirt variiert, sind Viren dieses Typs relativ schwierig zu
entwickeln, da unter anderem eine Routine zum Suchen eines geeigneten Infektionspunktes benötigt wird. Der
Vorteil für diesen Virentyp besteht darin, dass Virenscanner die gesamte Datei untersuchen müssten, um EPO-Viren
zu finden – im Gegensatz zum Erkennen von Prepender- und Appender-Viren, bei denen der Virenscanner nur
gezielt Dateianfang und -ende untersuchen muss. Sucht ein Virenscanner also auch nach EPO-Viren, benötigt er
mehr Zeit – wird der Virenscanner so eingestellt, dass er Zeit spart, bleiben EPO-Viren meist unentdeckt.
97
Computervirus
Für das Entry Point Obscuring sucht sich das Virus einen speziellen Ort, wie etwa eine Programmfunktion, irgendwo
in der Datei, um diese zu infizieren. Besonders lohnend ist zum Beispiel die Funktion zum Beenden des Programms,
da sie meist ein leicht zu identifizierendes Erkennungsmuster hat und genau einmal aufgerufen wird. Würde das
Virus eine zeitkritische Funktion oder eine sehr häufig aufgerufene Funktion infizieren, fiele es leichter auf. Das
Risiko für EPO-Viren besteht darin, dass sie sich unter Umständen einen Punkt in einem Wirt aussuchen können, der
nie oder nicht bei jeder Ausführung des Wirtes aufgerufen wird.
Techniken
Arbeitsspeicher
Speicherresidente Viren verbleiben auch nach Beendigung des Wirtprogramms im Speicher. Unter MS-DOS wurde
eine Technik namens TSR (Terminate and Stay Resident) verwendet, in Betriebssystemen wie Windows, Unix oder
Unix-ähnlichen Systemen (Linux, Mac OS X) erzeugt das Virus einen neuen Prozess. Das Virus versucht dem
Prozess in diesem Fall einen unverdächtig wirkenden Prozessnamen zu geben oder seinen Prozess komplett zu
verstecken. Gelegentlich versuchen diese Viren auch Funktionen des Betriebssystems zu manipulieren oder auf sich
umzuleiten, sofern das Betriebssystem dieses ermöglicht bzw. nicht verhindert.
Selbstschutz der Viren
Stealth-Viren
Computerviren dieser Art ergreifen besondere Maßnahmen, um ihre Existenz zu verschleiern. So werden
Systemaufrufe abgefangen, so dass zum Beispiel bei der Abfrage der Größe einer infizierten Datei die Größe vor der
Infektion angegeben wird (manche Viren verändern die ursprüngliche Größe auch gar nicht, weil sie sich in
unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprünglichen Datei
zurückgeben.
Verschlüsselte Viren
Dieser Typ von Viren verschlüsselt sich selbst. Der Schlüssel kann
dabei von Infektion zu Infektion variieren. Das soll
Antivirenprogramme daran hindern, einfach nach einer bestimmten
Zeichenfolge in Dateien suchen zu können. Die Routine zum
Entschlüsseln muss aber naturgemäß in normaler Form vorliegen und
kann von Antivirenprogrammen erkannt werden.
Polymorphe Viren
Diese Art von Viren ändern ihre Gestalt von Generation zu Generation,
Teil eines polymorph verschlüsselten
teilweise vollkommen. Das geschieht oft in Kombination mit
JavaScript-Virus.
Verschlüsselung – hierbei wird eine variable Verschlüsselung benutzt.
Ein Teil des Virus muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu
entschlüsseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlüsselungsroutine bei jeder Infektion neu
erstellt. Die Routine, die die Entschlüsselungsroutine immer neu erstellt, befindet sich dabei selbst im
verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und
Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
98
Computervirus
99
Metamorphe Viren
Im Gegensatz zu polymorphen Viren, die nur die Gestalt des Codes (durch variable Verschlüsselung oder
Permutation) ändern, wird bei Metamorphismus der Virus temporär in eine Metasprache umgeschrieben (daher der
Name). Die Metasprache wird unter Anwendung von einem Obfuscator wieder kompiliert. Die formale Grammatik
des Virus bleibt immer dieselbe.[5]
Diese Technik ist möglich, da die Assemblersprache für einen Befehl verschiedene Möglichkeiten bietet, diesen
auszuführen. Zum Beispiel kann der Befehl mov eax, 0x0 in xor eax, eax oder sub eax, eax umgewandelt werden. Da
eine Mutation eine Veränderung der Befehlsfolge des Virus ist (und nicht nur eine andere Darstellung der gleichen
Befehlsfolge), sind metamorphe Viren schwerer zu erkennen als polymorphe.[6]
Beispiele sind Win32.ZMist, Win32.MetaPHOR oder Win32.SK. Obwohl diese Viren hochkomplex sind und vielen
Antiviren-Herstellern Probleme bereitet haben,[7] sind sie vom theoretischen Standpunkt aus gesehen noch trivial.[8]
Retroviren
Retroviren zielen darauf ab, Virenschutzprogramme und Personal Firewalls zu deaktivieren. Da sie sich dadurch
nicht nur selbst vor Entdeckung schützen, sondern auch anderen Schadprogrammen Tür und Tor öffnen, gelten sie
als sehr gefährlich.
Mögliche Schäden bzw. Payload
Computerviren sind vor allem gefürchtet, weil sie den Ruf haben, sämtliche Daten zu zerstören. Das ist aber nur in
sehr wenigen Fällen richtig. Die meisten Computerviren versuchen hauptsächlich sich selbst möglichst weit zu
verbreiten und deswegen nicht aufzufallen.
Harmlose Auswirkungen
Eine Eigenschaft, die jedes Virus hat, ist das Stehlen von Rechnerzeit und -speicher. Da ein Virus sich selbst
verbreitet, benutzt es die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben,
dass sie für das System keine spürbare Beeinträchtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der
Größe aktueller Festplatten fällt auch der zusätzlich benötigte Festplattenplatz nicht mehr auf.
Ungewollte Schäden – Programmierfehler
Viele Computerviren enthalten Fehler, welche unter gewissen Umständen zu fatalen Folgen führen können. Diese
Fehler sind zwar meistens unbeabsichtigt, können trotzdem Dateien durch eine falsche Infektion zerstören oder gar
in Einzelfällen ganze Datenbestände vernichten.
„Existenzbericht“ – Meldungen an den
Benutzer
Manche Viren geben dem Benutzer
ihre Existenz bekannt. Beispiele für
Meldungen von Viren können zum Beispiel sein:
Ein HTML-Virus gibt sich dem Opfer zu erkennen.
• Piepsen bzw. Musik
• Meldungsboxen oder plötzlich auftauchende Texte auf dem Bildschirm mit oft (für den Virusautor) amüsanten
Nachrichten oder gar politischem Inhalt
• Manipulation des Bildschirminhaltes wie herunterfallende Buchstaben, Verzerrungen oder über den Bildschirm
wandernde Objekte.
Die meisten dieser Existenzmeldungen sind harmlos und erfolgen oft nur zu bestimmten Uhrzeiten oder nur an
bestimmten Tagen, um nicht zu schnell aufzufallen und so eine höhere Verbreitung zu erlangen. Es gibt auch
„Viren“, die keine eigentliche Schadroutine enthalten, sondern lediglich derartige Meldungen. Dabei handelt es sich
um sogenannte Joke-Programme. Beispiele hierfür sind etwa Eatscreen oder FakeBlueScreen.
Datenzerstörung
Computervirus
Durch das Infizieren von Dateien werden die darin enthaltenen Daten manipuliert und möglicherweise zerstört. Da
jedoch die meisten Viren vor Entdeckung geschützt werden sollen, ist eine Rekonstruktion der Daten in vielen Fällen
möglich.
Einige wenige Viren wurden speziell zur Zerstörung von Daten geschrieben. Das kann vom Löschen von einzelnen
Dateien bis hin zum Formatieren ganzer Festplatten führen. Diese Art von Payload wird von den meisten Menschen
unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher der „Lebensraum“ von Viren ist, zerstören sie
sich mit diesen Aktionen oft selbst.
Hardwarezerstörung
Direkte Hardwarezerstörung durch Software und somit durch Computerviren ist nur in Einzelfällen möglich. Dazu
müsste dem Virenautor bekannt sein, wie eine bestimmte Hardware so extrem oder fehlerhaft angesteuert werden
kann, dass es zu einer Zerstörung kommt. Einige (z. T. eher theoretische) Beispiele für solche Möglichkeiten sind:
• Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebräuchliche Festfrequenzmonitore waren
dafür anfällig, es gab Viren, die diese Angriffe auf solche Monitore tatsächlich durchgeführt haben. Heute ist eine
Beschädigung durch fehlerhafte bzw. extreme Bildsignale so gut wie ausgeschlossen.
• Übertakten von Grafikkarten, die es erlauben, die Taktfrequenz der Bausteine per Software einzustellen. Bei einer
zu hohen Übertaktung und nicht ausreichenden Kühlung können Bausteine überhitzen und beschädigt oder
zerstört werden.
• Übertakten von Bausteinen auf der Hauptplatine, die dadurch selbst überhitzen oder andere Bauteile überlasten
können (Widerstände, Integrierte Bausteine).
• Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.
Da im heutigen PC-Bereich die Hardwarekomponentenauswahl sehr heterogen ist, gilt bisher die Meinung, dass es
sich für Virenautoren nicht lohnt, solche Angriffe durchzuführen.
Ein als Hardwareschaden missinterpretierter Schaden ist das Überschreiben des BIOS, das heute meist in
Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher böswillig überschrieben, kann der Rechner nicht mehr
starten. Da der Rechner nicht mehr startet, wird oft fälschlicherweise ein Hardwareschaden angenommen. Der
Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der
Flash-Speicher fest eingelötet, ist das Ausbauen wirtschaftlich nicht rentabel und die gesamte Hauptplatine muss
ausgetauscht werden.[9]
Wirtschaftliche Schäden
Der wirtschaftliche Schaden durch Computerviren ist geringer als der Schaden durch Computerwürmer. Grund dafür
ist, dass sich Viren nur sehr langsam verbreiten können und dadurch oft nur lokal verbreitet sind.
Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren nicht so hoch ist, ist die Tatsache, dass
sie den angegriffenen Computer oder die angegriffene Datei im Allgemeinen für einen längeren Zeitraum brauchen,
um sich effektiv verbreiten zu können. Computerviren, die Daten sofort zerstören, sind sehr ineffektiv, da sie mit
dieser Aktion auch ihren eigenen Lebensraum zerstören.
Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen Schaden angerichtet haben. Ein Beispiel
ist das Virus DataCrime, das gesamte Datenbestände vernichtet hat. Viele Regierungen reagierten auf dieses Virus
und verabschiedeten Gesetze, die das Verbreiten von Computerviren zu einer Straftat machen.
Auch unter Windows gab es vereinzelt Fälle von Computer-Viren, die gravierende finanzielle Schäden für einzelne
Unternehmen bedeuteten. So wurde Anfang 1998 der XM/Compat-Virus entdeckt, ein Makro-Virus, der
Microsoft-Excel-Dateien mit einer äußerst bösartigen Schadfunktion befällt: Immer, wenn Excel beendet wird,
durchforstet der Schädling ein zufälliges Dokument aus der Bearbeitungs-History nach ungeschützten Zellen mit
numerischen Werten. In diesen Zellen ändert er die Werte mit einer einprozentigen Wahrscheinlichkeit zufällig in
einem Rahmen von +5 bis −5 % ab. Aufgrund der zunächst nur unwesentlichen Veränderungen fallen die so
100
Computervirus
manipulierten Daten möglicherweise erst nach Wochen oder gar Monaten auf. Wird der Schaden entdeckt, lässt er
sich nur durch die Einspielung eines Backups wieder beheben – dazu muss natürlich bekannt sein, wann der
Erstbefall genau stattgefunden hat. Zwar hat der Schädling keine sonderlich hohe Verbreitung gefunden, aber es gab
Fälle von Unternehmen, deren Geschäftsbilanzen und Umsatzberichte durch einen XM/Compat-Befall völlig
unbrauchbar geworden sind.
Ein Virus mit hohem wirtschaftlichen Schaden war auch Win32.CIH, auch „Tschernobyl-Virus“ genannt (nach dem
Atomunfall von Tschernobyl vom 26. April 1986), das sich großflächig verbreitete und am 26. April 2000 den
Dateninhalt von mehr als 2000 BIOS-Chips in Südkorea zerstörte. Laut dem Antivirenhersteller Kaspersky sollen im
Jahr davor sogar 3000 PCs betroffen gewesen sein.
Ein weiterer wirtschaftlicher Faktor war früher vor allem der Image-Schaden der betroffenen Unternehmen, heute ist
dieser immaterielle Schaden nicht mehr so hoch, da ein Computervirus schon eher als normale und übliche Gefahr
akzeptiert wird.
Aufbau
Computerviren haben viele unterschiedliche Formen, daher ist es nur schwer möglich, zu beschreiben, wie ein Virus
grundsätzlich aufgebaut ist. Der einzige nötige Bestandteil, der aus einem Computerprogramm per Definition einen
Computervirus macht, ist die Vermehrungsroutine.
Die folgende Erklärung ist keineswegs ein Standard für alle Viren. Manche Viren können mehr Funktionen haben,
andere wiederum weniger.
• Entschlüsselungsroutine: Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder
zur Ausführung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind.
Oft wird die Entschlüsslungsroutine der Viren von Antiviren-Herstellern dazu benützt, das Virus zu identifizieren,
da dieser Teil oft klarer erkennbar ist als der Rest des Virus.
• Vermehrungsteil: Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige Teil, den jedes
Virus hat (Definition).
• Erkennungsteil: Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder Systembereichs bereits
erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-überschreibenden
Computerviren vorhanden.
• Schadensteil: Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der
Schadensteil ist der Grund für die Angst vieler Menschen vor Computerviren.
• Bedingungsteil: Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Er ist in den
meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil führen den Schadensteil
entweder bei jeder Aktivierung oder – in ganz seltenen Fällen – niemals aus. Der Bedingungsteil (Trigger) kann
zum Beispiel das Payload an einem bestimmten Datum ausführen oder bei bestimmten Systemvoraussetzungen
(Anzahl der Dateien, Größe des freien Speicherplatzes, etc.) oder einfach zufällig.
• Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel
verschlüsseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum
Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von
Viren, die nicht vollständig erkannt werden können (zum Beispiel: Win32.ZMist, ACG, Win32.MetaPHOR oder
OneHalf).
101
Computervirus
Achillesferse eines Virus
Damit ein klassischer reaktiver Virenscanner ein Virus identifizieren kann, benötigt er dessen Signatur. Ein Virus
versucht ein System zu infizieren und dies geschieht zum Beispiel bei einem Linkvirus durch das Anhängen an ein
bestehendes Programm. Dabei muss es (abgesehen von überschreibenden Viren) zuerst prüfen, ob es dieses
Programm bereits infiziert hat – sprich, es muss in der Lage sein, sich selbst zu erkennen. Würde es dies nicht
machen, könnte es ein Programm theoretisch beliebig oft infizieren, was aufgrund der Dateigröße und der
CPU-Belastung sehr schnell auffallen würde. Dieses Erkennungsmuster – die Signatur – kann unter gewissen
Umständen auch von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe Viren sind in der Lage,
mit verschiedenen Signaturen zu arbeiten, die sich verändern können, jedoch stets einer Regel gehorchen. Daher ist
es den Herstellern von Anti-Viren-Software relativ einfach und schnell möglich, ein neues Virus nach dessen
Bekanntwerden zu identifizieren.
Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine Kennzeichnungen wie zum Beispiel ein
ungenutztes Byte im Portable-Executable-Format. Ein Virenscanner kann dieses eine Byte nicht als
Erkennungsmuster nutzen, da es zu viele falsch positive Treffer geben würde. Für ein Virus ist es jedoch kein
Problem, wenn es unter ungünstigen Verhältnissen einige Dateien nicht infiziert.
Geschichte
Theoretische Anfänge: bis 1985
John von Neumann veröffentlichte im Jahr 1949 seine Arbeit Theory and Organization of Complicated Automata.
Darin stellt er die These auf, dass ein Computerprogramm sich selbst wiederherstellen kann. Das war die erste
Erwähnung von computervirenähnlicher Software. Im folgenden Jahr 1950 wurde die Theorie von Victor Vyssotsky,
Robert Morris Sr. und Doug McIlroy, Forscher der Bell Labs, erfolgreich in ein Computerspiel mit dem Namen
Darwin umgesetzt. Zwei Spieler ließen Software-Organismen um die Kontrolle über das System kämpfen. Die
Programme versuchten dabei, einander zu überschreiben. Spätere Versionen des Spiels wurden als Core Wars
bekannt. Breite Bekanntheit erfuhr das Konzept Core Wars durch einen Artikel von Alexander K. Dewdney in der
Kolumne Computer Recreations der Zeitschrift Scientific American.
1972 veröffentlichte Veith Risak den Artikel Selbstreproduzierende Automaten mit minimaler
Informationsübertragung. Darin wird über einen zu Forschungszwecken geschriebenen Virus berichtet. Dieser
enthielt alle wesentlichen Komponenten. Er wurde im Maschinencode des Rechners SIEMENS 4004/35
programmiert und lief einwandfrei.
1975 veröffentlichte der englische Autor John Brunner den Roman Der Schockwellenreiter, in dem er die Gefahr
von Internetviren vorausahnt. Sein Kollege Thomas J. Ryan schilderte 1979 in The Adolescence of P-1, wie sich eine
Künstliche Intelligenz virenähnlich über das nationale Computernetz ausbreitet.
Im Jahr 1980 verfasste Jürgen Kraus an der Universität Dortmund eine Diplomarbeit mit dem Titel
Selbstreproduktion bei Programmen. [10], in welcher der Vergleich angestellt wurde, dass sich bestimmte
Programme ähnlich wie biologische Viren verhalten können.
1982 wurde von dem 15-jährigen amerikanischen Schüler Rich Skrenta ein Computerprogramm geschrieben, das
sich selbst über Disketten auf Apple-II-Systemen verbreitete. Das Programm hieß Elk Cloner und kann als das erste
Bootsektorvirus bezeichnet werden.[11]
Die Grenze von Theorie und Praxis bei Computerviren verschwimmt jedoch, und selbst Experten streiten sich, was
tatsächlich das erste war.
Professor Leonard M. Adleman verwendete 1984 im Gespräch mit Fred Cohen zum ersten Mal den Begriff
„Computervirus“.
102
Computervirus
Praktische Anfänge: 1985–1990
Fred Cohen lieferte 1984 seine Doktorarbeit Computer Viruses – Theory and Experiments ab.[12] Darin wurde ein
funktionierendes Virus für das Betriebssystem Unix vorgestellt. Dieses gilt heute als das erste Computervirus.
Im Januar 1986 wurde schließlich auch die erste Vireninfektion auf einem Großrechner an der FU Berlin entdeckt.
Zwei Software-Händler aus Pakistan verbreiteten im Jahr 1986 das erste Virus für das Betriebssystem MS-DOS der
Pakistani-, Ashar- oder auch Brain-Virus genannt wird. Diese Händler verkauften billige Raubkopien von
Originalsoftware. Dies war möglich, da dort das Kopieren von Software nicht strafbar war. Jeder Softwarekopie
legten sie den Virus bei, der den Zweck haben sollte, die Kunden an den Händler zu binden. Überraschenderweise
verbreitete sich dieser Virus aber sogar bis in die USA. Das Programm war relativ harmlos, da es nur das
Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.
Schließlich wurde 1987 der erste Virus für Macintosh-Rechner entdeckt. Apple lieferte daraufhin sein System gleich
komplett mit einem Virensuchprogramm aus. Allerdings konnte es nur diese eine Virenfamilie finden und war für
andere Virustypen sozusagen blind. Somit war das Programm also nur bedingt brauchbar.
Kurz darauf wird in Deutschland zum ersten Mal der Cascade-Virus gefunden. Er war der erste Virus, der
speicherresident wurde und in Dateien auch verschlüsselt auftrat. Aufgrund dieser Eigenschaften wird er zur zweiten
Generation der Viren gerechnet.
Zu einem der ersten Viren gehört auch der Jerusalem- oder PLO-Virus. Er wurde auch unter dem Namen
Freitag-der-13.-Virus bekannt, da er an einen solchen Tag alle COM- und EXE-Dateien löscht. An allen anderen
Tagen verlangsamte er nach etwa 30 Minuten die Rechnergeschwindigkeit.
Nicht nur MS-DOS wurde von Viren angegriffen, sondern auch andere Systeme wie Apple Macintosh, Amiga, Atari
und Unix.
Im selben Jahr, 1987, erschien im Data-Becker-Verlag das erste Buch zum Thema Computerviren, Das große
Computervirenbuch von Ralf Burger. Da Burger den Quellcode einiger Viren im Buch veröffentlichte, erschienen in
den folgenden Monaten Dutzende Varianten des von ihm geschriebenen Virus in der Öffentlichkeit.
1988 erschien der erste Baukasten für Viren (Virus Construction Set). Damit war es auch Anfängern möglich, Viren
nach Maß zu erstellen. Das Programm wurde für den Computer Atari ST geschrieben.
In diesen Jahren wurden die ersten Antivirenprogramme herausgebracht, vor allem um große Unternehmen zu
schützen. Im Jahr 1989 erschien mit V2Px dann das erste polymorphe Virus, das sich selbst immer wieder neu
verschlüsseln konnte und nur sehr schwer zu entdecken war.
Die Ära der DOS-Viren: 1990–1995
In diesen Jahren wurden Viren immer komplexer, um sich weiter verbreiten zu können und um sich besser gegen die
Entdeckung durch Antivirenprogramme zu schützen. Am Anfang des Jahres 1991 verbreitet sich der erste
polymorphe Virus, der Tequilavirus. Wenig später, 1992, veröffentlichte ein Virenschreiber namens Dark Avenger
den ersten polymorphen Programmgenerator, MTE. Damit konnten sich auch einfachste Viren leicht vor einer
Erkennung schützen. Einige der damaligen Hersteller von Antiviren-Software konnten dieses Problem nicht lösen
und stoppten die Entwicklung ihres Programms.
1992 löste auch das Michelangelo-Virus eine enorme Medienhysterie aus. Mit ihm wurde die Existenz der Viren in
der breiten Öffentlichkeit bekannt.
In diesen Jahren wurden immer wieder neue Techniken in Viren entdeckt, wie zum Beispiel die gleichzeitige
Infektion von Dateien und Bootsektor, OBJ-Dateien oder Quellcode-Dateien. 1992 wurde mit Win16.Vir_1_4 das
erste Computervirus für das Betriebssystem Microsoft Windows 3.11 registriert. Dieses Proof-of-Concept-Virus
wurde nie in „freier Wildbahn“ entdeckt.
103
Computervirus
Viren wie ACG und OneHalf markieren das Ende der MS-DOS-Viren. Bis heute zählen sie zu den komplexesten
Viren überhaupt. Sie sind stark polymorph und enthalten auch Techniken wie Metamorphismus.
Die Ära der Viren für 32-Bit-Windows-Betriebssysteme: 1995–2002
Ab 1995, mit dem Erscheinen von Microsoft Windows 95 und dem ständigen Zuwachs an Benutzern, wurden auch
Viren für dieses Betriebssystem (und dessen obligate Programme wie Microsoft Office) geschrieben. 1995 erschien
das erste Makrovirus für Microsoft Word. Da Dokumente öfter als Programme getauscht wurden, wurden
Makroviren ein sehr großes Problem für die Anwender. In den Jahren darauf erschienen die ersten Makroviren für
Excel (1997), Powerpoint und Access (beide 1998) und Visio (2000). 1996 wurde das erste Virus Constructor Kit für
Makroviren geschrieben, das es auch Personen ohne Programmierkenntnissen ermöglichte, Viren zu erstellen.
1996 erschien dann mit Boza das erste Virus für Microsoft Windows 95. Damit wurde gezeigt, dass das neueste
Microsoft-Betriebssystem für Viren doch nicht, wie vorher behauptet, unantastbar war.
Als der Kampf zwischen Antivirenherstellern und Virenautoren zugunsten der Antivirenhersteller gewonnen schien,
wurden 1998 mit W32.HPS und W32.Marburg die ersten polymorphen Windows-32-Bit-Viren geschrieben. Kurze
Zeit später entstand mit Regswap das erste metamorphe Virus für diese Betriebssysteme.
1998 und 1999 erschienen die ersten VBS- und JavaScript-Viren und als logische Konsequenz auch die ersten
HTML-Viren. Diese Viren arbeiteten mit dem umstrittenen Zusatzprogramm „Windows Scripting Host“. Nun
konnten auch Webseiten von Viren infiziert werden.
In dieser Zeit wurden einige andere, für den Benutzer ungefährliche Viren geschrieben, die dennoch interessant sind.
Beispiele sind das OS2.AEP-Virus, das als erstes ausführbare Dateien des Betriebssystems OS/2 infizieren konnte,
oder die ersten Viren für HLP-Dateien, für PHP-Dateien, für Java, für AutoCAD, für Bash, für Palm OS und für
Flash.
Am Ende dieser Ära tauchten wieder (wie in der DOS-Ära) die komplexesten Viren auf, die es bis zu dieser Zeit gab.
Beispiele sind Win32.MetaPHOR oder Win32.ZMist, die sehr stark metamorph sind und nicht von allen
Antivirenprogrammherstellern vollständig entdeckt werden können. Diese Viren wurden von Mitgliedern der
Virenschreibergruppe 29A geschrieben, die die Techniken Polymorphismus und Metamorphismus in den
vorangegangenen Jahren signifikant weiterentwickelt haben.
Neue Nischen: ab 2002
Ungefähr ab 2002 traten Viren mehr und mehr in den Hintergrund und wurden durch Würmer ersetzt. Die
Entwicklung von Viren geht trotzdem weiter und bezieht sich vor allem auf neue Nischen.
Im Jahr 2002 wurde das erste Virus geschrieben, das sowohl Win32-Anwendungen als auch ELF-Dateien (zum
Beispiel Linux-Anwendungen) infizieren konnte. Dieses Virus kann als das Einläuten eines neuen Zeitalters der
Viren gesehen werden.
Im Jahr 2004 brach dann endgültig eine neue Ära für Viren an. Das erste Virus für PocketPCs (mit dem
Betriebssystem Windows CE) tauchte auf und zeigte, dass auch diese viel verwendeten Kommunikationsgeräte nicht
verschont werden.
Einige Monate später wurde der Virus Win64.Rugrad entdeckt. Dieses Virus konnte die Anwendungen des neu
erschienenen Microsoft Windows XP 64-bit Edition infizieren und hat eine Vorreiterrolle in der Entwicklung neuer
Viren.
Wieder einige Monate später, im Jahr 2005, wurde das erste Virus für Handys (mit dem Betriebssystem Symbian
OS) geschrieben. Es kann, nachdem vorher schon Würmer für dieses Betriebssystem erschienen sind, auch Dateien
infizieren.
Mitte 2005, kurz nach der Veröffentlichung der ersten Beta-Version des XP-Nachfolgers Microsoft Windows Vista,
wurde das erste Virus für die Microsoft Command Shell (Codename Monad) veröffentlicht. Zunächst wurde
104
Computervirus
propagiert, dass es ein erstes Virus für das neue Windows gäbe. Jedoch ließ Microsoft nach Bekanntwerden der
Viren verlautbaren, dass Monad doch nicht wie geplant in Vista enthalten sein werde. Somit wäre dies ein Virus für
eine Betaversion mit extrem geringen Chancen auf Verbreitung.
Das erste wirkliche Computervirus für MS Windows Vista trat einige Monate später, im Oktober 2005 auf.
MSIL.Idoneus nutzt .NET Framework 2.0, um sich zu verbreiten.
In dieser Zeit wurden die ersten Viren für Ruby, MenuetOS, F#, CHM, IDA und Microsoft Office Infopath entdeckt,
die aber weder jetzt noch in Zukunft eine Gefahr für Anwender sein werden, da diese Plattformen kaum verbreitet
sind und sich die Viren daher kaum vermehren können.[13]
Ein weiteres Anzeichen dafür, dass Computerviren vor allem auf neuen Nischen die Vorreiterrolle spielen, sind
TiOS.Divo und TiOS.Tigraa, die im Jahr 2007 entdeckt wurden. Es handelt sich dabei um einen Virus für die
Taschenrechner TI-89, TI-92 und Voyage 200 vom Unternehmen Texas Instruments.[14]
Literatur
• Eric Amberg: KnowWare 183. Sicherheit im Internet. IPV, Hamburg 2004, ISBN 87-91364-38-8.
• Klaus Brunnstein: Computer-Viren-Report. WRS Verl. Wirtschaft Recht und Steuern, München 1989, ISBN
3-8092-0530-3.
• Ralf Burger: Das große Computer-Viren-Buch. Data Becker, Düsseldorf 1989, ISBN 3-89011-200-5.
• Andreas Janssen: KnowWare 170. Viren, Hacker, Firewalls. KnowWare, Osnabrück 2005, ISBN 87-90785-83-5.
• Eugene Kaspersky: Malware: Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt
Hanser-Verlag, München 2008, ISBN 978-3-446-41500-3.
• Mark A. Ludwig: The Giant Book of Computer Viruses. American Eagle Publications, Show Low, Ariz. 1998,
ISBN 0-929408-23-3.
• Rune Skardhamar: Virus. Detection and Elimination. AP Professional, Boston 1995, ISBN 0-12-647690-X.
• Peter Szor: The Art Of Computer Virus Research And Defense. Addison-Wesley, Upper Saddle River NJ 2005,
ISBN 0-321-30454-3.
Weblinks
•
•
•
•
•
•
•
botfrei.de: Das Anti-Botnet-Beratungszentrum - Eine Initiative der deutschen Internetwirtschaft [15]
Artikel über Viren [16] – freie deutschsprachige Publikationen zum Thema
Geschichte der Virenprogrammierung [17] auf Telepolis
Zum 20-jährigen Bestehen von Computerviren [18] auf Telepolis
Journal in Computer Virology [19] – wissenschaftliches Magazin zum Thema Computerviren und Würmer (engl.)
VX Heavens [20] – Archiv von Computerviren, Virusprogrammierermagazinen, etc. (engl.)
Die Pakistan-Grippe im Westen [21] auf Telepolis – über das angeblich erste MS-DOS-Computervirus
105
Computervirus
Einzelnachweise
[1]
[2]
[3]
[4]
Sophos Security Report 06 (http:/ / www. sophos. com/ sophos/ docs/ eng/ papers/ sophos-security-report-jun06-srus. pdf) (PDF)
Microsoft wartet mit Bereitstellung eines Patches fast ein Jahr. (http:/ / www. golem. de/ 0409/ 33674. html) Auf: golem.de
Webanalyse – Betriebssysteme und Geräte (http:/ / www. webmasterpro. de/ portal/ webanalyse-systeme. html) auf webmasterpro.de
ROOTKITS: Virenfiltern droht der Knockout. (http:/ / www. spiegel. de/ netzwelt/ tech/ 0,1518,392380,00. html) In: Spiegel Online –
Netzwelt
[5] Peter Ferrie, Peter Szor: Hunting for Metamorphic (http:/ / pferrie. tripod. com/ papers/ metamorp. pdf), Virus Bulletin Conference,
September 2001.
[6] Peter Ferrie, Frederic Perriot: Detecting Complex Viruses (http:/ / pferrie. tripod. com/ papers/ complex. htm)
[7] Peter Ferrie: Zmist Opportunities. (http:/ / pferrie. tripod. com/ papers/ zmist. pdf) (PDF) 2001
[8] Eric Filiol: Metamorphism, Formal Grammars and Undecidable Code Mutation (http:/ / vxheavens. com/ lib/ aef04. html). In: International
Journal of Computer Science 2, 2007, 1, ISSN 1306-4428 (http:/ / dispatch. opac. d-nb. de/ DB=1. 1/ CMD?ACT=SRCHA& IKT=8&
TRM=1306-4428), S. 70–75.
[9] Infos zu den das CMOS und das BIOS schädigenden Viren (http:/ / www. sophos. de/ pressoffice/ news/ articles/ 2001/ 11/ va_glossary.
html#cmos)
[10] http:/ / vx. netlux. org/ lib/ mjk00. html
[11] Konrad Lischka: 25 JAHRE COMPUTERVIREN – Der Apfel-Fresser (http:/ / www. spiegel. de/ netzwelt/ tech/ 0,1518,494306,00. html).
In: Spiegel Online – Netzwelt, 13. Juli 2007 („Das Programm pflanzte sich über Disketten fort, zeigte ein Gedicht, ließ ansonsten aber die
befallenen Apple-Rechner unversehrt.“)
[12] Fred Cohen: Computer Viruses – Theory and Experiments. (http:/ / all. net/ books/ virus/ index. html)
[13] E-Zine Releases New Virus Technologies (http:/ / blog. trendmicro. com/ e-zine-releases-new-virus-technologies/ ) auf Trend Micro
[14] TIOS.Divo (http:/ / www. symantec. com/ enterprise/ security_response/ writeup. jsp?docid=2007-060115-1151-99& tabid=2) –
Symantec.com
Peter Ferrie: Virus Analysis: Lions and Tigraas (http:/ / pferrie. tripod. com/ papers/ tigraa. pdf) (PDF)
[15] https:/ / www. botfrei. de
[16] http:/ / www. computec. ch/ download. php?list. 14
[18] http:/ / www. heise. de/ tp/ deutsch/ special/ med/ 16056/ 1. html
[19] http:/ / www. springerlink. com/ content/ 119769/
[20] http:/ / vx. netlux. org/
106
Antivirenprogramm
Antivirenprogramm
Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abkürzung: AV) ist eine Software, die
bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitigt.
Geschichte
Die meisten der Computerviren, die Anfang und Mitte der '80er Jahre geschrieben wurden, waren auf reine
Selbstreproduktion beschränkt und verfügten oft noch nicht einmal über eine spezifische Schadfunktion. Erst als die
Technik der Virenprogrammierung breiteren Kreisen bekannt wurde, tauchten zunehmend Viren auf, die gezielt
Daten auf infizierten Rechnern manipulierten oder zerstörten. Damit war die Notwendigkeit gegeben, sich um die
Bekämpfung dieser schädlichen Viren durch spezielle Antivirenprogramme Gedanken zu machen.[1]
Es gibt konkurrierende Ansprüche, wer der Erfinder des ersten Antivirenprogrammes ist. Die wahrscheinlich erste
öffentlich dokumentierte Entfernung eines Computervirus wurde von Bernd Fix im Jahr 1987 durchgeführt.[2] [3]
Fred Cohen, der schon 1984 durch seine Arbeiten das Thema „Computerviren“ öffentlich gemacht hatte [4] ,
entwickelte ab 1988 Strategien zur Virenbekämpfung[5] , die von späteren Antivirenprogrammierern aufgegriffen
und fortgeführt wurden.
Ebenfalls 1988 entstand im BITNET/EARN-Rechnerverbund eine Mailingliste namens VIRUS-L[6] , in der vor
allem über das Auftauchen neuer Viren sowie die Möglichkeiten zur Virenbekämpfung diskutiert wurde. Einige
Teilnehmer dieser Liste wie zum Beispiel John McAfee oder Eugene Kaspersky gründeten in der Folge
Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon
Arcen Data (heute Norman ASA) gegründet worden, das sich Ende der 1980er Jahre, mit dem Auftauchen der ersten
Computerviren in Norwegen, ebenfalls auf Antivirenprogramme spezialisierte.[7]
Bevor eine Internet-Anbindung üblich wurde, verbreiteten sich Viren typischerweise über Disketten.
Antivirenprogramme wurden zwar manchmal verwendet, aber nur unregelmäßig auf einen aktuellen Stand
nachgeführt. Während dieser Zeit prüften Antivirenprogramme nur ausführbare Programme sowie die Boot-Sektoren
auf Disketten und Festplatten. Mit der Verbreitung des Internets begannen Viren auf diesem Weg, neue Rechner zu
infizieren und damit eine allgemeinere Gefahr darzustellen.[8]
Mit der Zeit wurde es für Antivirenprogramme immer wichtiger, verschiedene Dateitypen (und nicht nur ausführbare
Programme) auf verborgene Viren zu untersuchen. Dies hatte unterschiedliche Gründe:
• Die Verwendung von Makros in Textverarbeitungs-Programmen wie Microsoft Word stellten ein zusätzliches
Viren-Risiko dar. Virenprogrammierer begannen, Viren als Makros in Dokumente einzubetten. Dies bedeutete,
dass Computer allein dadurch infiziert werden konnten, dass ein eingebettetes Makrovirus in einem Dokument
ausgeführt wurde.[9]
• Spätere E-Mail-Programme, insbesondere Microsoft Outlook Express und Outlook, waren verwundbar für Viren,
die in E-Mails eingebunden waren. Dadurch konnte ein Rechner infiziert werden, indem eine E-Mail geöffnet und
angesehen wurde.
Mit der Verbreitung von Breitbandanschlüssen und der steigenden Anzahl vorhandener Viren wurde auch die
häufige Aktualisierung der Antivirenprogramme notwendig. Aber selbst unter diesen Umständen konnte sich ein
neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor die Hersteller von Antivirenprogrammen darauf mit
einer Aktualisierung reagieren konnten.[10]
107
Antivirenprogramm
Typen von Antivirenprogrammen
Virenscanner arbeiten meist auf eine oder mehrere der folgenden Arten:
Echtzeitscanner
Der Echtzeitscanner (engl. on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder
residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt
alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen,
werden so genannte Filtertreiber vom Antivirenprogramm installiert, welche die Schnittstelle zwischen dem
Echtzeitscanner und dem Dateisystem bereitstellen. Generell muss beim Echtzeitschutz zwischen zwei Strategien
unterschieden werden:
1. Scannen beim Öffnen von Dateien (Lesevorgang)
2. Scannen beim Erstellen / Ändern von Dateien (Schreibvorgang)
Bei einigen Virenscannern lässt sich diese Strategie einstellen, bei anderen ist sie unveränderlich im Programm
konfiguriert. Da Schreibvorgänge wesentlich seltener vorkommen als Lesevorgänge, bevorzugen viele Benutzer
diese Einstellung. Sie sorgt dafür, dass die ohnehin zusätzliche Belastung des Computers durch den Echtzeitscanner
vermindert wird, aber sie verhindert nicht, dass sich das Computersystem infiziert, wenn Benutzer virulente, aber
inaktive Dateien öffnen.
Der alleinige Einsatz eines On-Access-Virenscanners bietet keinen vollständigen Schutz vor Schadprogrammen, da
die meisten Virenscanner nicht sehr erfolgreich beim Erkennen anderer Arten bösartiger Software als Viren und
Würmer sind. Auch sind sie meist nur in der Lage, solche Malware zu erkennen, für die sie Virensignaturen erhalten
haben. Befindet sich jedoch eine vom Antivirenprogramm erkannte virulente, aber unaktivierte Datei auf dem
Computer, die vor dem entsprechenden Update der Virensignatur heruntergeladen wurde, kann sie das System oder
eventuell auch das Netzwerk nicht infizieren, wenn sie durch den Benutzer ausgeführt (geöffnet) wird, falls alle
Dateien auch beim Öffnen überprüft werden.
Um die Belastung durch den Echtzeitscanner weiter zu verringern, werden oft einige Dateiformate, komprimierte
Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt. Daher sollte trotz eines Echtzeitschutzes
regelmäßig ein manueller Scan durchgeführt werden. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der
Regel den Benutzer nach dem weiteren Vorgehen. Dies sind das Löschen der Datei, das Verschieben in die
Quarantäne oder, wenn möglich, ein Reparaturversuch.
Manueller Scanner
Der manuelle Scanner (engl. on-demand scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell
oder zeitgesteuert gestartet werden (On-Demand). Findet ein Scanner schädliche Software, erscheint eine Warnung
und in manchen Fällen auch Optionen zur Reinigung, Quarantäne oder Löschung der befallenen Dateien. In den
Fällen, wo derartige Optionen nicht gegeben werden, erfolgt meist ein Verweis auf ein kostenpflichtiges Produkt.
Der Festplattenscan sollte regelmäßig ausgeführt werden. Die meisten Programme bieten dafür bestimmte
Assistenten an, die den Rechner in bestimmten festgelegten Zeiträumen durchsuchen.
Manuelle Scanner kommen auch auf bootfähigen Live-CDs – wie etwa Desinfec’t – zum Einsatz. Hierbei ist
sichergestellt, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Manipulationen, die das
Auffinden oder Entfernen der Schadsoftware verhindern, werden so ausgeschlossen.
108
Antivirenprogramm
Online-Virenscanner
Als Online-Virenscanner werden Antivirusprogramme bezeichnet, die ihren Programmcode und die Viren-Muster
über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im
On-Demand-Modus. Das heißt, der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet.
Deshalb eignen sich Online-Virenscanner zwar zum Reinigen, nicht aber zum präventiven Schutz eines Systems.
Auch besteht die Gefahr, dass ein befallener Rechner über die Verbindung zum Internet ferngesteuert werden kann
oder selbst Spam versendet oder andere Rechner angreift, während er für den Scan online ist. Daher sollte man ein
potenziell befallenes System nach Möglichkeit umgehend vom Netz trennen und mit einem Offline-Scanner
untersuchen. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich
zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu evtl. Befall einzuholen.
Die meisten Online-Virenscanner basieren auf der ActiveX-Technologie und sind damit an die Benutzung des
Internet Explorers gebunden. Es gibt aber auch Alternativen für den plattformübergreifenden Einsatz, die mit Java
verwirklicht wurden.
Weiterhin gibt es Webseiten, die es ermöglichen, einzelne Dateien mit verschiedenen Virenscannern zu prüfen. Für
diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des
On-demand-Scan.
Sonstige Scanner
Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner. Die meisten davon
arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer
Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.
Eine andere Lösung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von
Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie
verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt.
Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als
Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort
gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers
weitergeleitet.
Erfolgswahrscheinlichkeit
Aufgrund der ständigen Weiterentwicklung von Schadprogrammen (Viren, Würmer, Trojaner etc.) und der
Unvorhersehbarkeit der eingesetzten Schadlogik (engl. Evil Intelligence) kann praktisch kein Virenscanner vor allen
erdenklichen Viren und Würmern schützen. Virenscanner sollten daher generell nur als Ergänzung zu allgemeinen
Vorsichtsmaßnahmen betrachtet oder eingesetzt werden. Vorsicht und aufmerksames Handeln sind deshalb für
verantwortungsvolle Computernutzer trotz des Einsatzes eines Virenscanners unabdingbar.
Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden:
• Reaktiv: Bei dieser Art der Erkennung wird ein Schädling erst erkannt, wenn eine entsprechende Signatur (oder
bekannter Hash-Wert in der Cloud) seitens des Herstellers der Antivirensoftware zur Verfügung gestellt wurde.
Dies ist die klassische Art der Virenerkennung, welche von praktisch jeder Antivirensoftware verwendet wird.
• Vorteil: Eine Signatur kann innerhalb kurzer Zeit erstellt werden und bildet daher immer noch das Rückgrat
eines jeden Scanners (bei Online Verbindungen - zusätzlich Cloud based Erkennungen)
• Nachteil: Ohne aktualisierte Signaturen werden keine neuen Schadprogramme erkannt.
• Proaktiv: Dies bezeichnet die Erkennung von Malware, ohne dass eine entsprechende Signatur zur Verfügung
steht. Aufgrund der rapiden Zunahme neuer Schadprogramme werden solche Techniken immer wichtiger.
Proaktive Verfahren sind etwa die Heuristik, Verhaltensanalyse oder die SandBox-Technologien.
109
Antivirenprogramm
• Vorteil: Erkennung noch unbekannter Schadprogramme.
• Nachteil: Die komplexe Technik bedarf hoher Entwicklungskosten und langer Entwicklungszyklen. Proaktive
Techniken haben prinzipbedingt gegenüber reaktiven eine höhere Fehlalarmquote.
Auf Grund der Vor- und Nachteile werden bei aktuellen Virenscannern beide Techniken eingesetzt, um die
Schwächen der jeweils anderen auszugleichen.
Scanengines
Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines
Computers oder Netzwerkes auf Schadprogramme verantwortlich ist. Eine Scanengine ist somit unmittelbar für die
Effizienz von Antivirensoftware verantwortlich. Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig
vom Rest eines Virenscanners aktualisiert und eingesetzt werden können.
Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer
AV-Hersteller einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch
gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragwürdig, ob
sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch oder dem
Anspruch an Systemperformance ab und muss von Fall zu Fall entschieden werden.
Die Leistungsfähigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schädlichen Dateien hängt
nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung
so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter
Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des
laufzeitkomprimierten Archives zu untersuchen.
Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu
gepackt (ohne den Inhalt zu ändern), müsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein
Scanner mit der Fähigkeit, möglichst viele Formate entpacken zu können, ist hier im Vorteil, weil er den Inhalt der
Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts über die
Erkennungsleistung aus.
Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und
miteinander interagieren:
• Dateiformat-Analyse (wie Programme (PE, ELF), Scripte (VBS, JavaScript), Datendateien (PDF, GIF))
• Pattern-Matcher (Mustererkennung) für die klassischen Signaturen
• Entpack-Routinen für
• laufzeitkomprimierte Programme und Verschlüsselungsroutinen (so etwa UPX, Aspack, Y0daCrypt)
• Archive (so ZIP, RAR, 7z, UUE/Base64)
• Mailbox-Formate (so mbox, .dbx, .eml, MIME)
• Code-Emulation (vergleichbar mit einer Art Mini-Sandbox oder es greift eine Sandbox darauf zurück, nützlich für
generische Erkennung oder bei polymorphen Schadprogrammen)
• Heuristik für unterschiedliche Typen (PE, Scripte, Makros)
• diverse Filter (in ELF-Dateien muss nicht nach PE-Signaturen gesucht werden oder per Zugriffsschutz geblockte
Dateien - entweder vordefinierte Regeln oder selbst konfiguriert)
Weiters oder vorrangig beim Echtzeitschutz eingesetzt:
• Verhaltensanalyse
• Cloud-Technologie
• Sandbox
110
Antivirenprogramm
Heuristik
Einige Virenscanner verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik), um
unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Die
Wichtigkeit dieser – präventiven – Art der Erkennung nimmt stetig zu, da die Zeiträume, in denen neue Viren und
Varianten eines Virus in Umlauf gebracht werden (auf den Markt drängen), immer kürzer werden. Für die
Antivirenhersteller wird es somit immer aufwändiger und schwieriger, alle Schädlinge zeitnah durch eine
entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden.
Die tatsächliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren
meistens ihre „Werke“ mit den bekanntesten Scannern testen und sie so ändern, dass sie nicht mehr erkannt werden.
SandBox
Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen
Antivirenhersteller Norman 2001 eine neue Technologie vorgestellt, bei der die Programme in einer gesicherten
Umgebung, der Sandbox, ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer
im Computer. In dieser Umgebung wird die Datei ausgeführt und analysiert, welche Aktionen sie ausführt. Bei
Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die
Sandbox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweise. Weicht die Datei von
dieser zu einem gewissen Grad ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie folgende
Gefährdungen unterscheiden:
•
•
•
•
•
•
•
•
•
W32/Malware
W32/EMailWorm
W32/NetworkWorm
W32/BackDoor
W32/P2PWorm
W32/FileInfector
W32/Dialer
W32/Downloader
W32/Spyware
Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte
und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine
Bereinigung eines infizierten Computersystems vorzunehmen.
Durch die Technik der Sandbox konnten nach Tests von AV-Test[11] 39 % noch unbekannter Viren und Würmer
erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein
wirklicher Fortschritt in proaktiver Erkennung.
Nachteil der Sandbox-Technologie ist, dass sie durch die Code-Emulation recht ressourcen-intensiv und
vergleichsweise langsam zur klassischen Signaturenscannen ist. Daher wird sie primär in den Labors der
Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.
Ähnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberflächen ihrer Sandboxen zur Analyse
einzelner verdächtiger Dateien zur Verfügung (normalerweise Basisfunktionen kostenlos, erweiterte Funktionen
gegen Entgelt) [12] [13] [14] [15] [16] [17] [18] [19]
111
Antivirenprogramm
Verhaltensanalyse
Die Verhaltensanalyse (engl. Behavior Analysis/Blocking, oft auch als Hostbased Intrusion Detection System
bezeichnet, vgl. NIDS) soll ähnlich wie SandBox und Heuristik anhand von typischen Verhaltensweisen
Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeitüberwachung
eingesetzt, da dabei die Aktionen eines Programms – im Gegensatz zur Sandbox – auf dem echten Computer
mitverfolgt werden, und kann vor Überschreiten einer Reizschwelle (Summe der verdächtigen Aktionen) oder bei
Verstößen gegen bestimmte Regeln, vor offensichtlich destruktiven Aktionen (Festplatte formatieren, Systemdateien
löschen) einschreiten.
Bei der Verhaltensanalyse wird oft mit Statistik (Bayesscher Filter bekannt von Spamfiltern), neuronalen
Netzwerken, genetischen Algorithmen oder anderen „trainierbaren/lernfähigen“ Algorithmen gearbeitet, bekannt so
als: Emsisoft Mamutu,[20] BitDefender B-Have, Sophos HIPS.
Cloud-Technologie
Der pinzipielle Unterschied der Cloud-Technologie (dt. ‚Wolke‘) zu "normalen" Scannern ist, dass die Signaturen „in
the Cloud“ (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder
auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123).
Die Signaturen werden leider nicht bei allen Produkten lokal zwischengespeichert[21] , so dass ohne
Internetverbindung nur eine reduzierte oder keine Erkennungsleistung verfügbar ist. Manche Hersteller bieten für
Unternehmen eine Art „Cloud Proxy“ an, der Hash-Werte lokal zwischengepuffert. Ein großer Vorteil der
Cloud-Technologie ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ansätze. Bekannt
sind die Programme Panda Cloud Antivirus[22] (arbeitet inzwischen mit einem lokalen Cache[23] ), McAfee Global
Threat Intelligence - GTI (früher Artemis)[24] , F-Secure Realtime Protection Network[25] , Microsoft Morro
SpyNet[26] und Immunet ClamAV für Windows[27] , sowie Symantec mit Nortons SONAR 3.
Die unterschiedlichen Ansätze:
1. Die Mehrheit der Hersteller übertragen lediglich Hash-Werte. Das heißt, wenn sich die Datei eines
(Schad)programms nur um 1 Bit ändert, wird es nicht mehr erkannt. Bis dato ist nicht bekannt (wobei es aber
anzunehmen ist), ob Hersteller ebenfalls „unscharfe“ Hashes (z. B. ssdeep[28] ) einsetzen, die eine gewisse
Toleranz erlauben.
2. Es werden Fehlerkennungen minimiert, da die White- und Blacklists bei den Herstellern ständig mit neuen
Hash-Werten von Dateien aktualisiert werden.
3. Ressourceneinsparung: Bereits analysierte Dateien werden nicht mehr erneut aufwenig in einen Emulator oder
Sandbox beim Endbenutzer am Computer analysiert.
4. Statistische Auswertung der Ergebnisse beim Hersteller: Von Symantec ist bekannt, dass Hash-Werte von neuen,
unbekannten und wenig verbreiteten Dateien als verdächtig eingestuft werden. Unrühmliche Bekanntheit hat
diese Funktion unter anderen bei Firefox-Aktualisierungen erlangt[29]
Automatische Aktualisierung
Die sogenannte Auto-, Internet-, oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle
Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist,
wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht
selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicher zu gehen, dass das Programm wirklich
auf dem aktuellen Stand ist. Die Häufigkeit, mit der Updates von den Herstellern bereitgestellt werden, sagt jedoch
nichts direkt über die Qualität des Produktes aus. Wichtiger ist, dass bei einer bestehenden Bedrohung möglichst
zeitnah eine entsprechende Signatur veröffentlicht wird (Reaktionszeit).
112
Antivirenprogramm
Probleme mit Virenscannern
Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie
gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen
Anwendungen zu verhindern, erlauben die meisten Virenscanner das Führen einer Ausschlussliste, in der definiert
werden kann, welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:
• Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verzögerung. Für
einige Applikationen ist diese zu groß und sie erzeugen Fehlermeldungen oder Funktionsstörungen. Besonders
häufig tritt dieses Verhalten auf, wenn auf Daten über eine Netzwerkfreigabe zugegriffen wird und an diesem
entfernten Rechner ebenfalls eine Antivirensoftware läuft.
• Datenbanken (jeglicher Art): Da auf Datenbanken für gewöhnlich ein ständiger Zugriff stattfindet und sie oftmals
sehr groß sind, versucht der Echtzeitscanner, diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen,
ansteigender Systemlast, Beschädigungen der Datenbank bis hin zum völligen Stillstand des jeweiligen
Computersystems führen.
• Mailserver: Viele Mailserver speichern E-Mails MIME- oder ähnlich codiert auf der Festplatte ab. Viele
Echtzeitscanner können diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser
Entfernung nichts wissen kann, „vermisst“ er diese Datei, was ebenfalls zu Funktionsstörungen führen kann.
• Parsing: Weil Antivirensoftware viele verschiedene, teils unbekannte Dateiformate mit Hilfe eines Parsers
untersucht, kann sie selbst zum Ziel von Angreifern werden.[30] [31]
• Häufig erlauben es Virenscanner nicht, noch einen zweiten Virenscanner parallel auszuführen.
• False Positives, also Fehlalarme, die bei einigen Virenscannern zu einer automatischen Löschung, Umbenennung
etc. führen und teilweise nur sehr schwer abzustellen sind. Nach einer Rückumbenennung „erkennt“ das
Programm erneut diese Datei und benennt sie wieder um.
Kritik an Virenscannern
Die Zuverlässigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Studie drei
Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. 40 Prozent
der befragten Administratoren hatten bereits darüber nachgedacht, die Virenscanner zu entfernen, weil diese die
Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Firmenrichtlinien
dieses forderten, so die Umfrage. Hauptgrund sei die tägliche Flut neuester unterschiedlichster Varianten von
Schädlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten.[32] Es sei anzumerken,
dass diese Studie von einer Firma erstellt wurde, die eine Software vertreibt, die anhand von Positivlisten das
Ausführen von Programmen erlaubt. Dieser „Whitelisting“-Ansatz hat je nach Einsatzgebiet ebenso Vor- und
Nachteile.[33] [34]
Überprüfen der Konfiguration des Virenscanners
Die Funktion des Virenscanners kann nach der Installation und nach größeren Systemupdates überprüft werden.
Damit kein „echter“ Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European
Institute of Computer Anti-virus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte
EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit
dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des
Virenscanners tadellos arbeiten.
113
Antivirenprogramm
114
Antivirensoftware
Software
Hersteller
Lizenz
Betriebssystem
Deutschsprachig kostenlos
AntiVir Premium
Avira
Proprietär Windows, Linux, BSD, Solaris
ja
nein
AntiVir Personal
Avira
Proprietär Windows, Linux, BSD, Solaris
ja
ja
avast! Professional
Edition
Alwil Software
Proprietär Windows, Linux
ja
nein
avast! Home Edition
Alwil Software
ja
ja
AVG Anti-Virus Free
AVG
Technologies
Proprietär Windows
ja
ja
AVG Anti-Virus
AVG
Technologies
ja
nein
BitDefender AntiVirus
Softwin
ja
nein
BitDefender Free Edition
Softwin
Proprietär Windows
ja
ja
ClamAV
ClamAV
GPL
nein
ja
Windows, Linux, Unix, Mac OS X
Comodo Internet Security Comodo Group
Pro
Proprietär Windows
ja
nein
Comodo Internet Security Comodo Group
Proprietär Windows
ja
ja
Emsisoft Anti-Malware
Emsisoft
Proprietär Windows
ja
nein
F-Secure
F-Secure
Corporation
Proprietär Windows
ja
nein
G DATA Antivirus
G DATA
Software
ja
nein
Ikarus Antivirus
Ikarus Software
Proprietär Windows
ja
nein
Kaspersky Anti-Virus
Kaspersky Lab
Proprietär Windows, Mac OS X, Linux
ja
nein
McAfee VirusScan
McAfee
ja
nein
Microsoft Security
Essentials
Microsoft
Proprietär Windows
ja
ja
Nod32
eset
Proprietär Windows, Linux, Unix, NetWare, Mac OS X
ja
nein
Norman Endpoint
Protection
Norman
Proprietär Windows
ja
nein
Norman Security Suite
Norman
Proprietär Windows
ja
nein
Norman Virus Control for Norman
Linux
Proprietär Linux
ja
nein
Norton AntiVirus
Symantec
Proprietär Windows, Linux, Mac OS X
ja
nein
Panda Security
Panda Security
ja
nein
Panda Security Cloud
Antivirus
Panda Security
Proprietär Windows
ja
ja
PC Tools AntiVirus
PC Tools
Proprietär Windows
ja
ja
Trendmicro Internet
Security
Trend Micro
Proprietär Windows
ja
nein
Antivirenprogramm
115
Sophos Endpoint Security Sophos
and Control
Proprietär Windows, Linux, Unix, Mac OS X, NetWare, AIX,
Solaris, OpenVMS, NetApp Storage systems
ja
nein
VirusBarrier
Proprietär Mac OS X
ja
nein
Intego
Weblinks
• Robert A. Gehring: Ein Immunsystem für den Computer: Antiviren-Software [35]. In: Verbraucher sicher online.
(durch das BMELV gefördertes Projekt der Technischen Universität Berlin)
Einzelnachweise
[1]
[2]
[3]
[4]
http:/ / www. computerviren-info. de/ Geschichte. html Eine kurze Geschichte der Viren
Kaspersky Lab Virus list (http:/ / www. viruslist. com/ en/ viruses/ encyclopedia?chapter=153311150)
Wells, Joe (30. August 1996). Virus timeline (http:/ / www. research. ibm. com/ antivirus/ timeline. htm). IBM. Abgerufen am 6. Juni 2008.
http:/ / www. eecs. umich. edu/ %7Eaprakash/ eecs588/ handouts/ cohen-viruses. html Fred Cohen 1984 „Computer Viruses – Theory and
Experiments“
[5] http:/ / portal. acm. org/ citation. cfm?id=51535 Fred Cohen: On the implications of Computer Viruses and Methods of Defense 1988
[6] http:/ / securitydigest. org/ virus/ mirror/ www. phreak. org-virus_l/ Archiv der Mailingliste VIRUS-L
[7] http:/ / download. norman. no/ documents/ timeline_2009. pdf Zeitleiste auf der Seite von Norman ASA (englisch)
[8] Panda Security (April 2004). (II) Evolution of computer viruses (http:/ / www. pandasecurity. com/ homeusers/ media/ press-releases/
viewnews?noticia=4974& entorno=& ver=& pagina=& producto=). Abgerufen am 20. Juni 2009.
[9] Peter Szor: The Art of Computer Virus Research and Defense, S. 66–67, Addison-Wesley 2005, ISBN 0-32-130454-3
[10] Slipstick Systems (February 2009). Protecting Microsoft Outlook against Viruses (http:/ / www. slipstick. com/ outlook/ antivirus. htm).
Abgerufen am 18. Juni 2009.
[11] Testbericht von 2004 auf av-test.org, ZIP-Format (http:/ / www. av-test. org/ down/ papers/ 2004-09_vb_2004. zip)
[12] ISecLab (http:/ / www. iseclab. org/ )
[13] Anubis (http:/ / anubis. iseclab. org/ )
[14] Wepawet (http:/ / wepawet. iseclab. org/ ) (Projekt der TU-Wien, Eurecom France und UC Santa Barbara)
[15] ZeroWINE (http:/ / zerowine. sourceforge. net/ ) (OpenSource)
[16] Norman Sandbox (http:/ / www. norman. com/ security_center/ security_tools/ submit_file/ )
[17] CWSandbox (http:/ / www. cwsandbox. org/ ?page=submit)
[18] ThreatExpert (http:/ / www. threatexpert. com/ submit. aspx)
[19] Joebox (http:/ / www. joebox. ch/ submit. php)
[20] http:/ / www. mamutu. de/ de/ software/ mamutu/
[21] Jürgen Schmidt: Schutzbehauptung. In: c't Magazin. Nr. 2, 2009, S. 77 ( Heise.de (http:/ / www. heise. de/ kiosk/ archiv/ ct/ 2009/ 2/
74_kiosk)).
[22] http:/ / www. cloudantivirus. com/
[23] Bustamante, Pedro (1. Dezember 2009). Arguments against cloud-based antivirus (http:/ / research. pandasecurity. com/
arguments-against-cloud-based-antivirus/ ). Panda. Abgerufen am 21. Juni 2010.
[24] http:/ / www. mcafee. com/ us/ mcafee-labs/ technology/ global-threat-intelligence-technology. aspx
[25] http:/ / www. f-secure. com/ de_DE/ products/ technologies/ deepguard/
[26] http:/ / www. heise. de/ security/ Microsoft-veroeffentlicht-Beta-Version-seiner-kostenlosen-Antivirenloesung--/ news/ meldung/ 141042
[27] http:/ / www. clamav. net/ lang/ de/ about/ win32/
[28] ssdeep (http:/ / ssdeep. sourceforge. net/ )
[29] Norton-Fehlalarm bei Firefox-Update (http:/ / www. heise. de/ newsticker/ meldung/ Norton-Fehlalarm-bei-Firefox-Update-1029971. html).
Heise. Abgerufen am 27. Februar 2011.
[30] http:/ / www. nruns. com/ _downloads/ cw47-Artikel-Virenscanner. pdf
[31] http:/ / www. nruns. com/ parsing-engines-advisories. php
[32] heise.de: (http:/ / www. heise. de/ newsticker/ Drei-Viertel-der-Admins-trauen-dem-Virenscanner-nicht--/ meldung/ 145262) Drei Viertel
der Admins trauen dem Virenscanner nicht
[33] http:/ / anti-virus-rants. blogspot. com/ 2006/ 03/ rise-of-whitelisting. html
[34] http:/ / www. eset. com/ threat-center/ blog/ 2008/ 11/ 16/ white-listing-%E2%80%93-the-end-of-antivirus
[35] http:/ / www. verbraucher-sicher-online. de/ artikel/ ein-immunsystem-fuer-den-computer
Spyware
Spyware
Als Spyware (Zusammensetzung aus spy, dem englischen Wort für Spion, und -ware als Endung von Software, also
Programmen für den Computer; zu deutsch etwa Schnüffelprogramm oder -software) wird üblicherweise Software
bezeichnet, die Daten eines PC-User ohne dessen Wissen oder Zustimmung an den Hersteller der Software (Call
Home) oder an Dritte sendet oder dazu genutzt wird, dem Benutzer direkt Produkte anzubieten.
Grundlagen
Meist dienen Spyware-Programme dazu, das Surfverhalten im Internet zu analysieren. Die gewonnenen Daten
werden kommerziell genutzt durch das Einblenden gezielter Werbebanner oder Pop-ups, die an die möglichen
Interessen des Internetbenutzers angepasst sind. Die Unternehmen, die Spyware nutzen, erhoffen sich eine
Steigerung der Wirksamkeit ihrer Werbemethoden.
Um mögliche juristische Probleme zu vermeiden, kennzeichnen viele Anti-Spyware-Programme die ermittelten
Softwarekomponenten als „möglicherweise unerwünschte Software“ (potentially unwanted software, PUS).
Spyware wird meist für Unternehmen programmiert. Sie hat häufig ein hohes technisches Niveau. Beispielsweise
schützt sich Spyware gegen Löschung dadurch, dass mehrere Prozesse gleichzeitig laufen, die bei Beendigung sofort
einen neuen Prozess starten und sich selbst kopieren. Auf der Festplatte entziehen sie dem Administrator die
Schreib- und damit die Löschberechtigung.
Ein weiteres Problem entsteht dadurch, dass Spyware zusätzliche Sicherheitslöcher in einem System erzeugen kann,
die dann sicherheitsrelevante Software-Updates verhindern.
Diese Verfahren machen es selbst technisch versierten Benutzern schwer, sich der Spyware zu entledigen.
Antivirensoftware-Hersteller haben Lösungen gegen Spyware entwickelt. Mittlerweile beinhaltet das Betriebssystem
Windows XP ein eigenes Sicherheitscenter, das mit dem kostenlosen Windows-eigenen Anti-Spyware-Programm
Windows Defender kombiniert werden kann.
Funktionsweise
Spyware funktioniert auf vielfältige Weise. Im einfachsten Fall werden Schadprogramme auf dem Rechner
hinterlegt, die nach seinem Start automatisch aktiviert werden. Wird eine Verbindung zum Internet hergestellt, so
werden die gesammelten Daten übermittelt. Sie verändern Einstellungen am Rechner, z. B. die Startseite des
Browsers. Von Viren unterscheiden sie sich dadurch, dass sie nicht versuchen, sich weiterzuverbreiten. Andere
Programme verschicken zusätzlich zu den freiwillig bei der Registrierung eingegebenen Informationen unsichtbar
weitere Daten an den Softwarehersteller.
In anderen Fällen entstehen die Schäden durch eine Kombination mehrerer Faktoren. Beim Herunterladen der
Software wird ein Cookie zum Wiedererkennen des Rechners bei erneuten Besuchen der Webseite hinterlegt. Das
Cookie enthält eine Kennung, unter der sämtliche gefundenen Daten beim Seitenanbieter gespeichert werden. Durch
die Registrierung der Software gelangen Daten über den Nutzer zum Anbieter. Alle bei erneuten Besuchen
eingegebenen Daten können den schon vorhandenen Daten zugeordnet werden. Durch diese Verschleierungstaktik
kann eine Personal Firewall oder ein Antivirenprogramm die Spionagetätigkeiten nicht mehr erkennen.
Weiterhin gefährlich sind Keylogger, die Tastatureingaben kontrollieren oder alle Aktivitäten des PC-Benutzers
überwachen. Keylogger verbreiten sich immer öfter über Würmer oder Viren, wie Mydoom Anfang 2004.
116
Spyware
Symptome
Ein PC könnte infiziert sein, wenn eines oder mehrere der folgenden Symptome auftreten:
• Der PC funktioniert außergewöhnlich langsam, besonders beim Surfen im Internet.
• Der Internet-Explorer öffnet Werbefenster, die in keinem erkennbaren Zusammenhang zu den besuchten
Websites stehen.
• Die Browser-Startseite wurde geändert.
• Im Favoritenordner stehen Links, die nicht vom Benutzer gespeichert wurden.
• Der PC verbindet sich selbständig mit dem Internet.
• Die Firewall meldet laufend Versuche von Programmen, die eine Verbindung zum Internet herstellen wollen.
• Selbständiges Löschen
• Es befindet sich eine Spyware-Warnung am Desktop als Hintergrund, die zum Beispiel den Erwerb eines
angeblichen Anti-Spyware-Programms bewirbt
Schutzmöglichkeiten
• Verwenden von Anti-Spyware-Programmen und aktuellen Virenscannern mit den neuesten Virensignaturen.
• Beim Surfen im Internet die Ausführung von aktiven Inhalten durch entsprechende Einstellungen im Browser
verhindern.
• Cookies nur in Ausnahmefällen akzeptieren.
• Kommunikation durch eine Firewall regeln.
• Nur Software installieren, die wirklich benötigt wird und nicht benötigte Software mit allen Komponenten
entfernen.
• Vor einer Softwareinstallation sollte geprüft werden, ob in den Lizenz- oder Nutzungsvereinbarungen
automatische Kommunikationsfunktionen oder Ähnliches erwähnt wird. Wenn dies der Fall ist sollten alternative
Programme genutzt werden.
• Nur Links in vertrauenswürdigen E-Mails öffnen.
• Regelmäßig das Betriebssystem des PCs über automatische Updatefunktionen aktualisieren
Software zum Erkennen und Entfernen von Spyware:
•
•
•
•
•
•
•
•
•
•
•
•
•
Comodo Internet Security - Anti-Spyware, Firewall, Antivirenprogramm
Spyware Doctor - Schutz vor Viren und Spyware
Windows Defender
Spybot – Search & Destroy (auch vorbeugende Immunisierung)
Ad-Aware
SpywareBlaster (zur vorbeugenden Systemimmunisierung)
ZoneAlarm
AVG-Antivirus incl. Anti-Spyware
Spyware Terminator (auch zur vorbeugenden Systemimmunisierung + zusätzlichen Virenschutz)
Nemesis Anti-Spyware (in Kombination mit UShields auch präventiver Schutz)
Norton Internet Security
HijackThis
MalwareBytes Anti-Malware
117
Spyware
Weblinks
•
•
•
•
•
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Thema Spyware [1]
Anti-Spyware Coalition (ASC) (engl.) [2]
Anti-Spyware-Aktivist Ben Edelman (engl.) [3]
Spyware-Lexikon mit deutschen Beschreibungen [4]
Ulrich Hottelet: Das Büro als Big Brother-Container? [5], Telepolis vom 9. April 2001
Referenzen
[1]
[2]
[3]
[4]
[5]
http:/ / www. bsi-fuer-buerger. de/ abzocker/ 05_05. htm
http:/ / www. antispywarecoalition. org/
http:/ / www. benedelman. org/ spyware/
http:/ / www. virenschutz. info/ spyware-lexikon. html
http:/ / www. heise. de/ tp/ artikel/ 7/ 7320/ 1. html
Contentfilter
Ein Contentfilter (von engl. content „Inhalt“) wird zur Filterung bestimmter Inhalte in einem Netzwerk oder einem
Computer eingesetzt. Diese Filter kommen vor allem in Unternehmensnetzwerken und bei Internetprovidern zum
Einsatz. Meist wird dadurch versucht, illegale, anstößige oder jugendgefährdende Websites zu sperren.[1]
Eigenschaften und Funktionen
Ein detailliert einstellbarer Contentfilter erleichtert die Kontrolle über
die betrachteten Inhalte. Zum Teil unbemerkt für den Anwender blockt
oder filtert dieses System beispielsweise Webseiten und/oder E-Mails
hinsichtlich einzelner Wörter, typischer Phrasen, Bilder oder Links.
Meist werden diese Bereiche mittels einer Kategorisierung
konfiguriert, Dabei werden Listen (Datenbanken) benutzt, so die
ablehnende Blacklist oder eine Whitelist, die den Zugriff trotzdem
gestattet. Typische Beispiele für vordefinierte Kategorien sind
Pornografie oder Rechtsextremismus.
Einfache Contentfilter
Einfache Filter überprüfen nur das Vorkommen bestimmter Auswahlkriterien. Nachteilig ist bei Einsatz von sehr
einfachen Content-Filtern, dass jede Seite mit entsprechenden Wörtern gesperrt wird. Dabei können auch Seiten
gefiltert werden, die gesperrte Wörter in einem anderen Kontext nutzen. Wenn beispielsweise das Wort „Sex“ in
jeder Form gesperrt ist, wird nicht nur allgemein jede Seite, die dieses Wort – auch in unverfänglichem
Zusammenhang – verwendet, sondern unter Umständen auch die Seite der Ortschaft Sexten oder die
Wikipedia-Einträge Rechtsextremismus und Zufallsexperimente gefiltert.
118
Contentfilter
Intelligente Contentfilter
Um Nachteile einfacher Filtermethoden zu umgehen, arbeiten intelligente Contentfilter mit Gewichten und weisen
eine Seite erst dann zurück, wenn eine bestimmte Relevanz überschritten wird. Daneben verwenden sie auch
heuristische Verfahren, und bei E-Mails Greylists.
Ein intelligenter Contentfilter ist im Gegensatz zu einem URL-Filter mit hoher Trefferwahrscheinlichkeit in der
Lage, Webseiten oder E-Mails korrekt zu beurteilen. Ebenfalls können für gut befundene URLs eine bestimmte Zeit
lang gecacht werden, um das zeitraubende Prüfen bei wiederholter Anforderung zu vermeiden.
Einschränkungen
Einfache Contentfilter können nur URLs, Texte und Bilder, die nach bestimmten Standards klassifiziert sind, prüfen.
Texte, die in Bildform dargestellt werden, können nur geprüft werden, wenn der Contentfilter gleichzeitig eine
Unterstützung für OCR-Texterkennung aufweist. Natürlich ist es auch nur begrenzt möglich, Blacklists aller
unerwünschten Seiten zu führen.
Fortschrittliche Systeme kombinieren ebenfalls ein Antivirenprogramm mit dem Contentfilter, um auch hierüber
eingeschleuste Malware, die beispielsweise über Scripte oder Bilder auf den Client gelangen wollen, zu erkennen.
Einzelnachweise
[1] heise Netze: Familienministerin: Provider machen mit beim Sperren von Kinderporno (http:/ / www. heise. de/ netze/
Familienministerin-Provider-machen-mit-beim-Sperren-von-Kinderporno--/ news/ meldung/ 121769). 15. Januar 2009.
E-Mail
Die (auch das) E-Mail [ˈiːmeɪl] (kurz Mail, von
englisch electronic mail „elektronische Post“ oder
„elektronischer Brief“) ist eine auf elektronischem Weg
in Computernetzwerken übertragene Nachricht.
E-Mail wird – noch vor dem World Wide Web – als
wichtigster und meistgenutzter Dienst des Internets
angesehen. Allerdings sind seit ungefähr 2002 mehr als
50 % und seit 2007 um die 90 % des weltweiten
E-Mail-Aufkommens Spam. Im Jahr 2010 wurden ca.
107 Billionen E-Mails verschickt, mit einem
Spam-Anteil von 89,1 %.[1] [2]
Artikel und Schreibweise
Standardsprachlich hat sich in Deutschland die
feminine Form („die E-Mail“) des grammatischen
Verfassen einer E-Mail in Sylpheed
Geschlechts weitgehend durchgesetzt, in der Schweiz
hingegen das Neutrum („das E-Mail“), während in Österreich und in Teilen Südwestdeutschlands beide Formen
Verwendung finden.[3]
Gemäß Duden, Wahrig und dem amtlichen Regelwerk der deutschen Sprache ist „E-Mail“ die einzig richtige
Schreibweise.[4] [5] Daneben sind jedoch auch die wörterbuchlich/ amtlich inkorrekten Schreibweisen Email (nicht
zu verwechseln mit dem Schmelzüberzug Email/Emaille), email sowie eMail, e-Mail, e-mail, E-mail und mail weit
119
E-Mail
120
verbreitet.
Geschichte
Vor dem Aufkommen von E-Mail wurden Nachrichten als Brief oder Telegramm, später auch als Fernschreiben und
Teletex (die letzteren beiden waren erste digitale Übertragungsverfahren) sowie Fax übermittelt. Ende der 1980er
Jahre begann dann der Erfolgsweg der E-Mail – sie war eine der ersten Anwendungen, die die Möglichkeiten des
Arpanets nutzte. Die Einführung von E-Mail wurde nicht gezielt geplant, sondern eroberte das Netzwerk wegen des
Benutzerverhaltens. Das überraschte die Arpanet-Initiatoren, denn noch 1967 hatte Lawrence Roberts, der spätere
Leiter von IPTO, gesagt, die Möglichkeit des Austausches von Botschaften unter den Netzwerkteilnehmern sei „not
an important motivation for a network of scientific computers“ (dt.: „kein wichtiger Beweggrund, um ein Netzwerk
von wissenschaftlichen Rechnern aufzubauen“).
Als Erfinder von E-Mail über Rechnernetze gilt Ray Tomlinson.[6] Er war bei dem Forschungsunternehmen BBN
(Bolt Beranek and Newman) an der Entwicklung des Betriebssystems TENEX beteiligt und beschäftigte sich dabei
unter anderem mit dem Programm SNDMSG für die Übermittlung von Nachrichten unter den Benutzern des
Großrechners und dem Protokoll CPYNET für die Übertragung von Dateien zwischen Computern.[7] Programme
wie SNDMSG gab es bereits seit den frühen 1960er Jahren. Sie ermöglichten Benutzern, den Mailboxen anderer
Benutzer desselben Computers Text hinzuzufügen. Eine Mailbox war seinerzeit nichts weiter als eine einzelne Datei,
die nur ein Benutzer lesen konnte. Tomlinson kam 1971 auf die Idee, CPYNET so zu ändern, dass es vorhandene
Dateien ergänzen konnte und es dann in SNDMSG einzuarbeiten.[7] Die erste Anwendung dieser Kombination war
eine Nachricht von Tomlinson an seine Kollegen, in der er Ende 1971 mitteilte, dass man nun Nachrichten übers
Netzwerk senden konnte, indem man dem Benutzernamen des Adressaten das Zeichen „@“ und den Hostname des
Computers anfügte.[7]
Parallel zum Internet entwickelten sich zu Beginn der 1980er Jahre in den meisten Netzwerken Systeme, mit denen
sich Nachrichten übertragen ließen. Dazu gehörten unter anderem Mailbox-Systeme, X.25, Novell und BTX. Diese
Systeme wurden Mitte der 1990er durch die Verbreitung des Internets stark verdrängt. Aus dem Jahr 1982 stammt
das Protokoll RFC 822. RFC 822 wurde im Jahr 2001 durch RFC 2822 ersetzt, das wiederum im Jahr 2008 durch
RFC 5322 ersetzt wurde.
In Deutschland wurde am 3. August 1984 um 10:14 Uhr MEZ die erste
Internet-E-Mail empfangen: Michael Rotert von der Universität
Karlsruhe (TH) empfing unter seiner Adresse „rotert@germany“ eine
Grußbotschaft von Laura Breeden („[email protected]“) an der
US-amerikanischen Plattform CSNET aus Cambridge (Massachusetts)
zur elektronischen Kommunikation von Wissenschaftlern, die einen
Tag zuvor (am 2. August 1984, 12:21 Uhr)[9] abgeschickt worden war.
Eine Kopie dieser E-Mail wurde erst später an den Leiter des Projekts,
Werner Zorn („zorn@germany“), geschickt.[10]
„Wilkomen in CSNET! Michael, This is your official welcome
to CSNET.“
Karlsruhe feiert mit großen Lettern auf einem
40-Quadratmeter-Schild ihr Jubiläum: 25 Jahre
[8]
erste E-Mail
(August 2009)
– Betreff und Gruß der ersten nach Deutschland gesendeten Internet-E-Mail
Heute werden E-Mails meist per SMTP verschickt, dem Simple Mail Transfer Protocol. Zum Abrufen der E-Mails
vom Zielserver existieren verschiedene Verfahren, etwa das POP3- oder IMAP-Protokoll oder Webmail. X.400 ist
ein offener Standard, der hauptsächlich im LAN oder WAN benutzt wird.
Die erste große E-Mail-Diskussionsgruppe, die im Arpanet entstand, war eine Mailingliste namens „SF-LOVERS“,
in der sich eine Reihe von DARPA-Forschern an öffentlichen Diskussionen über Science Fiction beteiligte
(Rheingold, 1994). SF-LOVERS tauchte in den späten 1970er Jahren im Arpanet auf. Zunächst wurde versucht,
E-Mail
dagegen einzuschreiten, weil derartige Aktivitäten selbst bei liberalster Auslegung mit Forschung wenig zu tun
hatten. Für einige Monate wurde die Liste deshalb gesperrt. Schließlich wurden die Verantwortlichen der DARPA
aber mit dem Argument überzeugt, dass SF-LOVERS ein wichtiges Pilotprojekt zur Erforschung der Verwaltung
und des Betriebs großer Mailinglisten war (Hauben, 1993). Die Systemingenieure mussten das System wiederholt
umbauen, damit es das explosionsartig ansteigende Nachrichtenaufkommen bewältigen konnte.
Technische Details
Das Format einer E-Mail wird durch den RFC 5322 festgelegt. Danach bestehen E-Mails nur aus Textzeichen
(7-Bit-ASCII-Zeichen). Andere Internet-Standards, insbesondere die MIME-Serie, fügen Möglichkeiten hinzu, auch
Zeichen außerhalb von ASCII sowie Datei-Anhänge zu verschicken.
Die Gesamtgröße von E-Mails ist prinzipiell nicht begrenzt. In der Realität zeigen sich allerdings Grenzen durch
technische oder administrative Beschränkungen der Systeme, die die E-Mail übertragen oder empfangen. Provider,
Mailboxen und beteiligte Mailserver können die Größe einer E-Mail begrenzen. In solchen Fällen sollte der
begrenzende Mailserver dem Absender eine Bounce Message (Fehlermeldung) senden.
Aufbau einer E-Mail
E-Mails sind intern in zwei Teile geteilt: Den Header mit Kopfzeilen und den Body mit dem eigentlichen Inhalt der
Nachricht.
Header – der Kopf der E-Mail
Die Header genannten Kopfzeilen einer E-Mail geben Auskunft über den Weg, den eine E-Mail genommen hat, und
bieten Hinweise auf Absender, Empfänger, Datum der Erstellung, Format des Inhaltes und Stationen der
Übermittlung.
Die E-Mail-Adresse
Eine E-Mail-Adresse bezeichnet eindeutig den Empfänger einer E-Mail und ermöglicht damit eine Zustellung an
diesen Empfänger. So, wie sie für den Transport per SMTP im Internet verwendet wird, besteht sie aus zwei Teilen:
In [email protected] ist wikipedia.org der domain-part, info der local-part. Andere
Transportmechanismen wie zum Beispiel UUCP oder X.400 verwenden eine andere Adress-Syntax.
Body – der Inhalt der E-Mail
Der Body einer E-Mail ist durch eine Leerzeile vom Header getrennt und enthält die zu übertragenden Informationen
in einem oder mehreren Teilen.
Eine E-Mail darf gemäß RFC 5322 Abschnitt 2.3 nur Zeichen des 7-Bit-ASCII-Zeichensatzes enthalten. Sollen
andere Zeichen, wie zum Beispiel deutsche Umlaute, oder Daten, wie zum Beispiel Bilder, übertragen werden,
müssen das Format im Header-Abschnitt deklariert und die Daten passend kodiert werden. Geregelt wird das durch
RFC 2045 ff (siehe auch MIME und Base64). Aktuelle E-Mail-Programme kodieren Text und Dateianhänge
(vergleiche unten) bei Bedarf automatisch. Die Nachricht kann aus einem Klartext, einem formatierten Text
(beispielsweise HTML) und/oder Binärdaten (beispielsweise einem Bild oder Fax) bestehen. Es können auch
mehrere Formate als Alternativen gesendet werden oder weitere beliebige Dateien angehängt werden (siehe dazu
weiter unten).
121
E-Mail
HTML
HTML-Mails werden teils ungewollt und unbewusst durch die Voreinstellung des verwendeten E-Mail-Programms,
insbesondere von Microsoft-Programmen, versandt, teils bewusst, um Schriftauszeichnungen verwenden zu können,
etwa in E-Mail-Newslettern.
Obwohl das HTML-Format standardisiert ist, war es ursprünglich nicht für den Einsatz in E-Mails gedacht. Das
führte unter anderem dazu, dass es in der Vergangenheit viele, auch konzeptuelle Sicherheitslücken in den
HTML-Rendering-Engines von E-Mail-Programmen gab, die einerseits zur Verbreitung von E-Mail-Würmern
beigetragen haben und andererseits ungewollte Informationen über den Empfänger preisgegeben haben (Zählpixel).
Diese Situation hat sich im Lauf der Zeit verbessert und bekannte Probleme, wie die standardmäßige Ausführung
aktiver Inhalte (beispielsweise JavaScript) oder das automatische Nachladen externer Bilder, wurden durch andere
Voreinstellungen entschärft. Die oft inkonsistente Deaktivierung potentiell gefährlicher HTML-Features in
verschiedenen E-Mail-Programmen hat allerdings auch den Effekt, dass optische Effekte oder Formatierungen nicht
so dargestellt werden, wie es vom Absender gedacht war.
HTML-Mails stehen im Ruf, unsicherer als reine Text-Mails zu sein. Da die Vergangenheit gezeigt hat, dass das
Rendering von HTML-Mails anfälliger für Sicherheitslücken ist als die Anzeige von Klartext, empfehlen auch heute
noch viele EDV-Ratgeber und Softwarehersteller die HTML-Anzeige von E-Mails zumindest im Vorschaufenster
des E-Mail-Programms zu deaktivieren oder ganz auszuschließen.
Signature – die Unterschrift unter der E-Mail
Eine Unterschrift ist optional (für geschäftliche E-Mails sind jedoch in Deutschland bestimmte Inhalte
vorgeschrieben, siehe Signatur (E-Mails im Geschäftsverkehr)), sie ist gegebenenfalls Teil des Bodys. Die am
häufigsten zu findende Unterschrift ist die so genannte Signature. Sie gibt nähere Erläuterung zum Absender, zum
Beispiel dessen Klarnamen, Arbeitsstelle, persönliche Vorlieben und ähnliches. Sofern diese Unterschrift den
Absender angibt, stellt sie eine elektronische Signatur im Sinne des Signaturgesetzes dar. Neben oder alternativ zu
dieser „einfachen“ elektronischen Signatur kann eine E-Mail auch eine digitale Signatur enthalten, die Fälschungen
oder Verfälschungen der E-Mail erkennbar macht. Unter bestimmten Voraussetzungen kann eine digitale Signatur
rechtlich eine qualifizierte elektronische Signatur darstellen, die dann eine zur manuellen Unterschrift eines Briefes
gleichwertige Rechtskraft besitzt. Siehe dazu auch Abschnitt Beweiskraft.
Mailfooter
Text unter der Mail, bei privaten Maildiensten meist für Werbung genutzt.
Dateianhänge
Ein Dateianhang (engl.: attachment) ist eine Datei, die im Body einer E-Mail verschickt wird. Dies wird durch das
MIME-Protokoll ermöglicht, welches die Unterteilung des Body und die Kodierung der Datei regelt. Dateianhänge
können Computerviren beinhalten, daher sollte mit ihnen sorgsam umgegangen werden. Die Größe eines
Attachments ist zwar prinzipiell nicht begrenzt, wird aber in der Realität durch Größenbeschränkungen für die
gesamte E-Mail sowie für das Postfach des Empfängers limitiert.
122
E-Mail
123
Versand
Beispiel eines Ablaufs:
1. Client schickt SMTP-Anfrage an
den Quell-Mailserver (a.org)
2. Mailserver erfragt „Mail eXchanger
record“ beim DNS-Server
(ns.b.com)
3. DNS-Server liefert MX-Record mit
Prioritätsliste von Ziel-Mailservern
(b.com)
4. a.org sendet E-Mail nacheinander
an alle b.com, bis einer die E-Mail
annimmt
5. Der Ziel-Mailserver speichert die
E-Mail, bis der Nutzer „Bob“ seine
E-Mails per POP3 abholt.
Verwendete Protokolle
Beispiel eines Ablaufs
• SMTP ist ein Protokoll zum
Mailversand und -transport. Zum Versenden über ein E-Mail-Programm benötigt man den Namen eines
SMTP-Relay-Rechners, oft auch als SMTP-Server bezeichnet. Dieses entspricht beim Versand eines Postbriefes
dem gelben Postbriefkasten im Stadtteil.
• POP3 dient zum Abruf von Mails aus dem Postfach eines Mailservers. Für die Briefpost entspricht es dem Gang
zum Briefschlitz an der Haustür.
• IMAP dient ebenfalls dazu, auf Postfächer zuzugreifen, die auf Mailservern liegen. Im Gegensatz zu POP3 ist
IMAP darauf ausgelegt, die Mails am Server zu belassen und dort in Ordnern zu verwalten.
• SMAP ist eine Weiterentwicklung von IMAP, die sich noch im experimentellen Stadium befindet.
• UUCP ist ein Protokoll, mit dem E-Mails gesammelt werden und beim nächsten Verbindungsaufbau verschickt
werden. Durch zunehmende günstige und permanente Vernetzung hat es heute stark an Bedeutung verloren.
Heutzutage sind hauptsächlich SMTP, POP3 und IMAP in Verwendung, oft in Verbindung mit
SSL-Verschlüsselung (siehe SMTPS, POP3S und IMAPS).
Überwachung
Inzwischen wird in vielen Ländern der E-Mail-Verkehr vom Staat überwacht. In Deutschland sind seit dem Jahr
2005 Internetdienstanbieter verpflichtet, entsprechende Hard- und Software vorzuhalten, um einer
Überwachungsanordnung sofort Folge leisten zu können, ohne für die daraus erwachsenden Kosten einen
finanziellen Ausgleich zu erhalten.
Benutzerschnittstelle
Zur Erzeugung, zum Versand und zum Empfang von E-Mails gibt es mehrere Möglichkeiten.
Zur Nutzung von E-Mail kann ein E-Mail-Programm, auch E-Mail-Client oder Mail-User-Agent (MUA) genannt,
verwendet werden. Ein solches Programm ist auf dem Rechner des Benutzers installiert und kommuniziert mit einem
oder mehreren Mailservern.
Als alternatives Verfahren zur Verwendung eines E-Mail-Programms hat sich auch die Nutzung von Webmail
etabliert. Statt mit einem lokal installierten Programm werden hierbei die E-Mails mit einem Web-Browser auf
E-Mail
einem Webserver des Mail-Providers bearbeitet.
Speicherung
E-Mails werden häufig nicht einzeln als separate Dateien, sondern zusammengefasst in Container-Dateien
gespeichert. mbox ist eine unter Linux häufig verwendete Möglichkeit, eine Alternative ist Maildir.
Für einzelne E-Mails ist unter anderem die Dateiendung .eml geläufig.
Vor- und Nachteile
Das E-Mail-System besitzt einige Vor- und Nachteile, die im Folgenden aufgeführt sind:
Praktische Vorteile gegenüber der Papier-Post
Als wesentlicher Vorteil von E-Mails ist zu nennen, dass sie sehr schnell (im Bereich von wenigen Sekunden)
übermittelt und vom Empfänger gelesen werden können. Der praktische Aufwand, eine E-Mail zu verschicken und
zu empfangen, ist geringer, da kein Ausdrucken, Kuvertieren, Adressieren, Frankieren und Postkasten-Einwurf beim
Absender und kein Briefkasten-Entleeren und Brief-Öffnen beim Empfänger nötig ist. Auf dem Computer
geschriebene Briefe können direkt und einfach per E-Mail verschickt und beim Empfänger direkt auf dem Computer
gelesen und ggf. weiterverarbeitet werden.
Auch der finanzielle Einzelaufwand (Kosten für Versand einer E-Mail) ist im Normalfall geringer (keine Materialund Portokosten), sofern viele E-Mails verarbeitet werden oder die nötige Infrastruktur (Computer mit
Internetzugang) sowieso schon beim Absender und Empfänger zur weitergehenden Nutzung vorhanden ist. Zudem
wird der Aufwands- und Kostenvorteil umso größer, je mehr Empfänger die gleiche E-Mail erhalten sollen
(Rundschreiben). E-Mail-Dienste werden im Internet für den Privatgebrauch meist kostenlos angeboten. Sie
finanzieren sich im Allgemeinen durch Werbung.
Hinsichtlich der Umweltfreundlichkeit von E-Mails im Speziellen gibt es verschiedene Diskussionen und Ansichten
wie auch beim Internet und der Computertechnik im Allgemeinen. Zumindest sind E-Mails insofern
umweltfreundlicher, als sie unmittelbar kein Papier verbrauchen und keinen materiellen Transport (Lkw, Bahn,
Flugzeug, Schiff, usw.) benötigen.
E-Mails haben gegenüber normaler Papier-Post den Vorteil, dass ihre Anschriften- und Absendertexte
(E-Mail-Adressen) deutlich kürzer sind als bei normalen Papier-Post-Adressen mit Name, Straße/Postfach,
Postleitzahl, Ort und ggf. Land. E-Mail-Adressen können weitgehend frei gewählt werden und es besteht auch kein
Zwang, den eigenen Namen in Klartext (z.B. [email protected]) als E-Mail-Adresse zu verwenden, sofern der
Domain-Inhaber (xyz.de) keine Regeln zum Format seiner E-Mail-Adressen aufgestellt hat oder keine Gesetze
gebrochen werden. Stattdessen sind ebenso Pseudonyme wählbar, womit eine höhere Anonymität erreicht wird, da
die E-Mail-Adresse nicht oder nur begrenzt (über die Domain hergeleitet) Aussage macht bzw. Rückschlüsse erlaubt
über Namen, Herkunft, Geschlecht, Anschrift, geosozialen Status, usw. Ebenso ist der Besitz mehrerer verschiedener
E-Mail-Adressen möglich.
In der praktischen Handhabung bieten E-Mails ebenso Vorteile gegenüber der Papier-Post. Eine E-Mail kann
gleichzeitig an mehrere Empfänger verschickt werden, wobei auch mit verdeckten Empfängerlisten (BCC) gearbeitet
werden kann, damit die komplette Empfängerliste nicht von jedem Empfänger einsehbar ist. E-Mails können auf
dem Computer einfach archiviert und die Archive können leicht durchsucht werden, um eine E-Mail schnell
wiederzufinden. Auch versendete und gelöschte E-Mails können automatisch archiviert werden.
E-Mail-Systeme bieten des weiteren einige praktische Automatismen. E-Mails lassen sich auf Wunsch automatisch
weiterleiten, entweder zu einer anderen E-Mail-Adresse oder auf anderen Kommunikationskanälen, beispielsweise
als SMS oder Fax. Auch der umgekehrte Weg ist möglich, das heißt die Weiterleitung eines Fax oder einer SMS an
eine E-Mail-Adresse. Auf Wunsch kann auch bei Eingang einer E-Mail eine automatische Antwort an den Absender
124
E-Mail
verschickt werden (zum Beispiel eine Abwesenheits-Nachricht) oder es erfolgt eine Benachrichtigung, dass eine
neue Nachricht eingegangen ist. Ebenso ist eine automatische Aussortierung von unerwünschten E-Mails
(Spam-Filter & persönliche Blacklists) oder eine automatische Vorsortierung in verschiedene Ordner nach frei
vorgebbaren Kriterien möglich.
Von Vorteil ist auch, dass an E-Mails weitere Dateien beliebiger Art angefügt werden können, die der Empfänger
weiterverwenden kann. E-Mails können aus Datenschutzgründen auch verschlüsselt und zur Authentifizierung
elektronisch signiert werden. Ebenso können auf Wunsch digitale Visitenkarten mit weiteren Informationen (wie
Anschrift oder Telefonnummer) als Anhang einer E-Mail mitverschickt werden, wodurch der Empfänger sein
Adressbuch leichter mit E-Mail-Kontakten füllen und pflegen kann.
Auch beim Antworten auf E-Mails zeigen sich praktische Vorteile. Antworten auf E-Mails können einfacher und
schneller begonnen werden, indem der Absender und die CC-Empfänger der Ursprungs-E-Mail automatisch als
Empfänger der Antwort übernommen werden. Ebenso kann in Antworten der Inhalt der Ursprungs-E-Mail zitiert
oder angefügt werden, um in der Antwort besser Bezug nehmen oder antworten zu können oder um den
Diskussionsfaden zu dokumentieren.
Authentizität, Datenschutz und Integrität
Wie jedes Kommunikationsmittel muss auch die E-Mail verschiedenen Anforderungen genügen, um als sicheres
Kommunikationsmittel gelten zu dürfen. Hier sind als wichtigste Kriterien die Authentizität, der Datenschutz und die
Integrität einer E-Mail zu nennen.
Mit der Authentizität einer E-Mail ist gemeint, dass sichergestellt ist, dass die E-Mail auch wirklich vom Absender
stammt, also ein Original ist und keine betrügerische Fälschung. Datenschutz bezeichnet bei E-Mails im
Wesentlichen den Schutz vor Mitlesen durch Dritte auf dem Übertragungsweg. Als Integrität bezeichnet man das
Schutzziel, dass der E-Mail-Inhalt bei der Übertragung vollständig und unverändert bleibt.
Zur Erreichung der Authentizität, des Datenschutzes und der Integrität existieren bereits diverse
Schutzmechanismen, wie an anderen Stellen bereits beschrieben (Verschlüsselung, Absenderauthentifizierung,
Pretty Good Privacy, GNU Privacy Guard, S/MIME). Jedoch werden diese Schutzmechanismen beim Großteil des
heutigen E-Mail-Verkehrs noch nicht angewendet. Ohne diese Schutzmechanismen besitzen herkömmliche E-Mails
jedoch einen geringeren Schutz als eine normale Postkarte.
Der folgende Unterabschnitt soll dazu möglichst plastisch den recht geringen Sicherheits-Standard einer
herkömmlichen E-Mail im Vergleich zu einer Postkarte darstellen.
Vergleich mit der Postkarte
Herkömmliche (unverschlüsselte) E-Mails sind mit einer Postkarte vergleichbar, weil deren Inhalt offen und einfach
lesbar verschickt wird. Verschlüsselte E-Mails entsprechen einem verschlossenen Brief, aber
E-Mail-Verschlüsselung ist heute immer noch eher die Ausnahme. Aber auch bei einer verschlüsselten E-Mail ist
neben dem Absender und den Empfängern (wie bei einem Brief) zusätzlich die Betreffzeile lesbar.
E-Mails werden wie Postsachen beim E-Mail-Dienstleister wie bei einem Postamt gelagert. Somit sind
unverschlüsselte E-Mails wie Postkarten beim Mail-Dienstleister lesbar. Zudem lassen sich E-Mails gegenüber
normaler Papier-Post einfach und automatisch nach nutzbaren Informationen durchsuchen und auswerten.
Zur Erhöhung der Zuverlässigkeit des E-Mail-Dienstes werden beim E-Mail-Dienstleister von E-Mails Kopien
gemacht und eine Zeit lang aufbewahrt, so als würde die Post Fotokopien von Postkarten und Briefen machen und
archivieren.
Bei Papier-Post lässt sich auf Wunsch die erfolgte Zustellung dokumentieren (Einschreiben mit Rückschein) oder die
Post läuft bei Annahmeverweigerung automatisch zurück zum Absender. Herkömmliche E-Mails besitzen zwar auch
den Mechanismus der Annahmebestätigung, aber der Empfänger kann die E-Mail trotzdem lesen, ohne gezwungen
125
E-Mail
zu sein, die Annahme dem Absender gegenüber zu bestätigen. Die Annahmeverweigerung als eigenständiger
Mechanismus mit Rückmeldung an den Absender existiert bei herkömmlichen E-Mails nicht.
Eine Postkarte wird üblicherweise bei Inlandspost nur von einem bzw. bei internationaler Post von zwei
Post-Unternehmen entgegengenommen, transportiert und an den Empfänger ausgehändigt. Eine E-Mail dagegen
passiert auf dem Weg durch das Internet üblicherweise die Rechner verschiedener Unternehmen in verschiedenen
Ländern. Theoretisch kann eine E-Mail quasi ihren Weg über den halben Erdball durch viele Länder über viele
Zwischenstationen (Rechner) nehmen, und alle Beteiligten können diese mitlesen. Es ist nicht unbedingt
anzunehmen, dass weltweit in allen beteiligten Ländern bzw. bei allen beteiligten Internet-Unternehmen das
Fernmeldegeheimnis bzw. der Datenschutz einen ausreichend hohen Stellenwert genießt.
Ein Einbrecher muss bei einem Postamt persönlich erscheinen, aber ein Hacker kann (bei Sicherheitslücken) einfach
aus der Ferne in ein E-Mail-Postfach einbrechen, ohne dass er verfolgbare Spuren hinterlässt oder der Einbruch
überhaupt bemerkt wird. Einbrecher haben bei E-Mail-Spionage weniger Risiko zu fürchten bei höheren
Erfolgschancen und besseren Werkzeugen. Voraussetzung ist jedoch eine hohe fachliche Qualifikation des
Einbrechers.
Sicherheitsmaßnahmen sind bei Papier-Post für Jedermann einfach und nachvollziehbar umsetzbar (Einschreiben mit
Rückschein, Siegel, Tresor, Alarmanlage …). Bei E-Mails sind Sicherheitsmaßnahmen viel diffiziler und nur von
Computerexperten halbwegs beherrschbar. Aber auch Nachlässigkeiten der Nutzer, z.B. durch Wahl unsicherer
Passwörter, erleichtern die Chancen der Einbrecher.
Ähnlich einfach wie bei einem Brief oder einer Postkarte lassen sich E-Mails mit einer falschen Absenderadresse
verschicken, was zum Beispiel bei Spam oder Phishing oft zu beobachten ist. Empfänger-, Kopie- und
Blindkopie-Adressen (im E-Mail-Kopf gekennzeichnet mit TO, CC beziehungsweise BCC) lassen sich
gleichermaßen fälschen (Mail-Spoofing).
Papier-Post wird üblicherweise handschriftlich unterzeichnet (signiert) und ein Betrüger muss zum Betrug die
Handschrift fälschen, jedoch wird bei den allermeisten E-Mails auf die elektronische Unterschrift (Signatur)
verzichtet und unsignierte E-Mails werden vom Empfänger trotz fehlender bzw. eingeschränkter Rechtskraft im
Allgemeinen akzeptiert.
Zusammenfassend kann gesagt werden, dass bei herkömmlichen E-Mails ein noch viel geringerer
Sicherheitsstandard als bei einer Postkarte allgemein akzeptiert ist, obwohl kaum ein Mensch daran denken würde,
mit einer Postkarte persönliche sensible Daten zu versenden. Vermutlich ist diese Akzeptanz der mangelnden
Transparenz der E-Mail-Technologie geschuldet, weil die Risiken für den Nicht-Computerexperten nicht so
offensichtlich, nicht erkennbar oder schlichtweg unbekannt sind, oder die Nachteile werden im Vergleich zu den
vielen Vorteilen einfach in Kauf genommen.
Beweiskraft
E-Mails haben wenig Beweiskraft, da der Sender bei den herkömmlichen Protokollen und Log-Mechanismen nicht
längerfristig die Möglichkeit hat, zu beweisen, wann er was an wen versendet, ob der Empfänger die E-Mail erhalten
hat oder ob sie tatsächlich abgesendet wurde. Mit der Zeit werden die im sog. Benutzerkonto gespeicherten Daten
nämlich gelöscht.[11]
Durch eine digitale Signatur und vor allem durch eine qualifizierte elektronische Signatur können allerdings im
Rechtsverkehr (Zivilrecht, Verwaltungsrecht) Verbindlichkeiten geschaffen werden, die auch vor Gericht Bestand
haben. Umgangssprachlich wird dann von einer „digitalen Unterschrift“ gesprochen. Das verbindliche Setzen eines
Zeitstempels wird unter bestimmten Voraussetzungen ebenfalls anerkannt. Näheres wird im deutschen
Signaturgesetz (siehe auch: österreichisches Signaturgesetz sowie liechtensteinisches Signaturgesetz) geregelt. Den
Empfang der Nachricht kann eine Signatur allerdings nicht beweisen, hierzu ist beispielsweise eine – idealerweise
ebenfalls signierte – Antwort notwendig. Einige Dienstleister bieten Lösungen an, die Signatur, Verschlüsselung und
Antwort automatisieren („E-Mail-Einschreiben“).
126
E-Mail
In der juristischen Fachliteratur wird die Auffassung vertreten, dass eine E-Mail bereits mit dem Eingang auf dem
Server des Empfänger-Providers als zugestellt gilt. Das Eintreffen einer E-Mail im persönlichen Benutzerkonto
(Account) des Empfängers ist nicht unbedingt notwendig, um den Status des Zugestelltseins zu erreichen.
Übermittlungsfehler bei der Übersendung einer E-Mail von Empfänger-Provider an den individuellen
E-Mail-Account des Empfängers könnten vom Empfänger nicht geltend gemacht werden, um die Rechtsfolgen einer
E-Mail in Frage zu stellen.[12] Jüngere Urteile bestätigen diese Auffassung. So können zum Beispiel Maklerverträge
und Abmahnungen rechtskräftig per E-Mail zugesandt werden.[13]
Laufzeit
Die E-Mail wurde, anders als zum Beispiel Telefon oder Internet Relay Chat, nicht für zeitgleiches (synchrones)
Senden und Empfangen entwickelt, sondern ist wie Briefpost ein asynchrones Kommunikationsmedium – der
Sender kann seine Nachricht auch senden, wenn der Empfänger sie nicht sofort entgegennehmen kann.
Die Laufzeit (Transportzeit einer Postsendung vom Absender zum Empfänger) der E-Mail kann ein Problem
darstellen, da sie – anders als zum Beispiel beim Telefax – nicht vorhersehbar ist und unter ungünstigen
Voraussetzungen stark schwanken kann. Die Schwankungen der Laufzeit werden durch eine Vielzahl von
Parametern beeinflusst, vor allem durch die Auslastung der beteiligten Mailsysteme sowie der für E-Mail
bereitstehenden Übertragungskapazität der die Mailsysteme verbindenden Leitungen. Ist der Mailserver des
Empfängers länger nicht erreichbar, oder wird die Mail nur in großen Zeitabständen auf den Server des Empfängers
übertragen, kann es durchaus zu Laufzeiten von einigen Tagen kommen.
Die Nachteile der nicht fest definierten Laufzeit sind jedoch bei den heutigen modernen E-Mail-Systemen nahezu
vernachlässigbar (weltweit selten mehr als eine Minute), da bei gut gepflegten Systemen nur noch relativ selten
größere Fehler auftreten, durch die längere Laufzeiten verursacht werden könnten. Verzögerungen können allerdings
auch bei modernen E-Mail-Systemen durch diverse Spamschutz-Maßnahmen auftreten (beispielsweise dem
Greylistingverfahren).
Absender-Authentifizierung
Im Jahre 2004 gab es verschiedene Versuche, das Spam-Problem in den Griff zu bekommen. Dabei konkurrierten
die Verfahren Sender ID von Microsoft, Sender Policy Framework (SPF), DomainKeys von Yahoo, RMX und
AMTP um die Gunst der Umsetzung. Eine IETF-Arbeitsgruppe versuchte, einen Standard zu definieren. Die
Funktionsweise ist dabei bei allen Verfahren ähnlich. Durch einen Zusatzeintrag im DNS sollte es möglich sein, den
sendenden Mailserver zu verifizieren. Die IETF-Arbeitsgruppe scheiterte aber letztendlich an ungeklärten
Patentansprüchen von Seiten Microsofts. Die verschiedenen Verfahren sollen nun in eigenen Verfahren als RFCs
umgesetzt werden.
Dokumentation
Anders als beim Telefonat erhalten Absender und Empfänger von E-Mails automatisch eine schriftliche
Dokumentation über den kommunizierten Inhalt. Diese kann im benutzten E-Mail-Programm oder in einem
Archivsystem aufbewahrt und später zur Rekapitulation herangezogen werden.
Ortsunabhängigkeit
Durch die relativ starke Verbreitung des Internets als Infrastruktur jedes nicht-lokalen E-Mail-Systems ist es heute
quasi möglich, von jedem Ort aus (und zu jeder Zeit) per E-Mail zu kommunizieren. Diese Ortsunabhängigkeit stellt
neben der Zeitunabhängigkeit und den geringen Kosten für viele Menschen einen entscheidenden Vorteil gegenüber
den traditionellen Kommunikationsmitteln (Telefon und Post) dar.
127
E-Mail
Veröffentlichung von E-Mails im Netz
Allgemein
Ein allgemeines Verbot, E-Mails zu veröffentlichen, gibt es in Deutschland nicht. Lediglich aus dem Inhalt der Mail
kann sich ein Recht des Autors ergeben, gegen die Veröffentlichung vorzugehen. Dabei sind verschiedene
Rechtsfolgen möglich, die von Unterlassungsanspruch, zivilrechtlichem Schadensersatzanspruch in Geld bis zu
strafrechtlicher Haftung reichen können, andere Rechtsfolgen sind möglich.
In zivilrechtlicher Hinsicht kann die Veröffentlichung eines Briefes das Urheberrecht des Autors verletzen, dies ist
allerdings nicht der Fall bei „allgemeinem Inhalt“. Weiterhin kann die Veröffentlichung das allgemeine
Persönlichkeitsrecht des Autors verletzen, insofern nehmen die Instanzgerichte im Anschluss an ein Urteil[14] des
Bundesgerichtshofs aus dem Jahr 1954 in jedem Einzelfall eine umfangreiche Interessenabwägung vor. Diese
allgemeine Rechtsprechung dürfte auch auf E-Mails anwendbar sein.
Es ist davon auszugehen, dass die Rechtsprechung (OLG Rostock, Beschluss vom 17. April 2002 – 2 U 69/01), nach
der hinsichtlich Geschäftsbriefen, die im Rahmen einer vertraglichen Zusammenarbeit gewechselt werden, eine
ungeschriebene vertragliche Nebenpflicht beider Vertragsparteien gilt, die Briefe vertraulich zu behandeln, auch auf
geschäftliche E-Mails anwendbar ist, zumindest, wenn diese verschlüsselt versandt worden sind.
Urteil des Landgerichts Köln 2006
Das Landgericht Köln hat im Leitsatz des Urteils zum Aktenzeichen 28 O 178/06[15] entschieden:
1. Ob das ungefragte Veröffentlichen von E-Mails rechtmäßig ist, ist grundsätzlich im Rahmen einer umfassenden
Interessensgüterabwägung zu bestimmen.
2. Wird eine geschäftliche E-Mail, die nur für einen bestimmten Empfängerkreis bestimmt ist, ungefragt
veröffentlicht, stellt dies einen Eingriff in das allgemeine Persönlichkeitsrecht des Mail-Versenders dar. Dies gilt
umso mehr, wenn die veröffentlichende Person die besagte E-Mail auf unlautere Weise erlangt hat.
Die Veröffentlichung einer fremden E-Mail an einen Dritten auf einer Internetseite kann ausweislich dieses Urteils
einen Eingriff in das allgemeine Persönlichkeitsrecht des Absenders in Gestalt der Geheimsphäre darstellen. Insofern
ist die Widerrechtlichkeit jedoch nicht indiziert, sondern im Einzelfall positiv festzustellen, wofür eine umfassende
Güter- und Interessenabwägung erforderlich ist. Gegenüber stehen sich der Zweck der Veröffentlichung und der von
der veröffentlichenden Partei angestrebte Zweck sowie die Form, die Art und das Ausmaß des Eingriffs. Ein Verstoß
löst eine Pflicht zur Leistung von Schadensersatz aus.
Dabei stellt das Landesgericht die E-Mail einem verschlossenen Brief gleich.
Das Urteil bezieht sich auf einen Fall, in dem E-Mails veröffentlicht worden sind, die zum einen an einen Dritten
gerichtet waren und die zum anderen von der veröffentlichenden Partei auf unlautere Weise erlangt worden sind. Auf
den Fall einer Veröffentlichung von E-Mails, die an den Betroffenen selbst gerichtet sind, ist die Argumentation des
Urteils nicht anwendbar.
Qualität der Kommunikationsinhalte
Gegenüber den spontanen Aussagen während eines Telefongespräches bietet die schriftliche Formulierung die
Chance, die zu übermittelnden Inhalte besser zu durchdenken und zu strukturieren. Ebenso verringert sich die Gefahr
einer unbedachten und im Nachhinein bereuten Aussage.
Andererseits muss – im Gegensatz zum Telefonat – der Verfasser einer E-Mail damit rechnen, dass seine
Äußerungen langfristig beliebig oft nachgelesen werden können und vom Empfänger mit geringstem Aufwand oder
gar unbedacht an eine praktisch beliebige Auswahl von Mitlesern weitergeleitet werden können. Sie haben somit
einen stärkeren Öffentlichkeitscharakter.
128
E-Mail
E-Mails werden sprachpsychologisch von ihren Empfängern oftmals als kräftiger und härter empfunden als vom
Verfasser beabsichtigt. Im Gegensatz zum Telefonat oder persönlichen Gespräch entfällt die sofortige Rückkopplung
noch während des Verfassens der Kommunikation und damit eine wesentliche Regelungsfunktion.
Kommerzielle Nutzung
• Seit 1. Januar 2007 ist in Österreich das Unternehmensgesetzbuch in Kraft. Darin wird für Unternehmer eine
Impressumspflicht für E-Mails vorgeschrieben.
• In Deutschland gelten durch das Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie
das Unternehmensregister (EHUG) vom 10. November 2006 seit dem 1. Januar 2007 für E-Mails, Faxe,
Postkarten und andere Schreiben, die Geschäftsbriefe ersetzen, neue Formvorschriften. Diese Regelungen gelten
ebenfalls für alle gewerblichen E-Mails wie Angebote, Bestellungen, Kündigungen und Newsletter. Die E-Mail
muss demzufolge die gleichen Angaben wie in klassischer Briefform versandte Nachrichten, also beispielsweise
den vollständigen Firmennamen mit Rechtsform, den Ort der Handelsregisterniederlassung, das zuständige
Registergericht sowie die Handelsregisternummer, alle Geschäftsführer bzw. Vorstandsmitglieder und
gegebenenfalls den Aufsichtsratsvorsitzenden, enthalten. Verstöße können mit Geldstrafen geahndet oder durch
Wettbewerber abgemahnt werden. Siehe auch Signatur (E-Mails im Geschäftsverkehr).
Trivia
Obwohl die jiddische Sprache noch stärker als die deutsche von der englischen Sprache beeinflusst ist, haben sich
dort die nichtfremdsprachlichen Begriffe ‫( בליצפאסט‬Blitzpost) und ‫( בליצבריוו‬Blitzbrief) durchgesetzt.
Zu diesen Begriffen passt der Ausdruck Schneckenpost (engl. Snail Mail), der verschiedentlich zur Unterscheidung
für den klassischen Brief verwendet wird.
2003 verbot das französische Ministerium für Kultur den Gebrauch des Wortes E-Mail in offiziellen Schreiben
staatlicher Einrichtungen und setzte stattdessen das französisch klingende Wort „courriel“ ein (von „courrier
électronique“).[16] Der Begriff wurde bereits in den 1990er Jahren im französischsprachigen Québec üblich.
Literatur
• Carla Buser et al.: e-Mail – der Zwitter: Vermeintliche und wirkliche Einflüsse des e-Mails auf den Menschen.
Émosson, Zürich 2008, S. 90 (Zusammenfassung der gängigen und nicht einheitlichen Definitionen von e-Mail in
der Wissenschaft aus Sicht von Sprache, Gender, Terminologie, Geschichte, Entwicklung, Technik).
• Wayne Jansen et al.: Guidelines on Electronic Mail Security. In: National Institute of Standards and Technology
(Hrsg.): {{{Sammelwerk}}}. Februar 2007, S. 139 (Recommendations of the National Institute of Standards and
Technology).
• Holger Lüngen; Otfried Mickler (Vorwort): Organisation am Draht: Folgen des E-Mail-Einsatzes in Unternehmen.
1. Auflage. Eul, J, 2004, ISBN 978-3-8993-6198-8, S. 296.
• Robert Niedermeier: E-Mail Archivierung – ein Leitfaden für Geschäftsleitung, IT-Leiter und Administratoren.
In: Heussen Rechtsanwaltsgesellschaft (Hrsg.): {{{Sammelwerk}}}. Mimosa Systems, München 2007, S. 13.
• Paul Ferdinand Siegert: Die Geschichte der E-Mail. Erfolg und Krise eines Massenmediums. In: Technik –
Körper – Gesellschaft. 1. Auflage. Transcript, 2008, ISBN 978-3-8994-2896-4, S. 360.
129
E-Mail
130
Weblinks
• FAQs: E-Mail-Header lesen und verstehen [17], th-h.de, Thomas Hochstein
• Literatur zum Schlagwort E-Mail im Katalog der DNB [18] und in den Bibliotheksverbünden GBV [19] und SWB
[20]
•
•
•
•
•
•
•
•
•
Unsicherheit heutiger E-Mail Systeme [21], security-mail.com, Sascha Roth
Online-Werberecht – E-Mail als Beweis [22], Online-Werberecht, Arno Glöckner
Internet-Tutorial: E-Mail Senden und Empfangen [23], stefanbucher.net, Stefan Bucher
E-Mail – Über das Wesen der elektronischen Post in den modernen Zeiten [24], chaosradio.ccc.de, Chaos
Computer Club Berlin e. V.
RFC 2142 – Mailbox Names for Common Services, Roles and Functions
RFC 2368 – The mailto URL scheme
RFC 5321 – Simple Mail Transfer Protocol
RFC 5322 – Internet Message Format
RFC 5335 – Internationalized Email Headers
Einzelnachweise
[1] E-Mail- und Spam-Statistik 2010 (http:/ / www. spiegel. de/ netzwelt/ web/ 0,1518,740121,00. html) auf SPON
[2] E-Mail- und Spam-Statistik 2010 (http:/ / www. messagelabs. com/ mlireport/ MessageLabsIntelligence_2010_Annual_Report_FINAL. pdf)
von MessageLabs Intelligence (engl., pdf-Datei, 5,4 MB)
[3] Vierte Runde: „E-Mail“ (Genus) (Frage 24e) (http:/ / www. philhist. uni-augsburg. de/ lehrstuehle/ germanistik/ sprachwissenschaft/ ada/
runde_4/ f24a-g/ ), Atlas der deutschen Alltagssprache, Phil.-Hist. Fakultät der Universität Augsburg
[4] E-Mail – Wie schreibt man E-Mail? (http:/ / faql. de/ fremdwort. html#mail), Ralph Babel
[5] Duden-Sprachratgeber: Schreibung von E-Mail (http:/ / www. duden. de/ sprachratgeber/ schreibung-von-e-mail)
[6] The First Email (http:/ / www. bbn. com/ about/ timeline/ email). BBN Technologies. Abgerufen am 30. Mai 2009.
[7] Ray Tomlinson. The First Network Email (http:/ / openmap. bbn. com/ ~tomlinso/ ray/ firstemailframe. html). Abgerufen am 30. Mai 2009.
[8] http:/ / www. karlsruhe. de/ stadt/ stadtmarketing/ presse/ pressemeldungen/ erste_e-mail_d
[9] Die 1. E-Mail ( Bild) (http:/ / www. spiegel. de/ images/ image-2307-gallery-uhfg. jpg)
[10] 25 Jahre E-Mail in Deutschland – Und es hat „Pling!“ gemacht (http:/ / www. spiegel. de/ netzwelt/ tech/ 0,1518,639654,00. html) (Spiegel
Online) und 25 Jahre E-Mails in Deutschland – „Meine Mail-Adresse lautete ‚zorn@germany‘.“ (nicht mehr online verfügbar) (Tagesschau,
Das Erste)
[11] Sozialgericht Aachen, September 2006, Az. S 11 AL 13/06: „E-Mails gehen verloren.“
[12] Paul E. Mertes (Rechtsanwalt), Johannes J. W. Daners (Rechtsreferendar): Der Zugang von E-Mails im Rechtsverkehr - Risikoverteilung bei
der Behandlung des digitalen Briefkastens, Zeitschrift für die Anwaltspraxis (ZAP), 2008, Heft 22, Seite 1239–1246
[13] http:/ / www. online-und-recht. de/ urteile/
Wirksamer-Maklervertrag-durch-Zusendung-eines-Exposes-an-vorher-mitgeteilte-E-Mail-Adresse-I-7-U-28-08-Oberlandesgericht-Duesseldorf-20090326.
html; http:/ / www. online-und-recht. de/ urteile/
Versendung-von-Abmahnung-per-E-Mail-ausreichend-312-O-142-09-Landgericht-Hamburg-20090707. html
[14] BGHZ 13, 334 – Veröffentlichung von Briefen (http:/ / expired. oefre. unibe. ch/ law/ dfr/ bz013334. html), Deutsches Fallrecht
[15] LG Köln, Urteil vom 6. September 2006, Az. 28 O 178/06 (http:/ / www. lexexakt. de/ glossar/ lgkoeln2006-09-06. php), lexexakt.de, C.
Loscher
[16] Chronologische Geschichte des Internets (http:/ / www. daniel-von-der-helm. com/ internet/ chronologische-geschichte-des-internet. html),
Daniel von der Helm
[17] http:/ / th-h. de/ faq/ headerfaq. php
[18] http:/ / d-nb. info/ gnd/ 4191427-2
[19] http:/ / gso. gbv. de/ DB=2. 1/ CMD?ACT=SRCHA& IKT=1016& SRT=YOP& TRM=4191427-2
[20] http:/ / swb2. bsz-bw. de/ DB=2. 1/ CMD?ACT=SRCHA& IKT=2013& SRT=YOP& REC=2& TRM=4191427-2
[21] https:/ / www. security-mail. com/ info/ eMail. php
[22] http:/ / www. online-werberecht. de/ emailbeweis. html
[23] http:/ / www. stefanbucher. net/ tutorial/ email/
[24] http:/ / chaosradio. ccc. de/ cre104. html
Signature
Signature
Als Signature wird der Textabschnitt am Ende von E-Mails oder
Usenet-Postings bezeichnet, der in der Regel Angaben zum Absender
enthält.
Hintergrund
Die Verwendung von Signatures im Usenet geht auf den Umstand
zurück, dass aus dem Header eines Beitrags nicht immer der Absender
hervorging. So wurde die Kopfzeile für Name und E-Mail-Adresse des
Mozilla Thunderbird stellt Signaturen hellgrau
Absenders („From:“) erst im Jahr 1983 durch den RFC 850 eingeführt.
dar.
Auch war es möglich, dass einzelne Kopfzeilen von E-Mails oder
Usenet-Postings auf dem Transportweg abgetrennt wurden. Um dem
Leser auf einfache Weise deutlich zu machen, von wem eine Nachricht stammt, hat es sich deswegen durchgesetzt,
am Ende der Nachricht Kontaktinformationen einzufügen.
Form
Die Länge der Signature sollte nicht mehr als vier Zeilen à 80 Zeichen betragen. Dies wurde zu Beginn mit den
hohen Verbindungskosten und den niedrigen Übertragungsraten begründet.[1] Jedoch auch nach zunehmender
Verbreitung von Breitbandanschlüssen und Flatrates wird diese Richtlinie vor allem im Usenet immer noch beachtet.
Im geschäftlichen E-Mail-Verkehr, für den in Deutschland seit 2007 besondere Bestimmungen in Bezug auf die
Angabe von Kontaktinformationen u. Ä. gelten, findet sie hingegen selten Berücksichtigung. Eine Alternative zur
Signature stellt die vCard dar.
Etablierte Konvention ist es außerdem, eine Signatur durch einen Signaturtrenner vom Nachrichtentext abzutrennen.
Dieser besteht aus einer Zeile, die nur die Zeichenfolge „-- “ (zwei Bindestriche und ein Leerzeichen) enthält.[2]
Dadurch ermöglicht man es den meisten E-Mail-Programmen und Newsreadern, eine Signature automatisch zu
erkennen und beim Antworten nicht zu zitieren.
Beispiel für eine Signatur:
Hallo,
das ist ein Beispieltext,
um Signatures zu demonstrieren.
Viele Grüße, Max
-Maren und Max Mustermann
Musterstr. 8, 12345 Musterstadt, Deutschland
Tel.: +49 333 88888, Fax: +49 333 88999
Internet: www.example.com E-Mail: [email protected]
131
Signature
Rechtslage in Deutschland
Laut Elektronisches Handels- und Genossenschaftsregister: Pflichtangaben
•
•
•
•
•
•
•
Bezeichnung der Firma
Ort der Handelsniederlassung
Registergericht
Handelsregisternummer
Geschäftsführer
Vorstandsmitglieder
Aufsichtsratsvorsitzender
Andere Verwendungszwecke
Taglines und ASCII-Art
Eine besondere Art von Signaturen sind die früher häufig in Mailboxen verwendeten Taglines. Hier war es üblich, an
seine Echomail einen kurzen Spruch, einen einzeiligen Witz oder einen Satz mit einer Lebensweisheit anzuhängen.
Vor diesem Hintergrund werden solche kurzen Sprüche auch heute noch Taglines genannt, auch wenn sie
beispielsweise in E-Mails oder Foren Verwendung finden. (Siehe auch Fortune.)
Neben dem Verbreiten von Kontaktinformationen und Taglines wird die Signature auch häufig zur Darstellung von
ASCII-Art verwendet.
Signatur-Programme
Die Signatures von Programmierern enthalten manchmal den Quelltext eines kleinen Computerprogramms, zum
Beispiel ein „JAPH“. Umgekehrt werden kurze Programme, deren Quelltext in einer Signature Platz finden würde,
gelegentlich als „Signatur-Programme“ bezeichnet, auch wenn sie niemals Bestandteil einer Signature waren. Das
folgende Beispiel (Quelle siehe Weblinks) enthält – neben den in einer Signature üblichen Inhalten – den Quelltext
(hier grün eingefärbt) eines Programmes in der Programmiersprache C, das Primzahlen berechnet:
main(x,y/* Patrik Lundin |
[email protected]
*/){for(;x++;)
for(y=2/* Docentv. 28
|
[email protected]
*/;x%y;)printf(
++y/x+/*
977 52 Luleaa | http://www.ludd.luth.se/~lundin */"\0%d\n",x);}
Weblinks
• Signature-Kriege [3] – Telepolis-Aufsatz aus dem Jahr 1998
• Mit WiseStamp eine E-Mail-Signatur mit sozialen Profilen ausstatten. [4]
Signaturen-Sammlungen:
•
•
•
•
Dieter Brügmanns Signaturensammlung [5]
Christian Pepers Signaturensammlung [6]
Frans Faases Sammlung von Signatur-Programmen [7]
Freie Foren-/E-Mail- Signaturen Datenbank [8]
132
Signature
Quellen
[1] vgl. RFC 1855, Abschnitt 2.1.1
[2] Vgl. Charles H. Lindsey: Usenet Best Practice (http:/ / tools. ietf. org/ html/ draft-ietf-usefor-useage-01#section-3. 1. 2. 1), 2005 (englisch),
ferner RFC 3676: The Text/Plain Format and DelSp Parameters (http:/ / tools. ietf. org/ html/ rfc3676#section-4. 3), Abschnitt 4.3, 2004
(englisch) und RFC 1849, bekannt als „Son of RFC 1036“ (http:/ / tools. ietf. org/ html/ rfc1849#section-4. 3. 2), Abschnitt 4.3.2, 2010 (zuerst
1994, englisch).
[4] http:/ / www. shockmotion. de/ e-mail-signatur-mit-wisestamp-erstellen/
[5] http:/ / www. bruhaha. de/ signaturen. html
[6] http:/ / www. c-peper. de/ wiki/ Signaturen
[7] http:/ / www. iwriteiam. nl/ SigProg. html
[8] http:/ / sig-box. de/
Eine qualifizierte elektronische Signatur (QES) ist nach dem deutschen Signaturgesetz eine fortgeschrittene
elektronische Signatur, die auf einem (zum Zeitpunkt ihrer Erzeugung gültigen) qualifizierten Zertifikat beruht und
mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde. Die Entsprechungen in Österreich und in
Liechtenstein werden als sichere elektronische Signatur bezeichnet; mit der Novellierung des österreichischen
Signaturgesetzes zum 1. Januar 2008 wurde der Begriff jedoch auch auf qualifizierte elektronische Signatur
geändert.
Zertifikat
Jeder geheime, auf asymmetrischen Verschlüsselungsverfahren basierende Signaturschlüssel hat immer einen
einzigen korrespondierenden öffentlichen Signaturprüfschlüssel. Ein Zertifikat des Zertifizierungsdiensteanbieters
(ZDA) ist die elektronische Bescheinigung, dass der Signaturprüfschlüssel und damit auch der korrespondierende
Signaturschlüssel einer Person zugeordnet wurde und die Identität dieser Person bestätigt werden kann (vgl. § 2 Nr.
6 Signaturgesetz). Bei der elektronischen Signatur enthält das Zertifikat den öffentlichen Schlüssel, mit dem der
während der Signaturerstellung verschlüsselte Hashwert (Prüfsumme) des elektronischen Dokuments entschlüsselt
und gegen einen neu erstellten Hashwert verglichen und damit die Authentizität des elektronischen Dokuments
überprüft werden kann. Zu den Details siehe elektronische Signatur.
Für die qualifizierte elektronische Signatur muss der Zertifizierungsdiensteanbieter die §§ 4 bis 14 Signaturgesetz
einhalten und die Aufnahme der Tätigkeit bei der zuständigen Behörde (Bundesnetzagentur) anzeigen (§4 Abs. 3
SigG). Ab der Anzeige des Betriebs können Zertifikate für qualifizierte elektronische Signaturen ausgestellt werden.
Vor der Anzeige des Betriebes ausgestellte Zertifikate ermöglichen bestenfalls das Erstellen von fortgeschrittenen
elektronischen Signaturen.
Sinn dieser Regelungen ist insbesondere, die Identität des Zertifikatinhabers sicherzustellen und die sichere
Aufbewahrung und Zurverfügungstellung des Zertifikats zu gewährleisten. Das Zertifikat dient der Identifikation
einer Person und muss daher sicher aufbewahrt werden, damit es nicht unzulässig verändert werden kann. Die
Feststellung, wer ein Zertifikat beantragt, muss über ein sicheres Verfahren getroffen werden. Ein solches Verfahren
ist zum Beispiel Postident, bei dem man seinen Personalausweis in einer Postdienststelle vorzeigen muss, wenn man
den Antrag auf ein Zertifikat stellt. So kann man sicher sein, wem ein Zertifikat gehört. Ein anderes denkbares (aber
nicht sehr praktikables) Verfahren könnte sein, dass ein Antragsteller persönlich beim ZDA erscheint und sich
ausweist. Was im Einzelfall für den Registrierungsprozess ausreichend ist, beschreibt der ZDA in seinem
einsehbaren Sicherheitskonzept.
Bei einer zuverlässigen Zertifizierungsstelle ist somit nachvollziehbar, zu welcher Person ein Zertifikat gehört. Mit
Hilfe des Zertifikats kann festgestellt werden, ob eine elektronische Signatur wirklich von einer bestimmten Person
133
stammt.
Abgrenzung zu anderen Signaturarten
Der Teilbegriff „qualifiziert“ leitet sich aus dem Signaturgesetz ab, das mehrere Stufen von Signaturen festlegt. Es
gibt einige Anforderungen an die Infrastruktur und Abläufe besonders beim ZDA, damit eine Signatur als qualifiziert
gelten kann, etwa im Hinblick auf die Identifizierung des Inhabers.
Ein mit einer qualifizierten Signatur signiertes elektronisches Dokument kann nach §126a BGB in Deutschland die
per Gesetz oder Verordnung notwendige Schriftform ersetzen. Die Schriftform ist beispielsweise bei der Kündigung
eines Arbeitsverhältnisses notwendig.
Aufgrund der Formfreiheit für Rechtsgeschäfte, z.B. Kaufverträge, bedarf es grundsätzlich keiner Signatur;
deswegen reicht in den meisten Fällen – soweit nicht per Gesetz die Schriftform oder eine qualifizierte elektronische
Signatur explizit gefordert ist – eine einfache oder fortgeschrittene elektronische Signatur aus.
Nach §17 SigG sind Produkte für qualifizierte Signaturen mit einer Herstellererklärung zu versehen oder von
akkreditierten Stellen (BSI, TÜV-IT, GEI) auf ihre Konformität zum SigG zu bestätigen. Herstellererklärungen sind
an die Bundesnetzagentur zu senden und werden, wenn sie dem SigG entsprechen, veröffentlicht. Gültigkeit im
Sinne des SigG erhält die Herstellererklärung bereits zum Zeitpunkt des Empfangs bei der Bundesnetzagentur.
Damit die Sicherheitsanforderungen während der Signaturerstellung erfüllt sind, ist somit in der Regel auch die
Anschaffung eines bestimmten Kartenlesegeräts sowie kommerzieller Software notwendig.
In Deutschland verlangt § 14 [1] UStG eine qualifizierte elektronische Signatur auf elektronisch übermittelten
Rechnungen. Andernfalls ist das rechnungserhaltende Unternehmen nicht zum Abzug der Vorsteuer berechtigt. Eine
Archivierung der elektronisch übermittelten Rechnung in elektronischer Form ist Pflicht, d.h. ein ausschließliches
Archivieren des Ausdrucks ist damit nicht erlaubt und berechtigt nicht zum Vorsteuerabzug. In Papierform erhaltene
und erst dann gescannte Rechnungen sind jedoch ohne qualifizierte elektronische Signatur archivierbar. Der
Scanvorgang muss jedoch protokolliert werden.
Anbieter in Deutschland
Wer ein Dokument mit Hilfe einer qualifizierten Signatur elektronisch unterzeichnen möchte, muss sich bei einem
Zertifizierungsdienst anmelden, der seine Tätigkeit bei der Bundesnetzagentur angezeigt hat oder freiwillig
akkreditiert ist. Dieser Zertifizierungsdiensteanbieter lässt sich seine Dienstleistung in der Regel direkt oder indirekt
vom Nutzer bezahlen.
Akkreditierte Anbieter qualifizierter Zertifikate sind TC TrustCenter, T-Systems mit Telesec, die
Sparkassen-Finanzgruppe mit S-TRUST, die DATEV mit e:secure, D-TRUST (Bundesdruckerei-Gruppe), die
Deutsche Post AG mit Signtrust, die Bundesnotarkammer sowie die DGN Deutsches Gesundheitsnetz Service und
die medisign der Deutschen Apotheker- und Ärztebank.
Anbieter für qualifizierte Zertifikate, die ihren Dienst angezeigt haben, sind z. B. die Deutsche Rentenversicherung
Bund und die Bundesagentur für Arbeit.[2]
Praktische Anwendungen
Elektronische Signatur im elektronischen Abfallnachweisverfahren
Die größte Verbreitung dürfte die elektronische Signatur derzeit im Rahmen des Elektronisches
Abfallnachweisverfahrens (eANV) finden. Entsprechend der deutschen Nachweisverordnung wird seit 1. April 2010
gefordert, dass die Abfallentsorger bei jedem Transport gefährlicher Abfälle elektronisch qualifiziert signieren.
Spätestens ab dem 1. Februar 2011 trifft diese Regelung auch für Abfallerzeuger und Abfallbeförderer zu. Bei dieser
Anwendung auf tagtäglich ablaufende Vorgänge wird die qualifizierte elektronische Signatur erstmals breit im
134
Rahmen von eGovernment genutzt [3] .
Einzelnachweise
[1] http:/ / bundesrecht. juris. de/ ustg_1980/ __14. html
[2] Bundesnetzagentur: Zertifizierungsdiensteanbieter (http:/ / www. bundesnetzagentur. de/ cln_1911/ DE/ Sachgebiete/ QES/
Veroeffentlichungen/ Zertifizierungsdiensteanbieter/ ZertifizierungsDiensteAnbietr_node. html)
[3] eGovernment für den Wertstoffkreislauf (http:/ / www. egovernment-computing. de/ commerce/ articles/ 227586/ )
Weblinks
• Liste der Zertifizierungsdiensteanbieter bei der Bundesnetzagentur (http://www.bundesnetzagentur.de/
cln_1911/DE/Sachgebiete/QES/Veroeffentlichungen/Zertifizierungsdiensteanbieter/
ZertifizierungsDiensteAnbietr_node.html)
• Liste der Bestätigungen von Signaturkomponenten durch das BSI (http://www.bundesnetzagentur.de/
cln_1912/DE/Sachgebiete/QES/Produkte/Bestaetigungen/Bestaetigungen_node.html)
• eGovernment für den Wertstoffkreislauf (http://www.egovernment-computing.de/commerce/articles/227586/
)
Literatur
• Hähnchen, Susanne: Elektronischer Rechtsverkehr - Ein praktischer Leitfaden. für Rechtsanwälte, Notare,
Studierende und andere Interessierte. Books on Demand GmbH, Auflage: Neuaufl. (Februar 2007), ISBN
3833492678
• Hähnchen, Susanne; Hockenholz, Jan: Praxisprobleme der elektronischen Signatur, JurPC Web-Dok. 39/2008,
Abs. 1 - 31, Aufsatz bei JurPC (http://www.jurpc.de/aufsatz/20080039.htm)
135
Online-Community
Online-Community
Eine Online-Community (Netzgemeinschaft) ist eine Sonderform der Gemeinschaft; hier von Menschen, die
einander via Internet begegnen, um sich dort auszutauschen. Findet die Kommunikation in einem Sozialen Netzwerk
statt, das als Plattform zum gegenseitigen Austausch von Meinungen, Eindrücken und Erfahrungen dient (oft in
Form von User Generated Content), spricht man auch von Sozialen Medien.
Struktur
Ermöglicht wird dies durch dafür eingerichtete Plattformen. E-Mail, Chat, Instant-Messenger und Foren sind die
bekanntesten Tools, die Kommunikation zwischen den Mitgliedern ermöglichen. Eine Online-Community muss
aufgebaut, gepflegt und betreut werden. Oft werden Mitglieder aus der Online-Community für die Aufgaben mit
einbezogen. Im crossmedial arbeitenden Journalismus spielen ausgehend vom Online-Journalismus Leser-, Hörerund Zuschauer-Communitys bei der Leser-Blatt-Bindung eine wichtige Rolle. Anfangs wurde die
Online-Community oft mit der Technik gleichgesetzt, die von der Online-Community genutzt wird. Eine
Gemeinschaft definiert sich jedoch nicht über die Technik, sondern durch den Inhalt, der sie zusammenführt.
Soziologisch betrachtet handelt es sich um ein soziales Phänomen.
Geschichte
Im Jahre 1985 konstituierte sich in Sausalito, San Francisco, Nordkalifornien, ein netzbasierter Debattierclub namens
„The Well“ (the Whole Earth 'Lectronic Link). Die von Stewart Brand und Larry Brilliant gegründete Community
kann als eine der ersten Communitys des Internets angesehen werden. Allerdings lassen sich auch die ersten
Mailinglisten als Communitys auffassen. Howard Rheingold verwendete als erster in seinem Buch den Begriff
‚virtuelle Gemeinschaften’, die heute als Online-, Net-, Cyber- oder E-Communitys bezeichnet werden.
Schreibweise
Der Duden (23. Auflage) empfiehlt „Onlinecommunity“ (ohne Bindestrich), respektive als Mehrzahl
„Onlinecommunitys“, da der Begriff inzwischen ein Lehnwort darstelle und entsprechend den Regeln der deutschen
Grammatik dekliniert werde.
In der Literatur finden sich die Termini Virtuelle oder Online-Community, vor allem im Englischen ist "Virtual
Community" weit verbreitet. Eine Suche in der ACM Digital Library zeigt eine etwa gleiche Verteilung der beiden
Begriffe in vorhandenen Publikationen. Der Begriff Virtualität ist allerdings missverständlich: Virtuell kann "der
Möglichkeit nach vorhanden" oder "so tun, als ob" bedeuten. Demnach wäre eine virtuelle Community keine
vollwertige Gemeinschaft. Eine Online-Community soll aber als Teilmenge aller echten Gemeinschaften verstanden
werden, deren Mitglieder sich online anstatt Face-To-Face austauschen. Daher empfiehlt es sich, den Begriff
"Online-Community" konsequent zu verwenden.
136
Online-Community
Bedeutung
Eine Community-Plattform im Internet bietet die grundlegenden Werkzeuge zur Kommunikation wie E-Mail, Foren,
Chatsysteme, Newsboards, Tauschbörsen, MatchMaking u.v.m. Je nach Zielgruppe werden die Funktionen
abgestimmt und auf die Interessen der Benutzer zugeschnitten. Hierbei sind Rückmeldungen von Nutzern (Wünsche,
Anfragen, Ideen) sinnvoll, da sie zur Steigerung der Attraktivität und Akzeptanz beitragen.
Online-Communitys entwickeln sich vor allem dann erfolgreich, wenn ihre treibende Kraft nicht die Marketingidee
eines Unternehmens ist, sondern sie aus sich selbst, also den Wünschen der Gemeinschaft zu wachsen verstehen.
Beispiele für funktionierende Communitys:
• Usenet
• deviantART
Beispiel für nicht-funktionierende Community:
• MySpace
Die meisten Online-Communitys sind dem Grunde nach demokratisch organisiert, in Einzelnen zeichnet sich aber
eine steigende Tendenz zu Hierarchisierung und Institutionen ab. Im Idealfall gibt sich die Community eigene
Regeln. Sogar gerichtsbarkeitsähnliche, parlamentarische oder polizeiähnliche Institutionen wurden – meist auf
Wunsch der Benutzer – eingeführt. Insoweit wird auch eine Entwicklung zu „Gesetzen“ und starren Regularien –
oder wenigstens der Wunsch danach – erkennbar. Juristische Begriffe wie „unzulässig“, „Angeklagter“,
„unrechtmäßig“ usw. finden mit zunehmender Tendenz Verwendung in den Diskussionen.
Kommerzielle Online-Communitys
Eine kommerzielle Online-Community ist eine Online-Community, die unter Aufsicht eines Unternehmens steht.
Die Gemeinschaft nutzt dabei zur Kommunikation die Infrastruktur des Unternehmens. Auch die Moderation wird
meist von dem Unternehmen übernommen.
Kommerzielle Online-Communitys erlauben im Unterschied zu nicht-kommerziellen Online-Communitys meist
nicht die freie Wahl eines Vorstands und lassen Werbeeinnahmen nicht nur Gemeinschaftszwecken zugute kommen,
sondern nutzen diese, um Gewinn auszuschütten.
Eine besondere Form einer kommerziellen Online-Community ist das Kundenforum, das den Kunden die
Kommunikation untereinander über die angebotenen Produkte und Dienstleistungen ermöglicht. Es erspart den
Kunden den Aufbau einer eigenen Kommunikationsplattform.
Viele kommerzielle „Social Network“-Dienste sind mit einer kommerziellen Online-Community verbunden. Diese
geschlossenen Online-Communitys erlauben über ihr System keine Kommunikation mit Mitgliedern anderer
Communitys. Dazu zählen MySpace, Facebook, StayFriends, wer-kennt-wen und Lokalisten sowie studiVZ,
schülerVZ und meinVZ.
Online-Dienstleistungsanbieter verbinden ihre Dienstleistung mit einer kommerziellen Online-Community, um
Kunden an sich zu binden. Kunden müssen bei einem Wechsel des Anbieters auf diese Weise nicht nur die Qualität
der Dienstleistung, sondern auch die mit der Dienstleistung verbundene Community beachten. Ein bekannter
Anbieter ist der Foto-Hoster Flickr.
Der Mikroblogging-Dienst Twitter ist mit einer geschlossenen kommerziellen Online-Community verbunden.
Andere Mikroblogging-Dienste wie Identi.ca erlauben über den offenen OStatus-Standard (vormals
OpenMicroBlogging) die Kommunikation mit beliebigen Personen.
Seit 2002 erschienen im Internet auch kommerzielle, geschlossene Shopping-Communitys, die man erst durch eine
Einladung eines Mitgliedes oder mit Hilfe eines so genannten Club-Schlüssels betreten konnte.
137
Online-Community
Themenorientierte Communitys
Themenorientierte Communitys bekommen ihre Anziehungskraft aus einem Thema, welches alle Nutzer eint. Dies
kann ein Hobby sein, wie bei Sci-Fi-Communitys und Sport-Communitys oder der Glaube, wie bei religiösen
Communitys, oder politische Netzwerke bzw. Politcommunitys.
Sci-Fi-Community
Eine Sci-Fi-Community ist im allgemeinen eine Online-Community, die sich mit Science Fiction beschäftigt. Es gibt
diese Communitys in den unterschiedlichsten Arten und Ausrichtungen, zum Beispiel online als Foren-Community,
als Chat-Community aber in Einzelfällen auch offline, als Verein organisiert. Die meisten Sci-Fi-Communitys
widmen sich einem oder einzelner Genres oder Serien. So gibt es beispielsweise Star-Trek-Communitys oder
Star-Wars-Communitys als Subspezies der Sci-Fi-Communitys. Wie bei Communitys üblich, werden die meisten
auch hier ehrenamtlich von Fans betrieben und betreut und sind in der Regel kostenlos. Es werden unter anderem
Events abgehalten, wie Chatrollenspiele, Quiz zu einzelnen Sci-Fi Themen, manche unternehmen auch online in
Sci-Fi Online-Spielen Ausflüge oder es werden offline Treffen und Konventions veranstaltet, häufig sind hier die
Schauspieler oder Autoren der Serien anzutreffen.
Methodenorientierte Communitys
Wiki Community
Eine Wiki Community ist eine Online-Community, die sich um ein Wiki-Projekt herum bildet. Den Nutzern hier geht
es im Gegensatz zu denen von anderen Untergruppen von Online-Communitys darum, gemeinsam – zumeist
textliche – Inhalte online zu erstellen und sie anderen Nutzern zur Verfügung zu stellen. So verfolgt beispielsweise
die Wikipedia das Ziel, „die Gesamtheit des Wissens unserer Zeit in lexikalischer Form anzubieten“.[1] Es finden
über diese Inhaltserstellung teilweise heftige Diskussionen statt. Sie benutzen dafür eine spezielle Software und sind
daher eher weniger über Chat oder Foren organisiert, es finden aber auch Offline-Treffen statt.
Voting Community oder Rating Community
Eine Voting Community bzw. eine Rating-Community ist eine Online-Community, deren Mitglieder sich einer
Bewertung durch andere Mitglieder stellen. Einige dieser Communitys lassen auch Bewertungen durch
Nichtmitglieder zu. In den meisten Fällen werden ausschließlich Fotos der Mitglieder zur Bewertung gestellt, die
üblicherweise mit null bis zehn Punkten bewertet werden können. Einige wenige Communitys dieser Art legen
jedoch bewusst Wert darauf, dass die Bewertungen nicht nur die Bilder betreffen sollen, sondern den
Gesamteindruck aus Fotos, Vorstellungstexten, Beiträgen in eventuell vorhandenen Foren, privatem Kontakt und so
weiter.
In den meisten Voting Communitys laufen die Abstimmungen ununterbrochen, und es werden höchstens Wochenoder Monatsbeste gekürt und dann auf der Hauptseite der Community entweder direkt oder per Link präsentiert.
Einige wenige Voting Communitys führen allerdings tatsächlich ein Jahr lang laufende Runden durch und küren am
Ende dieser Runden eine Siegerin und/oder einen Sieger, ganz ähnlich wie bei Misswahlen.
In vielen Voting Communitys gibt es immer wieder Diskussionen darüber, wie viel nackte Haut denn toleriert
werden soll. Abgesehen von solchen Communitys, die bewusst (zur Gewinnung von Werbekunden etwa und zur
Steigerung der Zugriffszahlen) jegliche Entblößung tolerieren, gelten in den meisten Communitys
Bikini/Unterwäsche bei Frauen und Unterhose bei Männern als minimale Bekleidung. Dennoch entbrennen
regelmäßig Diskussionen darüber, wie „billig“ solch eine Präsentation ist. Oft wird dabei als Argument der Ruf der
jeweiligen Community ins Feld geführt – welchem von der Gegenseite nicht selten damit begegnet wird, dass hier
wohl der Neidfaktor eine Rolle spiele. Die Freizügigkeitstoleranz einer Voting Community ist deswegen auch eines
138
Online-Community
der Kriterien, in welcher Community sich ein/eine Nutzer/in wohl fühlt.
Literatur
• Michael Bächle: Virtuelle Communities als Basis für ein erfolgreiches Wissensmanagement. In: HMD. Praxis der
Wirtschaftsinformatik. Nr. 246, Dezember 2005, S. 76–83.
• Christian Eigner, Helmut Leitner, Peter Nausner: Online-Communities, Weblogs und die soziale Rückeroberung
des Netzes. Nausner & Nausner, 2003. ISBN 3-901402-37-3.
• Gabriele Hooffacker: Online-Journalismus. Schreiben und Konzipieren für das Internet. Ein Handbuch für
Ausbildung und Praxis. 3. Auflage. Econ, Berlin 2010, ISBN 978-3-430-20096-7
• Amy Jo Kim: Community Building on the Web: Secret Strategies for Successful Online Communities. Peachpit
Press, 2000. ISBN 0-201-87484-9. (Anmerkung: mehr erfahrungsbasiertes HowTo, keine wissenschaftliche
Arbeit)
• Christian Jakubetz: Crossmedia. UVK, Konstanz 2008. ISBN 978-3-86764-044-2.
• Erik Möller: Die heimliche Medienrevolution – Wie Weblogs, Wikis und freie Software die Welt verändern.
Heise, 2004 ISBN 3-936931-16-X.
• Derek M. Powazek: Design for Community – The Art of Connecting Real People in Virtual Places [2]. ISBN
0-7357-1075-9.
• Howard Rheingold: Virtuelle Gemeinschaften: Soziale Beziehungen im Zeitalter des Computers. Addison Wesley,
Bonn/Paris 1994.
• Howard Rheingold: The Virtual Community: Homesteading on the Electronic Frontier [3]. 2. Auflage. MIT Press,
2000, ISBN 0-262-68121-8.
• Rosenkranz, C., Feddersen, C. (2010). Managing viable virtual communities: an exploratory case study and
explanatory model. International Journal of Web Based Communities. Volume 6, Number 1: 5-14.
• Marc Smith, Peter Kollock (Hrsg.): Communities in Cyberspace. Routledge, 1998. ISBN 0-415-19140-8.
• Claudia Verstraete: Virtuelle Marken-Communities. Newsgroups und Chats als Instrumente der Markenbindung.
Josef Eul Verlag, Lohmar/Köln 2004. ISBN 3-89936-193-8.
• Chris Werry, Miranda Mowbray: Online Communities. Prentice Hall, 2001. ISBN 0-13-032382-9.
• Christian Stegbauer: Grenzen virtueller Gemeinschaft. Strukturen internetbasierter Kommunikationsforen. Verlag
für Sozialwissenschaften, 2001. ISBN 3-531-13644-5.
• Jan Milz: Instant-Online-Communities (Diplomarbeit, http://www.dir-info.de/autor/jan-milz/diplomarbeit/)
Weblinks
• Links zum Thema Communitys [4] im Open Directory Project
Einzelnachweise
[1]
[2]
[3]
[4]
q:Wikiquote:Schwesterprojekte
http:/ / designforcommunity. com/
http:/ / www. rheingold. com/ vc/ book/
http:/ / www. dmoz. org/ World/ Deutsch/ Computer/ Internet/ WWW/ Communitys/
139
Facebook
140
Facebook
Facebook
www.facebook.com
[1]
Motto
„Facebook ermöglicht es dir, mit den Menschen in deinem Leben in Verbindung zu treten und Inhalte mit
diesen zu teilen.“
Kommerziell
ja
Beschreibung
Gemeinschaftsportal bzw. Online-Kontaktnetzwerk (siehe soziale Software)
Registrierung
ja
Sprachen
74 Sprachversionen, darunter Deutsch (28. Juli 2010)
Eigentümer
Facebook Inc.
Urheber
Mark Zuckerberg,
Dustin Moskovitz (Mitgründer),
Chris Hughes (Mitgründer), Eduardo Saverin (Mitgründer)
Erschienen
4. Februar 2004
Jahreseinnahmen 2 Mrd. USD (2010)[2]
Mitglieder
[3]
710,9 Millionen
Facebook (englisch sinngemäß „Studenten-Jahrbuch“) ist eine Website
zum Erstellen und Betreiben sozialer Netzwerke, die der Facebook Inc.
mit Sitz im kalifornischen Menlo Park gehört.
Die Plattform war im Februar 2004 erstmals zugänglich und erreichte
im Januar 2011 nach eigenen Angaben 600 Millionen aktive Nutzer
weltweit.[4] Anfang Juli 2011 betrug der Mitgliederbestand 710,9
Millionen.[3] In Deutschland sind mittlerweile 20,2 Millionen
Menschen bzw. 24,7 Prozent der Gesamtbevölkerung auf Facebook
aktiv (Stand: 06. August 2011).[5] Nachdem Deutschland im April
2011 Kanada in der Weltrangliste überholte und damit erstmals in den
Top 10 der Länder mit den meisten aktiven Nutzern stand, wurde
Deutschland im Mai 2011 durch Brasilien verdrängt und befindet sich
nun wieder auf dem elften Rang; die Schweiz liegt auf dem 46. Rang
(2,7 Millionen Mitglieder) und Österreich auf dem 48. Rang (2,6
Millionen Mitglieder).[3]
Der Gründer von Facebook, Mark Zuckerberg
Facebook
Geschichte
Mark Zuckerberg entwickelte Facemash.com, den Vorgänger von Facebook, im Oktober 2003, während er an der
Harvard Universität war. Dem Harvard Crimson zufolge war diese Website vergleichbar der Website Hot or Not
und stellte ein Bewertungssystem für Studenten am Campus dar.[6] Er stellte dazu die Fotos verschiedener
Studentinnen, ohne eine Erlaubnis eingeholt zu haben, ins Netz und forderte die Besucher der Seite auf, die
Attraktivität von je zwei zufällig ausgewählten Personen anhand ihrer Fotos zu bewerten. Nach massiven Protesten
zog er die Seite wenige Tage später wieder zurück. Laut eigener Aussage wurde ihm durch diese Erfahrung bewusst,
dass er bei zukünftigen Projekten mehr Wert auf Sicherheit legen und die Verletzung von Urheberrechten vermeiden
müsse.[7]
Mark Zuckerberg gründete das Unternehmen am 4. Februar 2004[8] und entwickelte Facebook gemeinsam mit den
Studenten Eduardo Saverin, Dustin Moskovitz und Chris Hughes im Februar 2004 an der Harvard University
ursprünglich nur für die dortigen Studenten. 2004 stieg auch Sean Parker (Mitbegründer von Napster) als Berater in
das Facebook-Team ein und bekam 7 Prozent Anteile an Facebook. Nachdem Parker wegen Kokainbesitzes
verhaftet worden war, war er dazu gezwungen, Facebook zu verlassen. Später wurde die Website für Studenten in
den Vereinigten Staaten freigegeben. Weitere Expansionsschritte dehnten die Anmeldemöglichkeit auch auf High
Schools und auf Unternehmensmitarbeiter aus. Im September 2006 konnten sich auch Studenten an ausländischen
Hochschulen anmelden, später wurde die Seite für beliebige Nutzer freigegeben. Im Frühjahr 2008 wurde die
Website neben Englisch auch in den Sprachen Deutsch, Spanisch und Französisch angeboten,[9] ab zweitem Quartal
2008 folgten weitere Sprachen, so dass heute über 80 Lokalisierungen angeboten werden.
Funktionen
Jeder Benutzer verfügt über eine Profilseite, auf der er sich vorstellen und Fotos oder Videos hochladen kann. Auf
der Pinnwand des Profils können Besucher öffentlich sichtbare Nachrichten hinterlassen oder Notizen/Blogs
veröffentlichen. Alternativ zu öffentlichen Nachrichten können sich Benutzer persönliche Nachrichten schicken oder
chatten. Freunde können zu Gruppen und Events eingeladen werden. Facebook verfügt zudem über einen
Marktplatz, auf dem Benutzer Kleinanzeigen aufgeben und einsehen können. Durch eine Beobachtungsliste wird
man über Neuigkeiten, z. B. neue Pinnwandeinträge auf den Profilseiten von Freunden informiert. Die Benutzer auf
Facebook sind in Universitäts-, Schul-, Arbeitsplatz- und Regionsnetzwerke eingeteilt.
Applikationen
Das Unternehmen öffnete im Mai 2007 seine Plattform für Anwendungen von Drittanbietern. Entwicklern steht über
die Facebook Platform eine Programmierschnittstelle (API) zur Verfügung, mit der sie Programme schreiben
können, die sich dem Design von Facebook anpassen und nach Erlaubnis der Nutzer auf deren Daten zugreifen
können.[10] Facebook-Mitglieder können die angebotenen Programme in ihre Profilseiten integrieren. Die Bandbreite
umfasst Spiele und andere Kommunikationsanwendungen. Nach Unternehmensangaben waren im Oktober 2009
mehr als 350.000 Applikationen verfügbar.[11] Allerdings erreicht nur ein kleiner Teil davon mehr als 100.000
Nutzer im Monat. Mit über 75 Millionen aktiven Nutzern[12] ist das Onlinespiel FarmVille die derzeit beliebteste
Facebook-Applikation.
Beobachter bewerten die Öffnung der Plattform als wichtigen Schritt, um die Attraktivität von Facebook zu erhöhen
und damit die Nutzerzahl zu steigern.[13] Allerdings wuchs das Angebot derart rasant, dass Nutzer über die
Unübersichtlichkeit klagten. Einige Applikationen sind vor allem darauf ausgelegt, sich möglichst schnell zu
verbreiten. Das Unternehmen geht mittlerweile gegen Application Spam vor, indem es im Rahmen eines
sogenannten Verification Program vertrauenswürdige und sichere Anwendungen besser platziert und ihnen ein
entsprechendes Logo verleiht.[14] [15]
141
Facebook
Connect
Mit Facebook Connect bietet das Unternehmen eine Lösung zur Einmalanmeldung an. Registrierte Nutzer können
über diese Funktion ihre Anmeldedaten auf anderen Websites verwenden, ohne sich dort registrieren zu müssen. In
bestimmten Fällen ist es zudem möglich, Inhalte wie das Profil, Fotos, Kontaktlisten und Kommentare
mitzunehmen. Im Gegenzug zeigt Facebook Aktivitäten in den jeweiligen Portalen in seinem eigenen Angebot an, so
dass die Freunde eines Mitglieds diese sehen können.[16]
Nach einer Testphase ging der Anmeldedienst im Dezember 2008 an den Start. Mittlerweile unterstützen ihn nach
Unternehmensangaben mehr als 240.000 Websites und Geräte, mehr als 60 Millionen Nutzer greifen jeden Monat
darauf zu.[17] Unter den Kooperationspartnern sind namhafte Unternehmen wie Yahoo!, Lufthansa, die Washington
Post oder in Deutschland das Online-Portal Bild.de.[18]
Auch mehrere Spielkonsolen verwenden den Anmeldedienst. Nutzer der mobilen Konsole Nintendo DSi können
beispielsweise mit der integrierten Kamera gemachte Bilder auf Facebook hochladen. Die Xbox 360 erlaubt seit
einer Aktualisierung den direkten Zugriff auf das Netzwerk. Mit der PlayStation 3 können Spieler Transaktionen im
PlayStation-Store und neu erhaltene Trophäen auf der persönlichen Facebook-Seite anzeigen lassen.
Der Facebook-Connect-Nachfolger „Open Graph“ wurde 2010 auf der f8-Entwicklerkonferenz vorgestellt.[19]
Open Graph
Facebook Open Graph ist der Nachfolger der Schnittstelle Facebook Connect und bietet Entwicklern Zugang zur
Facebook-Plattform. Über die API können Entwickler auf einfache Weise auf die Daten des sozialen Netzwerks
zugreifen und eigene Applikationen programmieren. Im Rahmen der f8-Entwicklerkonferenz 2010[19] hat Facebook
verschiedene vorprogrammierte Lösungen für externe Websites vorgestellt, die sogenannten „Social Plugins“ (soziale
Erweiterungsmodule). Über diese Plug-ins können Website-Betreiber einfach kleine Anwendungen mit minimalem
Programmieraufwand im eigenen Portal integrieren.[20] Die beliebtesten Plugins sind der Like Button, die Like Box
und die Facebook Comment Box. Des Weiteren existieren Anwendungen für Empfehlungen, einen Activity Stream
oder die Anmeldung mit Facebook.[21]
Abgesehen von diesen vorprogrammierten Lösungen kann jeder Entwickler selbst mit dem Open Graph seinen
Webauftritt erweitern und mit Facebook verbinden. Die Daten des Nutzers erhält eine Website allerdings erst dann,
wenn der Nutzer dies ausdrücklich selbst autorisiert hat. So ist z. B. Einmalanmeldung über Facebook ohne Weiteres
möglich. Die konkreten Anwendungsfälle des Open Graphs können sehr unterschiedlich sein, da jeder Entwickler
selbst entscheidet, wie er konkret mit den Daten umgeht.
Bereits wenige Tage nach der Vorstellung des Open Graphs wurden die Funktionen auf über 100.000 Websites
eingebunden.[22] Mittlerweile nutzen über eine Million Websites die verschiedenen Funktionen des Open Graphs.[23]
Mobil
Spezielle Facebook-Clients sind mittlerweile für verschiedene mobile Plattformen verfügbar (Windows Mobile,
BlackBerry, Apple iPhone/iPod touch, S60, Android, HP webOS, bada etc.). Außerdem gibt es drei mobile Portale
für mobile Browser mit und ohne Sensorbildschirm-Unterstützung, sowie einer rein Text-basierenden Seite, die aus
einigen ausgewählten Handynetzen kostenlos erreichbar ist.[24] [25]
Des Weiteren gibt es ein Angebot zur Statusaktualisierung und verschiedenen anderen Funktionen per SMS, welcher
jedoch in Deutschland nur aus dem O2-Netz funktioniert. Der Versand der SMS an die Nummer 2665 (BOOK)
kostet den normalen SMS-Tarif. Für O2-Kunden ist der Empfang der Nachrichten von Facebook (z. B.
Statusmeldungen, neue Nachrichten usw.) kostenlos. Zum Freischalten muss eine SMS mit dem Buchstaben „f“ an
die 2665 gesendet werden, anschließend erhält der Nutzer einen Code auf dem Mobiltelefon, den er bei Facebook
angeben muss und die Nummer daraufhin freigeschaltet wird.
142
Facebook
Seit dem 1. September 2010 ist es, wie bereits längere Zeit in anderen Ländern, aus dem gesamten E-Plus-Netz
möglich, unter dem Dienst Facebook Zero (durch den Aufruf der Adresse 0.facebook.com) kostenlos auf Facebook
zuzugreifen. Dabei werden jedoch keine Bilder oder andere Multimedia-Inhalte angezeigt. Zum Anzeigen dieser
muss auf die normale mobile Seite gewechselt werden, wodurch ohne Flatrate normale Internetkosten entstehen.[24]
Am 13. Oktober 2010 hat Facebook eine Funktion zum Einrichten von Einmal-Passwörtern eingerichtet. Der Nutzer
muss zuvor seine Handynummer im Portal freigeschaltet haben. Durch den Versand einer SMS mit dem Inhalt otp
an die 2665 wird der Nutzer anhand der Handynummer identifiziert und ihm ein temporäres Passwort zugeschickt,
das 20 Minuten lang gültig ist. um mehr Sicherheit bei der Benutzung von öffentlichen Internetzugängen zu
gewährleisten.
Places
Mitte August 2010 stellte Mark Zuckerberg eine zusätzliche Funktion vor: Facebook Places.[26] Diese Erweiterung
ermöglicht den Usern anderen mitzuteilen, wo sie sich gerade befinden und mit wem sie gerade zusammen sind.
Außerdem kann man sich auch anzeigen lassen, welche Freunde gerade ihren Standort mitgeteilt haben. [27] Dieser
location based service stellt eine Adaption der Gowalla- und Foursquare-Funktion dar und wurde zunächst nur in den
USA gestartet. Die Einführung des Dienstes in Deutschland fand am 5. Oktober 2010 statt. Die Funktion ist nur in
den Facebook-Apps und über die Facebook-Webseite für Smartphones verfügbar.
Seit dem 3. November 2010 bietet Facebook mit dem neuen Produkt Deals Marketingmöglichkeiten für lokale
Unternehmen.[28] Der Dienst heißt in der deutschen Version 'Facebook Angebote' und wurde am 31. Januar 2011 in
Deutschland vorgestellt. [29] Beim Start des neuen Dienstes haben verschiedenste Unternehmen mitgewirkt und
Rabatte angeboten. [30]
Videoanrufe
In Kooperation mit Skype stellt Facebook die Funktion unter dem Motto "Manchmal sind Emoticons einfach nicht
genug" vor. Hiermit soll es möglich sein, eine Videokonferenz mit Freunden und Bekannten die eine Webcam
besitzen herzustellen. Diese Funktion wurde zwar vorgestellt, ist aber noch nicht oder nur teilweise als Beta-Version
verfügbar.
Technik
Facebook betreibt in seinen Rechenzentren CentOS-Server – früher mit Apache, heute mit einer eigenen
HTTP-Server-Software –, sowie mit PHP und einem selbst entwickelten Datenbanksystem namens Cassandra.
Zahlreiche Eigenentwicklungen aus der Installation werden als freie Software veröffentlicht: die Datenbank
Cassandra, HipHop, Tornado, Thrift, Scribe …[31] Als „Gold“-Sponsor des Apache-Projektes fördert Facebook die
freie Software auch finanziell mit 40.000 US-Dollar jährlich.
Seitenkategorien
Facebook bietet nicht nur Privatpersonen die Möglichkeit eine Seite zu erstellen und zu betreiben, sondern mit einem
breit gefächerten Angebot auch für Künstler, bekannte Personen, Unternehmen und Marken.
Facebook unterscheidet folgende Seitenkategorien:[32]
1. Lokales Unternehmen vor Ort
2. Unternehmen, Organisation oder Institution
3. Marke oder Produkt
4. Künstler, Band oder öffentliche Person
5. Unterhaltung
6. Anliegen oder Gemeinschaft
143
Facebook
144
Derartige Auftritte sind Teil des Social Media Marketings bzw. der Public Relations-Aktivitäten. Mögliche Ziele der
Auftritte:
•
•
•
•
•
•
den Aufbau und die Pflege eines positiven Markenimages zu begünstigen
die Bekanntheit zu steigern
die Besucherzahlen einer Website zu optimieren
die Kundenakquisition positiv zu beeinflussen (Word-of-Mouth; Empfehlungsmarketing)
die Kundenbindung zu erhöhen
Produkte/Dienstleistungen/Angebote weiterzuentwickeln (Innovationsmanagement; z. B. Diskussion von
möglichen Produkteigenschaften)
• potenzielle Mitarbeiter zu rekrutieren (Social Recruiting; Einblick in die Unternehmenskultur)
In der Regel gelingt die Akquisition von Fans auf Facebook einfacher, je emotionaler ein Produkt oder
Dienstleistung ist. Selbstverständlich hat der Bekanntheitsgrad des Produktes einen überaus hohen Einfluss auf den
Erfolg einer Seite.
Übersicht der Markenauftritte mit den weltweit meisten Fans:[33]
Rang*
Marke
Fans
Wachstum**
1. (1.)
Coca-Cola
31,6 Mio.
+7,3 %
2. (2.)
Disney
26,6 Mio.
+6,0 %
3. (4.)
MTV
25,1 Mio.
+7,4 %
4. (3.)
Starbucks
23,5 Mio.
+3,4 %
5. (5.)
Oreo
21,8 Mio.
+5,5 %
6. (6.)
Red Bull
21,2 Mio.
+6,9 %
7. (7.)
Converse All Star 19,8 Mio.
+6,7 %
8. (8.)
Skittles
18,3 Mio.
+4,6 %
9. (9.)
Play Station
16,2 Mio.
+4,1 %
15,2 Mio.
+12,2 %
10. (10.) iTunes
* Rang in Klammer: Vormonat / ** Wachstum: Im Vergleich zu Vormonat / Alle Zahlen per 30. Juni 2011[33]
Aktuelle Entwicklung Juni 2011: Im November des vergangenen Jahres überschritt Coca Cola als erste Marke die
20-Millionen-Fangrenze, etwas mehr als vier Monate später die 25- und weitere zweieinhalb Monate später nun
bereits die 30-Millionengrenze. Coca Cola konnte damit seine Community in den vergangenen sieben Monate um
mehr als 55 Prozent steigern. Im Durchschnitt wuchsen die Communities der Marken mit den weltweit meisten Fans
während dem Juni 2011 um 5.0 Prozent, seit Jahresbeginn um 47.6 Prozent. Die höchste Zuwachsrate seit anfangs
Jahr verzeichnet Play Station mit rund 110 Prozent, gefolgt von MTV (rund 87 Prozent Zuwachs) und Disney (knapp
70 Prozent Zuwachs). Den höchsten absoluten Fanzuwachs konnte im ersten Halbjahr 2011 MTV (plus 11.7
Millionen Markenfans), vor Disney (plus 10.9 Millionen) und Coca Cola (plus 10.1 Millionen) verzeichnen.[33]
Statistik
Aktuelle Entwicklung weltweit
Im Sommer 2010 (21. Juli 2010) konnte Facebook die 500-Millionen-Mitgliedermarke überschreiten. Am 13. Januar
2011, lediglich ein halbes Jahr später, übertraf Facebook bereits die 600-Millionen-Marke. Per 31. Januar 2011
betrug der Bestand an aktiven Mitglieder 619,1 Millionen.[3] Das Wachstum im Januar 2011 entsprach einer
Zuwachsrate von 5,9 Prozent, was einer absoluten Zunahme von 34,7 Millionen neuen Mitgliedern entspricht. Im
Februar 2011 betrug die Zuwachsrate 3,8 Prozent, was 23,3 Millionen Neumitglieder entspricht. Der tägliche
Facebook
145
Zuwachs während Februar 2011 betrug somit mehr als 833.000 Neumitglieder.[34] Während des Monats März 2011
wuchs Facebook erneut stark und legte um 22,1 Millionen bzw. 3,5 Prozent auf neu 664,6 Millionen aktive
Mitglieder zu.[3] Nach dem rasanten Wachstum während des ersten Quartals 2011, fand während des Aprils in vielen
Ländern eine Konsolidierung statt. Das Wachstum im April betrug 9.5 Millionen aktive Mitglieder (plus 1,4
Prozent). Von den 100 größten Mitgliederländern wiesen ein Viertel einen Rückgang im Vormonatsvergleich aus.
Die Philippinen konnten dank einem Zuwachs von 7,4 Prozent den sechsten Rang nach Anzahl Mitglieder
zurückgewinnen. Aufgrund des starken Rückgangs im April fiel Kanada hinter Deutschland. Kanada ist somit
erstmals nicht mehr Teil der zehn größten Facebook-Nationen.[3] Deutschland wiederum wurde im Mai 2011 von
Brasilien überholt und rangiert nun wieder auf dem elften Rang. Weltweit wuchs Facebook im Mai um 2.2 Prozent.
Am stärksten wuchs Mexiko (plus 2.7 Millionen aktive Mitglieder), gefolgt von Brasilien (plus 2.5 Mio.) und Indien.
Von den 100 Ländern mit den höchsten Mitgliederzahlen wiesen lediglich 14 im Mai ein Minus aus. Mit einem
satten Minus von 5.9 Millionen (-3.8 Prozent) standen die USA an der Spitze der Länder mit einer negativen
Entwicklung, gefolgt von Kanada (-900'000 Mitglieder, -5.1 Prozent), Russland (-10.6 Prozent) sowie
Großbritannien (-1.3 Prozent)[34]
Im Kontinentalvergleich wiesen die arabischen Länder mit einem Zuwachs (Februar 2011) von plus 8,5 Prozent die
höchste Zuwachsrate aus, gefolgt von Süd-/Mittelamerika mit einem plus von 7,2 Prozent und Afrika (plus
5,8 Prozent; ohne arabische Länder; mit arabischen Länder: plus 7,4 Prozent). Europa (plus 4,0 Prozent) sowie
Nordamerika (plus 2,1 Prozent) wiesen im Vergleich eine geringere Wachstumsdynamik aus. Ozeanien war im
Januar 2011 der einzige Kontinent mit einem Minus von 3,1 Prozent, was auf die wetterbedingten Umstände
zurückzuführen war.[3] Im Februar 2011 konnte Ozeanien wieder in die Pluszone zurückkehren (plus
3,8 Prozent).[34] Im März konnte Europa bis auf 0,5 Millionen Mitglieder zu Nordamerika aufschließen. Europa wies
nach Afrika (plus 8,5 Prozent) die höchste kontinentale Zuwachsrate (plus 5,3 Prozent) aus. Asien wies als einziger
Kontinent ein Nullwachstum aus.[3] April/Mai 2011: Nachdem Europa im April Nordamerika als Kontinent mit den
meisten Facebook-Mitglieder ablöste, vermochte im Mai auch Asien Nordamerika zu überholen und steht knapp
davor, auch Europa zu überflügeln:[3] .
Übersicht:[3]
Kontinent
Mitglieder
Differenz
weltweit
710,9 Mio.
+3,1 %
Asien
182,4 Mio.
+4,8 %
Europa
179,9 Mio.
+2,0 %
Nordamerika
167.9 Mio.
+1,2 %
Süd-/Mittelamerika
121.3 Mio.
+4,7 %
Afrika
46.7 Mio.
+5,0 %
Ozeanien
12,6 Mio.
+1,3 %
Wie bereits in den Vormonaten verzeichneten die arabischen Länder im Juni 2011 erneut einen starken Zuwachs.
Das Mai-Wachstum der arabischen Länder betrug 4,7 Prozent.[3]
Facebook gibt die Möglichkeit aus insgesamt 211 unterschiedlichen Ländern auszuwählen. Die Vereinigten Staaten
sind jedoch mit Abstand das Land mit den meisten Mitgliedern:
Übersicht:[34]
Facebook
146
Rang
Land
Mitglieder
Differenz
151,4 Mio.
+1,3 %
1. (1.)
Vereinigte Staaten
2. (2.)
Indonesien
38,9 Mio.
+2,6 %
3. (3.)
Vereinigtes Königreich
29,9 Mio.
+1,3 %
4. (5.)
Indien
29,5 Mio.
+10,7 %
5. (4.)
Türkei
29,5 Mio.
+1,9 %
6. (7.)
Mexiko
26,8 Mio.
+4,5 %
7. (6.)
Philippinen
25,3 Mio.
+3,3 %
8. (8.)
Frankreich
22,7 Mio.
+1,1 %
9. (10.)
Brasilien
21,5 Mio.
+11,5 %
10. (9.)
Italien
19,8 Mio.
+0,9 %
19,5 Mio.
+4,4 %
weitere:
11. (10.)
Deutschland
26. (25.)
Russland
4,6 Mio.
+5,4 %
36. (41.)
Japan
3,8 Mio.
+12,2 %
46. (46.)
Schweiz
2,7 Mio.
+2,4 %
48. (48.)
Österreich
2,6 Mio.
+1,5 %
91. (95.)
China
0,5 Mio.
+32,4 %
Zahl in Klammer: Rang Vormonat / Diff.: Veränderung gegenüber Vormonat
Obwohl Indien bereits auf Rang 4 der Facebook-Nationen liegt, weist dieses Land noch eine ausgesprochen geringe
Markterschließung (Marktpenetration) aus. Lediglich 2,4 % der Bevölkerung sind auf Facebook aktiv:[34]
Übersicht Markterschließung (Marktpenetration):
Land
Welt
Marktpenetration*
10,4 %
Vereinigte Staaten
48,7 %
Kanada
48,4 %
Vereinigtes Königreich
48,4 %
Türkei
37,9 %
Frankreich
34,7 %
Schweiz
34,1 %
Italien
32,7 %
Österreich
30,7 %
Philippinen
28,6 %
Deutschland
23,8 %
Mexiko
23,8 %
Indonesien
16,4 %
Brasilien
11,5 %
Russland
3,3 %
Facebook
147
Japan
3,0 %
China
0,04 %
* Marktpenetration = Anzahl aktive Mitglieder/Wohnbevölkerung; Angaben per 30. Juni 2011
Geschlechterquoten
[34]
Anteil
Frauen
48,3 %
Männer
51,7 %
Die Geschlechterquoten weichen von Land zu Land stark ab. Einige Beispiele: Vereinigte Staaten (Männeranteil) 44
Prozent, Indonesien: 59,3 Prozent, Türkei: 64,2 Prozent, Indien: 70,4 Prozent, Brasilien: 45,8 Prozent, Deutschland:
51,7 Prozent, Schweiz: 51,8 Prozent, Österreich: 50,7 Prozent.[3]
Aktuelle Entwicklung G8, EU-27 und EFTA
Im Januar 2011 wiesen die 35 Länder der drei Staatenbunde G8, EU-27 und EFTA eine außergewöhnlich
unterschiedliche Entwicklung auf. Auf den ersten Blick fallen die massiven, zum Teil zweistelligen Zuwachs- bzw.
Schrumpfungsraten einzelner Länder auf:
Übersicht:[35] "
Rang
Land
Zuwachs-/Schrumpfungsrate
1.
Rumänien
+52,0 %
2.
Zypern
+27,1 %
3.
Russland
+20,9 %
4.
Japan
+20,6 %
5.
Polen
+16,3 %
6.
Ungarn
+11,8 %
7.
Estland
+11,2 %
8.
Lettland
+10,6 %
9.
Bulgarien
+10,2 %
11.
Deutschland
+8,4 %
15.
Österreich
+1,8 %
18.
Vereinigte Staaten
+1,3 %
32.
Schweiz
−5,6 %
34.
Liechtenstein
−13,1 %
35.
Luxemburg
−13,5 %
Die unterschiedlichen Entwicklungen sind primär auf drei Ursachen zurückzuführen: Wachstum zu Lasten von
anderen Social-Networking-Plattformen (z. B. Deutschland, Vereinigte Staaten), statistischer Effekt bei Ländern mit
vergleichsweise geringer Marktpenetration (Verhältnis Mitgliederanzahl zu Wohnbevölkerung; z. B. Russland,
Polen, Japan) sowie saisonale Effekte (z. B. Schweiz).[35]
Übersicht Wirtschaftsorganisationen:[35]
Facebook
148
Organisation
Mitglieder
Zuwachs-/Schrumpfungsrate
263,4 Mio.
+1,1 %
EU-27
140,1 Mio.
+2,5 %
EU-15
120,2 Mio.
+0,7 %
5,0 Mio.
−4,0 %
G8
EFTA|EFTA
Regional betrachtet wiesen vorab die nordischen Länder Europas, die Schweiz sowie die beiden Kleinstaaten
Luxemburg und Liechtenstein Rückgänge aus, während die osteuropäischen Länder sowie Deutschland und Japan
hohe Zuwachsraten auswiesen.[35]
Aktuelle Entwicklung im deutschsprachigen Raum
Deutschland
In Deutschland hat Facebook im Juli 2010 erstmals die 10-Millionen-Mitglieder-Marke übertroffen.[36] . Ende April
2011 gab es in Deutschland mehr als 17,5 Millionen aktive Nutzer (17.556.320). Ende Mai 2011 waren es bereits
mehr als 20 Millionen aktive Nutzer in Deutschland.[37] Das Wachstum in Deutschland beruht in erster Linie auf der
Abwanderung von anderen Social Networking Plattformen (u.a. VZ-Netzwerken). Die Marktpenetration (Verhältnis
aktive Mitglieder zu Wohnbevölkerung) in Deutschland betrug per Ende Januar 13,6 % (weitergehende
Länderzahlen siehe Aktuelle Entwicklung Welt).[35] Einer im April 2011 veröffentlichten repräsentativen Umfrage
zufolge ist knapp jeder zweite deutsche Internetnutzer bei Facebook angemeldet. Damit ist Facebook das mit
Abstand beliebteste Soziale Netzwerk (VZ-Netzwerke gleichauf mit Stayfriends mit je 27 % der Internetnutzer).[38]
Weltweit rangiert Deutschland auf Rang elf, rund 1.7 Millionen Mitglieder hinter Kanada (Stand Ende Januar
2011).[35] Demographische Übersicht:[35]
Geschlechterquoten
Mitglieder
Anteil
Frauen
7.202.340
48,3 %
Männer
7.705.660
51,7 %
Altersgruppen
Altersgruppe
Mitglieder
Anteil
276.820
1,8 %
14 bis 19 Jahre
3.636.260
24,1 %
20 bis 29 Jahre
5.382.780
35,6 %
30 bis 39 Jahre
2.894.360
19,2 %
40 bis 49 Jahre
1.793.100
11,9 %
50 bis 59 Jahre
717.120
4,8 %
über 60 Jahre
396.060
2,6 %
bis 13 Jahre
90,8 Prozent der aktiven deutschen Mitglieder befinden sich in der werberelevanten Zielgruppe der 14- bis
49-jährigen Personen.[35]
Facebook
149
Schweiz
Am 27. November 2008 durchbrach die Schweiz zum ersten Mal die 1-Million-Mitgliedergrenze. Per Ende
Dezember 2010 wies die Schweiz mit 2.478.640 Mitgliedern einen neuen Höchstwert auf. Das Jahreswachstum
betrug 37,5 Prozent.[39] Im Januar 2011 jedoch erwies sich die Schweiz im weltweiten Vergleich als eigentlicher
Sonderfall: Von den einhundert mitgliederstärksten Länder weltweit wiesen lediglich 16 Länder eine negative
Entwicklung der Mitgliederzahlen aus, darunter die Schweiz. Von den 16 Ländern wiesen sogar nur drei Länder
einen höheren prozentualen Rückgang aus (Schweiz: minus 5,6 Prozent): Die Vereinigten Arabischen Emirate
(minus 12,6 Prozent), Singapur (minus 8,6 Prozent) und Kuwait (minus 7,1 Prozent).[39] Im Februar erfolgte jedoch
bereits der erste Schritt zurück zur Normalität. Der Mitgliederbestand wuchs um 3,9 Prozent und hat somit den
Hauptteil des Januar-Rückgangs wieder wett gemacht. Es ist davon auszugehen, dass im Verlauf vom März 2011 die
saisonale Delle wieder durch die übliche Rückwanderung ausgeglichen werden wird.[39]
Demographische Übersicht:[39]
Geschlechterquoten
Mitglieder
Anteil
Frauen
1.147.940
48,1 %
Männer
1.236.580
51,9 %
Altersgruppen
Altersgruppe
Mitglieder
Anteil
47.080
1,9 %
14 bis 19 Jahre
511.640
21,0 %
20 bis 29 Jahre
813.560
33,4 %
30 bis 39 Jahre
516.740
21,2 %
40 bis 49 Jahre
314.980
12,9 %
50 bis 59 Jahre
143.520
5,9 %
90.680
3,7 %
bis 13 Jahre
über 60 Jahre
88,5 Prozent der aktiven Schweizer Mitglieder befinden sich in der werberelevanten Zielgruppe der 14- bis
Österreich
Österreich wies per 31. Dezember 2010 einen neuen Rekordmitgliederbestand von 2.258.020 Personen aus.[35] Am
27. November 2008 waren lediglich 224.780 Personen in Österreich auf Facebook registriert. Österreich weist damit
eine ähnliche Entwicklung wie Deutschland aus: Im Vergleich mit der Schweiz konnte Facebook verhältnismäßig
spät Fuß fassen, da der Markt bereits durch andere Social-Networking-Plattformen für die damaligen Verhältnisse
gut erschlossen war. Während den letzten beiden Jahren kam es jedoch zu einer starken Abwanderungsbewegung
von diesen Plattformen (VZ-Plattformen, wer-kennt-wen, Stayfriends etc.) hin zu Facebook. Die von dieser
Verschiebung bereinigte Wachstumsdynamik zeigt in etwa eine gleiche Wachstumsrate für die drei Länder
Österreich, Deutschland und die Schweiz. Per 31. Januar 2011 betrug die Mitgliederanzahl 2.297.900, was einem
Zuwachs von 1,8 Prozent für den Januar 2011 entspricht.[35]
Demographische Übersicht:[35] Geschlechterquoten
Facebook
150
Mitglieder
Anteil
Frauen
1.122.420
49,3 %
Männer
1.154.440
50,7 %
Altersgruppen
Altersgruppe
Mitglieder
Anteil
48.980
2,1 %
14 bis 19 Jahre
595.020
25,9 %
20 bis 29 Jahre
794.620
34,6 %
30 bis 39 Jahre
438.980
19,1 %
40 bis 49 Jahre
258.240
11,2 %
50 bis 59 Jahre
104.240
4,5 %
60.400
2,6 %
bis 13 Jahre
über 60 Jahre
90,7 Prozent der aktiven österreichischen Mitglieder befinden sich in der werberelevanten Zielgruppe der 14- bis
Infrastruktur
Jeff Rothschild gab in einer Präsentation Anfang Oktober 2009 bekannt, dass die Infrastruktur von Facebook aus
30.000 Servern bestehe.[40] Anhand einer im Juni an der Velocity Conference von Tom Cook (Facebook)
veröffentlichten Präsentation dürfte die Anzahl der in der Infrastruktur genutzten Server sich innerhalb von neun
Monaten auf rund 60.000 verdoppelt haben.[41]
Wirtschaftliche Lage
Facebook hat nach der Gründung im Jahr 2004 in mehreren Runden rund 1,24 Milliarden Dollar Kapital zur
Finanzierung erhalten. Das Geschäftsmodell basiert vor allem auf Werbung, Gebühren für die Mitgliedschaft
schließt das Unternehmen aus. Für das Geschäftsjahr 2010 erwartet es laut Medienberichten rund 2 Milliarden Dollar
Umsatz.[42] Im Februar 2010 wurde in Hamburg die erste Deutschland-Filiale eröffnet, um die Zusammenarbeit von
Marken und Unternehmen mit Kunden oder Fans auf Facebook zu verbessern.
Geschäftsmodell
Die Facebook-Nutzung ist für Mitglieder kostenlos. Einnahmen soll vor allem das Werbegeschäft bringen. In den
USA hat das Unternehmen den größten Anteil am Markt für Bannerwerbung (Stand: November 2010).[43] Im
Dezember 2010 wurde bekannt, dass Facebook in seinem Dienst neue E-Commerce-Angebote integrieren
möchte.[44] Dieser Social-Shopping-Marktplatz soll eine Alternative zum klassischen Online-Shopping darstellen,
aber auch neue Mitglieder anlocken und zudem höhere Werbeeinnahmen generieren.[45]
Kennzahlen
Da das Unternehmen nicht börsennotiert ist und eingeschränkten Publikationspflichten unterliegt, sind keine genauen
Geschäftszahlen bekannt. Medien berichteten, dass der Umsatz 2008 rund 300 Millionen Dollar betrug, 2009 rund
800 Millionen Dollar.[46] Für 2010 erwarte das Unternehmen einen Umsatz von rund 2 Milliarden Dollar, schrieb die
Nachrichtenagentur Bloomberg.[42] Ob das Unternehmen Gewinne schreibt, ist nicht bekannt. Facebook erklärte im
September 2010 aber, im damals abgelaufenen Quartal einen positiven Cashflow erreicht zu haben.[47] Anfang 2011
Facebook
151
wurden vertrauliche Kennzahlen bekannt, die nur an Investoren verteilt wurden. Für die ersten neun Monate 2010
soll Facebook 355 Mio. US-Dollar netto verdient haben, bei einem Umsatz von 1,2 Milliarden US-Dollar. Die
Geschäftszahlen seien jedoch nicht von einer Revisionsstelle geprüft worden. Das Unternehmen soll 50 Milliarden
US-Dollar wert sein.[48] [49]
Finanzierung
Facebook hat in mehreren Finanzierungsrunden rund 1,24 Milliarden Dollar Kapital eingesammelt. Der erste
Investor war der Internet-Unternehmer Peter Thiel. Auch der Softwarekonzern Microsoft hat sich an dem
Unternehmen beteiligt. Das russische Investment-Unternehmen Mail.ru (früher Digital Sky Technologies) schoss in
mehreren Schritten knapp 500 Millionen Dollar hinzu. Im Januar 2011 beteiligte sich nach einem bislang
unbestätigten Bericht der New York Times auch die US-Investmentbank Goldman Sachs mit rund 400 Millionen
Dollar. Das Geldhaus soll zudem eine besondere Anlageform entwickeln, über die ausgewählte Kunden in Facebook
investieren können. So sollen weitere 1,5 Milliarden Dollar zusammenkommen.[50] Mehrere Konzerne, darunter
Yahoo! und Viacom, versuchten, Facebook vollständig zu übernehmen, die Gründer lehnten jedoch alle Angebote
ab.[51]
Finanzierungsrunden
Datum
Investor
2004 Eduardo Saverin
Juni 2004 Peter Thiel
Mai 2005 Accel Partners (Investmentunternehmen)
April 2006 Konsortium geführt von Greylock Partners (Investmentunternehmen)
Oktober 2007 Microsoft
November 2007 Li Ka-shing (Geschäftsmann aus Hongkong)
Mai bis Dezember 2009 Mail.ru
Januar 2011 Goldman Sachs, Mail.ru
Summe
19.000 Dollar
500.000 Dollar
12,7 Mio. Dollar
[52]
27,5 Mio. Dollar
240 Mio. Dollar
60 Mio. Dollar
[53] [54]
400 Mio. Dollar
[50]
500 Mio. Dollar
Mit der Einführung einer neuen Aktienstruktur – die den bisherigen Anteilseignern mehr Kontrolle sichert – hat das
Unternehmen einen möglichen Börsengang vorbereitet.[55]
Marktwert
Da Facebook nicht börsennotiert ist, kann der Marktwert nur grob ermittelt werden, etwa anhand von Investitionen
in das Unternehmen oder dem Handel von Mitarbeiteraktien auf dem Sekundärmarkt.[56] Im Januar 2011 wurde der
Marktwert auf ca. 50 Milliarden US-Dollar taxiert.[57] [58] [59]
Eigentümerstruktur
Größte Anteilseigner sind Mark Zuckerberg (24 %), Chris R. Hughes (12 %), Peter Thiel (7 %), Digital Sky
Technologies (6,9 %),[60] Dustin Moskovitz (6 %), Eduardo Saverin (5 %)[61] und Microsoft (1,6 %).
Im Januar 2011 wurde bekannt, dass Goldman Sachs 450 Millionen Dollar in Facebook investiert hat und Digital
Sky Technologies weitere 50 Millionen.[62] Der Wert des sozialen Netzwerks wird mit dem Deal auf 50 Milliarden
Dollar (37 Milliarden Euro) gesteigert.[62] Die Beteiligung von Goldmann Sachs entspräche also ca. 0,9 %.
Mit dem Geschäftsabschluss wurde bekannt, dass Goldman Sachs zusätzlich bis zu 1,5 Milliarden Dollar von
weiteren Investoren für Facebook einsammeln werde.[62] Digital Sky Technologies hatte vorher bereits eine halbe
Facebook
Milliarde Dollar in das soziale Netzwerk investiert,[62] Microsoft hatte im Jahr 2007 bei einem geschätzten
Firmenwert von 15 Milliarden US-Dollar für seine 1,6 % 250 Millionen Dollar gezahlt.[63]
Facebook-Gründer Zuckerberg hat einen Börsengang bislang abgelehnt, die Führung des Unternehmens zieht aber
möglicherweise einen Börsengang im Jahr 2012 in Erwägung.[62]
Kritik
Generelle Kritik am Datenschutz bei Facebook
Facebook steht regelmäßig für seine Datenschutzpraktiken in der Kritik. Besonders hervorzuheben ist hierbei ein
Bericht der Stiftung Warentest, der den Datenschutz zehn führender sozialer Netzwerke miteinander vergleicht.
Facebook belegt hierin zusammen mit LinkedIn und Myspace die hintersten Plätze wegen „erheblicher Mängel“
beim Datenschutz.[64]
Oft berufen sich Facebook-Befürworter darauf, dass ein guter Datenschutz bei sozialen Netzwerken systembedingt
kaum möglich sei. Allerdings zeigen andere soziale Netzwerke wie StudiVZ und SchülerVZ laut dem Test, dass ein
deutlich besserer Umgang mit Nutzerdaten durchaus möglich ist.[64]
Anonyme Registrierung
Auf Facebook ist es möglich, sich mit einer fiktiven Identität anzumelden. Der Nutzer wird jedoch ausdrücklich dazu
aufgefordert, sich mit seinem echten Vor- und Nachnamen sowie seinem Geburtsdatum anzumelden. Die Eingabe
von zwei Namen (also Vor- und Nachname) ist erforderlich. Zwar findet keine Überprüfung der realen Identität
eines Benutzers statt, jedoch löschte Facebook schon mehrmals in automatisierter Form ohne Vorwarnung Profile
mit ungewöhnlichen Namen, hinter denen ohne Einzelrecherche unechte Identitäten vermutet wurden.[65] Dadurch
wurden auch Profile real existierender Personen gelöscht. Die Veröffentlichung von persönlichen Daten ist den
Nutzern freigestellt.
Fremde E-Mail-Kontakte können ausspioniert werden
Bei der Eröffnung eines Facebookkontos wird nicht sofort überprüft, ob man auch Besitzer der angegebenen
E-Mail-Adresse ist. So kann der Anmelder eine fremde E-Mail angeben und über die Funktion „Freunde finden“ die
20 Personen sehen, mit der der E-Mail-Besitzer Kontakt hatte.[66]
Offenlegung privater Daten bei bloßer Kenntnis der E-Mail-Adresse
Facebook hat eine Kooperation mit den Mailprovidern GMX und Web.de. Wenn z.B. ein GMX-Nutzer Nachrichten
an eine E-Mail-Adresse eines Facebooknutzers schreibt, wird der GMX-Nutzer darüber informiert, dass der
Empfänger seiner E-Mail bei Facebook registriert ist und wie dessen Vor- und Nachname lautet. Während der
Registrierung bei Facebook wird darauf nicht hingewiesen. In den FAQ von GMX gibt es einen Eintrag, der den
Zusammenhang erläutert und eine – nicht mehr aktuelle – Anleitung enthält, wie diese Funktion in den
Einstellungen von Facebook deaktiviert werden kann.[67] Aktuell (April 2011) findet man die Möglichkeit zur
Deaktivierung bei Facebook unter Konto / Privatsphäre-Einstellungen / Anwendungen und Webseiten / Öffentliche
Suche.
152
Facebook
Personalisierte Werbung
Am 7. Oktober 2007 kündigte Facebook an, in allen vorhandenen Nutzerprofilen von mehr als 50 Millionen
registrierten Nutzern personalisierte Werbung zuzulassen. Dabei sollen den bislang interessierten 60 Konzernen und
Unternehmen persönliche Daten der Nutzer zur Verfügung gestellt werden. Neben Alter, Geschlecht,
Lieblingsbeschäftigungen, Wohnort, politischer Überzeugung, Lieblingsbüchern und -filmen umfassen die
bereitgestellten Informationen auch den Bildungsstand und Hinweise auf persönliche Beziehungen.
Dagegen wendet sich in den Vereinigten Staaten erste Kritik, wie von Facebook-Nutzer Nate Weiner im Gespräch
mit AP: „Was wäre, wenn du ein Buch bei Amazon kaufst, das ‚Der Umgang mit Aids‘ heißt, und jeder einzelne
deiner Freunde erfährt davon?“ Denn das Problem ist, dass nun ein Unternehmen immer mehr persönliche, schlecht
zu kontrollierende Angaben seiner Kunden (mit deren formeller Erlaubnis) speichert, das aber im Alltag nicht
bewusst macht.[68]
Ein Artikel im Guardian vom 14. Januar 2008 kritisierte die Gründer und Besitzer des Unternehmens in zahlreichen
Punkten. Unter anderem zeigte er auf, wie die libertäre Gesinnung des Investors Peter Thiel, eines aus Deutschland
stammenden Hedgefonds-Managers, einen Einfluss auf die Funktionsweise und Ausrichtung des Unternehmens
haben könnte.[69]
Verwertung von Nutzerdaten
Facebook änderte im Februar 2009 die Nutzungsbedingungen (Terms of Service) dahin gehend, dass das
Unternehmen die Daten von Mitgliedern zeitlich unbegrenzt verwenden durfte – auch nach Löschung bzw.
Deaktivierung eines Nutzerkontos. Die Regelung betraf beispielsweise Kommentare, Fotos und Videos.[70] Nach
massiven Protesten von Nutzern, Daten- und Verbraucherschützern wurden die Regeln zunächst wieder auf den
Stand vor den Änderungen zurückgesetzt.[71] Zudem kündigte das Unternehmen an, in bestimmten Fällen seine
Nutzer künftig über Regeländerungen abstimmen zu lassen.[72] Im April 2009 stellte Facebook modifizierte
Nutzungsbedingungen zur Abstimmung, in denen Nutzern der Besitz ihrer Informationen zugesichert wird. Eine
Mehrheit der Teilnehmer befürwortete die neuen Regeln.[73] Obwohl die Inhalte (z. B. Fotos) im Besitz der Nutzer
bleiben, erhält Facebook das Recht, alle Inhalte kommerziell zu nutzen und die Nutzungsrechte an Dritte
weiterzugeben.[74] Auch nach der Änderung der Nutzungsbedingungen kommt Facebook immer wieder wegen
seiner lockeren Datenverwertung in die Schlagzeilen. So speichert das Unternehmen nach einem Update auf dem
Handy Kontaktdaten. Aber auch über eine Suchfunktion, über die Mitglieder die noch nicht gefundenen Freunde auf
Facebook mit den Daten aus der E-Mail-Kontaktliste des Mailproviders abgleichen und finden können, werden
Daten von Nicht-Mitgliedern dauerhaft und ungefragt gespeichert.[75] Zuletzt wurden die Nutzungsbedingungen von
Facebook indirekt durch ein Urteil des Oberlandesgerichtes Köln bestätigt. Ein Nutzer hat ein Foto von sich in
seinem Nutzerprofil veröffentlicht. Eine Personensuchmaschine hatte dieses übernommen. Das Oberlandesgericht
Köln wies die auf Unterlassung gerichtete Klage des Nutzers mit der Begründung zurück, dass dieser mit der
Einstellung seines Fotos seine Einwilligung in einen Zugriff durch die Personensuchmaschine zumindest konkludent
erklärt hätte. Zudem hätte er von der ihm von Facebook in den Nutzungsbedingungen eingeräumten Möglichkeit der
Sperre gegenüber Suchmaschinen keinen Gebrauch gemacht, auf die das Gericht ausdrücklich verwiesen hat.[76]
153
Facebook
Auswertung/Nutzung durch Nachrichtendienste und Polizei
Mitte 2009 wurde bekannt, dass die iranische Polizei Facebook-Profile benutzt, um bei Verhören den Freundeskreis
von Regimegegnern und Demonstranten auszumachen und namentlich zu identifizieren.[77]
Vergangene zwangsweise Veröffentlichung von privaten Nutzerdaten
Im November 2009 veränderte Facebook die Standardeinstellungen zur Privatsphäre. Die Voreinstellungen sind nun
so, dass möglichst viele Informationen öffentlich sichtbar sind. Darüber hinaus waren bestimmte Informationen,
darunter Name, Profilfoto, Freunde und Gruppenzugehörigkeiten seitdem immer öffentlich sichtbar, auch wenn
Nutzer zuvor andere Einstellungen vorgenommen hatten – die früheren Schutzmöglichkeiten waren bei diesen
Punkten entfallen. Im Mai 2010 wurden diese Missstände durch umfassende Veränderung und Vereinfachung der
Privatsphären-Einstellungsmöglichkeiten behoben.[78] Seitdem sind lediglich Name, Profilbild und User-ID immer
für alle anderen Facebook-User sichtbar, sämtliche anderen Informationen können über die Privatsphären- oder
Profileinstellungen auf nicht-öffentlich gestellt werden. Die Internet-weite Auffindbarkeit z.B. durch Suchmaschinen
(„Öffentliche Suche“) kann für sämtliche Informationen ausgestellt werden.
Extremistische Einträge
Auf Facebook existieren zahlreiche Benutzerseiten mit extremistischem Inhalt, z. B. Seiten zu Diktatoren.[79] Im
April 2009 hatte eine Benutzerin über 200 Nazi-Seiten gesammelt, mit beispielsweise Namen wie Großdeutschland,
Erwin Rommel Fan Club oder Holocaust Party, mit meist NS-Propaganda. Sie schrieb daraufhin einen offenen Brief
an Facebook mit der Aufforderung, die Profile der Neonazis zu löschen, oder es komme zu einer Anzeige wegen
Volksverhetzung. Am 17. April 2009 stoppte die Deutsche Telekom ihre Werbung auf Facebook mit Hinweis auf
„rechtsextreme“ Websites auf dem Portal.[80] Auch die Bundeszentrale für politische Bildung beobachtete
Facebook.[81] [82] Facebook erklärte daraufhin, man wolle keine Benutzer mit einer Zensur verschrecken, nehme
aber die Nutzungsbedingungen sehr ernst und würde entsprechende Gruppen löschen.[83]
Speicherung der Daten von Nicht-Mitgliedern
Im Februar 2010 kam an die Öffentlichkeit, dass Facebook auch die Daten von Bürgern speichert, die willentlich
nicht bei Facebook angemeldet sind.[84] Facebook bietet den Nutzern von Smartphones eine kostenlose Software
(„App“) an, um ihre Kontakte aus ihrem Telefonbuch mit den Kontakten in Facebook zu synchronisieren. Dabei
werden standardmäßig sämtliche Nach- und Vornamen, Telefonnummern, E-Mail-Adressen und Geburtstage
hochgeladen und bei Facebook gespeichert. Nutzer berichten, dass dadurch auch die Verknüpfungen und
Bekanntschaften von nicht angemeldeten Bürgern ersichtlich werden und bei einer möglichen Neuanmeldung der
betreffenden Person bereits umfassende Freundeslisten vorgeschlagen werden. Diese Art der unwillentlichen
Datenerhebung widerspricht dem in Deutschland geltenden Recht der informationellen Selbstbestimmung.
Inzwischen bietet Facebook zwar ein Kontaktformular[85] an, das es Nicht-Mitgliedern erlaubt, nach Eingabe der
eigenen E-Mail-Adresse alle damit verbundenen Daten löschen zu lassen. Diese Methode ist jedoch nur von Nutzen,
wenn Facebook eine Mailadresse bereits mit den anderen gesammelten Daten verknüpft hat. Nach der Aussage Peter
Schaars, des Datenschutzbeauftragten der Bundesregierung, könnten Bürger rechtliche Schritte einlegen. Das
US-Unternehmen müsse sich deutschem Recht beugen.[86]
154
Facebook
Weitergabe der Benutzeridentitäten durch Facebook-Applikationen
Am 18. Oktober 2010 veröffentlichte das Wall Street Journal einen Bericht über die Weitergabe von Nutzer-IDs an
Drittanbieter. Zahlreiche Facebook-Applikationen konnten durch die Referrer-Informationen des Browsers die ID
der Nutzer auslesen und somit potentiell Rückschlüsse auf die reale Identität des Benutzers ziehen.[87]
Bösartige Scripte
Durch bösartige Scripte, die sich Facebook-Funktionen zu nutze machen, werden Benutzer belästigt oder
ausspioniert.[88] Facebook informiert seine Kunden unzureichend und beschränkt sich vorwiegend auf das, vom
Nutzer oft unbemerkte, Beseitigen des Schadcodes.[89]
Schwieriges Löschen des eigenen Nutzerkontos
Wenn ein Facebook-Nutzer sich entscheidet, sein Profil zu löschen, so muss er sich durch zahlreiche
Bearbeitungsschritte durcharbeiten. Mehrfach wird ihm empfohlen, sein Facebook-Profil zu behalten oder nur
temporär zu deaktivieren. Eine endgültige Abmeldung und Löschung des Profils kann sich über mehrere Monate
hinziehen. Teilweise sind fortgeschrittene Computer-Kenntnisse nötig, über die viele Nutzer nicht verfügen.
Beispielsweise muss der Nutzer wissen, wie man gezielt Cookies löscht.[90]
Dieser unverhältnismäßig hohe Aufwand bewirkt oft, dass viele solcher Nutzer für Facebook erhalten bleiben.
Datenschützer kritisieren diese Vorgehensweise von Facebook als gezielte Einschränkung der Konsumfreiheit. Im
Netz kursieren Anleitungen zur Löschung von persönlichen Daten und Profilen,[91] deren Funktion ist aber oft
umstritten.
Big Brother Award
Im Jahr 2011 wurde Facebook (gemeinsam mit Apple) der Negativpreis Big Brother Award als Datenkrake
zuerkannt.[92]
Gesichtserkennungssoftware
Die Freischaltung einer Software zur Gesichtserkennung, die automatisch auf neu hochgeladenen Fotos nach
Gesichtern anderer Facebooknutzer sucht, um entsprechende Markierungen der Bilder vorzuschlagen, löste bei
Datenschützern heftige Kritik aus. Die Funktion wurde in den USA im Dezember 2010 und in weiteren Ländern im
Sommer 2011 für sämtliche Nutzerkonten aktiviert. Der Dienst gleicht die Gesichter und Namensnennungen auf
älteren Fotos mit den neuen Aufnahmen ab und sucht dort nach diesen Gesichtern. Will ein Nutzer diesen Dienst
nicht in Anspruch nehmen, muss er ihn manuell abschalten.[93]
Facebook-Partys
Über Facebook gibt es die Möglichkeit zu Veranstaltungen einzuladen. Dabei hat der Benutzer zwei Möglichkeiten:
er kann eine öffentliche Veranstaltung ausschreiben oder privat zu einer Veranstaltung einladen. Die Option
„öffentlich“ muss mit einem Häkchen deaktiviert werden. In der Folge kam es zu mehreren Versehen. So hatte ein
16-jähriges Mädchen in Hamburg-Bramfeld anlässlich ihrer Geburtstagsfeier eine Veranstaltung eingestellt, in deren
Folge es zu Sachschaden im Wohnumfeld der 16-jährigen kam.[94] Rund 1600 Gäste besuchten die
Veranstaltung.[95] Ein ähnlicher Fall ereignete sich im Heusweilerer Ortsteil Numborn. Rund 2000 Menschen
besuchten die bereits bei Facebook entfernte Party. In der Folge kam es zu Schäden in fünfstelliger Höhe. Rund 160
Polizeibeamte waren beschäftigt und es kam zu 69 Festnahmen, unter anderem wegen Landfriedensbruch in 13
Fällen, Verstößen gegen das Betäubungsmittelgesetz und zwei Fällen von Körperverletzung.[96]
155
Facebook
Rechtsstreitigkeiten
studiVZ
Das Konzept von Facebook hat einige Nachahmer wie studiVZ und wer-kennt-wen gefunden. So wurde der im
deutschsprachigen Raum verbreitete Konkurrent studiVZ dafür kritisiert, ein bis in die Details von Funktion, Aufbau
und Aussehen gehender Nachbau von Facebook zu sein. Am 19. Juli 2008 reichte Facebook beim US-Bezirksgericht
in San José (Kalifornien) Klage gegen die Betreiber des studiVZ ein, der Vorwurf lautet Diebstahl geistigen
Eigentums.[97] Jedoch ist Facebook mit dieser Klage gescheitert. Im September 2009 teilten beide Unternehmen mit,
man habe sich geeinigt, und studiVZ werde einen Geldbetrag an Facebook zahlen.[98]
ConnectU (Winklevoss-Zwillinge)
Die Kommilitonen von Zuckerberg an der Harvard Universität, die Zwillinge Tyler und Cameron Winklevoss,
beschuldigen Zuckerberg, dass er ihnen die Idee für ihr Online-Netzwerk ConnectU („Vernetze Dich“) gestohlen
hatte. Die Brüder und ein Freund haben 2003 Zuckerberg mit der Weiterentwicklung ihres Programms beauftragt,
Zuckerberg habe sich aber nicht an den Vertrag gehalten, sondern im Februar 2004 mit Facebook sein eigenes
Netzwerk gestartet. Diese Darstellung wird von Facebook zurückgewiesen.[99]
2008 zahlte Zuckerberg nach einer Einigung mit den Winklevoss-Brüdern 65 Millionen US-Dollar, davon 20
Millionen Dollar in bar und Facebook-Anteile im Wert von damals 45 Millionen Dollar. Später wollten die
Winklevoss den Vergleich wieder rückgängig machen: Sie gaben als Grund an, dass die Gegenseite sie über den
wahren Wert von Facebook getäuscht und sie zu wenig Geld und Anteile erhalten hätten. Das Berufungsgericht in
San Francisco wies diese Sichtweise 2011 zurück und fand, die Zwillinge hätten einen „vorteilhaften“ Deal damals
ausgehandelt.[100] [99] Die Brüder legten Protest gegen dieses Urteil ein.[101] [102] Im Juni 2011 akzeptierten die
Zwillinge den ursprünglichen Vergleich und beendeten ihre juristischen Bemühungen.[103]
Grant Raphael
Am 24. Juli 2008 verurteilte ein Gericht in London Grant Raphael zu einer Zahlung von 22.000 Pfund wegen
Persönlichkeitsverletzungen und falscher Beschuldigungen. Raphael hatte eine falsche Facebook-Seite über einen
ehemaligen Klassenkameraden und Geschäftspartner erstellt. Auf ihr behauptete Raphael unter dessen Namen, dass
er homosexuell und nicht vertrauenswürdig sei.[104]
Jugendschutz
Im Dezember 2009 gründete Facebook einen Sicherheitsbeirat, um regelmäßig die Sicherheitsvorkehrungen für die
Nutzer prüfen zu können. Dieser Beirat besteht aus Vertretern der folgenden fünf Organisationen: Common Sense
Media, ConnectSafely, WiredSafety, Childnet International und The Family Online Safety Institute (FOSI). Damit
setzt Facebook eine weitere Maßnahme, um eine sichere Umgebung für Jugendliche im Internet zu schaffen,
nachdem Facebook sich bereits an der Internet Safety Technical Task Force (ISTTF) beteiligt und 2008 mit 49
Generalstaatsanwälten der Vereinigten Staaten und dem Generalstaatsanwalt des District of Columbia
Vereinbarungen zum besseren Jugendschutz unterzeichnete. In diesen Vereinbarungen verpflichtet sich Facebook
dazu:
•
•
•
•
Minderjährige vor dem Austausch persönlicher Daten speziell zu warnen;
es Erwachsenen nicht zu ermöglichen, in Suchmaschinen Profile von minderjährigen Personen zu finden;
Änderungen des Alters im Profil zu erschweren und zu protokollieren;
Inhalte besser zu filtern und eine Liste pornografischer Angebote zu führen sowie Links auf diese zu löschen.
Außerdem kooperiert Facebook noch mit MTV und der BBC gegen digitalen Missbrauch und Cyber-Mobbing.[105]
[106]
156
Facebook
Ebenso überarbeitete Facebook im Dezember 2009 die Kontrolle über die Privatsphäre. Nun kann jeder Nutzer bei
der Veröffentlichung von Statusmeldungen, Medien oder Links differenziert festlegen, wer diese sehen darf und wer
nicht. Des Weiteren wurden die Einstellungen zum Datenschutz modifiziert und es wurde jeder Facebook-Nutzer
dazu aufgefordert, diese zu prüfen. Es kann jetzt zwischen eigenen Kontakten, Freunden der Freunde sowie dem
gesamten Facebook-Netzwerk unterschieden werden. Hier wurde wiederum am Jugendschutz gearbeitet: Die Inhalte
von minderjährigen Nutzern sollen nur für Freunde, Kontakte und Klassenkameraden sichtbar sein.[107]
Sonstiges
• Der Name Facebook bezieht sich auf die sogenannten Facebooks, die die Studenten an manchen amerikanischen
Colleges zur Orientierung auf dem Campus erhalten. In diesen Facebooks sind andere Kommilitonen abgebildet
(Face, englisch für Gesicht; book englisch für Buch).
• Wie andere soziale Netzwerke kann auch Facebook von Arbeitgebern verwendet werden, um das Verhalten von
Angestellten zu überwachen. Bestätigt wird dies durch einen Fall im November 2008 aus der Schweiz, wo eine
krankgeschriebene Versicherungsangestellte ihre Stelle verlor, weil der Arbeitgeber ihre Aktivität auf Facebook
verfolgen konnte, während der Frau offiziell Bettruhe verordnet war.[108] Fälle, in denen Arbeitnehmer die Stelle
verloren, weil sie sich auf Facebook abschätzig über ihre Arbeitgeber geäußert haben, sind aus Australien
bekannt.[109] Im März 2010 wurde ein Fall aus der Region Manchester publik, in dem einer Aushilfskellnerin
eines Cafés gekündigt wurde, indem der Arbeitgeber die Kündigung unter Angabe des Kündigungsgrundes auf
der Pinnwand der 16-Jährigen veröffentlichte.[110]
• Am 24. September 2010 feierte der Film The Social Network von Regisseur David Fincher Premiere. Der Film
widmet sich der Entstehungsgeschichte von Facebook. Das Drehbuch basiert auf einem Buch von Ben Mezrich
mit dem Titel The Accidental Billionaires: The Founding of Facebook, a Tale of Sex, Money, Genius and
Betrayal. Am 7. Oktober 2010 startete der Film in deutschen Kinos. Im Film spielen u. a. Jesse Eisenberg, Justin
Timberlake und Brenda Song mit.[111]
• Am 31. Mai 2010 wurde der erste „Quit Facebook Day“ veranstaltet.[112] [113] Das kirchliche Portal
evangelisch.de veröffentlichte aus diesem Anlass eine detaillierte Anleitung zu dem auf herkömmliche Weise
komplizierten Weg, das eigene Nutzerkonto dauerhaft zu löschen.[114]
• Aufgrund eines Fehlers in der API (Programmierschnittstelle) von Facebook fiel das soziale Netzwerk am 23.
September 2010 für mehrere Stunden aus. Betroffen waren des Weiteren die „Gefällt mir“-Schaltfläche zur
Vernetzung über externe Websites.[115] [116] Man sprach vom bisher „schwersten Fehler“ in der Geschichte des
Dienstes.[117]
• Am 10. Oktober 2010 berichtete ein Angestellter des Nachrichtenmagazins TechCrunch, bei Facebook ein Konto
mit dem Namen des Google-Managers Eric Schmidt angelegt und dabei Schmidts korrekte E-Mail-Adresse
verwendet zu haben. Da Facebook auch Konten, die noch nicht auf die Bestätigungs-E-Mail reagierten,
bestimmte Aktionen wie das Einrichten des Profils und das Versenden von Privatnachrichten gewährt, erhielt das
„gefälschte“ Konto von Eric Schmidt private Nachrichten von Bekannten Schmidts, die das Konto offenbar für
echt hielten.[118]
157
Facebook
Literatur
• Sascha Adamek: Die facebook-Falle. Wie das soziale Netzwerk unser Leben verkauft. Wilhelm Heyne, München
2011, ISBN 978-3-453-60180-2.
• Juan Faerman: faceboom. Wie das soziale Netzwerk Facebook unser Leben verändert. südwest, München 2010,
ISBN 978-3-517-08656-9. (Spanische Originalausgabe 2009)
• David Kirkpatrick: Der Facebook-Effekt. Hinter den Kulissen des Internet-Giganten. Carl Hanser, München
2011, ISBN 978-3-446-42522-4. (Amerikanische Originalausgabe 2010)
• Franz Kotteder: Die wissen alles über Sie. Wie Staat und Wirtschaft Ihre Daten ausspionieren - und wie Sie sich
davor schützen. Redline, München 2011, ISBN 978-3-86881-293-0, S. 210-227.
• Ben Mezrich: Die Gründung von Facebook. riva, München 2011, ISBN 978-3-86883-154-2. (Die englische
Originalausgabe von 2009 The Accidental Billionaires war die Vorlage für den Film The Social Network)
• Jakob Steinschaden: Phänomen Facebook. Wie eine Webseite unser Leben auf den Kopf stellt. Carl Ueberreuter,
Wien 2010, ISBN 978-3-8000-7488-4.
Weblinks
• www.facebook.com – Offizielle Website von Facebook [1]
• Felix Knoke: Spähwerbung empört Facebook-Nutzer (zu „Beacon“) [119]. In: Spiegel Online vom 23. November
2007.
• Ulrich Hottelet: Attacken im Gewand der Freundschaft [120], Die ZEIT vom 4. August 2009
• Adam Soboczynski: „Wer schweigt, zählt nicht: Soziale Netzwerke wie Facebook erzeugen einen neuen
Menschentypus. Ein Kommentar [121]“. In: DIE ZEIT 44/2009 v. 23. Oktober 2009, Seite 47 (Feuilleton).
Einzelnachweise
[1] https:/ / www. facebook. com/
[2] Alexa Rangliste (http:/ / www. bloomberg. com/ news/ 2010-12-16/ facebook-sales-said-likely-to-reach-2-billion-this-year-beating-target.
html), aufgerufen am 20. August 2008
[3] Facebook: Die Welt im Überblick (Juni 2011) (http:/ / www. socialmediaschweiz. ch/ Facebook_-_Die_Welt__Update_Juni_2011_. pdf).
Social Media Schweiz. Abgerufen am 21. August 2010.
[4] Neuer Rekord: 600 Millionen aktive Facebook Nutzer (http:/ / facebookmarketing. de/ news/
neuer-rekord-600-millionen-aktive-facebook-nutzer). , allfacebook.de, 14. Januar 2011. Abgerufen am 21. August 2011.
[5] Facebook Nutzerdaten Deutschland (http:/ / allfacebook. de/ userdata/ ). , allfacebook.de, 6. August 2011. Abgerufen am 21. August 2011.
[6] Locke, Laura. "The Future of Facebook" (http:/ / www. time. com/ time/ business/ article/ 0,8599,1644040,00. html), Time Magazine, July
17, 2007. Retrieved November 13, 2009.
[7] Tabak, Alan J.: Hundreds Register for New Facebook Website (http:/ / web. archive. org/ web/ 20050403215543/ www. thecrimson. com/
article. aspx?ref=357292). , Harvard Crimson, 9. Februar 2004. Abgerufen am 23. Juli 2011.
[8] Der Tagesspiegel online vom 8. März 2010: Der Facebook-Chef und seine dunkle Vergangenheit (http:/ / www. tagesspiegel. de/ medien/
digitale-welt/ der-facebook-chef-und-seine-dunkle-vergangenheit/ 1715278. html), abgefragt am 3. Februar 2011
[9] Facebook around the world. (http:/ / blog. facebook. com/ blog. php?post=10056937130). Facebook. Abgerufen am 13. Februar 2008.
[10] Facebook Platform Launches (http:/ / developers. facebook. com/ news. php?blog=1& story=21). facebook developers (27. Mai 2007).
Abgerufen am 20. Juni 2009.
[11] New Ways to Find and Engage With Your Favorite Applications (http:/ / blog. facebook. com/ blog. php?topic_id=222173789127).
facebook. Abgerufen am 10. Februar 2010.
[12] Facebook's FarmVille Seite (http:/ / www. facebook. com/ FarmVille). Facebook (25. Januar 2010). Abgerufen am 25. Januar 2010.
[13] Die Ära der Facebook-Applikationen ist vorbei (http:/ / netzwertig. com/ 2008/ 12/ 14/ die-aera-der-facebook-applikationen-ist-vorbei/ ).
Netzwertig.com (14. Dezember 2008). Abgerufen am 20. Juni 2009.
[14] Facebook cracks down on developer spam (http:/ / www. washingtonpost. com/ wp-dyn/ content/ article/ 2007/ 08/ 29/
AR2007082900041_pf. html). Washington Post (29. August 2007). Abgerufen am 20. Juni 2009.
[15] Brad Stone (24. Juli 2008). New Tool From Facebook Extends Its Web Presence (http:/ / www. nytimes. com/ 2008/ 07/ 24/ technology/
24facebook. html?partner=rssnyt). New York Times. Abgerufen am 20. Juni 2009.
[16] Facebook Across The Web. (http:/ / blog. facebook. com/ blog. php?post=41735647130) Abgerufen am 7. Februar 2010.
[17] 60 Million People A Month Use Facebook Connect (http:/ / www. techcrunch. com/ 2009/ 12/ 09/
60-million-people-a-month-use-facebook-connect/ ). TechCrunch (9. Dezember 2009). Abgerufen am 6. Februar 2010.
158
Facebook
[18] Bild.de vernetzt sich mit Facebook. (http:/ / meedia. de/ nc/ details/ article/ bildde-vernetzt-sich-mit-facebook_100019528. html) Abgerufen
am 7. Februar 2010.
[19] After f8 - Resources for Building the Personalized Web. (http:/ / developers. facebook. com/ blog/ post/ 379) Abgerufen am 22. Juli 2010.
[20] Social plugins. (http:/ / developers. facebook. com/ plugins) Abgerufen am 22. Juli 2010.
[21] Facebook Social Plugins: Like Button, Recommendations, Activity Feed, Like Box usw. – Die neuen und alten Plugins im Überblick. (http:/ /
facebookmarketing. de/ connect/
facebook-social-plugins-like-button-recommendations-activity-feed-like-box-usw-die-neuen-und-alten-plugins-im-uberblick) Abgerufen am
22. Juli 2010.
[22] After f8: Personalized Social Plugins Now on 100,000+ Sites. (http:/ / developers. facebook. com/ blog/ post/ 382) Abgerufen am 22. Juli
2010.
[23] Facebook Infografik – 500 Millionen Nutzer & Facebook Nutzung in Deutschland. (http:/ / facebookmarketing. de/ zahlen_fakten/
infografik-500-millionen-nutzer) Abgerufen am 22. Juli 2010.
[24] Facebook Zero. (http:/ / www. basicthinking. de/ blog/ 2010/ 09/ 01/ kostenloser-facebook-zugriff-e-plus-fuehrt-kostenlose-sparversion-ein/
) Abgerufen am 7. Dezember 2010.
[25] More Facebook Mobile Products. (http:/ / www. facebook. com/ mobile/ ) Abgerufen am 24. Oktober 2009.
[26] YouTube - Mark Zuckerberg presents Facebook Places (http:/ / www. youtube. com/ watch?v=xs8I2hFO2TI)
[27] Niet compatibele browser | Facebook (http:/ / blog. facebook. com/ blog. php?q=Facebook+ Places)
[28] Facebook: Facebook bringt Facebook Deals fĂźr Places | Blog zu Social Media und Facebook Marketing (http:/ / www. thomashutter. com/
index. php/ 2010/ 11/ facebook-facebook-bringt-facebook-deals-fur-places)
[29] Facebook Angebote (Deals) startet in Deutschland & 15 Millionen Facebook Nutzer in Deutschland (http:/ / facebookmarketing. de/ news/
facebook-angebote-deals-in-deutschland-online-15-millionen-facebook-nutzer-in-deutschland)
[30] Facebook Angebote diese Unternehmen sind beim Launch in Deutschland dabei: Cinemaxx, Douglas, E-Sprit, Gravis, Vapiano… (http:/ /
facebookmarketing. de/ places/
facebook-angebote-diese-unternehmen-sind-beim-launch-in-deutschland-dabei-cinemaxx-douglas-e-sprit-gravis-vapiano)
[31] developers.facebook.com/opensource/ (https:/ / developers. facebook. com/ opensource/ )
[32] Facebook - Seite erstellen (http:/ / www. facebook. com/ pages/ create. php?campaign_id=372931622610& placement=pghm& extra_1=0).
Social Media Schweiz - www.socialmediaschweiz.ch. Abgerufen am 3. März 2010.
[33] Social Media Schweiz: Die Top25 Marken-Facebookseiten (Update 30. Juni 2011) (http:/ / www. socialmediaschweiz. ch/
25_Top-Facebookseiten_-_Juni_2011. pdf). Social Media Schweiz. Abgerufen am 21. Juni 2011.
[34] Social Media Schweiz: Facebook - Die Welt im Überblick (Update 28. Februar 2011) (http:/ / www. socialmediaschweiz. ch/ html/
landerberichte. html). Social Media Schweiz. Abgerufen am 2. März 2010.
[35] Social Media Schweiz: Facebook - Die Schweiz im Vergleich (Update 31. Januar 2011) (http:/ / socialmediaschweiz. ch/ html/
int_fb_publikationen. html). Social Media Schweiz. Abgerufen am 19. Februar 2010.
[36] Facebook Nutzerzahlen in Deutschland (http:/ / facebookmarketing. de/ userdata/ ). Facebookmarketing.de. Abgerufen am 31. Januar 2011.
[37] 20 Millionen Nutzer in Deutschland. (http:/ / www. stern. de/ panorama/
facebook-durchbricht-schallmauer-20-millionen-nutzer-in-deutschland-1691151. html) 1. Juni 2011, abgerufen am 1. Juni 2011.
[38] Die Top10 der Online-Communitys. Bitkom. (http:/ / www. bitkom. org/ de/ presse/ 8477_67627. aspx)
[39] Social Media Schweiz: Facebook - Die Schweiz in Zahlen (Update 31. Dezember 2010) (http:/ / www. socialmediaschweiz. ch/ html/
ch_fb_publikationen. html). Social Media Schweiz. Abgerufen am 19. Februar 2010.
[40] Rich Miller: Facebook Now Has 30,000 Servers. (http:/ / www. datacenterknowledge. com/ archives/ 2009/ 10/ 13/
facebook-now-has-30000-servers/ ) Data Center Knowledge, 13. Oktober 2009, abgerufen am 15. Oktober 2009 (Englisch).
[41] Zahlen zu Facebook (Juni 2010). (http:/ / www. thomashutter. com/ index. php/ 2010/ 06/ facebook-aktuelle-zahlen-im-hintergrund/ ).
thomashutter.com. Abgerufen am 8. Juli 2010.
[42] Facebook sales likely to reach 2 billion this year beating target. (http:/ / www. bloomberg. com/ news/ 2010-12-16/
facebook-sales-said-likely-to-reach-2-billion-this-year-beating-target. html) Abgerufen am 5. Januar 2011.
[43] Lipsman, Andrew: U.S. Online Display Advertising Market Delivers 22 Percent Increase in Impressions vs. Year Ago. (http:/ / www.
comscore. com/ Press_Events/ Press_Releases/ 2010/ 11/ U. S.
_Online_Display_Advertising_Market_Delivers_22_Percent_Increase_in_Impressions) 8. November 2010, abgerufen am 5. Januar 2011
(englisch).
[44] Kharif, Olga: Facebook Ramps Up Big E-Commerce Drive. (http:/ / www. businessweek. com/ technology/ content/ dec2010/
tc20101217_877527. htm) 20. Dezember 2010, abgerufen am 22. Dezember 2010 (englisch).
[45] Redaktion Internet World Business: Facebook setzt auf Social Shopping: Das Netzwerk wird zum Einkaufszentrum. (http:/ / www.
internetworld. de/ Nachrichten/ Medien/ Social-Media/ Onlinehandel-im-Social-Network-Facebook-will-Shoppingcenter-werden-52239. html)
22. Dezember 2010, abgerufen am 22. Dezember 2010.
[46] In Zuckerberg we trust. (http:/ / www. forbes. com/ forbes/ 2010/ 1011/ rich-list-10-technology-facebook-google-laws-zuckerberg-we-trust.
html) Abgerufen am 5. Januar 2011.
[47] Facebook in den schwarzen Zahlen. (http:/ / www. manager-magazin. de/ unternehmen/ it/ 0,2828,649371,00. html) Abgerufen am 5. Januar
2011.
159
Facebook
[48] Facebook lüftet Geheimnis (http:/ / www. fr-online. de/ wirtschaft/ facebook-lueftet-geheimnis/ -/ 1472780/ 5113872/ -/ index. html) in:
Frankfurter Rundschau vom 7. Januar 2011
[49] Facebook lässt sich in die Karten blicken (http:/ / www. nzz. ch/ nachrichten/ wirtschaft/ aktuell/
facebook_geschaeftszahlen_goldman_sachs_1. 9016298. html) in: NZZ Online vom 7. Januar 2011
[50] Goldman Offering Clients a Chance to Invest in Facebook. (http:/ / dealbook. nytimes. com/ 2011/ 01/ 02/
goldman-invests-in-facebook-at-50-billion-valuation/ ) Abgerufen am 5. Januar 2010.
[51] Crunchbase (http:/ / www. crunchbase. com/ company/ facebook)
[52] Facebook-Fakten. (http:/ / www. facebook. com/ press/ info. php?factsheet) Abgerufen am Januar 2010.
[53] Facebook Receives Investment From Digital Sky Technologies. (http:/ / www. facebook. com/ press/ releases. php?p=103711) Abgerufen am
9. Februar 2010.
[54] Zeitung: DST erhöht erneut Anteil an Facebook. (http:/ / www. heise. de/ newsticker/ meldung/
Zeitung-DST-erhoeht-erneut-Anteil-an-Facebook-889327. html) Abgerufen am 9. Februar 2010.
[55] Neue Aktienstruktur: Facebook fädelt Börsengang ein. (http:/ / www. spiegel. de/ wirtschaft/ unternehmen/ 0,1518,663375,00. html)
Abgerufen am 9. Februar 2010.
[56] Verdoppelter Sekundärwert: Die nächste Internetblase wächst. (http:/ / www. ftd. de/ it-medien/ medien-internet/
:verdoppelter-sekundaerwert-die-naechste-internetblase-waechst/ 50209392. html) Financial Times Deutschland, 27. Dezember 2010,
abgerufen am 5. Januar 2011.
[57] Soziales Netzwerk: Goldman-Deal treibt Facebook-Wert auf 50 Milliarden Dollar. (http:/ / www. spiegel. de/ wirtschaft/ unternehmen/
0,1518,737425,00. html) Spiegel Online, 3. Januar 2011, abgerufen am 3. Januar 2011.
[58] Michael Arrington: Facebook Now Worth $50 Billion In Secondary Trading. (http:/ / techcrunch. com/ 2010/ 11/ 29/
facebook-now-worth-50-billion-in-secondary-trading/ ) TechCrunch, 29. November 2010, abgerufen am 30. November 2010 (englisch).
[59] Michael Arrington: Accel Sold Big Chunk Of Facebook Stock At $35 Billion Valuation. (http:/ / techcrunch. com/ 2010/ 11/ 19/
accel-facebook-chunks-of-stock) TechCrunch, 19. November 2010, abgerufen am 22. November 2010 (englisch).
[60] Russische Firma erhöht Anteil an Facebook. (http:/ / www. wallstreet-online. de/ nachricht/
2867336-presse-russische-firma-erhoeht-anteil-an-facebook) wallstreet online, 17.12.2009, abgerufen am 18. Dezember 2009.
[61] David Kirkpatrick: The Facebook Effect
[62] Facebook-Deal: Goldman wittert Riesengeschäft (http:/ / www. sueddeutsche. de/ geld/
investment-facebook-deal-goldman-wittert-riesengeschaeft-1. 1042178)
[63] http:/ / www. welt. de/ wirtschaft/ webwelt/ article1296068/ Microsoft_schnappt_sich_Mini_Anteil_an_Facebook. html
[64] http:/ / www. test. de/ themen/ computer-telefon/ test/ Soziale-Netzwerke-Datenschutz-oft-mangelhaft-1854798-1855976/
[65] The Sydney Morning Herald: Banned for keeps on Facebook for odd name (http:/ / www. smh. com. au/ news/ technology/ biztech/
banned-for-keeps-on-facebook-for-odd-name/ 2008/ 09/ 25/ 1222217399252. html)
[66] http:/ / www. fr-online. de/ digital/ neues-datenleck-bei-facebook/ -/ 1472406/ 4750408/ -/ index. html
[67] GMX - FAQ - Wie kann ich verhindern, dass E-Mail-Absendern mein Facebook-Account angezeigt wird? (http:/ / faq. gmx. de/ messages/
email/ facebook_integration_im_postfach/ 1. html)
[68] Spähwerbung empört Facebook-Nutzer (http:/ / www. spiegel. de/ netzwelt/ web/ 0,1518,druck-519295,00. html), in spiegel online vom 23.
November 2007
[69] Tom Hodgkinson: With friends like these .... In: The Guardian. Nr. 2008-01-14, 2008 (http:/ / www. guardian. co. uk/ technology/ 2008/ jan/
14/ facebook).
[70] Änderung der TOS (http:/ / consumerist. com/ 5150175/
facebooks-new-terms-of-service-we-can-do-anything-we-want-with-your-content-forever)
[71] Update on terms: http:/ / blog. facebook. com/ blog. php?post=54746167130. 17. Februar 2009. Abgerufen am 18. Februar 2007.
[72] Heise.de: Facebook will basisdemokratisch werden (http:/ / www. heise. de/ newsticker/ meldung/
Facebook-will-basisdemokratisch-werden-201652. html) (Artikel vom 27. Februar 2009)
[73] Der Standard: Facebook gibt sich trotz missglückter Abstimmung neue Regeln (http:/ / derstandard. at/ 1240549828177) (Artikel vom 25.
April 2009)
[74] Niet compatibele browser | Facebook (http:/ / www. facebook. com/ terms. php?ref=pf)
[75] heute.de: Facebook sammelt Kontaktdaten von Nicht-Mitgliedern (http:/ / www. heute. de/ ZDFheute/ inhalt/ 21/ 0,3672,8037973,00. html)
(Artikel vom 20. Februar 2010)
[76] Steigert: Konkludente Einwilligung durch Einstellen eines Fotos ins Internet, DFN Infobrief 08/2010, 8 (http:/ / www. dfn. de/ fileadmin/
3Beratung/ Recht/ 1infobriefearchiv/ DFN_Infobrief_08_10. pdf); Rechtsfreund.at: Foto bei Facebook - Einwilligung für
Personensuchmaschine (http:/ / www. rechtsfreund. at/ news/ index. php?/ archives/
485-Foto-bei-Facebook-Einwilligung-fuer-Personensuchmaschine-123people. html) (Artikel vom 13. August 2010)
[77] tagesschau.de: Bericht eines iranischen Bloggers - „Markiere die Gesichter deiner Freunde!“ (nicht mehr online verfügbar)
[78] http:/ / www. golem. de/ 1005/ 75376. html
[79] Stalin 2.0: Auf Facebook leben Nazis und Kommunisten weiter - News Digital: Internet - tagesanzeiger.ch (http:/ / www. tagesanzeiger. ch/
digital/ internet/ Stalin-20-Auf-Facebook-leben-Nazis-und-Kommunisten-weiter/ story/ 26174046)
[80] N., N.. Wegen rechtsextremer Einträge - Telekom stoppt Facebook (http:/ / www. sueddeutsche. de/ computer/ 812/ 465403/ text/ ).
Abgerufen am 10. Januar 2010.
160
Facebook
[81] Facebook droht Anzeige wegen Nazi-Profilen - News Digital: Internet - tagesanzeiger.ch (http:/ / www. tagesanzeiger. ch/ digital/ internet/
Facebook-droht-Anzeige-wegen-NaziProfilen/ story/ 19565267)
[82] heise online - Telekom stoppt wegen Neonazi-Profilen Werbung auf Facebook (http:/ / www. heise. de/ newsticker/
Telekom-stoppt-wegen-Neonazi-Profilen-Werbung-auf-Facebook--/ meldung/ 136346)
[83] Unzulässige Propaganda: Neonazis nutzen Facebook - n-tv.de (http:/ / www. n-tv. de/ technik/ internet/
Neonazis-nutzen-Facebook-article80847. html)
[84] heise online - Was Facebook über Nicht-Mitglieder weiß (http:/ / www. heise. de/ newsticker/ meldung/
Was-Facebook-ueber-Nicht-Mitglieder-weiss-921350. html)
[85] Niet compatibele browser | Facebook (http:/ / www. facebook. com/ help/ contact. php?show_form=database_removal)
[86] Deutsche User können Facebook verklagen (http:/ / www. shortnews. de/ id/ 816858/ Deutsche-User-koennen-Facebook-verklagen)
[87] Adnan Vatandas (18. Oktober 2010). Herausgabe von Nutzeridentitäten an Fremdanbieter bei Facebook (http:/ / adnanvatandas. wordpress.
com/ 2010/ 10/ 18/ facebook-herausgabe-von-nutzeridentitaten-an-fremdanbieter/ ). Abgerufen am 18. Oktober 2010.
[88] http:/ / www. golem. de/ 1103/ 82241. html
[89] http:/ / www. golem. de/ 1104/ 83033-2. html
[90] Wie kann ich meinen Facebook-Account löschen? (http:/ / www. facebook-account-loeschen. de/ ), abgerufen am 8. Mai 2011.
[91] Anleitung bei netzwelt.de (http:/ / www. netzwelt. de/ news/ 82705-facebook-immer-mehr-nutzer-wollen-profil-loeschen. html), abgerufen
am 8. Mai 2011
[92] http:/ / www. bigbrotherawards. de/ 2011/ . comm1 , http:/ / newsticker. sueddeutsche. de/ list/ id/ 1135168
[93] Focus.de, Wachsender Unmut über Freischalten der Gesichtserkennung auf Facebook, 9. Juni 2011, gxb/AFP, gesichtet am 9. Juni 2011
(http:/ / www. focus. de/ panorama/ vermischtes/
facebook-wachsender-unmut-ueber-freischalten-der-gesichtserkennung-auf-facebook_aid_635508. html)
[94] Barbara Supp: Das Fest. In: Der Spiegel. Nr. 30, 25. Juli 2011, S. 55.
[95] "Thessa!" – Facebook-Nutzer rocken und randalieren. (http:/ / www. welt. de/ vermischtes/ article13412347/
Thessa-Facebook-Nutzer-rocken-und-randalieren. html) Die Welt, 4. Juni 2011, abgerufen am 26. Juli 2011.
[96] Marco Reuther: Numborn-Polizeieinsatz kostet 100 000 Euro. In: Saarbrücker Zeitung. Nr. 171, 26. Juli 2011, S. B1.
[97] Facebook verklagt StudiVZ (http:/ / www. spiegel. de/ netzwelt/ web/ 0,1518,566904,00. html) – Spiegel Online
[98] Zeit Online, 10. September 2009: Facebook und StudiVZ legen Rechtsstreit bei (http:/ / www. zeit. de/ digital/ internet/ 2009-09/
soziale-netwerke-facebook-studivz-einigung) Abgerufen am 16. September 2009.
[99] Zuckerberg-Kommilitonen scheitern in Prozess um Facebook (http:/ / www. google. com/ hostednews/ afp/ article/
ALeqM5hii85K_Wn41PvWnn08abMe6o-Iqg?docId=CNG. af6ecbab4708930c709935862791fe35. 701) in: AFP vom 12. April 2011
[100] Streit um Facebook-Gründung: Gericht verwirft Vergleichsanfechtung (http:/ / www. heise. de/ newsticker/ meldung/
Streit-um-Facebook-Gruendung-Gericht-verwirft-Vergleichsanfechtung-1226064. html) in: heise.de vom 12. April 2011
[101] Die Winklevoss-Zwillinge geben nicht auf (http:/ / www. tagesanzeiger. ch/ wirtschaft/ unternehmen-und-konjunktur/
Die-WinklevossZwillinge-geben-nicht-auf/ story/ 26785798) in: Tages-Anzeiger vom 19. April 2011
[102] Winklevoss twins seek another Facebook hearing (http:/ / www. google. com/ hostednews/ afp/ article/
ALeqM5gHD6iRbidgVEtARiILz69HETd5NA?docId=CNG. 72521c25a3f2aab3157b95f0fb41093d. 6b1) in: AFP vom 18. April 2011
[103] Zuckerberg-Gegner geben auf (http:/ / www. spiegel. de/ wirtschaft/ unternehmen/ 0,1518,769977,00. html) in: Spiegel Online vom 23.
Juni 2011
[104] Libel: Ex-friend's Facebook revenge costs £22,000 in damages at high court (http:/ / www. guardian. co. uk/ uk/ 2008/ jul/ 25/ law.
facebook). The Guardian (25. Juli 2008). Abgerufen am 3. August 2009.
[105] „Facebook gründet Sicherheitsbeirat“ (http:/ / www. heise. de/ newsticker/ meldung/ Facebook-gruendet-Sicherheitsbeirat-878471. html)
auf heise online
[106] „Facebook verschreibt sich besserem Jugendschutz“ (http:/ / www. heise. de/ newsticker/ meldung/
Facebook-verschreibt-sich-besserem-Jugendschutz-206824. html) auf heise online
[107] „Facebook verändert Kontrolle über Privatsphäre“ (http:/ / www. heise. de/ newsticker/ meldung/
Facebook-veraendert-Kontrolle-ueber-Privatsphaere-881817. html) auf heise online
[108] 20 Minuten Online - Facebook besucht, Kündigung erhalten - Schweiz (http:/ / www. 20min. ch/ news/ schweiz/ story/ 20139035)
[109] 20 Minuten Online - «Die Firma kotzt mich an» - Webpage (http:/ / www. 20min. ch/ digital/ webpage/ story/ 10992690)
[110] Schoolgirl sacked from cafe job on Facebook. (http:/ / www. telegraph. co. uk/ technology/ facebook/ 7496740/
Schoolgirl-sacked-from-cafe-job-on-Facebook. html) The Daily Telegraph, 22. März 2010, abgerufen am 20. Januar 2011 (Englisch).
[111] The Social Network. (http:/ / www. moviepilot. de/ movies/ the-social-network) Moviepilot, abgerufen am 20. Januar 2011: „Wer bisher
glaubte, die Gründung von sozialen Netzwerken im Internet sei eine harmonische Angelegenheit gewesen, den wird The Social Network eines
besseren belehren …“
[112] Matthew Milan, Joseph Dee: We're quitting Facebook. (http:/ / www. quitfacebookday. com/ ) 31. Mai 2010, abgerufen am 20. Januar
2011 (Englisch, Babel-Fish-Übersetzung wird angeboten, Offizielle Website der Aktion).
[113] Claudia Frickel: 26·000 wollen Facebook verlassen. (http:/ / www. focus. de/ digital/ internet/
quit-facebook-day-26000-wollen-facebook-verlassen_aid_514128. html) Focus, 31. Mai 2010, abgerufen am 20. Januar 2011.
[114] Thomas Östreicher: Nichts wie raus aus Facebook: So geht's. (http:/ / www. evangelisch. de/ themen/ medien/
nichts-wie-raus-aus-facebook-so-gehts18562) evangelisch.de, 31. Mai 2010, abgerufen am 20. Januar 2011.
161
Facebook
[115] Johnson, Robert: More Details on Today's Outage. (http:/ / www. facebook. com/ notes/ facebook-engineering/
more-details-on-todays-outage/ 431441338919) 24. September 2010, abgerufen am 24. September 2010 (englisch).
[116] Kroll, Sonja: Ausfall bei Facebook: Netzwerk weg, Like-Buttons verschwunden. (http:/ / www. internetworld. de/ Nachrichten/ Medien/
Medien-Portale/ Ausfall-bei-Facebook-Netzwerk-weg-Like-Buttons-verschwunden-32238. html) 24. September 2010, abgerufen am
24. September 2010 (deutsch).
[117] 1Live Radio: Nachrichtensendung um 8.30 Uhr am 24. September 2010
[118] Fake-Account „Eric Schmidt“ bei Facebook (http:/ / adnanvatandas. wordpress. com/ 2010/ 10/ 12/
sicherheitsprobleme-bei-facebook-facebooksperre-bei-porsche/ )
[119] http:/ / www. spiegel. de/ netzwelt/ web/ 0,1518,519295,00. html
[120] http:/ / www. zeit. de/ 2009/ 31/ Soziale-Netzwerke?page=all
[121] http:/ / www. zeit. de/ 2009/ 44/ Gesellschaft-Soziale-Netzwerke?page=all
xmf:ფეისბუქი
Elektronischer Handel, auch Internethandel oder Online-Handel, ist
der Einkaufsvorgang via Datenfernübertragung innerhalb der
Distributionspolitik des Marketings bzw. des Handelsmarketings.
Hierbei wird über das Internet eine unmittelbare Geschäftsbeziehung
zwischen und unter Anbieter und Abnehmer abgewickelt. Im weiteren
Sinne umfasst der elektronische Handel jede Art von geschäftlicher
Teilbereiche des E-Business
Transaktion, bei der Internet-Anbieter – auch solche, die keine
Handelsunternehmen sind – und Internet-Nachfrager als
Transaktionspartner im Rahmen von Leistungsanbahnung, -vereinbarung oder -erbringung elektronische
Kommunikationstechniken einsetzen. Den in der Literatur häufig verwendeten Begriff des Electronic Business
popularisierte eine IBM-Werbekampagne Ende der 1990er Jahre. Im engeren Sinne umfasst der elektronische
Handel die über das Internet abgewickelten Geschäftsbeziehungen zwischen Internethändlern, also
Handelsunternehmen, die das Internet ausschließlich oder zusätzlich zum stationären oder zum angestammten
Versandgeschäft nutzen, und Internet-Nachfragern.[1] Der elektronische Handel macht in jedem Sinne einen Teil der
Internet-Wirtschaft aus (E-Commerce, E-Business).
Funktion im Marketing
Die Besonderheiten beim Elektronischen Handel der Distribution im Marketing-Mix gegenüber den traditionellen
Vertriebskanälen sind die enorme Flexibilität auf der Angebotsseite, sowie eine erhebliche Reduzierung der
Transaktionskosten mit Geschäftspartnern. Es werden beispielsweise auch Reise- oder Telefonkosten in der
Kundenakquisition und Leistungspräsentation gesenkt. Die räumlichen Distanzen sind bei physischen Leistungen
dennoch zu überwinden und erfordern entsprechende Logistikkapazitäten.
Der Begriff Onlineshop ist hierbei die eingedeutschte englische Bezeichnung für den Warenvertrieb durch die
Internetpräsenz eines Händlers. Weitere Bezeichnungen für die organisatorische Umsetzung sind Webshop und
E-Shop (für Elektronik-Shop) bzw. selten verdeutscht E-Laden.
Aufgrund der mittlerweile extrem hohen Marktdurchdringung von Internetanschlüssen in Deutschland, gerade auch
unter Privathaushalten, hat sich der E-Commerce hier im C2C- und B2C-Markt zunächst über
Online-Auktionsplattformen durchgesetzt. Vor allem im B2C-Markt konzentrieren sich Online-Händler verstärkt auf
die Nutzung verschiedener Preisvergleichs-Portale und Produktsuchmaschinen. Die starke Frequentierung dieser
Plattformen bietet eine sehr günstige Alternative zum klassischen Suchmaschinenmarketing, um den
Bekanntheitsgrad der präsenten Online-Händler zu steigern. Institutionelle Geschäftspartner im B2B-Markt wickeln
Ausschreibungen und Geschäftsanbahnungen ebenfalls immer häufiger via Internet ab und einige Großunternehmen
162
lassen bereits keine Lieferanten mehr zu, die das unterlassen.
Im industriellen Bereich kann der Anbieter so im direkten Kontakt mit dem Kunden technische Spezifikationen,
Lieferwünsche und nicht selten auch eine geforderte Kooperation mit anderen Anbietern abfragen, in seine
Datenbank oder CAD/CAM/CAQ-Systeme zur Planung übertragen und in kürzester Zeit maßgeschneiderte
Angebote, ohne Außendienstbesuch oder aufwändige Rückfragen erstellen.
Das Absatzmedium gewinnt aufgrund der hohen Verfügbarkeit des Internets in Europa zunehmend an Bedeutung für
den Konsumgüterverkauf und wird punktuell für Folgegeschäfte im Investitionsgüterverkauf angewendet.
Heute versteht man unter Elektronischem Handel in der Regel alle Methoden der Abwicklung von Geschäften und
administrativen Vorgängen über elektronische Kanäle, wobei das Internet oder zumindest die im Internet
verwendeten Techniken und Protokolle eine wesentliche Rolle spielen und die Informationstechnologie gemeinhin
als Voraussetzung angesehen wird. Ein wichtiger Aspekt hierbei ist die Aufhebung von Medienbrüchen, wie sie in
der konventionellen Geschäftsabwicklung typisch sind. Zudem sollen die Eingriffe von Menschen in den
Geschäftsablauf auf das notwendige Minimum reduziert werden. Man spricht in dem Fall von Straight Through
Processing, was eine weitgehende Integration der Geschäftsfunktionen erfordert.
Verknüpft man zu diesem Zweck Anwendungssysteme aus unterschiedlichen Funktionsbereichen oder über
Unternehmensgrenzen hinweg, handelt es sich um ein klassisches Anwendungsfeld von Enterprise Application
Integration (EAI). Enterprise-Content-Management (ECM) wird als eine der Basistechnologien für E-Business
angesehen.
Ökonomische Grundlagen
Volkswirtschaftliche Grundlagen
Das Verständnis für die besonderen Eigenschaften von E-Business erwächst aus der Abkehr von der Neoklassischen
Mikroökonomie. Sie setzt unter anderem homogene Güter, vollkommene Markttransparenz und die Abwesenheit
von Präferenzen voraus und begibt sich damit auf ein hohes, aber realitätsfernes Abstraktionsniveau. Eine
realitätsnähere Beschreibung des Wirtschaftslebens ermöglicht die Neue Institutionenökonomik (NIÖ).
Im Rahmen der Institutionenökonomik spielen die Transaktionskosten eine wichtige Rolle. Das Internet kann Kosten
einer Transaktion in der Such- und Anbahnungsphase senken. Auch in der Abwicklungsphase bestehen Chancen zur
Senkung der Transaktionskosten. Insgesamt sinken die Kosten für Markttransaktionen und die Koordination über
Märkte wird vorteilhafter.
Da wird jedoch übersehen, dass es sich hierbei nur um Variationen der Neoklassik handelt, die zwar
ausdifferenzierter sind als die ursprüngliche Neoklassik, aber wie diese Vereinfachungen und Fiktionen zur Basis
haben. Ebenso wird vernachlässigt, dass die bloßen Kostenvorteile sich nicht in Wettbewerbsvorteile übersetzen
lassen, wenn im Prinzip jeder diese Vorteile realisieren kann. Unter dieser Bedingung werden die Kostenvorteile
Wettbewerbsnachteile (Nicholas G. Carr, Does IT Matter? Information Technology and the Corrosion of
Competitive Advantage, HBS Press 2004) oder sind bestenfalls in einem extremen Preiswettbewerb von kurzer
Dauer (Frances Cairncross, The Death of Distance 2.0, Texere 2002)
Damit bleibt als Alleinstellungsmerkmal die Fähigkeit, Werte zu schaffen. Als Beispiel für einen nachvollziehbaren
und nachgefragten Mehrwert gegenüber der old economy dient vor allem die Internetwerbung, die zunehmend die
Bezahlphantasien der content owners ablöst. Sie ermöglicht mit noch größerer Genauigkeit die Messung eines
konkreten Werbeerfolgs als sie etwa der traditionelle Versandhandel für seine Katalogwerbung kennt.
In der volkswirtschaftlichen Beurteilung des elektronischen Handels ist im Übrigen davon auszugehen, dass er
Leistungen für die Marktwirtschaft erbringt, die mit denen des traditionellen (stationären und Distanz-)Handels
vergleichbar sind. Teilweise gehen vom elektronischen Handel zusätzliche Wettbewerbsimpulse sowohl im
Parallelprozess als auch im Austauschprozess aus. Auch bildet das Internet eine vorzügliche Plattform für
163
Gruppenkonzepte und Netzwerkstrategien von Handelskooperationen und damit Chancen für Klein- und
Mittelunternehmen (KMU) zur Steigerung ihrer Leistungsfähigkeit im Wettbewerb.
Ökonomie der Aufmerksamkeit
Prof. Franck-Oberasbach geht in seinem Buch Ökonomie der Aufmerksamkeit davon aus, dass Aufmerksamkeit in
der Gesellschaft einen zunehmend erhöhten Wert bekommt. Für Werbung muss heutzutage jeder Konzern enorme
Mengen Ressourcen aufwenden, da Produkte über den Bekanntheitsgrad, Marke und Image verkauft werden. Firmen
im E-Business haben zwar einerseits kostengünstige Möglichkeiten mit dem Kunden in Kontakt zu treten, leiden
aber andererseits daran, dass sie in der Informationsflut des WWW untergehen. Einige Netzkunst-Projekte (million
dollar homepage, the senseless 1234567$ club) oder besonders ausgefallene E-Business-Ideen arbeiten genau mit
dieser Thematik und erwirtschaften so enorme Gewinne.
Betriebswirtschaftliche Grundlagen
Der Internethandel kann helfen, Kosten zu reduzieren. Beispielsweise durch kürzere und kostensparende
Bestellwege. Durch die Integration der Geschäftsfunktionen entlang der Wertschöpfungskette soll eine effizientere
Geschäftsabwicklung erreicht werden. Für Handelsunternehmen, namentlich des Großhandels, zieht mit der
industriellen Vertriebsausrichtung in Richtung E-Commerce (und damit in Richtung Direktvertrieb) die Gefahr
zunehmender Ausschaltung herauf. Ihr kann durch neue oder verstärkte eigene Internetaktivitäten entgegengewirkt
werden, zum Beispiel durch intensive B2B-Kontakte zu Lieferanten und durch ausschließliche oder das stationäre
Geschäft flankierende B2C-Kontakte (Internethandel im engen Sinn). Ein weiterer Aspekt ist die
Fixkostendegression. Damit ist die abnehmende Bedeutung der relativ hohen Fixkosten gemeint, da die variablen
Kosten im Elektronischen Handel eine eher geringe Rolle spielen. Die Vorteile sowohl für Industrieunternehmen als
auch für Handelsunternehmen können sein:
•
•
•
•
•
•
•
neue Kommunikation mit Kunden
Steigerung der Lieferanten- und Kundenzufriedenheit
Verbesserung des Firmenimages
Erschließung neuer Vertriebskanäle
Gewinnung von Neukunden
Umsatzerhöhung
Effizienzsteigerung
Der elektronische Handel kann aber auch mit keineswegs kostenneutralen Nachteilen verbunden sein. Dies sind vor
allem:
•
•
•
•
•
zusätzliche Absatz- und/oder Beschaffungsrisiken
sinkender Kundennutzen (bei Verzicht auf persönlichen Service)
sinkende Kundenzufriedenheit (Reaktanz-Reaktionen auf Anlegen von Kundenprofilen)
erhöhte Risiken des Zahlungsverkehrs
Aufbau und Pflege einer versandhandelstypischen Organisation (Lagerhaltung, Debitorenkontrolle etc.)
Digitale Spaltung
Der Begriff Digitale Spaltung (oft auch engl.: digital divide) bezeichnet die Teilung der Welt in einen bei der
Nutzung elektronischer Medien weiter fortgeschrittenen und einen weniger weit entwickeltem Teil. Ökonomen
gehen davon aus, dass die Nutzung von E-Business das Wachstum von Volkswirtschaften erhöht und so die bereits
weiter entwickelten Länder ihren Vorsprung gegenüber den weniger entwickelten Länder weiter vergrößern. (siehe
Digitale Kluft). Ob dieses Phänomen wirklich langfristig zu einer Vergrößerung des Abstandes zwischen
Volkswirtschaften oder gar innerhalb einer Gesellschaft führen wird, ist fraglich. Schließlich wurde bereits bei
anderen Massenmedien ähnlich argumentiert zum Beispiel unter den Stichworten radio-divide oder television divide.
164
Dabei wurde immer festgestellt, dass diejenigen Gruppen/Volkswirtschaften, die angeblich einen Nachteil aus einem
Nicht-Zugriff hatten, mit dem Verfall der Preise und der Vereinfachung der Handhabung auch zu Nutzern wurden.
Offene, geschlossene, vertikale und horizontale Marktplätze
Bei offenen Marktplätzen kann sich jeder Marktteilnehmer registrieren und teilnehmen, bei geschlossenen
Marktplätzen werden nur bestimmte, ausgewählte Teilnehmer eingeladen bzw. zugelassen. Ein horizontaler
Marktplatz bildet einzelne Geschäftsprozesse ab. Er bezieht sich auf eine Stufe der Wertschöpfungskette, zum
Beispiel mit dem Fokus Beschaffung: An einem horizontalen Beschaffungs-Marktplatz nehmen Unternehmen auf
der Einkäuferseite teil. Sie können aus unterschiedlichen Branchen kommen und auf eine gemeinsame Gruppe von
Lieferanten zugreifen. Im Gegensatz dazu bildet ein vertikaler Marktplatz verschiedene Geschäftsprozesse einer
einzigen Branche oder Nutzergruppe ab.
Ausblick
Nachdem die große E-Business-Euphorie der 1990er Jahre, während der eine Vielzahl von Marktplätzen entstand,
mittlerweile verflogen ist, geht man jetzt allgemein davon aus, dass nach einem Konzentrationsprozess nur wenige
große Marktplätze überleben werden. Daneben dürften sich jedoch zunehmend auch noch spezialisierte
Nischenanbieter etablieren.
Heute hat sich die Situation deutlich geändert: die Technologie, um einen elektronischen Marktplatz zu realisieren,
ist sehr viel günstiger geworden. Hinzu kommt der Trend, verschiedene Angebote über genormte Schnittstellen
(APIs) miteinander zu vernetzen, so dass ein gemeinsamer Marktplatz mit hoher Angebotsdichte entsteht (zum
Beispiel Amazon-Marketplace). Vormals eigenständige Marktplätze werden überdies zunehmend in übergreifende
Portallösungen integriert.
E-Commerce nach Art der Teilnehmer
Der Elektronische Handel lässt sich nach Art der Teilnehmer kategorisieren:
(dabei kann auch die Orientiertheit - bsp. C2A ungleich A2C - herausgehoben werden oder auf besondere Kategorien
wie Arbeitnehmer B2E eingegangen werden)
• Consumer (Kunde, Verbraucher)
• C2C: Consumer-to-Consumer, Verbraucher an Verbraucher
Auktionshandel (bsp. eBay)
• C2B: Consumer-To-Business, Verbraucher an Unternehmen
bsp. entgeltliche oder sachwerte Teilnahme an Informationserhebungen zu Marketingzwecken
• C2A: Consumer-To-Administration, Verbraucher an Regierung
Elektronisch gestützte Lohn- und Einkommen-Steuererklärung ELSTER
• Business (Unternehmen,Unternehmer)
• B2C: Business-To-Consumer, Unternehmen an Verbraucher
Dienstleistungsangebote der Unternehmen an Verbraucher,Online-Versandhandel (bsp. Amazon)
• B2B: Business-to-Business, Unternehmen an Unternehmen
Handel zwischen Unternehmen und Lieferanten zum Beispiel (bsp. IBX)
• B2A: Business-To-Administration, Unternehmen an öffentliche Verwaltung
Steuererklärungen, Datenverarbeitung im öffentlichen Auftrag, elektronische Bewerbung um öffentliche
Aufträge (bsp. www.vergabeplattform.berlin.de)
• B2E: Business-To-Employee, Unternehmen an Mitarbeiter
165
166
Leistungen und Informationen für Mitarbeiter (bsp. Online-Kauf von Waren und Dienstleistungen zu
Vorzugskonditionen)
• Administration (Regierung und öffentliche Verwaltung)
• A2C: Administration-To-Consumer, Regierung an Verbraucher
abonnierte E-Mail-Newsletter von Ministerien und Dienststellen (bsp. Verbraucherschutzwarnung,
Datenschutzhinweise)
• A2B: Administration-To-Business, Regierung an Unternehmen
Leistungsangebote öffentlicher Stellen an Unternehmen
Handelsregisterauskunft)
• A2A: Administration-To-Administration, Regierung an Regierung
(bsp.
Datenabruf,
Katalogzugriff,
Elektronischer Verkehr zwischen Behörden, Austausch von Informationen (bsp. Finanzdatenabgleich,
Verkehrsregister)
Elektronisch gestützte Geschäftsprozesse in Kategorien zu unterteilen richtet sich natürlich nach den Bedürfnissen
der menschlichen Entwicklung, so finden Kategorien wie Verbraucher an öffentliche Verwaltung (C2A) oder andere
der oben aufgeführten Kombinationen (bsp. B2E) erst allmählich Verbreitung. In älterer Literatur findet sich oft auch
noch das Kürzel G für E-Government statt dem umfassenderen Begriff Administration. Ebenso wird auch oft keine
Orientierung (A2C ist nicht gleich C2A) unterschieden.
Ob die obengenannten Kategorien immer Handelsbeziehungen abbilden, unterliegt zumindest in Bezug auf die
Administration (A2A) berechtigten Zweifeln. In Deutschland sind die Kategorien C, B, A, E eindeutig auf den
rechtlichen Status zurückzuführen, d.h. die Einteilung in Arten findet nach der Stellung der Teilnehmer im
Rechtssystem/-verkehr statt, da jeweils für den Verbraucher, den Unternehmer und die öffentliche Verwaltung
unterschiedliche gesetzliche begründete Rechte und Pflichten in bestehen.
Onlineshop
Der Onlineshop stellt Waren und digitale Produkte im Internet zum Verkauf bereit. Dabei handelt es sich bei einem
Shopsystem grundsätzlich um Software mit einer Warenkorbfunktionalität. Der Käufer wählt das Produkt aus und
legt es in den Warenkorb. Hinter einem E-Shop steht ein physisches Geschäft, das die Bestellung abwickelt. Es gibt
diverse E-Shop-Software für diesen Verkaufskanal.
Moderne Onlineshops bieten dem „User“ (Benutzer) nicht nur die Möglichkeit das Produkt zweidimensional zu
betrachten, sondern auch diverse technische Details einzusehen. Im Bereich hochwertiger Konsumgüter werden
mitunter auch dreidimensionale Produktabbildungen visualisiert. Die Wahrnehmung des Kunden soll möglichst nah
an die Realität geführt werden. Hierzu finden häufig auch Animationen (teilweise auch vertont) Anwendung sowie
Konfigurationsprogramme, mit denen das Produkt in Farbe, Ausstattung und Design oft an die individuellen
Vorstellungen des Kunden angepasst werden kann. Der Hersteller bzw. Anbieter gewinnt auf diese Weise zusätzlich
wertvolle Informationen über Kundenpräferenzen.
Besonders bekannte Formen des Internethandels sind Buch- und Musikversand sowie Internetauktionen. Im Zuge
des Internetbooms gegen Ende des 20. Jahrhunderts gewannen Onlineshops immer mehr an Bedeutung.
Internethändler haben den Vorteil, dass sie keinen physischen Verkaufsraum brauchen, dieser steht virtuell als
Website zur Verfügung. Auch brauchen Onlineshops häufig keinen oder nur wenig Lagerraum, da sie eine Lieferung
oft direkt vom Erzeuger veranlassen (Drop Shipping) bzw. die Waren je nach Bedarf bestellen können. Die
eingesparten Festkosten lassen sich dann an den Verbraucher weitergeben. Sogar Internetbuchhändler, die in
Deutschland der Buchpreisbindung unterliegen, welche Rabattaktionen verbietet, haben den Vorteil durch die
Übernahme der Versandkosten dem Kunden bei gleichem Preis den Gang zum Buchladen zu ersparen. Hier spricht
man vom klassischen Versandhandel. Bei digitalen Produkten wie Musikdateien, Software oder Onlinebüchern kann
der Kunde nach dem Kauf das Produkt direkt herunterladen. Der physische Versand entfällt in dem Fall und der
Kunde kann seinen Einkauf sofort nutzen.
Eine weitere Form des Onlineshops ist das sog. Liveshopping, bei dem meist nur ein Produkt am Tag angeboten
wird. Zudem gewinnt das Einkaufen über Social-Media-Plattformen wie Facebook immer mehr an Bedeutung
(Social Commerce).
Gebrauchstauglichkeit
Da im Internet kein persönlicher Verkauf stattfindet, muss die visuelle Kommunikation des Internetshops vielfältige
Anforderungen an den Dialog zwischen Anbieter und Kunde erfüllen. Große Anbieter beobachten Testkunden in
speziellen Labors zur Prüfung der Gebrauchstauglichkeit (usability) bei ihren Online-(Test-)Einkäufen. Die
Erkenntnisse über Augenbewegungen auf dem Bildschirm (Eye tracking-Verfahren), Schrift- und Bilderkennung
sowie Verweildauer in einzelnen Bereichen der Internetseite sollen hierbei Aufschluss über mögliche
Verbesserungen bei der Benutzerführung und Motivation des Kunden geben. Ebenso geben Befragungen der
Testpersonen Aufschluss über notwendige Änderungen.
Shop-Architektur
Ein Shopsystem ist die Softwaregrundlage von Onlineshops.
Das Shopsystem kann sowohl Datenbank-basiert und dynamisch als Webanwendung auf einem Webserver installiert
werden als auch durch statische HTML-Seiten. Derzeit gibt es zirka 200 Shopsoftwareanbieter allein in Deutschland.
Dabei unterscheiden sich die Anbieter in der Ausrichtung ihres Angebotes in der Orientierung auf unterschiedliche
Zielgruppen. Es gibt Software zum kleinen Preis für den Massenmarkt und Anbieter, die sich darauf spezialisiert
haben, Software individuell gezielt den Anforderungen entsprechend zu erstellen bzw. optimieren.
Die meisten E-Shop-Systeme besitzen folgende grundlegende Softwarekomponenten:
•
•
•
•
•
•
•
Shop-Datenbank mit Produktinformation
Administrationsdatenbank
Präsentationssystem
Recommendation Engine
Payment Gateway (Abwicklung des Bezahlvorgangs)
weitere Funktionalitäten (Werkzeuge)
Webtracking-System
Zunehmend werden E-Shops mit Live Support Systemen ausgestattet, um Absprungraten zur verringern bzw. die
Beratung und den Verkauf zu unterstützen.
Neben der Zielgruppenorientierung einzelner Softwareanbieter unterscheiden sich Shopsysteme auch in der
verwendeten Technologie. Hierbei wird unterschieden zwischen webserverbasierter Applikationen und solchen, die
erst lokal statische Seiten erzeugen, welche dann auf den Web-Server geladen werden und mit Hilfe von Javascript
über den Browser die Warenkorbfunktion zur Verfügung stellen.
Eine zusätzliche Variante eines Online-Shops besteht in der Möglichkeit, den Betrieb zunächst einem
Internet-Service-Provider zu übertragen. Vergleichbar mit großen Einkaufszentren, in denen Läden von einzelnen
Betreibern gemietet werden, die dann die bereits bestehende Infrastruktur nutzen, wird diese Art von Angebot als
‚Shopping-Mall-Konzept‘ bezeichnet. Jeder einzelne Shopbetreiber erhält sein Online Shopsystem, das im
Hintergrund an eine Softwarequelle gekoppelt ist. Dies hat den großen Vorteil, den ständig fortschreitende
Anforderungen an die Softwarefunktionen durch dieses Source-Sharing-Prinzip zu begegnen.
167
Bezahlsysteme
Dem einfachen Verkaufsabschluss wird aus individualpsychologischer Sicht beim Internetverkauf eine besonders
hohe Bedeutung beigemessen, weil der Kunde seinen Warenkorb ohne Angst vor Datenverlust und Spionage seiner
Zahlungsdaten begleichen können soll. Die klassischen Zahlungsarten Vorkasse, Rechnung, Nachnahme und
Kreditkarte machen in Deutschland weiterhin einen Großteil der Zahlungen aus. Häufig findet auch das bekannte
Bankeinzugsverfahren Anwendung, da die Hemmschwelle zur Übermittlung der Kontoverbindung oft geringer ist,
als die zur Anwahl einer Mehrwertnummer oder die Angabe der Kreditkartendaten. Proprietäre
Micropaymentsysteme haben es dagegen schwer, sich zu etablieren. Ein anonymes Bezahlverfahren zum Beispiel ist
giropay. Der Zahlungspflichtige wird vom Online-Shop auf die Seite seines Kreditinstituts geleitet und tauscht die
persönlichen Daten ausschließlich mit seiner Bank aus. Einen hohen Bekanntheitsgrad bei speziell für das Internet
entwickelten Zahlungssystemen hat PayPal erreicht, eine Tochter von eBay. Daneben ist auch das Bezahlsystem
ClickandBuy in Online-Shops zu finden.
Bezahlsysteme vereinen mehrere Bezahlverfahren und versuchen die Vielfalt der Zahlungsarten in einem Konto
zusammenzufassen. Je nach Bonität des Kunden und Verifizierung der benötigten Bank- / Kontodaten werden die
verschiedenen Zahlarten freigeschaltet.
Übersicht über die Bezahlverfahren im Internet
Herkömmliche Bezahlverfahren:
• Rechnung
• Nachnahme
• Papiergebundene Überweisung
Elektronische Bezahlverfahren:
• Kreditkarte
• Online-Überweisung (Online-Banking)
• Inkasso-/Billingsysteme: Fungieren als Mittler zwischen Anbieter und Kunde. Der Kunde erhält eine
Kundennummer und ein Passwort
• Elektronische Lastschrift: Der Händler erhält eine Einzugsermächtigung vom Kundenkonto
• Prepaid-Verfahren: Es handelt sich hierbei meistens um eine Karte, die man mit einem bestimmten Betrag
auflädt. Dieses Bezahlverfahren wird meist bei kleineren Beträgen genutzt.
• Telefonrechnung: Der Betrag wird über die Telefonrechnung abgebucht. Die Nutzung erfolgt bei kleinen
Beträgen, etwa bei Musikdownloads.
• Mobiltelefon: Die KVB beispielsweise bietet ihren Kunden an, sich Fahrkarten für öffentliche Verkehrsmittel auf
das Handy schicken zu lassen. Auch Handypaymentsysteme wie zum Beispiel Mpass werden im Bereich des
Onlineshoppings genutzt.
Die Mehrheit der Online-Händler bietet eine Kombination aus herkömmlichen und elektronischen Bezahlverfahren
an, häufig stehen zwei bis vier der oben genannten Alternativen zur Verfügung. Laut der Studie eCommerce wird
das Verfahren der Rechnung bei den befragten Kunden mit 78,6 % am meisten genutzt, gefolgt von OnlineÜberweisungen (60 %), Kreditkarte (59,5 %) und Nachnahme (57,2 %). Händler dagegen bevorzugen Vorkasse
(30,8 %), Kreditkarte (17,6 %) und Nachnahme (15,5 %).
168
Kriterien zur Beurteilung von Shopsystemen
• Kundennutzen – Welchen Mehrwert können die Unternehmen durch den Shop ihrem Kunden liefern?
• Kundenanalyse – Wie und in welchem Umfang lassen sich Erkenntnisse über die Kunden gewinnen?
• Integrationsfähigkeit – Wie und in welchem Umfang werden bestehende betriebswirtschaftliche Systeme
eingebunden?
• Administrationsfähigkeit – Wie einfach und flexibel lässt sich das System gestalten/administrieren?
• Zukunftssicherheit – Wie zukunftssicher sind die getätigten Investitionen, die weit über die Softwareanschaffung
hinausgehen?
• Rentabilität – Wie teuer ist die Lösung im Sinne von Total Cost of Ownership?
Viele haben schon schlechte Erfahrungen beim Online-Shopping gesammelt. So zum Beispiel, dass die angepriesene
Ware nicht den Beschreibungen und Bildern entsprach, Waren nicht zurückgegeben oder umgetauscht werden
konnten, gekaufte Artikel nicht ankamen, es Probleme bei der Kündigung von Online- Abonnements gab oder dass
Konto- oder Kreditdaten missbraucht wurden. Zudem ergaben Studien, dass die wahrgenommene Sicherheit im
Internetkauf mit der Häufigkeit der Nutzung zusammenhängt: Je öfter das E-Commerce genutzt wird, desto sicherer
wird es eingeschätzt. Es wird daher empfohlen beim Handel im Internet auf Folgendes zu achten:
• Die vollständige Firmenadresse des Anbieters mit Kontaktmöglichkeit muss angegeben sein
• Ein Gütesiegel sollte vorhanden sein – drei Gütesiegel (Deutschland) haben sich etabliert: EHI, Trusted Shops,
TÜV Saarland, wobei eines der genannten genügt
• Verschlüsselte Verbindungen bei der Kontodaten-Übermittlung sind am https:// in der Adresszeile und einem
Schloss-Symbol im Browser ersichtlich.
Zudem bietet Stiftung Warentest die Möglichkeit des SSL-Checks[2] an, um die jeweilige Website auf ihre Sicherheit
bei der Datenübermittlung hin zu überprüfen.
Rechtliche Bestimmungen
Deutsche Bestimmungen
In den § § 312b [3] ff. BGB (früher: FernAbsG) finden sich besondere Bestimmungen zu den sogenannten
Fernabsatzverträgen. Unter anderem werden Fernabsatzverträge definiert, Ausnahmen vom Fernabsatzrecht
angegeben und eine umfassende Informationspflicht für den Händler festgelegt. Der Verbraucher hat nun ein
Widerrufs- bzw. Rückgaberecht.
Bei online geschlossenen Verträgen ist oft nicht klar ersichtlich, welches Recht anzuwenden ist. Bei einem
elektronisch geschlossenen Kaufvertrag könnten zum Beispiel das Recht des Landes, in dem der Käufer seinen Sitz
hat, das des Landes, in dem der Verkäufer seinen Sitz hat oder das des Landes, in dem sich der Server befindet, in
Frage kommen. Das Recht des E-Business ist ein sogenanntes Querschnittsrecht. Die Rechtsunsicherheit bedeutet
jedoch keineswegs, dass im Bereich des E-Business eine rechtsfreie Zone herrscht. Viel mehr finden Regularien des
internationalen Rechts (IPR) (in Deutschland zum Beispiel geregelt im EGBGB) Anwendung.
In der Bundesrepublik sind die europarechtlichen Bestimmungen zum E-Commerce in das BGB integriert worden
und finden sich dort im Allgemeinen Teil und bei den Vorschriften zum Verbraucherschutz. Die technische Seite des
E-Commerce wird im Telemediengesetz (TMG) geregelt. Für den Betreiber eines elektronischen Handelsplatzes
ergeben sich aus §§ 8-10 TMG die Pflicht zur Prüfung, (soweit zumutbar) zur Vorsorge gegen Rechtsverletzungen
durch die Nutzer, und gegebenenfalls zur Sperrung oder Löschung von Inhalten. Dies gilt auch dann, wenn
(eventuell mobile) Software-Agenten teilnehmen.[4]
169
Österreichische Bestimmungen
Rechtlich geregelt ist die Materie E-Commerce in Österreich vor allem durch das E-Commerce-Gesetz (ECG), das
Fernabsatzgesetz, das Signaturgesetz, das Zugangskontrollgesetz sowie das E-Geld-Gesetz, wobei die vertrags- und
schadenersatzrechtlichen Bestimmungen des ABGB und des UGB, soweit sie nicht durch diese
Sonderbestimmungen modifiziert sind, auch hier gelten.
Europäische Bestimmungen
Zur rechtlichen Vereinfachung des grenzüberschreitenden elektronischen Handels und zum Schutz der beteiligten
Verbraucher wurden mit den europäischen Verbraucher-Richtlinien für Europa am 23. Juni 2011 die rechtliche
Grundlagen und Mindeststandards erneuert. Die alte Richtlinie vom 17. Juli 2000 kann hier angesehen werden
Richtlinie 2000/31/EG [5] die aus dem Jahre 2011 hier [6]. Im Zuge der Umsetzung der älteren Richtlinie vom 17.
Juli 2000 wurden in jedem Mitgliedstaat zwei Arten von E-Commerce-Verbindungsstellen eingerichtet, um das
Wachstum des elektronischen Marktplatzes zu fördern und rechtliche Schwierigkeiten auszuräumen. Eine
Verbindungsstelle soll Ansprechpartner für die Regierungen der anderen Mitgliedstaaten sein, während die andere
Verbindungsstelle damit beauftragt ist, Verbrauchern und Unternehmern Informationen zum Internetrecht
bereitzustellen und Adressen von Beschwerde- und Schlichtungsstellen zu nennen.
Um die Transaktionen zu vereinfachen, herrscht innerhalb der EU bei vertraglichen Schuldverhältnissen
grundsätzlich Rechtswahlfreiheit der Parteien, vgl. Artikel 3 Rom-I-VO (ehemals Artikel 3 EVÜ bzw. in
Deutschland Artikel 27ff EGBGB). Eine Ausnahme hiervon stellen unter anderem Verbraucherverträge dar, für die
festlegt ist, dass dem Verbraucher durch eine Rechtswahl nicht der Schutz zwingender Bestimmungen seines
Aufenthaltsstaats entzogen darf, wenn dem Vertragsschluss zum Beispiel ein ausdrückliches Angebot oder eine
Werbung im Aufenthalts- und Handlungsstaat des Verbrauchers vorausgeht, vgl. Artikel 6 Rom-I-VO (ehemals
Artikel 5 EVÜ bzw. Artikel 29 EGBGB).
Mit den neuen Richtlinien vom 23. Juni 2011 wurde den Verbrauchern und den Händlern eine "Vollharmonisierung"
zugesagt[7] , da sich bisher beim Online-Shopping die EU-Länder noch deutlich unterscheiden. Denn bisher galt es
als sehr kompliziertes Recht des Käuferlandes mit einzubeziehen, da der Händler sich erst in der EU mit 27
unterschiedlichen Rechtsprechungen auseinandersetzen müsste, die obendrein zum größten Teil in fremden Sprachen
verfasst sind. Der europäische E-Commerce wird vereinheitlicht[8] , sodass die Rechtsprechungen der einzelnen
Länder nicht mehr unterschiedlich sind oder gar Händler bestimmter Nationen übervorteilt werden.
Außereuropäische Bestimmungen
Viele Artikel beispielsweise werden nur in bestimmten Ländern angeboten. Ein weiterer Aspekt ist das ausnutzen
von Wechselkursvorteilen, zum Beispiel ist es durch die Dollarabwertung zurzeit möglich, beim USA Shopping von
der Dollarabwertung zu profitieren. Mit Hilfe spezieller Suchmaschinen kann der potentielle Kunde nun die
gesuchten Produkte aufspüren und sogar die Angebote der Händler in den verschiedenen Ländern vergleichen.
Teilweise fallen nicht nur die Preise einzelner Produktgruppen unterschiedlich aus sondern auch die
Mehrwertsteuersätze, so dass sich trotz der erhöhten Portokosten eine Bestellung im Ausland als sehr lohnend
erweisen kann. Innerhalb der EU wird der Käufer nicht mit Zöllen belastet, so dass die reellen Kosten transparent
bleiben.
Zusammenfassend lässt sich sagen, dass der grenzüberschreitende Elektronische Handel zwar durch bestimmte
rechtliche Unsicherheiten etwas gebremst wird, aber ein großes Entwicklungspotenzial bietet. Ein einheitliches
europäisches Recht, das die Interessen des Verbrauchers noch besser berücksichtigt, wird langfristig sicherlich für
ein weiteres Wachstum sorgen.
170
Allgemeine Entwicklung in Deutschland
Parallel zur wachsenden Verbreitung des Internets hat auch der elektronische Handel einen deutlichen Aufschwung
erfahren. Im Jahr 2001 kauften laut Allensbacher Computer- und Technik-Analyse hochgerechnet rund 13 Millionen
Deutsche Produkte oder Dienstleistungen über das Internet.[9] 2010 lag die Zahl der Online-Käufer nach Angaben
der Gesellschaft für Konsumforschung (GfK) bei 34,1 Millionen. Für 2011 prognostiziert die GfK 38,1 Millionen
Online-Käufer.[10] Gleichzeitig sind auch die Umsätze im E-Commerce in den letzten zehn Jahren deutlich
angewachsen. Nach Zahlen des Handelsverbands Deutschland (HDE) belief sich der E-Commerce-Umsatz im Jahr
2000 auf 2,5 Milliarden Euro. 2010 erwirtschaftete der Handel im Internet bereits 23,7 Milliarden Euro. Für 2011
rechnet der Verband mit einem Online-Umsatz von 26,1 Milliarden Euro.[11]
Das Online-Kaufverhalten
Die folgenden Daten beziehen sich auf die Ergebnisse zweier Studien, der Studie Sicherheit im Online-Handel 2006
von eBay/TNS sowie der eCommerce 2004 im Auftrag der Postbank und des Europressedienstes. Grundsätzlich
ergaben diese Studien, dass Männer im Internet häufiger einkaufen als Frauen. Hinzu kommt, dass bekannte
Online-Shops bevorzugt werden und die Nutzung von Preisvergleichsportalen wie pricerunner.de, idealo.de oder
guenstiger.de mit zunehmender Interneterfahrung steigt. Wichtig sind neben der schnellen Lieferung der Waren vor
allem die Möglichkeit, rund um die Uhr einzukaufen sowie bessere Preis- und Warenvergleichsmöglichkeiten. Die
Studie zeigt deutliche Unterschiede, was das Einkaufsverhalten zwischen männlichen und weiblichen Kunden
betrifft. Frauen verbringen demnach weniger Zeit im Internet, liegen aber beim Online-Kauf dennoch vorne. Männer
kaufen dagegen häufiger bei Auktionen und ausländischen Online-Shops. Die größte Lust am virtuellen
Einkaufsbummel haben einkommensstarke Frauen mit einem Einkommen von mehr als 3.000 Euro netto. Während
für Männer günstige Preise wichtig sind, legen Frauen größeren Wert auf Qualität der Ware und Kundenservice.
Eindeutig vorn liegen Männer beim Online-Banking, Online-Brokerage und der sonstigen Abwicklung von
Aktiengeschäften im Internet. Bei der Untersuchung wurden 264 Online-Händler und 1.020 Privatpersonen befragt.
Käufer
Insgesamt gaben 67 Prozent der Befragten an, schon einmal online gehandelt oder eingekauft zu haben, während 33
% niemals kommerziell im Internet tätig waren. Die Nutzer des E-Commerce werden in drei Kategorien eingeteilt:
• Heavy user kaufen mindestens ein Mal in der Woche online ein,
• medium user mindestens ein Mal in drei Monaten und
• low user durchschnittlich alle sechs Monate oder seltener.
Unter den physischen Gütern werden Bücher am häufigsten gekauft (75,1 %), gefolgt von Reisen (59,4 %), Tickets
(57,6 %), CDs und DVDs (53,8 %) und elektronischen Artikeln (51,1 %). Im Bereich der digitalen Güter ist der
Download von Software besonders beliebt (48,4 %), gefolgt von Fachartikeln (43,4 %) und Musikdownloads (32,9
%).
Auf der Funkausstellung 2007 veröffentlicht das Statistische Bundesamt folgendes: 53 % der Internetkunden
bestellen Bücher (das als Beispiel) … 52 % der privaten Internetnutzer kaufen online ein.
Die häufigsten Antworten auf die Frage, welche Artikel die Befragten nie im Internet kaufen würden, waren:
•
•
•
•
•
Kraftfahrzeuge
Lebensmittel
Kleidung/Schuhe/Accessoires
Möbel
Unterhaltungselektronik
Begründungen dafür sind fehlende sofortige Qualitätskontrolle, geringe Beratungsmöglichkeit und ein zu hoher Preis
für den Online-Kauf. Bei der Frage, wie viel Geld User beim Kauf eines Artikels höchstens ausgeben würden, ergibt
171
sich eine Zunahme der durchschnittlichen maximalen Ausgaben in Abhängigkeit von der Häufigkeit der
E-Commerce-Nutzung. Low-user würden im Durchschnitt maximal 393 € ausgeben, medium-user wären zu
Ausgaben von höchstens 616 € bereit, während die heavy-user hingegen 779 € beim Online-Shopping ausgeben
würden. Als Gründe, warum Befragte nicht mehr ausgeben, wurden hauptsächlich Sicherheitsrisiken bei der
Bezahlung oder der Übertragung von Daten genannt.
Händler
Hier wurden insgesamt 1.000 B2C-Unternehmen befragt, die 2003 einen Gesamtumsatz von 11 Mrd. Euro meldeten.
51,1 % erwarten in den nächsten Jahren einen Anstieg im elektronischen Handel, folglich beabsichtigen 72,7 %
einen Ausbau ihres Online-Angebots. Im Jahre 2008 stieg der Umsatz auf zirka 19,3 Mrd. Euro[12] . In der groß
angelegten Studie Internet im Handel 2006 des ECC Handels wurden 2390 vorrangig mittelständische Unternehmen
zur Bedeutung des Internets sowohl für Beschaffung als auch für den Vertrieb in Deutschland befragt. So gaben
2006 62,7 % der befragten Unternehmen an Waren im Internet zu beschaffen. In der Vorauswertung zur Studie
Internet im Handel 2008 stieg die Anzahl weiter, so dass mittlerweile bis zu 94,2 % der Unternehmen Waren im
Internet beschaffen[13] . Die befragten Händler der Studie 2006 des ECC Handels gaben an, dass immerhin 29,5 %
des Umsatzes im Online-Geschäft gemacht wurden. Der Anteil des Umsatzes der Firmen mit Endkundenausrichtung
(B2C) ist dabei jedoch mit 31,7 % etwas höher. Nach dem eigenen Online-Shop mit 59,3 % des Umsatzes ist eBay
mit 21 % der umsatzstärkste Vertriebskanal für die Händler im Internet.
In den USA verlangsamtes Wachstum bei Online-Verkäufen
Dem Online-Buchmarkt prognostizierte Forrester Research 2007, nur noch um elf Prozent zu wachsen; 2006 waren
es noch 40 Prozent. Kleidung soll von 61 auf 21 Prozent sinken. Auch bei Sportartikeln, Videos, Musik oder
Ersatzteilen von Autos wurde viel weniger Absatzwachstum erwartet.
Dabei sollten 2007 in den USA 116 Milliarden US-Dollar im Internet umgesetzt werden – fünf Prozent aller
Einzelhandelsverkäufe.
Wachstumsmotor im Online-Handel in Deutschland und Verbesserungsmöglichkeiten
Die wachsende Zahl der Internetnutzer führt im deutschen Online-Handel zu immer neuen Rekordumsätzen.
Dennoch stagnieren seit 2004 (Stand: 2008) die Wachstumsraten bei jährlich zwölf Prozent.[14]
Ein wesentliches Verbesserungspotential im Online-Handel liegt in der Verbesserung des Einkaufserlebnisses und in
Guided Selling-Technologien zur Verbesserung der Produktsuche und Produktberatung. Durch den Einsatz von
Videos wird die Warenpräsentation deutlich optimiert und das von vielen Nutzern vermisste Einkaufserlebnis
verbessert.
Bislang unterrepräsentiert sind im Online-Handel erklärungsintensive oder stark emotionalisierende Warengruppen
wie Bekleidung, Schmuck, Möbel oder Haushaltswaren, die zum Beispiel im Teleshopping gut funktionieren.
172
Technische E-Business-Standards
ebXML
XML für elektronische Geschäftsprozesse
XBRL
XML für das Rechnungswesen
BMEcat
XML für den Austausch von Katalogdaten/Preisinformationen…
OpenTRANS
XML für den Austausch von Auftragsdaten…
ETIM
Warengruppensystem der Elektroindustrie
ECl@ss
Warengruppensystem des Maschinenbaus
UNSPSC
Branchenübergreifendes Warengruppensystem der United Nations
proficl@ss
Branchenübergreifendes Warengruppen- und Warenmerkmalssystem
shopinfo.xml
Bereitstellung von Shop- und Produktdaten
XETRA
Plattform der Deutschen Börse AG für den elektronischen Wertpapierhandel.
Einzelnachweise
[1] Vgl. Hans-Otto Schenk: E-Commerce und Internet-Handel – Eine typologische Klärung, in: Handelsforschung 2001/02, hrsg. von Volker
Trommsdorff, Köln 2002, S. 25-50. ISBN 3-935118-38-4.
[2] SSL-Check (http:/ / www. test. de/ themen/ computer-telefon/ ssl_check)
[3] http:/ / dejure. org/ gesetze/ BGB/ 312b. html
[4] Vgl. Rotraud Gitter: Softwareagenten im elektronischen Geschäftsverkehr, in: Der Elektronische Rechtsverkehr, Band 19, hrsg. von
Alexander Roßnagel, Nomos, Baden-Baden 2007, S. 274-281. ISBN 978-3-8329-3242-8.
[5] http:/ / eur-lex. europa. eu/ LexUriServ/ LexUriServ. do?uri=CELEX:32000L0031:DE:NOT
[6] http:/ / www. evz. de/ UNIQ131194241227213/ doc2239A. html
[7] Vgl. Preis.de News Blog: Neue EU-Richtlinie beim Online-Handel, vom 7. Juli 2011; Online Verfügbar unter: (http:/ / www. preis. de/ news/
2011/ 07/ neue-eu-richtlinie-beim-online-handel/ ).
[8] Vgl. Preis.de News Blog: Neue EU-Richtlinie beim Online-Handel, vom 7. Juli 2011; Online Verfügbar unter: (http:/ / www. preis. de/ news/
2011/ 07/ neue-eu-richtlinie-beim-online-handel/ ).
[9] Online-Käufer 2001 bis 2009 (http:/ / de. statista. com/ statistik/ daten/ studie/ 71413/ umfrage/ anzahl-der-online-kaeufer-in-deutschland/ ),
IfD Allensbach aufbereitet von Statista.
[10] Online-Käufer 2006 bis 2011 (http:/ / www. enigma-gfk. de/ download/ oss-2011-info-bezug. pdf), Online Shopping Survey 2011.
[11] Online-Umsatz 1999 bis 2011 (http:/ / www. einzelhandel. de/ pb/ site/ hde/ node/ 1331127/ Lde/ index. html), Handelsverband Deutschland
(HDE).
[12] Online-Handel 2008 – Versandhandel so vital wie nie aufgrund von expandierendem E-Commerce (http:/ / www. ihk-koeln. de/ Navigation/
InnovationUndUmwelt/ EBusiness/ ECommerce/ OnlineHandel. jsp)Artikel der IHK Köln, abgerufen am 17. Februar 2009 um 13.34h.
[13] Kurzauswertung der Ergebnisse der Studie Internet im Handel 2008 (http:/ / www. ecc-handel. de/
kurzauswertung_internet_im_handel_2008. php)
[14] Studie eCommerceTV, Goldmedia, 2008
173
Literatur
• Andreas Duscha und Kai Hudetz: Internet im Handel 2006 – Status quo und Entwicklungen. In: Institut für
Handelsforschung (Hrsg.): {{{Sammelwerk}}}. 2006, ISBN 978-3-935546-03-4.
• Angeli Susanne und Wolfgang Kundler: Der Online Shop – Handbuch für Existenzgründer. Markt + Technik,
2011, ISBN 978-3-8272-4690-5.
• Daniel Amor: Dynamic Commerce – Online-Auktionen – handeln mit Waren und Dienstleistungen in der Neuen
Wirtschaft. Galileo Press, 2002, ISBN 978-3-934358-64-5.
• Peter Ludwig: Vertrauen beim Online-Shopping. Dustri, 2005, ISBN 978-3-89967-230-5.
• Katja Richter, Holger Nohr: Elektronische Marktplätze. Potenziale, Funktionen und Auswahlstrategien.. Shaker
Verlag GmbH, 2002, ISBN 978-3-8265-9890-6.
• Knut Hildebrand: Electronic Business (http://hmd.dpunkt.de/215/). Dpunkt Verlag, 2000, ISBN
978-3-932588-80-8.
• Michael Clasen: Erfolgsfaktoren digitaler Marktplätze in der Agrar- und Ernährungsindustrie. Gabler,
Wiesbaden 2005, ISBN 978-3-8350-0029-2.
• Frank Migalk: Elektronische H@ndelsplattformen (Handelsplattformen). Möglichkeiten für den Mittelstand.
Loeper Literaturverlag, Karlsruhe 2005, ISBN 978-3-86059-661-6.
• Bernd Schauer: E-Commerce in der Europäischen Union (http://www.lawvision.at/unternehmen/management/
). Schriftenreihe des Ludwig Boltzmann-Institutes für Europarecht, Band 3, Verlag Manz, Wien 1999
• Marco Henseler: Wettbewerb elektronischer Business-to-Business Marktplätze. Entwicklungen und dominante
Strukturen. Verlag Dr. Kovac, Hamburg 2009, ISBN 978-3-8300-4531-1.
Weblinks
• e-Business W@tch: Marktbeobachtungsinitiative der Europäischen Kommission zum Thema
e-Business-Aktivitäten (http://www.ebusiness-watch.org) (englisch)
• Umfangreicher Leitfaden und weitere Informationen für Online-Händler, unterstützt vom BMBF, dem BDOA
und zahlreichen IHK (http://www.ecommerce-leitfaden.de)
• Leitfaden Internetvertriebsplattform (E-Government-Handbuch vom BSI Deutschland) (PDF) (https://www.bsi.
bund.de/cae/servlet/contentblob/476856/publicationFile/31477/5_EShop_pdf.pdf) (353 kB)
• Sichere Zahlungsverfahren für E-Government (E-Government-Handbuch vom BSI Deutschland) (PDF) (https://
www.bsi.bund.de/cae/servlet/contentblob/476842/publicationFile/28321/4_Zahlv_pdf.pdf) (1,12 MB)
• Sammlung tiefer gehender E-Commerce Themen der FH Würzburg (http://www.iwiki.de/wiki/index.php/
Kategorie:Hauptseminar_E-Commerce)
• E-Commerce Center Handel am Institut für Handelsforschung an der Universität zu Köln (http://www.
ecc-handel.de)
• BMBF Forschungsprojekt von Prof. Dr. Ricardo Büttner zur Entwicklung einer elektronischen Marktplattform für
Zeitarbeitskräfte zur Förderung von Beschäftigung und Wertschöpfung (http://www.fom.de/
elektronische_marktplattform.html)
174
Electronic Banking
175
Electronic Banking
Electronic Banking, Telebanking,
E-Banking, Onlinebanking und auch
Elektronisches
Bankgeschäft
(E-Bank) ist das Abwickeln von
Bankgeschäften mittels Telefon, Fax
(Telefon- bzw. Phonebanking) und
Computer
mit
Hilfe
von
Onlinediensten oder im Internet. Im
Privatkundengeschäft ist Telebanking
identisch mit Homebanking, im
Firmenkundengeschäft
mit
Officebanking. Electronic Banking ist
zumeist beleglos.
Arten
Prinzipiell gibt es fünf Arten von
Electronic Banking:
•
•
•
•
•
Exemplarisch: Vornehmen einer Überweisung im Onlinkebanking-Portal einer Bank
Electronic Banking per Datenträgeraustausch (DTA oder DTAUS)
Onlinebanking (auch E-Banking, Homebanking, oder Telebanking genannt)
Telefonbanking
SB-Banking
Kartengestütztes Bezahlen (auch Electronic Cash oder POS genannt).
Die einzelnen Methoden sind für bestimmte Zielgruppen entwickelt worden. So wird z. B. der klassische
Datenträgeraustausch bevorzugt von größeren Geschäftskunden genutzt, während das in der Nutzung sehr einfache
Telefonbanking eher den Privatkunden anspricht. In der Praxis findet jedoch oft eine Vermischung statt.
Datenträgeraustausch
Der physikalische Datenträgeraustausch ist neben der elektronischen Übermittlung der Dateien via FTAM / BCS
(s. u.) vor allem bei Großunternehmen und Kommunen mit sehr vielen Aufträgen gebräuchlich.
Hierbei werden Überweisungen und Lastschriften in Dateiform auf Disketten oder CD-ROMs, früher auch auf
Magnetbändern an die Bank eingereicht. Der Aufbau der Datei („DTAUS-Datei“) ist von der Deutschen
Kreditwirtschaft bankübergreifend vereinheitlicht vorgeschrieben und enthält neben den Auftraggeber- und
Empfängerdaten die Auftragsart (Überweisung oder Lastschrift) sowie Summendaten zur Kontrolle.
Die Legitimation und Autorisation der Aufträge erfolgt durch einen Datenträgerbegleitzettel mit Unterschrift eines
Kontobevollmächtigten.
Electronic Banking
176
Schweiz
Auch innerhalb der Schweiz gibt es für das DTA-Format einen einheitlichen und standardisierten Aufbau. Das
Datenträgeraustausch-Format (DTA) wird durch die SIX Interbank Clearing AG (ein Gemeinschaftswerk der
Schweizer Banken) definiert. Das Schweizer Format ist nicht mit dem Deutschen Format kompatibel.
Onlinebanking
Unter Onlinebanking versteht man den direkten Zugriff auf den Bankrechner. (z. B. über Internet oder Direkteinwahl
bei der Bank per Datenfernübertragung).
Hier sind zwei Verfahren üblich:
• Browserbasiertes Internetbanking über die Website der Bank,
meist durch SSL gesichert.
• Verwendung eines Onlinebankingprogramms (sog.
Clientprogramm), mit dem zunächst offline, also ohne
Netzverbindung, die Transaktionen vorbereitet werden, etwa
ein Überweisungsbeleg ausgefüllt. Danach erst wird eine
Netzverbindung zur Übertragung der gesammelten
Transaktionen aufgebaut.
Die Aufträge werden mit Hilfe einer elektronischen Unterschrift
unterzeichnet. Hier haben sich in Deutschland mehrere Verfahren
etabliert:
HBCI-Chipkartenleser
• PIN/TAN (mit Papier-TAN-Liste, TAN-Generator oder SMS-TAN)
• Homebanking Computer Interface (HBCI) oder Financial Transaction Services (FinTS) mit Legitimation per
Chipkarte oder Schlüsseldiskette.
• File Transfer and Access Management (FTAM) mit Elektronischer Unterschrift (EU); vor allem im Firmensektor
verbreitet; Direkteinwahl zum Bankrechner über ISDN oder DATEX-P.
• Banking Communication Standard (BCS), i. d. R. identisch FTAM, findet meist unter Verwendung von
elektronischen Unterschriften) hauptsächlich bei größeren Unternehmen Verwendung.
• Electronic Banking Internet Communication Standard (EBICS): Erweiterung des Banking Communication
Standard für die Kommunikation über das Internet unter Verwendung von elektronischen Unterschriften.
Zukünftiger Multibankenstandard für das Firmenkundengeschäft über das Internet (flächendeckende Einführung
in Deutschland zum 1. Januar 2008).
Moderne browserbasierte Internetbanking-Systeme zeichnen sich unter anderem durch Portal-Funktionen,
Barrierefreiheit, ausgefeilte Sicherheitsmechanismen (z. B. gegen Phishing), Benachrichtigungsmöglichkeiten (z. B.
bei Kontostandsänderung durch SMS oder E-Mail), mobile TAN-Verfahren sowie frei wählbaren Anmeldenamen
aus. Alle bekannten browserbasierten Internetbanking-Systeme sind bis heute durch proprietäre Software realisiert.
In Deutschland nutzten 2008 24 Millionen Menschen Onlinebanking, das sind 38 Prozent der 16 bis 74-Jährigen.[1]
In Österreich wird hauptsächlich das MBS/IP-Verfahren verwendet.
Electronic Banking
Sicherheit beim Onlinebanking
Es ist zwischen der Sicherheit der
eigentlichen Datenübertragung zur
oder von der Bank und der
Abwicklung am Arbeitsplatz zu
unterscheiden.
Bei
allen
Browseroder
Client-basierten
Electronic
Banking-Systemen
ist
eine
Verschlüsselung der Datenübertragung
seitens der Banken gewährleistet.
Diese
ist
nach
normalem
menschlichem Ermessen nicht – oder
nur unter erheblichem Zeit- und
Ressourcenaufwand – manipulierbar.
Phishing-Versuch. Der Benutzer soll seine Zugangsdaten auf der vom Phisher
Das Übertragungsprotokoll HTTPS
präparierten Webseite preisgeben. Typisch ist die Nachahmung des Designs einer
kann
verschiedene
vertrauenswürdigen Stelle.
Verschlüsselungsalgorithmen
benutzen, die als unterschiedlich sicher betrachtet werden.[2] Beim Verbindungsaufbau handeln Web-Browser und
Banken-Server den Verschlüsselungsalgorithmus aus, wobei die meisten Banken im Augenblick (2009) AES mit
256 Bit langen Schlüsseln benutzen.
Erste Angriffsfläche für einen eventuellen Betrüger ist neben dem bedienenden Menschen vor allem der heimische
PC.
So sollten Computer immer durch einen aktuellen Virenscanner und eine Firewall gesichert werden, um die
Verbreitung von Schadprogrammen wie z. B. Viren, Keyloggern oder Trojanern zu unterbinden. Mit solchen
Schadprogrammen wäre z. B. die Fernsteuerung des Computers möglich.
Durch Phishing und Pharming wird versucht, direkt an die zur Auftragsunterzeichnung notwendigen Daten (z. B.
PIN/TAN) zu gelangen. Jeder Bankkunde kann sich bereits dadurch schützen, wenn die von den Banken zur
Verfügung gestellten Zugangsberechtigungen nicht weitergegeben bzw. im Computer hinterlegt werden.
Denkbar wäre auch eine Manipulation des Domain Name Systems zur Umsetzung der URL einer
Onlinebanking-Seite auf die IP-Adresse eines Angreifers (DNS-Spoofing). Dadurch würde der Web-Browser auf
einen anderen Web-Server geleitet, obwohl die richtige URL eingetippt wurde.
Einen sehr aufwendigen Angriff auf Online-Banking stellt der Man-in-the-middle-Angriff dar, bei dem der Angreifer
sich zwischen Nutzer und Bank schaltet. Es ist also eine direkte Überwachung des Datenverkehrs in Echtzeit
erforderlich. Da hierbei auch Manipulationen an den übermittelten Inhalten vorgenommen werden können, ist dieser
schwierig zu erkennen, allerdings bieten sowohl das mTAN-Verfahren als auch chipTAN comfort einen guten
Schutz dagegen, ebenso wie eine korrekte Überprüfung des digitalen Zertifikats der SSL-Verschlüsselung.[3]
Siehe auch: Datenschutz und Verschlüsselung
177
Electronic Banking
Maßnahmen zum sicheren Onlinebanking
Onlinebanking sollte von einem Betriebssystem erfolgen, das keine Trojaner enthält. Eine Möglichkeit ist das
Betriebssystem von einer Live-CD zu starten. Dabei empfiehlt sich das kostenlose Knoppix [4] . Wer wenig Ahnung
von dieser Technik hat, kann sich von einem Bekannten ein angepasstes Knoppix erstellen lassen (c't Bankix[5] ).
Mit dem Plugin CipherFox[6] kann RC4 als Verschlüsselungsmethode im Web-Browser Firefox für das
Online-Banking ausgeschaltet werden, damit der Web-Server der Bank gezwungen wird, eine andere
Verschlüsselungsmethode zu wählen.
Chipkartenlesegeräte verlagern die Sicherheit in ein externes Gerät und sind grundsätzlich zu empfehlen. Allerdings
kann auch hier nicht ausgeschlossen werden, dass Fehler in der Software des Geräts enthalten sind.
Bekannte Onlinebankingprogramme (Auswahl für den deutschen Markt)
Deutschland
•
•
•
•
ALF-BanCo
SFirm
Bank X (Mac OS X)
GnuCash (freie Software)
•
•
•
•
•
•
•
•
•
•
•
Hibiscus (Java, freie Software)
KMyMoney (freie Software)
MacGiro (Mac OS X)
Moneyplex
iOutBank (Apple iOS)
ProfiCash (Volks- und Raiffeisenbanken)
VR NetWorld (Volks- und Raiffeisenbanken)
Quicken
StarMoney
T-Online Banking
WISO Mein Geld
Österreich
• ELBA MBS: BKS, BTV, CAPITAL Bank – GRAWE Gruppe AG, Hypo Oberösterreich, Hypo Salzburg, Hypo
Steiermark, ING Bank N.V. Vienna Branch, Oberbank, Raiffeisen, Sanpaolo IMI S.p.A., Sparkasse, Erste Bank,
BAWAG/P.S.K. Gruppe, Societé Generale, Svenska Handelsbanken AB, VKB-Bank, ZVEZA BANK reg.z.z o.j,
Sparda Bank
• Business Line, Business Net: Bank Austria,
• HOB MBS: Volksbanken Sektor, Hypo Vorarlberg, Hypo Tirol, Hypo Alpe-Adria-Bank, Hypo Niederösterreich,
Schoellerbank AG, Bank für Ärzte und Freie Berufe, Investkredit Bank AG, Bankhaus Schelhammer & Schattera,
direktanlage.at, Renault Bank AG, Bankhaus Carl Spängler & Co. AG, Gärtnerbank rGmbH, IMMO-BANK AG,
Österreichische Apothekerbank
178
Electronic Banking
179
Schweiz
• E-Finance
• DirectNet
• e-Services for Avaloq
Telefonbanking
Beim Telefonbanking werden Kontostandsabfragen, Überweisungen, oft auch Wertpapiergeschäfte über das Telefon
abgewickelt. Hier kommen Sprachcomputer, aber auch Call-Center- oder kombinierte Lösungen zum Einsatz.
SB-Banking
Hierunter fällt die Kundenselbstbedienung an Geldautomaten,
Kontoauszugsdruckern oder Überweisungsterminals.
Kartengestütztes Bezahlen
Auch das Bezahlen mit Kreditkarte, Debitkarte oder Geldkarte
fällt in den Bereich des Electronic Banking. Je nach verwendeter
Karte erfolgt die Autorisierung der Zahlung per PIN oder
Unterschrift. Bei der Geldkarte erfolgt keine Autorisierung.
Siehe auch: Bargeldloser Zahlungsverkehr
Geldautomat
Literatur
• Heinz Sauerburger (Hrsg.): Zahlungssysteme / E-Banking. HMD 224, dpunkt.verlag, Heidelberg 2002, ISBN
3-89864-154-6.
• Markus Knüfermann: Angebotsgestaltung im Internet-Banking für Privatkunden deutscher Sparkassen.
Springer/Bank-Verlag, Wien/New York, 2003, ISBN 3-85136-065-6.
• Ernst Stahl, Thomas Krabichler, Markus Breitschaft, Georg Wittmann: Electronic Banking 2007 – Trends und
zukünftige Anforderungen im Firmenkundengeschäft. Teil 1. Delphi-Expertenbefragung, März 2007, ISBN
978-3-937195-14-8.
• Broschüre: Geldgeschäfte – online und sicher [7], Landesinitiative „secure-it.nrw“
Electronic Banking
Weblinks
Deutschland
• Online-Banking-Sicherheit [8] – Information des Bundesverbands Deutscher Banken
• Studienzyklus der Universität Regensburg zum Electronic Banking im Firmenkundengeschäft [9]
Schweiz
• SIX Interbank Clearing AG [10]
Österreich
• Studiengemeinschaft für Zusammenarbeit im Zahlungsverkehr [11] (Normierungsinstitut der Banken in Österreich
u. a. der MBS-Norm)
• a.trust [12]
• ELBA-Electronic Banking [13]
Einzelnachweise
[1] heise.de, Online-Banking wächst nur langsam, 22. Febr. 2009 (http:/ / www. heise. de/ newsticker/ Online-Banking-waechst-nur-langsam--/
meldung/ 133331)
[2] Bericht auf Heise über die Benutzung von Verschlüsselungsalgorithmen (http:/ / www. heise. de/ ix/
Internet-Anwender-sind-Verschluesselungsmuffel--/ news/ meldung/ 120671)
[3] Ruhr-Universität Bochum: A-I3 Pressemeldung: iTAN nur in Verbindung mit SSL sicher (Update) (https:/ / www. a-i3. org/ content/ view/
411/ 28/ )
[4] Webpräsenz von Knoppix (http:/ / www. knopper. net/ knoppix/ )
[5] Projekt der Zeitschrift c't zum sicheren Onlinebanking (http:/ / www. heise. de/ ct/ projekte/ ctbankix)
[6] Firefox-Plugin CipherFox (https:/ / addons. mozilla. org/ en-US/ firefox/ addon/ 8919)
[7] http:/ / www. secure-it. nrw. de/ material/ fitra. php
[8] https:/ / shop. bankenverband. de/ shop/ ods/ online-banking-sicherheit/ 01-br0509_online-banking-sicherheit. pdf/ download
[9] http:/ / www. ibi. de/ ebanking
[10] http:/ / www. sic. ch
[11] http:/ / www. stuzza. at/ ?mbs. shtml
[12] http:/ / www. a-trust. at/
[13] http:/ / www. elba. at
180
Informationssicherheit Quelle: http://de.wikipedia.org/w/index.php?oldid=92742772 Bearbeiter: A.Savin, ABF, AHZ, AaronEmi, Ahellwig, Aka, AndiMF, AndiOBM, Andim, AndreasMeyer,
Appsec, Atomiccocktail, BPX, Badenserbub, Baqu11, Bardenoki, Baumeister, Bautsch, Bavariac, Berniedrei, Berntie, Bütti23, CFT, CWest2006de, Calestyo, Capaci34, Carbidfischer,
Carol.Christiansen, Cartinal, Chesk, Christian Schulze, Chth, Cjesch, CommonsDelinker, Complex, Curtis Newton, D, D42, DasBee, Density, Der Ersteller, Der kleine grüne Schornstein,
Der.Traeumer, DerHexer, Diba, Dinah, Dirk8B, Don Magnifico, DonnyBig, DoubleFloat, Drahtloser, Duesentrieb, Ephraim33, Euku, Federstrich, Felixjansen, Filefanatic, Fkoch, Fleasoft,
Fomafix, Freak 1.5, Freedom Wizard, FritzG, GFJ, Gerbil, Gerhardvalentin, Geschichtsmecki, Ghw, Gnu1742, Grisutheguru, HaSee, Haasalex, Herrick, Howwi, InaktiverBenutzer12345,
Inkowik, Iste Praetor, Itti, JakobVoss, Johnny Controletti, Jramio, JuTa, Kelle, Klaus Eifert, Krawi, Kubieziel, LKD, Lambada, Lebakas, Lenmiller, Leon, LoTekk, Logicproblem, Logograph,
M.L, Magnummandel, Marinebanker, Martin Bahmann, Mary schulz, MathePeter, Meisterkoch, Membeth, Merlissimo, MichaelDiederich, Michi.bo, Millbart, MrBn, Mykolas OK, Neo23x0,
Nolispanmo, Olei, Ot, PDD, Patrick G. DLG, Pelz, Penosa, Peter200, Pittimann, Polarlys, Policy, Prometheus89, Rainald62, RedCat, RedTux, Regi51, René, Revvar, Ri st, Rohieb, Romeike,
S.Didam, STBR, Saehrimnir, Saibo, Salier100, SchulzBjoern, Scooter, Scooty, Sebs, Seewolf, Semper, ServCogni-HC, Siguru, Singsangsung, Sinn, SirPrize, Small Axe, Snoopy99, Sparti,
Spuk968, Stefan64, Stobs, Stummi, Sunside, SvenjaWendler, T.v.7, Taxiarchos228, Thika, Thireus, ThomasMielke, Thorbjoern, Tönjes, Umoser, Uwe Gille, Vsc, W.alter, WAH, Wasserseele,
WikipediaMaster, Woelpert, Wolfgang H., YMS, 355 anonyme Bearbeitungen
Datensicherung Quelle: http://de.wikipedia.org/w/index.php?oldid=92860338 Bearbeiter: 5gon12eder, A.Savin, Aka, Akorczak, Alexander.kleinert, Alros002, Alsterdrache, Ammit, Andreas
Stockter, Andreas aus Hamburg in Berlin, AndreasFahrrad, Artur Weinhold, Asteron, Atari-Frosch, Avoided, BJ Axel, Badenserbub, Baumfreund-FFM, Bengtlueers, Bercine, Berg2,
Bicycletechnocrat, Bihlerin, Binter, Birger Fricke, Blah, C-M, C.Löser, C.Wereb, Cactus26, Capaci34, Chesk, ChristophDemmer, Cologinux, Complex, Conspiration, Corekd, Crunker, D,
Daaavid, DanChem, Daniel 1992, Daschu, Dc2, Dealerofsalvation, Del45, DerHexer, DerPaul, Diba, Diekeule, Diesterne, Dirk8B, Dishayloo, Djat, Dsfsadfsd, El., ElRaki, Endorphine, Eredrian,
ErhardRainer, Erik Warmelink, Euku, Euphoriceyes, EvNu, FBE2005, Farbenpracht, Fasdfsdafd, FeG, Fish-guts, FlügelRad, Forevermore, GDK, Gardini, Generator, Gerhardvalentin, Gnu1742,
Guandalug, HJJHolm, Hadhuey, HaeB, Hajotthu, He3nry, Hendric Stattmann, Hibodikus, Howwi, INM, Igelball, IndianaJonas, Iste Praetor, Itu, J. 'mach' wust, Jan Giesen, Jergen,
JesusNachfolger, Jivee Blau, Jkbw, Jochim Schiller, JoeB, Jovakki, Joyamas, Jpp, Jörg Kopp, Jörny, K. Vermeidlo, Kff, Kh555, Klaus Eifert, Kohl, Krawi, Kurt Jansson, Kvedulv, L3XLoGiC,
LC, LKD, Landau, Leider, Lemmie, Linum, LivingShadow, Logograph, Lupo Curtius, Magnummandel, Magnus, Marcel083, Martin-römer, Martin-vogel, Martin1978, Mary schulz,
Matthias.Wolf, Melancholie, Mellum, MichaelDiederich, Michelvoss, Micwil, Mijozi, Mnh, Montauk, Musik-chris, Nelk, Nicolas G., Nightflyer, Nockel12, Nolispanmo, Numbo3, Nyks,
Obersachse, Olei, Ot, PeeCee, Pendulin, Perrak, Peter Littmann, Peter200, Pittimann, Polarlys, Primus von Quack, Priwo, Qhx, Raymond, Razzia, Rektsreibr, Renekaemmerer, René Schwarz,
Revvar, Richard Huber, RokerHRO, Ronnydotnet, Rubinstein, SPIA, Sa-se, Sabata, Sagsdgdsdasg, Schiel17, Schnitzel86, Seewolf, Semper, Shh, Sinn, Softsheep, Solid State, Sparti,
Speicherguide.de, Spuk968, Spunki69, Srbauer, Steevie, Stefan Kühn, [email protected], Stephan Matthiesen, Stern, Stfn, Stummi, Sven-steffen arndt, Sypholux, T.L., Testtube, TheK,
Thomasbilgram, Thornard, Timk70, Tobi B., TruebadiX, Tönjes, UlrichJ, Umweltschützen, Uncopy, Updimsa, VanGore, W-alter, WAH, Wasserseele, Wiedemann, Wiki p75, WikiNick,
Wikidienst, Wkrautter, Wnme, Woches, Wondervoll, Xiooix, YMS, YourEyesOnly, Zaibatsu, Zlorfi, Дисссидент, 440 anonyme Bearbeitungen
Privatsphäre Quelle: http://de.wikipedia.org/w/index.php?oldid=92683919 Bearbeiter: A.Savin, Adornix, Aka, Andreas 06, Archwizard, Ariro, Authentic, Avoided, Blackwestside,
Bummbumm, Carolin, Chire, Cjesch, Dickbauch, Diddi, Don Magnifico, Drahtloser, Drea0511, Drewtwice, Dumont, EvDa13, F2hg.amsterdam, Forevermore, Gerhardvalentin, Getawu,
Gsälzbär, HaeB, Herr Andrax, Howwi, Ironix, Jan Giesen, Kai-Hendrik, Karlscharbert, KitTraverse, Kreszenz, Kuebi, LKD, Letdemsay, Liberal Freemason, MKrings, Mbdortmund, Mennis,
Micha99, Mitja, Mnagenborg, Moguntiner, Ne discere cessa!, Neitram, Nerd, Netopyr, Nixred, Nolispanmo, Oberlaender, OecherAlemanne, Ohne Gewehr, Olei, PeeCee, Pentachlorphenol,
Philippschaumann, Pittimann, Plehn, Primus von Quack, PsY.cHo, Rapober, Robert "BuRnEr" Schadek, Rs newhouse, S.Didam, Saibo, SeL, Seewolf, Sicherlich, Sinn, Slllu, Speck-Made, Stern,
Trockenfisch, Uncopy, Victor Eremita, WAH, Wangen, Wickie37, YourEyesOnly, Yoursmile, Zenon, 114 anonyme Bearbeitungen
Datenschutz Quelle: http://de.wikipedia.org/w/index.php?oldid=92431345 Bearbeiter: --, 3systems, A.Savin, Achim Raschka, Aka, AlexR, Alleswissender, Ams033, Andibrunt, Andreas 06,
Andrsvoss, Andy800, Angela, Anstageslicht, Armin P., Asdfj, Askapana, B. N., B.Klak, BKSlink, Babycat48, Badenserbub, Baird's Tapir, Bavaroso, Benowar, Benzen, Berliner Schildkröte,
Bernard Ladenthin, Bernd vdB, Berntie, Bib, Blah, Blootwoosch, Bumbulski, C.Löser, Captain Crunch, Carbenium, Carol.Christiansen, Christoph.B, ChristophDemmer, ColaBear, Com1 manu,
Conny, Crux, Cvn65, Cyper, D, DL5MDA, DaMonkey, Daniel 1992, Danimen, DasBee, Der.Traeumer, DerHexer, Devanitator, Diago, Diba, Diddi, Dieter Schleichmann, Doc z, Dolores152,
Don Magnifico, DonLeone, Dorpat, Dott. Yy, Dreadn, Duesentrieb, Dundak, E-W, Eb.schneider, Eltharion, Elvaube, Engie, Entlinkt, Enzyeditor, EriolBrumel, Este, FEXX, Feba, Felix König,
Felix Stember, FelixKaiser, Ferique, Fgb, Fgrassmann, Finte, Fipptehler, Flominator, Florian Adler, FlügelRad, Forevermore, Freedom Wizard, Friedemann Lindenthal, Fusslkopp, Fuzz, Fuzzy,
Gabbahead., Gandi, Garnichtsoeinfach, Geitost, Geocon, Gerbil, Gerhardvalentin, Gnu1742, Graphikus, Gregor Bert, Grümpfmü, Gsälzbär, Guido Watermann, Guillermo, Gulp, HReuter,
Hadhuey, Hagbard, Halbarath, Hans J. Castorp, Hardenacke, Harry8, HaukeZuehl, Hdeinert2002, He3nry, Hei ber, Hgulf, Hostelli, Howwi, Hutch, Hutschi, Igrimm12, Inkowik, Iste Praetor, J
budissin, JFKCom, JOE, JakobVoss, JannisN, Jergen, Jhs8168, Jivee Blau, Jmsanta, Joey-das-WBF, Jpp, Juesch, Justus Nussbaum, Kam Solusar, Karsten11, Kliv, Klugschnacker, Knoerz,
Koerpertraining, Krawi, Kriddl, Kubrick, LKD, Lapp, Learny, LogoX, Logograph, Lulatschpoi, Maggot, Majx, Manja, Marcl1984, Marinebanker, Martin1978, Merlissimo, Micha99,
MichaelDiederich, Michanordi, Michi.bo, Millbart, Mnh, Moguntiner, Morten Haan, Mwka, Ne discere cessa!, Nerd, NetGhost, Netopyr, Neun-x, Nicolas G., Nicor, Nixred, Nocturne,
Nolispanmo, Olag, Oms, Onsemeliot, Ot, Pankratius, Panzerknacker, PaterMcFly, PatrickD, PeeCee, Pelle6, Pelz, Pendulin, Peter-falkenberg, Peter200, PhilSchuster, Philippschaumann,
Pittimann, Primus von Quack, Proofreader, Purodha, Putput, Randolph33, Rbb, Rdb, Regi51, Reinhard Kraasch, ReiniUrban, Renekaemmerer, Rolf H., Rollo rueckwaerts, Roo1812, Root axs,
RoswithaC, Rotkaeppchen68, SF Wissen, Sallynase, Schweißer, Sechmet, Seewolf, Semperor, Senzaltro, Septembermorgen, SibFreak, Simon-Martin, Sinn, Small Axe, Smial, Solid State,
Sommerkom, SonicY, Spuk968, Sr. F, Srbauer, Stadtmaus0815, Stefan, Steinerstein, Steven Malkovich, Stf, Taratonga, The Bounty Hunter, The-pulse, Thomas Tunsch, ThomasHofmann,
Thomasbilgram, Thüringer, Timk70, Tjö, Tobi B., Tonk, Torwartfehler, TruebadiX, Tsui, Tönjes, Ulrich.fuchs, Umweltschützen, Uncopy, Unsterblicher, Verita, Viki, Vlado, WAH, WOBE3333,
Waelder, Weede, Werner Koller, WernerH, Wiener-, Wolf32at, YMS, YourEyesOnly, Yuuki Mayuki, Zaphiro, Zehnfinger, Zenit, Zwickbe, °, 672 anonyme Bearbeitungen
Datenschutzgesetz (Österreich) Quelle: http://de.wikipedia.org/w/index.php?oldid=90421794 Bearbeiter: 08-15, Addicted, Aka, BJ Axel, C.Löser, Der Polizist, Diba, Felix Stember,
Forevermore, Hamue, Haschen nach Wind, Hdeinert2002, Heinte, Heinzi.at, Itti, Jurisdictionwatchdog, KnightMove, MFM, Majx, McMer, Peter200, Rainer Knyrim, Rhoerbe, Steevie,
T.M.L.-KuTV, Tschäfer, UHT, W!B:, WaltR, Walter Anton, Waugsberg, Wolf32at, 42 anonyme Bearbeitungen
Computerkriminalität Quelle: http://de.wikipedia.org/w/index.php?oldid=90578273 Bearbeiter: Aka, Andrsvoss, Ephraim33, ErikDunsing, Gratisaktie, Kai-Hendrik, Martin-vogel, Matt1971,
Mega, Nemox, Peter200, René M. Kieselmann, RoodyAlien, S.Didam, SDB, Seewolf, Senzaltro, Siehe-auch-Löscher, Staro1, Stepsch, Zaphiro, 22 anonyme Bearbeitungen
Computerbetrug Quelle: http://de.wikipedia.org/w/index.php?oldid=88587594 Bearbeiter: Andrsvoss, Badenserbub, Bubo bubo, Cholo Aleman, DerHexer, Dickbauch, Don Magnifico,
Freedom Wizard, Gratisaktie, Grindinger, Heinte, Howwi, Juranet, Manu, Matt1971, Milch77, Ninjafahrer79, Ot, PVB, Pfieffer Latsch, Powermoda, SDB, Schmendrik881, Seewolf, Stechlin,
Stefan Kühn, Stern, Template namespace initialisation script, UHT, Wikinger08, Yellowcard, 18 anonyme Bearbeitungen
Hacker (Computersicherheit) Quelle: http://de.wikipedia.org/w/index.php?oldid=91000983 Bearbeiter: 1971markus, Aka, Atomiccocktail, BWesten, Benno686, Blogotron, CWest2006de,
Carbenium, CennoxX, Chricho, Der Hakawati, Erdbeermaeulchen, Gerbil, Giftmischer, Gravitophoton, Gunnar Buss, Hitch, Hozro, Hubertl, Ignau, In dubio pro dubio, Jan Boscheinen, JoernK,
Johnny Yen, Kai-Hendrik, Kowallke, Krawi, Kryptolog, Lalü, Lustiger seth, Lutz Terheyden, Martin1978, Matzu, Millbart, Morphiveli, NeonZero, Nicor, Olei, Ordnung, Pere Ubu,
PerfektesChaos, Rbrausse, Revvar, Rtc, Seewolf, Spuk968, Supermartl, Thorbjoern, Turnvater Jahn, Tzwenn, Umweltschützen, Vermis, Viciarg, WikiPimpi, Woches, YourEyesOnly, Zabelhaft,
Zero Thrust, 60 anonyme Bearbeitungen
Hacker Quelle: http://de.wikipedia.org/w/index.php?oldid=92805616 Bearbeiter: -fin, 08-15, 3268zauber, A.Savin, ACNiklas, Abc2005, Achak, Achim Raschka, Agabuga, Aka, Akl,
AlanJacobSmithee, Alauda, AlexR, Alnilam, Amtiss, AndreasB, AndreasPraefcke, Angie, Anti-Hacker, Arbeit&Recht, Arnomane, Asb, Atomiccocktail, Avatar, Avoided, BLueFiSH.as, Baird's
Tapir, Bastic, Bdk, Ben-Zin, Besserwisserhochdrei, Beyer, Bildungsbürger, Bitnic, Björn Bornhöft, Blubbalutsch, BrunoBoehmler, Bubo bubo, Buxul, C64rulez, CWest2006de, Captaingrog, Cat,
Catrin, Chaddy, Chiccodoro, Chricho, Christianju, Christoph D, Christoph Neuroth, ChristophDemmer, Church of emacs, CircleSmiler, Clue4fun, Cmoder, Coaster J, Complex, Crazy1880, Crux,
D, DELTAWULFF, DaB., Daniel AT, Danielbaumann, Darky77, DasBee, DasFliewatüüt, David Hoeffer, Demicx, Der Hakawati, Der.Traeumer, DerErgaenzer, DerHexer, DerSchnüffler,
Dersonlwd, Diba, Dick Tracy, Diddi, Dominik, Don Quichote, Drf, Drummerboy, Duesentrieb, Dundak, Eagletm, Eborutta, Echoray, Ecki, Eiferer, Eike sauer, Elektrolurch, Elian, Elvis untot,
Engie, Entlinkt, Erdbeermaeulchen, Erika39, Estron, Euku, Evr, FBE2005, FEXX, Factumquintus, Faux, Fbahr, Felix Gröbert, Felix Stember, Fgrassmann, FirePanther, Fluss, Freedüp24,
FutureCrash, GDK, Gauss, Geitost, GeorgHH, Gleiberg, Gnu1742, Gpf, Gratisaktie, Gree, Grey Geezer, GrummelJS, Gsälzbär, Guizza, Gum'Mib'Aer, Gumbel, GuruHacker, H-stt, HaeB,
Haeber, Hagbard, Hardenacke, HaukeZuehl, Havelbaude, Heiko Engelke, Hendrik Brummermann, Henriette Fiebig, Herr Th., Himuralibima, Howwi, Hypocritical, Ian Dury, In dubio pro dubio,
Inkowik, Isderion, Iste Praetor, Itu, JakobVoss, JanKG, Janosh, Jivee Blau, Johnny Yen, Joho345, Jokannes, Jonathan Hornung, Jonesey, Joystick, Juesch, Kaemmi, KaiListner, Kam Solusar,
Kammerjaeger, Karl-Henner, Kdwnv, Kickof, Kingruedi, Kiwaiti, Kju, Klamsi, Klapper, Knoerz, Krawi, Kubrick, Kungfuman, Kurt Jansson, LKD, Lennart0106, Lgxxl, Lichtkind, Lukas Graf,
Lynax, M-J-G, M.L, MA5, MAK, MBq, MFM, Magnummandel, Marcello72, Marcydacy, MarkusHagenlocher, Marti7D3, Martin Bahmann, MartinC, Mary schulz, Mathias Schindler, Matt1971,
Matthiasb, Mc-404, Mdangers, Meisterkoch, Metoc, MichaelDiederich, Michail, Michail der Trunkene, Millbart, Mms, Mnh, MovGP0, Muns, Mwka, Mwoletz, Nazareth, Neil Hilist, Nekton,
NeonZero, Nerd, Nerdi, Neu1, Nicolas G., Nicor, Nobody.de, Nocturne, Nolispanmo, Numbo3, O.Koslowski, Octotron, Olei, Ordnung, OttoK, PDD, Pacogo7, Paselstep, Pco, PeeCee, Peter200,
Peterlustig, PhilipErdös, Philipendula, PhilippWeissenbacher, Philipseeger, Pittigrilli, Pittimann, Pixelfire, Proggy, Pylon, QuantumSquirrel, Quintero, RacoonyRE, Rasterzeileninterrupt, Rdb,
Regi51, Renekaemmerer, Reymysterio619, Ri st, Richy Burton, Riptor, Roger Zenner, Root axs, RoswithaC, Roughneck, Rtc, Rubinstein, SEppl, SPKirsch, Sargoth, Sbeyer, Schaengel89,
Schelle, Schmafu, Schniggendiller, Scooter, Sechmet, Seewolf, Semper, Septembermorgen, Serpens, Shannon, Sharkxtrem, ShiningBase, Shisma, Sinn, Skof, Skoops, SkyOut, Slick,
SoIssetEben!, SonniWP, Southpark, Sparti, Spuk968, Stefan Kühn, Stefan h, Stern, Steven Malkovich, StevenBusse, Stimpy77, Stummi, Stw, Systemdefender, T H, TD507, Taratonga, Teajunky,
181
The-pulse, TheK, Theuzuki, Thogo, Tim Pritlove, Tobi B., Tobias B. Besemer, TorsTen, Toutíorîx, Tönjes, UMW, Ulsimitsuki, Ulz, Umaluagr, Umweltschützen, Unscheinbar, Unsterblicher,
Uwe Gille, Uweschwoebel, Viciarg, Vinci, Volker Hehl, W like wiki, WOBE3333, Walljet, Wheatbeeindrucker, Wiegand, Wikidienst, Winner123, WissensDürster, Wladi001, Wolf32at,
Wooshiiiii, XTaran, XenonX3, Xeper, Xocolatl, YMS, Yanestra, Yoky, YourEyesOnly, Zaphiro, Zenit, Zeno Gantner, Zeuschen, Zollernalb, 607 anonyme Bearbeitungen
Verschlüsselung Quelle: http://de.wikipedia.org/w/index.php?oldid=92275129 Bearbeiter: 08-15, ABF, APPER, Abubiju, Achim Raschka, Aka, Anton, Arkos, Avoided, Badenserbub, BeEs,
Bellerophon92, CaZeRillo, Captain Chaos, Daniel 1992, DasBee, Der kleine grüne Schornstein, Der.Traeumer, DerHexer, Diba, Dundak, Enn, Etamatic123, Euphoriceyes, Export911,
FutureCrash, GabySchweizer, Geekux, Gloeglm, Gonzosft, Gsälzbär, Hafenbar, Hardenacke, Harro von Wuff, He3nry, Head, Hirion, Hjaekel, Hozro, IntService, Iogos82, Jivee Blau, Johannes
Mockenhaupt, Julian, K41f1r, Kakashi-Madara, Karsten11, Katja Graefenhain, KoenigDickBauch007, Krawi, Krtschil, Kryptolog, Kubieziel, L3XLoGiC, LKD, La Corona, Label5, Learny,
MBq, MFM, Maelcum, Magnummandel, Manni88, Marcel Dunkelberg, MarioS, Markus Mueller, Martin1978, Mathias Schindler, Matthäus Wander, Maynard, McKaot, MichaelDiederich,
Michail, Millbart, Mirko.b, Mjk, Mkleine, Mm freak, Mnh, Montauk, Neun-x, Nicolas G., Nolispanmo, O.Koslowski, OS, Oriel, Ot, PaMaRo, Pangean, PhilippWeissenbacher, Pill, Priwo,
Psycho Chicken, Randolph33, Ratatosk, Rezikfdsl, S.Didam, STBR, Schnulli00, Scooter, Seewolf, Sinn, Sommerkom, Spacebirdy, Spuk968, Stefan Birkner, Stefan Kühn, Stern, Steven
Malkovich, Suaheli, Terabyte, Theredmonkey, Thomas Willerich, Thorbjoern, Timefrenzy, Timk70, Tönjes, Umweltschützen, Urizen, VPiaNo, W!B:, WIKImaniac, Wikibär, Wikifh, Windy,
Wst, Wutsje, YourEyesOnly, Zenit, Zoebby, Zollernalb, 228 anonyme Bearbeitungen
Passwort Quelle: http://de.wikipedia.org/w/index.php?oldid=92938512 Bearbeiter: *Sebi*, A.Savin, ABF, Achim Raschka, Aka, Akermit, Aktions, AndreasPraefcke, Armin P., Arved, Asdil12,
Axel.fois, B-greift, B. Wolterding, Babalungu, Bautsch, Bernhard55, Bierdimpfl, Boukephalos, Brudersohn, Bücherhexe, Cat, Cherubino, Chire, ChristophDemmer, Chrkl, Codc, Com1 manu,
Cymothoa exigua, D, Dangerous, Der.Traeumer, DerHexer, Diba, Djj, DocMario, Don Magnifico, Dr. Karl-Heinz Best, Empro2, Engie, Equilax, Experte zweiter Klasse, Fabian6129, FalconL,
Fecchi, Felix Stember, Felix-freiberger, Florian Helling, Friedemann Lindenthal, Fritz Jörn, FritzG, Fsswsb, Geneousgeneous, Generalstone, Gerold Broser, Gnarr, Guety, HaeB, Hajile, Hanno
Behrens, Have, Head, Herr von Quack und zu Bornhöft, Hibodikus, Homer Landskirty, Howwi, Ingo B, Inkowik, Invisigoth67, Itu, Jaellee, JakobVoss, Jesusfreund, Jetzt sicher online, Jivee
Blau, Jordav, Jpp, Kaneiderdaniel, Karl-Henner, Kei Ishii, Kelter, KommX, Kuebi, LKD, Learny, Locke2010, LonelyPixel, Lukas Neukom, Lukian, M5, Magnummandel, Manja, Marcel Kuster,
Markooo, MartinC, Matt1971, Metoc, Michaelsy, Mik81, Milvus, Mirra, Moguntiner, Mojo1442, MovGP0, Mps, Muck31, Mx2000, Ninjason, Nolispanmo, O.Koslowski, OS, Obersavtor, PPW,
PaterSiul, Peacemaker, Peng, Penosa, Philipendula, Pittimann, Platte, Primus von Quack, R.Schuster, Razorbliss, Rbuchholz, Rdb, Rdoering, Regi51, Rodolfo4711, Ruscsi, SPS, Saethwr,
Schluderbacher, Sebastian Wallroth, Seewolf, Sinn, Small Axe, Smurf, Sofafernsehfan, Sparti, Spuk968, Steven Malkovich, Stummi, Suhadi Sadono, Test21, TheRealIceBraker, Tilo,
Topography, TruebadiX, Tsor, Tönjes, Umweltschützen, Urukhaj, Vertigo21, WAH, Wasabi, Westiandi, WikiPimpi, Wimmerm, Wnme, Www.zunami.at, YourEyesOnly, 218 anonyme
Bearbeitungen
Netzwerk Quelle: http://de.wikipedia.org/w/index.php?oldid=92937075 Bearbeiter: 32X, A.Savin, Adrian Lange, Aka, AlexR, Alnilam, Amtiss, Angela, Aquatax, Asb, Avatar, Avoided,
BLueFiSH.as, Ben-Zin, Bitsandbytes, ChristophDemmer, Conny, Conversion script, D, D42, DasBee, DatenPunk, DerHexer, DerSchnüffler, Derwoichbin, Diba, Diddi, Dinah, Drachenmeister5,
El., ElRaki, Engie, ErikDunsing, Euku, Euphoriceyes, Experte zweiter Klasse, Finex, Flominator, Frekkja, Fusselklecks, Gentle civilizer, Gerbil, Gerold Broser, Gleiberg, Gnu1742, Guandalug,
Gum'Mib'Aer, Günther M. Apsel, HaSee, HaeB, Hafenbar, He3nry, Helmut Zenz, Hoehue, Hpots, Hydro, IWorld, Inkowik, Ireas, Iste Praetor, JFKCom, JSTC, Jackalope, JakobVoss, Janradem,
Jeanpol, Jergen, Jesi, KKramer, KaSaAC, Kai-Hendrik, Kaisersoft, Kalli R, Kdwnv, Kenshin2k, Kerstin83, Kgfleischmann, Koerpertraining, Krawi, Kubrick, Kurt Jansson, LKD, Logograph,
Manecke, Matt1971, Matthias Bock, MauriceKA, Media lib, Milvus, MisterMad, Mnh, Modul1, Mondamo, Morten Haan, Mr puk, Nerd, Nikkis, Nolispanmo, Oceancetaceen, Ocrho, Olei,
Osal1990, Ot, PSIplus, Peter200, Petzibaer, Pfieffer Latsch, Philipendula, Phoinix, Pittimann, Pleonasty, ProfessorX, Pucicu, Punkrockrulez, Quirin, Rdb, Regi51, Ri st, Riegl, RokerHRO,
Ronald Harry, Rudolfox, Schetsche, Schniggendiller, Schusch, Sciencefiction, Seewolf, Sewa, Sfischer, Sigur, Sinn, SirJective, Small Axe, Sommerkom, Sonador, Sproink, Spuk968, Staro1,
Stephan Hense, Sukarnobhumibol, Supaari, Suricata, Taratonga, TheWolf, Thobstar, Thorbjoern, Tobi B., Trublu, Trustable, Tsui, Tönjes, Usien, Uwe Gille, W!B:, WAH, Wdsl, Wolfgang1018,
Wst, Xocolatl, YourEyesOnly, Zollernalb, fw1-252e.ptb.de, €pa, 286 anonyme Bearbeitungen
Netzwerksicherheit Quelle: http://de.wikipedia.org/w/index.php?oldid=91917073 Bearbeiter: Aka, Badenserbub, Berniedrei, Berntie, Cacatoa, Chew, DanielHerzberg, Danimilkasahne,
Dominik, Duesentrieb, Erusx, Euku, F-lix, Fabian6129, Fomafix, Forevermore, Friedemann Lindenthal, Fuzz, Gandalf AwA, Gms, HaeB, Head, Hella, Hendrik Brummermann, Hieronymus A.,
JakobVoss, Jofi, Kaneiderdaniel, Katja Graefenhain, Kipferl, Kohl, Kurt Jansson, Lehmi, Libro, Neunzehnachtundachtzig, Nolispanmo, OWeh, Ollinaie, PatriceNeff, Pekka1, Phrood, Polarlys,
Pomfuttge, Proemarc, Quickfix, RacoonyRE, Rama, Regi51, Ri st, Rioderelfte, RokerHRO, Schlumpf, Seewolf, Sparti, Speck-Made, Stefan Kühn, Stern, Svenfried, Swing, The Sneaker, Utsinno,
Varina, WAH, Weede, Wiegels, Woches, YourEyesOnly, Zeno Gantner, 66 anonyme Bearbeitungen
Windows Defender Quelle: http://de.wikipedia.org/w/index.php?oldid=90011549 Bearbeiter: Ahellwig, Ares2, BSI, Bahnpirat, Bautsch, Beni1998, Benzen, Biggerj1, Dominikberger,
DownAnUp, Erika39, Firefox13, Fiver, der Hellseher, Frankee 67, Gerbil, Herr Th., Hoiroix, Hugo75, Ijbond, JMetzler, Joystick, Louis Bafrance, Matdrodes, Muck31, Newworld, Peisi,
PsY.cHo, Regiomontanus, Seraphie, Skaf, Stjanss, Struppi, Techboy91, Thomas S., Umweltschützen, Unsterblicher, WAH, WikiPimpi, YMS, 61 anonyme Bearbeitungen
Computervirus Quelle: http://de.wikipedia.org/w/index.php?oldid=91595935 Bearbeiter: 45054, A.Savin, AF666, AHZ, Abzt, Achim Raschka, AchimP, Ahoerstemeier, Aka, Alexander
Sommer, Alnilam, Aloiswuest, Andre Engels, Andys, Anneke Wolf, Archwizard, Arebenti, Arittner, Armin P., Arno Matthias, Arved, Atirador, Avatar, Aviation Pete, Bartiebert, Bassdas, Batrox,
Baumfreund-FFM, Ben-Zin, Benzen, Berniedrei, Betapeter, Bildermaker, Blane, Blauebirke, Blaufisch, Blunt., CBeebop, Cafezinho, Camino7, Capaci34, Carbidfischer, Challe, Chevalier,
ChristianErtl, Church of emacs, Clemensfranz, Conversion script, Czehak, D, DaB., Dachris, Daniel B, DanielSHaischt, Dapete, DarkDust, Darkobserver, DasBee, Dawn, Defchris, Dennis
Kaminski, Der Ersteller, Der.Traeumer, DerHexer, Diba, Diddi, Dishayloo, Dodo von den Bergen, Domi2001, Dominik, Don Magnifico, Dr eina:ugige Bandit, EKKi, ElRaki, Elian, Entlinkt,
Ephraim33, Erdhummel, Estron, Euphoriceyes, FBE2005, FDP., Fairway, Falcon3, FataMorgana, Felix Stember, Flaschenhals4, Flea, Fleminra, Flo 1, Flominator, Florian Adler, Fomafix,
Forevermore, Frank Jacobsen, Frank.penner, Franz Halac, FreelancerHamburg, Friedrich Graf, Frog23, Frosty79, Fuzzy, Gandalf AwA, Gar Niemand, Gerbil, GerhardG, Gimbal, Gnu1742,
Graphikus, Guandalug, HaeB, Hans J. Castorp, Harald Mühlböck, Hardenacke, Harpax, He3nry, Heinte, Hella, Helmut Waitzmann, Hendrik J., HenrikGebauer, Herner Devil1111, Herr Th.,
Heurik, Hfst, Hieronymus A., Hirt des Seyns, Hoo man, Howwi, Hubertl, Hutschi, IceHand, Igelball, Ikonos, Inkowik, Invisigoth67, Iste Praetor, Itti, Iwoelbern, JPense, Jackalope, Jahnbes,
JanW, Janmohr, Jed, JensBaitinger, Jergen, Jhs8168, Jklö, John-vogel, Joise, Joschi90, Josef Spindelböck, Jpp, Juesch, Jón, KJP, Kaisersoft, Kasper4711, Kerbel, Keymaster, King, Kingruedi,
Koopso, Kretzer2, KristianRink, Krje, Kubieziel, Kubrick, LKD, La Corona, Lady Suppenhuhn, Lawa, Leonardo, Leviathan1983, Levin, LiQuidator, Liberaler Humanist, Lichtkind, Linum,
Liquidat, Littl, Lofor, LosHawlos, LuckyBoy7, Lupussy, Lustiger seth, Luxo, Lxg, Lyzzy, Lzs, Löschfix, Lügenbaron, MADE, MFM, MaKoLine, Maestroralpho, Magnummandel, Marccc,
MarcoBorn, Mario23, Markus Schmaus, Marsupilami, Martin-vogel, Martiz, Matthäus Wander, MauriceKA, Merlin G., Mic.r, MichaelDiederich, Michon90, Mijozi, Mikester, Millbart, Mkogler,
Mnh, Morten Haan, Mps, MrTux, MsChaos, Muvon53, Nd, Nemissimo, Nerd, Nerdi, Nicolas G., Nicolas17, Ninjamask, Nirakka, Nocturne, Numbo3, O.Koslowski, Okatjerute, Owltom, PDD,
PJTraill, PeeCee, Pemu, PerfektesChaos, Peter Gerwinski, Peter200, PeterFrankfurt, Pfalzfrank, Pfieffer Latsch, Pierre gronau, Ping6, Pischdi, Pittimann, Plasmagunman, Plenz, Priwo,
Prometeus, Qualitiygirly, Quirin, R@y, Radunze, RalfG., Rama, Raymond, Rdb, Redeemer, Redf0x, Reinhard Kraasch, Reniar, Rho, Ri st, Richardigel, Risak, Rmarques, RobertLechner,
RokerHRO, Roland Kaufmann, Rolf Hofmann, Roll-Stone, Romanm, RonMeier, Roo1812, Rooty, Rtc, STBR, Sabata, Sallynase, Salmi, Schaengel89, Schlaumeier70, Schlumpf,
Schmunzelmonster, Schnargel, Schniggendiller, Schockokäfer, Sebastian1990, Sewa, Shamrock7, ShattuckCreek, Siehe-auch-Löscher, Skicu, Skyman gozilla, Slimcase, Soronk, Spawn Avatar,
Speck-Made, Spirou44, Squeez0r, StYxXx, Stefan Bernd, Stefan Kühn, Stefan Tollkühn, Steffen, Stephen Dedalus, Stern, Steven Malkovich, Stf, Strabo, Strix beni, Stummi, Swgreed, Sysedit,
Tabacha, Texec, Th., ThomasHofmann, Thorbjoern, Ticketautomat, Tiza, Tobias1983, Tobiwae, Tocca, TomK32, Torwartfehler, Trigonomie, Tsor, Tönjes, Uebs, Umapathy, Umweltschützen,
UncleOwen, Unscheinbar, Verita, Verwüstung, Vinci, Volksfront von Judäa, WAH, Weede, Wega14, Westiandi, Wiegels, WikiMax, Wikimurmeltier, WikipediaMaster, Wikipediaphil,
Wimmerm, Wkrautter, Wnme, Woches, Wolf32at, Wolfgang H., Wst.wiki, YMS, YourEyesOnly, Zaibatsu, Zaungast, Zumbo, pD902E03F.dip.t-dialin.net, ✍, 549 anonyme Bearbeitungen
Antivirenprogramm Quelle: http://de.wikipedia.org/w/index.php?oldid=91456449 Bearbeiter: 45054, 4pf3154f7, AHZ, Adrian Lange, Adrianaa3000, Aka, Alex.Kulesa, Alraunenstern,
Andreas 06, Arma, Avatar, Baumfreund-FFM, Beelzebubs Grandson, Benatrevqre, BeneErnst, Beni1998, Berlin-Jurist, Bernhard-h, BesondereUmstaende, Blucentrux, Bluegene, Boepet,
Boonekamp, CMo, Cepheiden, ChrFranke, ChrisHamburg, Chrisfrenzel, Chstdu, Church of emacs, Cleverboy, Coce, CommonsDelinker, Complex, Conny, DLigendz, DanielDüsentrieb, DasBee,
Der-Heiko, DerErgaenzer, DerHexer, Diba, Dickbauch, Diddi, Doku, Dominik, Dominikboe, Dr. med. Ieval, Engie, Ephraim33, Erschaffung, Espoo, Etec47, Euku, Fab, Fabian7351, Felix
Stember, Finkemch, FlH, Flo 1, Fomafix, Frank Jacobsen, GFJ, GNosis, Georg2006, Gerd-HH, Gerhardvalentin, Gnu1742, Gormo, Guandalug, HRoestTypo, HaeB, Hafenbar, Hajuero, Harald
Mühlböck, He3nry, Head, Hella, Hjaekel, Hollesser, Houseboat, Howwi, Hubertl, Inkowik, Ireas, JPense, JanW, Jergen, Jeronimo, Jivee Blau, Joachim Weckermann, Jodoform, Joystick, Juesch,
JøMa, Karl-Henner, Kasper4711, Khattab01, King of chaos, Kleine robbe, Kloth, Kristjan, Kubrick, LKD, La Corona, LachendesKnie, Lea-B, Lecartia, Lemmie, Leshonai, Linum, Liquidat,
Lofor, Lord.flame, Lostintranslation, Lütke, MFM, Make, Manecke, Marko Kaiser, Martin1978, MartinC, Melancholie, Mic.r, Michael Hobi, MichaelDiederich, Migas, Mis-wolff, Misi91,
Mkogler, Morricone, MovGP0, Mpathy, MyNoirSpirit, Nemissimo, Nepenthes, Nikai, Nilreb, Noddy93, Nolispanmo, Nutzer 2206, Nyks, O.Koslowski, Obiwahnkentobi, Ocrho, Owltom, Palica,
Parachute, Peacemaker, PeeCee, Pelz, Peter200, Phsmolarz, Pittimann, Pm, Porsche Diesel, Proggy, ProloSozz, Pursuit of Happiness, Qaswed, RJensch, Rainbowfish, Rdb, Regi51, Reniar,
Revvar, RexNL, Ri st, S.K., Safa, Saibo, Samweis, Schwalbe, Seewolf, Sicherheitsleiter, Sinn, Slesvig, Small Axe, Sommerkom, Spuk968, Spunki69, Srbauer, StYxXx, Starcastic, Stefan
Majewsky, Stern, Steven Malkovich, Stf, Stunksys, Succu, Suhadi Sadono, TMg, Tesker, TheInspector, Thomas Maierhofer, Thorsten Urbanski, Tigeryoshi, Tohma, Torsch, Trainspotter, Troels
Nybo, UTh, Umapathy, Umweltschützen, Volty, Vren, WAH, WIKImaniac, Weede, Wikifh, Wikinger77, Wikisearcher, Wilske, WinfriedSchneider, Wispanow, Wolf32at, Wst, Www.zunami.at,
Xasx, Xidadesign, Y2kbug, Yabba67, YourEyesOnly, Yoursmile, Zebbo, 458 anonyme Bearbeitungen
Spyware Quelle: http://de.wikipedia.org/w/index.php?oldid=92142505 Bearbeiter: -jha-, 1971markus, 8tung2fel3siene, A Ruprecht, A.Savin, Achim Raschka, AchimP, Aka, AleS, Amano1,
Avoided, BK-Master, BKSlink, Bautsch, Benatrevqre, Benzen, Bert2, Björn Bornhöft, Blaubahn, Bleach, Blubbalutsch, Buchwiss, CHNB, Carol.Christiansen, Complex, D, DasBee, Der-Heiko,
Der.Traeumer, DerHexer, Diba, Diesterne, Dishayloo, DonnyBig, Drachentoeter, E7, Electrocat, Erlenmayr, Fang-Ling-Su, Fgb, Geist, der stets verneint, Giftmischer, Gnu1742, Head, Henning
Ihmels, Howwi, Hozro, Irene1949, Iste Praetor, J. 'mach' wust, JanW, Justsail, Jón, Krawi, Krd, Krischan111, LKD, Leo Navis, Liquidat, LosHawlos, Mannerheim, Marc Wnuck,
Markus.Michalczyk, Melancholie, MichaelDiederich, Mnh, My name, Nainoa, Nerd, Nerdi, Noddy93, OecherAlemanne, Oldobelix, Olei, Ot, Owltom, Peter200, Pittimann, Plasmagunman,
Regi51, Sciurus, Shadak, Shinodafighter, Sinn, Southpark, Speck-Made, Spuk968, Staro1, Stefan64, Steven Malkovich, Thoken, Thornard, TomK32, Tsukasa, Tönjes, Ulz, Urbanus, Vic
182
Fontaine, Video2005, W-alter, WikipediaMaster, Wnme, WortUmBruch, Www.zunami.at, YMS, YourEyesOnly, Zaibatsu, 203 anonyme Bearbeitungen
Contentfilter Quelle: http://de.wikipedia.org/w/index.php?oldid=74248248 Bearbeiter: Badenserbub, Cyper, Erusx, Grey Geezer, Hafenbar, Kai-Hendrik, Kobrabones, Lutz.hausmann, MFM,
Merlissimo, Milvus, PeeCee, Phrood, Rafaelluik, Roterraecher, Schramme, Staro1, Tofra, W!B:, 20 anonyme Bearbeitungen
E-Mail Quelle: http://de.wikipedia.org/w/index.php?oldid=92916808 Bearbeiter: -jha-, 20percent, 790, A.Savin, ACB95FEA.ipt.aol.com, Abubiju, Achim Raschka, AchimP, Adaxl, Aka,
Alauda, Alba7, Algos, Andreas Pierick, Angr, Anneke Wolf, ArchiSchmedes, Arilou, Arkonia, Arktur, Arma, Armin P., Ataraxis1492, Bahnemann, Baumanns, Bdk, Berlin-Jurist, Bettina-123,
Bigbug21, Binningench1, Blasewitzer, Blaufisch, Blootwoosch, Blunt., Bodenseee, Brainswiffer, Bugert, Buntfalke, Buxul, Bücherwürmlein, Carbidfischer, Carol.Christiansen, Carolin, Ce,
Cepheiden, Cherubino, Chris3k, ChrisHamburg, Chrisbra, ChristianErtl, Christoph112, ChristophDemmer, Complex, Conny, Conversion script, Cornholio, Cyclonus, Cymothoa exigua, Cyper,
D.Schiebener, DaB., DasBee, Dbenzhuser, Der Spion, Der.Traeumer, DerHexer, DiabolicDevilX, Diba, Diddi, Dieter Heinsohn, Dishayloo, DrHartmann, DrTom, Drzoom, Echoray, Eike sauer,
Ein anderer, Ein anderer Name, El Torres, Elbe1, Elian, Elshalif, Elwood j blues, Elya, Engie, Entlinkt, ErhardRainer, ErikDunsing, Ernesto, Eruedin, Euku, Euphoriceyes, FBE2005, Fab,
Farbenpracht, Ffprfrd, Fgb, Final.countdown, Finalnet, Finex, FischX, Fish-guts, Fix 1998, Flammingo, Flavia67, Flingeflung, Flominator, Fomafix, Friedemann Lindenthal, Friedlk, Frog23,
Frquadrat, FutureCrash, GNic, Gail, Gandi, Geitost, Geof, Gerd Fahrenhorst, Gerd Taddicken, Geza, GlaMax, Gnu1742, Gohnarch, Graf Alge, Grander, Grisutheguru, Gruftelfe, Guidod,
Guillermo, Guru, Gustavf, HWFranz, Haberkuk, HaeB, Haeber, Hafenbar, Haize, Hans J. Castorp, Harald Mühlböck, Hardenacke, He3nry, Hebbet, Heinzi.at, Helge Sternke, HenHei,
HenrikHolke, Herr Th., Hkoeln, Hokanomono, Holli7, Hoo man, Howwi, Hozro, Hubertl, Hubi, Hvm, I Like Their Waters, IGEL, IP 89.51.66.67, Ich, Igelball, Ikar.us, Ilja Lorek, Ilsebill,
Ine12xso, Ing, Iste Praetor, J budissin, J. 'mach' wust, JanW, Jens Liebenau, Jivee Blau, Jkbw, Jmb1982, Jochenito, Jochim Schiller, Johannes121, Johnny Controletti, Joni2, JuergenL, Jwilkes,
Kaisersoft, Kam Solusar, Kantor.JH, Karl-Henner, Kataniza, Keichwa, Kgfleischmann, Kh555, Kinley, Kku, Klare Kante, Kleiner Frosch, Koerpertraining, Kolja21, Korinth, Krawi, Krd, Krje,
LKD, Landmaschine, Learny, Lehmi, Leichtbau, Leider, Leki, Letterbox, Libro, Logograph, Loipe, Lustiger seth, MBq, MFM, MaLoSo, Mac, Magnummandel, Magnus, ManfredEP, Marko
Kovacic, MarkusHagenlocher, MarkusWinkler, Marokus, Martin Herbst, Martin-vogel, Martin.k, Mathias Schindler, Matthäus Wander, Matzematik, Maxberger, Media lib, Meph666, Michael
Hobi, Michael Micklei, MichaelDiederich, Michail, Mijobe, Millbart, Mnh, Mo4jolo, Moguntiner, Mojo1442, MontyM, Mothfiro, MrBurns, Mst, Muck31, Musik-chris, Musikibleuli, Mxr, Nb,
Neg, Nepenthes, Nerd, NewImage, Nguyen00, Niddy, Nikkis, Nimmich, Niwi, Nobby1805, Nolispanmo, Norro, O.Koslowski, Oberlaender, Ocrho, OderWat, Odin, Odino, OecherAlemanne,
Olei, Orwlska, Ot, Owltom, PDD, PM3, PPW, Pal05, Pasp, Patchy, Paul Ebermann, PeeCee, Pendulin, Peter Buch, Peter200, PeterFrankfurt, Pfalzfrank, Pfieffer Latsch, PhFactor, PhJ, Phileuk,
Philipendula, Pietz, Pill, Pischdi, Pittimann, Pm, Poke770, Polarlys, Poupée de chaussette, PsY.cHo, Punjabi, RacoonyRE, Ralf-Henning Steinmetz, Ralf5000, Randbewohner, Randolph33,
Redf0x, Refomicus, Regi51, Revvar, Ri st, Richie, Rischmueller, RolfM, Rufus46, SDB, STBR, SWUbuntu, Salpeter der Erste, Salpeter der Zweite, Sansculotte, Sascha Brück, Schewek,
Schlesinger, Schluddi, Schmitty, Schnark, Schnoatbrax, Schreibvieh, Schrottie, Schwäbin, Sebastian, Sebastian.Dietrich, Seef, Shaun72, Siehe-auch-Löscher, Simeon Kienzle, Sinn, Small Axe,
Smial, Southpark, Spaetabends, Sprachpfleger, Spuk968, Starpromi, SteMicha, Stefan Kühn, Stefan h, Stern, Steschke, Steven Malkovich, StromBer, Stw, Sulfolobus, Sypholux, Syrcro, T.a.k.,
Taschenrechner, Teflon21, ThePeritus, Theoprakt, Thh, Thire, ThorAlexander, Time Q, Timmaexx, TobiasHerp, Tobiaz, TomK32, Tonstrom, Trublu, Trustable, Tsor, Tönjes, Ubsrw, Ulm,
Ulrich.fuchs, Ulsimitsuki, Umweltschützen, Urs, UvMSJA, Uwe Gille, VanGore, Verbund, Video2005, Vlado, Vulture, Vux, WAH, Wahldresdner, Walter Koch, Warum, Wasserseele, Weede,
Wer1000, WiESi, Wiki Gh!, WikiNick, Wikifh, Wiknick, Wingthom, Wolli-j, Wuliwux, Wurzelsepp Nr.3, Xqt, YMS, Yannickihmels, Yath, YourEyesOnly, Zaibatsu, Zaungast, Ziko, Zoid,
Zoph, Zottibay, Zumbo, Zxb, Ĝù, 528 anonyme Bearbeitungen
Signature Quelle: http://de.wikipedia.org/w/index.php?oldid=88446428 Bearbeiter: 08-15, Ahellwig, Aka, Alauda, Allesmüller, Avron, Bdk, Bernard Ladenthin, Breeze, Cocyhok, D,
D135-1r43, D235, DarkwingDE, Eldred, Elya, Flominator, Gorgo, Guidojurock, Herr Th., Iste Praetor, Jkbw, KapitänSuperhirn2006, Kh80, Kimbolo, Kinley, M-J, MFM, Metalhead64,
MichaelDiederich, Molily, Mosmas, Mr. Anderson, Nyks, PatriceNeff, Peacemaker, Perrak, PeterFrankfurt, Phil1881, PiCri, Pymouss, Qualito, Robb der Physiker, RobertDietz, Roland Rattfink,
Sargoth, Stedaho, Steschke, Suisui, Thüringer, Trublu, Urs, Ute Erb, Wst, XTaran, XcLm, Yardie Lobo, 43 anonyme Bearbeitungen
Qualifizierte elektronische Signatur Quelle: http://de.wikipedia.org/w/index.php?oldid=89212164 Bearbeiter: 08-15, Atressel, Bernd.Brincken, Betaamylase, Bluedead, Butz1,
DerGlobetrotter, Drahreg01, Dudenfreund, Er nun wieder, Fleasoft, Flegmon, Gantshi, Haircutter, Igorakkerman, JuTa, LKD, LewisWiki, Meinicke, Mojo1442, NilsMagnus, Orwlska, Perry
Maison, Pfalzfrank, RSchmoldt, Schmitz-TNP, Siglab, SimonimNetz, Sinn, T-Zee, Thomas Maierhofer, Thornard, TigerDriver, UlrichJ, Urlaub, Victor--H, Vilsecker, W.ewert, Westiandi,
WikiTatze, Wohingenau, 37 anonyme Bearbeitungen
Online-Community Quelle: http://de.wikipedia.org/w/index.php?oldid=92102155 Bearbeiter: -jha-, AHZ, AN, Achak, Afterwhoru, Aka, Baumfreund-FFM, Biezl, Bitnic, CSp1980, Caradhras,
Chbegga, ChristophDemmer, Come-to-date, Community, Cottbus, D, DanielXP, Diskriminierung, Doc z, Dodo von den Bergen, Don Serapio, Dr. Enrico, Dynamonit, Eborutta, Edi Goetschel,
Effeksys, Emkaer, Erkan Yilmaz, FWHS, Fasten, FlaviusL, Flirtheini, Fluss, Foo030, Gamsbart, Geitost, Gerd Taddicken, Greno2, Gross bellmann, Groucho M, Guido Watermann, HAL
Neuntausend, Hafenbar, Heckp, Hildegund, Howwi, Hugin07, Ifrost, Innocent2, JD, JakobVoss, Jamie12, Jana Hochberg, Janwo, Jed, Jergen, Jlorenz1, Jonnyisback, Knoerz, KommX, Kubieziel,
LC, Lammwirt, Lars Beck, Lung, MBq, Marc van Woerkom, Mardil, MarkusHagenlocher, Martin Bahmann, Martin Stettler, Maschla, Media lib, MenoK, Mercurya, MicWei, Michael Micklei,
MichaelDiederich, Milez, Mordan, Mps, Mr-alex, Nerun, Netzlabor, NiTeChiLLeR, NiTenIchiRyu, Ninety Mile Beach, Nothere, Ottsch, Pandrion, Pelz, Petersoft, PhChAK, Pilli2611,
ProfessorX, RalfZosel, Rax, Rosenzweig, S.Didam, STBR, Sabine0111, Saint-Louis, Schandi, Schnoatbrax, Seewolf, Semmel, SherryP, Siebzehnwolkenfrei, Skyrun, Slomox, Southpark, St0n3d,
Staro1, Steffen78, Stevenurkel, Syrcro, Thzi, Timmoh, Tobi B., Tobnu, Trickstar, Tsor, Tubbiekiller, Umherirrender, Unscheinbar, Uwe Gille, VegaS, Verbund, VillaStraylight, Wi00194,
Wiki-journalistin, WikiNick, Wikitoni, YMS, Zaphiro, Zeithase, €pa, 71 anonyme Bearbeitungen
Facebook Quelle: http://de.wikipedia.org/w/index.php?oldid=92975193 Bearbeiter: 08-15, 123456789Trutz, A. B. 10, A.Ammersee, A.Savin, Abu-Dun, Adleraugenblick, Adnan Vatandas,
Adornix, Aka, Akrause91, Alexpl, Alfredovic, Alleswissender, Alnilam, Alofok, Aloiswuest, Alraunenstern, AndiBerta, AndreasFahrrad, Andreasklug, Andy800, Antiquar, Aristeas, Armin P.,
Aschmidt, Aspiriniks, Asurnipal, Avatar, Avoided, Barbaking, Bauernkopf2000, Beek100, BiLL, Biktora, Binninger, Bleichi, Bob-182, Bopf, Braveheart, BrunosapiJens, C-M, CKerkmann,
Calculon79, Callingmejonas, Capaci34, Casra, Cat, Chaddy, Che010, Chire, Christian Storm, Christian140, Church of emacs, ColdCut, CommonsDelinker, Complex, Confusius, Conspiration,
Cpuhl51, Curtis Newton, D, DKruemel, Dane, Daniel 1992, Darkday, Das Volk, Ddxc, Deirdre, Der Wolf im Wald, Der.Traeumer, DerHHO, DerHans04, DerHexer, DerSchnüffler, Derbutt,
Diba, Die Winterreise, Djallal, Doc z, Don Magnifico, DorisAntony, Dr-Victor-von-Doom, Dr.Hasi, DrLee, Duff06, Dynamonit, Ehmi1, Ehrhardt, Elednehsamoht, Elvaube, Eminn, Emkaer,
Engie, Ennimate, Entlinkt, Erik Warmelink, Eventkultur, Facebooker, Facebookguru, Farmerviller, Feba, Fecchi, Feidl, Fipsy, Firefox13, Flash1984, Flominator, Florian Adler, Floriot, Fossa,
Frank Behnsen, FriedolinH, Fw, G-C, GMH, GT1976, Gamgee, Gary Dee, Gemuesegriller, Georgi1987, GerdSchugge, Gf1961, Gianluca311, Gidolf, Giftmischer, Ginomorion, Gleecee,
Gohnarch, Gorlingor, GrandpaScott, Grey Geezer, Gripweed, Guandalug, GuentherZ, Gummifisch, Guzmanie, Haemmerli, Hannah Wehmeyer, Hans J. Castorp, Hans1914, Hardenacke, Hedwig
in Washington, HelenaSophiaCastellina, Helpman1972, Hh22763, Hofres, Holder, Holiday, Hoo man, House1630, Howwi, Hubertl, Ickle, Ikur21, In dubio pro dubio, Informatik, Inkowik,
Investor, Ireas, Iste Praetor, Itti, Itu, Iwoelbern, JOE, Jacktd, Jenswiese, Jergen, Jill Gate, Jivee Blau, Jodo, John-vogel, Jorge B, Jowo, Juliabackhausen, Julian Guttzeit, Jumelez, Jürgen Engel,
Kai-Hendrik, Kaisersoft, Kalligraf, Kam Solusar, Kandana, Kantor.JH, Katach, Klingon83, Knallexus, Knochen, Knoerz, Komischn, Konnie, Krawi, Krd, KritischerAutor, KurtR, LKD, Leider,
LeoDavid, Letdemsay, Liesel, Lindemann-de, Lindi44, Lipstar, Lirum Larum, Lucianoschulz, Lukas1602, MB-one, MDXDave, MFM, Maarjo, Maelcum, Magglz, Magnummandel, Manuae,
Marcl1984, Marie de France, MarkusII, Marrrci, Marsupilami04, Martin1978, MartinThoma, Matlueth, Matt1971, Matthias, Matthias M., Matvei3, McCourt, Medici, MeiersHans, Meiersjonas,
Mfreund, MichaelHensch, Michi1308, Misburg3014, Moritz schlarb, Morten Haan, Mucja, Muck31, MusenMuddi, Mussklprozz, NRW123, Nachtigalle, Namoraka, Nano91, Ne discere cessa!,
Neil Hilist, Nepenthes, Nerd, Neun-x, NiTenIchiRyu, Nicki4444, Nikkis, Nina, Nirakka, Nobody perfect, Noebse, Nolispanmo, Norbirt, Numbo3, Nuntius Legis, O.Koslowski, Okin, Olaf
Kosinsky, Ot, PAPPL, Parzi, Patry, Pemu, Pentachlorphenol, Pentiumforever, Pessottino, Peter200, Pfieffer Latsch, PhElias, Phija, Phst, Pill, Pischdi, Pittimann, Pleonasty, Pocci, Pokefan212,
Politics, PsY.cHo, Publicist, RacoonyRE, Randolph33, Raymond83, Razvanus, Rdc, Reaast, Reformatio in peius, Regi51, Renekaemmerer, Requalivahanus0, Revolus, Rigolos, Rlbberlin,
Robbie86, Rufus46, Rumpf14, Rupert Pupkin, S-T-U-D-E-X, S.Didam, Saehrimnir, Sargoth, Sauerteig, Schlesinger, Schmelzle, Schniggendiller, Schotterebene, Schwijker, Science tuwien,
Scooter, Sebastian Raible, Seewolf, Seniix, Seth Cohen, Shenpen, Shoshone, SibFreak, Sinn, Skof, Slick, Slouchhat, Small butterfly, Smeiko, Snc212, Socialmediaschweiz, Sosak, Speck-Made,
Spiff77, Sportschuh, Spuk968, Sralihn, Stefan040780, Stefan64, Stefan8, Stelten, Sternschläger, StevePue, StoneProphet, Struppi-das-Hündchen, Sunny04, Superhappyboy, T.M.L.-KuTV,
TFT35, Tafkas, TanjaBense, Tarboler, Tavok, Terfen, Thobach, Thomashutter, Thommyk-ms, Tigeryoshi, Timiloader, Timk70, Timonf, Tmfreitag, Tmid, Tofra, Tokuma, Tomfinnern, Toot,
Trolinus, Trustable, Turkey73, UKGB, USt, Ubongo azul, Uelzener Sprosse, Umweltschützen, Userhelp.ch, Ute Erb, Uwe1959, VPiaNo, Vab95, Volunteer, Von Eden, W like wiki, WAH,
WOBE3333, Waithamai, Wangen, Waterstrider, Werwiewas, Wickie37, Wiki Gh!, WikiNick, Wikifantexter, Wildtierreservat, Wnme, Wolfgang1018, Wonderfulusa, X-Weinzar, XenonX3,
Xeph, YMS, Yellowcard, YourEyesOnly, ZacPac, Zaibatsu, Zaphiro, Zazu-srb, Zeiserl, Zimtstern 2k, Zollernalb, Århus, Ĝù, 451 anonyme Bearbeitungen
Elektronischer Handel Quelle: http://de.wikipedia.org/w/index.php?oldid=92630452 Bearbeiter: 790, A.Savin, Adrian Ruile, Aggi, Ahellwig, Aka, Alkibiades, Ariro, Arma, Avron,
BerndGehrmann, Bernhard Wallisch, BesondereUmstaende, Biene12, Blah, Boings2, Bonnsen, Bschauer, Buttercup25, C-Lover, C1cc1ccc1, Calculon79, Carbenium, Carolin, Cat1105, Catrin,
Cecil, Centipede, Cgroetsch, Cherubino, ChristophDemmer, Codeispoetry, Complex, D, Darok, DasBee, Dealerofsalvation, Dehansen, Deinback, Der kleine grüne Schornstein, Der.Traeumer,
DerHexer, Diba, Doc z, Done7, Drahreg01, E-commerce-blogger, Echtner, Eddy-z, Elvaube, Elwikipedista, Elya, Engie, Entlinkt, Euku, Felbre, Fjoerg, Flavia67, Flip1279, Flominator, Florian
Adler, FranzUlrich, Friedrich.Kromberg, Frosty79, Fuenfundachtzig, GDK, GFJ, Gerbil, Gerhardvalentin, Giftmischer, Gratisaktie, Grey Geezer, Gruppenrausch, Gutsul, H-P, Hartwig Schulz,
Havelbaude, He3nry, HeMeZ, Hedwig in Washington, Hektor99, Hofclaudia, Howwi, Hubertl, IPS, Idefix2005, Indolush, Inkowik, Invisigoth67, Inza, J. Schwerdtfeger, Jack 1982,
Jakaranintakan, Jalousie Kontor, Jan eissfeldt, Jivee Blau, JochenK, Joey-das-WBF, Johnny Controletti, Jonathan Groß, Jpp, Jsgermany, Juesch, KaiMartin, Kam Solusar, Karl-Henner, KatiItra,
Kerbel, Kh80, Kku, Komischn, Krawi, Krd, Kubrick, Kurt Jansson, Kyng, LKD, Leznep, Lirum Larum, Lm-opp, Logograph, Lubbbi, Lustiger seth, Lx, MFM, Ma-Lik, MadiGaeb, Maik21,
Marcus.wolf, Marika.Rambau, Martinroell, Mathias Schindler, Media lib, Menzi-Multimedia, Michael Reschke, MichaelHensch, Midodatus, Miio3, Mircodeso, Mottentanz, Neal02, Nepenthes,
NiTenIchiRyu, Nicolas G., Nikkis, Nonstoprevolution, Normalo, Norro, Nutcracker, Offroad4fun, Olaf1541, Olei, Otanger, Ottomanisch, OutdoorFEX, Parmatus, PeeCee, Peter200, Phan Ba,
Philipendula, Pistol Pete, Pittimann, Pmollin, Polizeiliche Kriminalprävention, Poupou l'quourouce, Praprisri4466, Proggy, Puzzlemaker, Pöt, ROBSI65, Raffo32, Raymond, Regi51, Revolus,
Revvar, Rheingau er, Ricardobuettner, RoadsterDirk, Ronald Sl, Rozana, S.K., Saibo, Sammler05, Sammy69697979, Schenkdu, Schmitty, Semper, Semperor, Siebzehnwolkenfrei, Siechfred,
Silkeweisheit, Sinn, Snc, Snert, SocialScout, Sprachpfleger, Spuk968, Staro1, Stechlin, Steppoll, Stern, Stylor, Suerborn, Suricata, Sven-steffen arndt, Sweater, Sypholux, TKRegensburg, TPHH,
Temporäres Interesse, Teufelkommraus, Textator, Thorbjoern, Timo Roller, Togs, Traute Meyer, Trg, Tsui, Tsz, Ttreppke, Tueller, Tönjes, Uwe Gille, VanGore, WAH, Warenprofi, Waugsberg,
183
Widdy, Wiki15pedia, Wiki1959, WikipediaMaster, Wiska Bodo, WissensDürster, Wohshop, Wolfgang H., Wossi1991, X-Pachner, XPhilosoph, YMS, Yotwen, YourEyesOnly, Zenit, °, 522
anonyme Bearbeitungen
Electronic Banking Quelle: http://de.wikipedia.org/w/index.php?oldid=92957774 Bearbeiter: A.Savin, Ahellwig, Aka, Alecconnell, AnhaltER1960, Asdrubal, Banihal, Baumanns, Benji, Bernd
vdB, Bu-Lee, Bugert, Chaddy, Cherubino, ChristophDemmer, Conny, Cstim, Cäsium137, Cú Faoil, D, DaBrian, Der kleine grüne Schornstein, Der.Traeumer, DerHexer, Dickbauch, Djj,
Docbritzel, Doitnow, Don Magnifico, Duczmal, Echtner, Eckat, Filzstift, Flominator, GFJ, GLGerman, Gnauck, Goto Dengo, Guandalug, Hardenacke, Hektor99, Henning Ihmels, HubPfalz,
Humanvision, Ipwizard, JAF, Jackalope, Jan Tietje, Jan eissfeldt, John Doe, Jpp, Juliane, Kahlfin, Karsten11, Krawi, LKD, Leider, Lohan, M.L, Maestro alubia, Markus Mueller,
MarkusWedemeyer, Martin1978, Metoaster, Mikenolte, Millbart, Mino1997, Moguntiner, Myself488, Namex, Nutcracker, OecherAlemanne, Olei, Ordnung, Ot, P. Birken, PDCA, PSS, Pelz,
Perfectsummer, Peter200, Philipendula, Pietlav, Pittimann, PjotrC, Priwo, Regi51, Rogermink, Rolf acker, Ruscsi, STiesler, Saehrimnir, Saibo, Schirello, Schwarzseher, Sciurus, Seewolf,
Sicherlich, Sinn, Smach, Solphusion, Southpark, Spazion, Spuk968, Steavor, Stefan64, Stern, Suirenn, TK2805, Talaris, Theredmonkey, Timk70, TimmX, Tobias.stoeger, Tritonus05, Tsor, Uebs,
Uweschwoebel, Video2005, Wendelin, Westiandi, Wnme, Xls, Zaibatsu, Zbik, Zickzack, Zotti, Космонавт, 261 anonyme Bearbeitungen
184
Datei:Mind map of information security.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Mind_map_of_information_security.svg Lizenz: Creative Commons Attribution-Share
Alike Bearbeiter: ServCogni-HC ( http://www.holliday-consulting.com)
Datei:burned laptop secumem 16.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Burned_laptop_secumem_16.jpg Lizenz: Creative Commons Attribution-Sharealike 3.0
Bearbeiter: secumem
Datei:burned_laptop_secumem_16.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Burned_laptop_secumem_16.jpg Lizenz: Creative Commons Attribution-Sharealike 3.0
Bearbeiter: secumem
Datei:Buffalo_LinkStation_Mini_and_a_PP3_battery.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Buffalo_LinkStation_Mini_and_a_PP3_battery.jpg Lizenz: Creative
Commons Attribution-Sharealike 3.0 Bearbeiter: Phobie
Bild:Adic scalar 100.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Adic_scalar_100.jpg Lizenz: Creative Commons Attribution-Sharealike 2.5 Bearbeiter: EvaK, Splat215
Datei:Backup_Backup_Backup_-_And_Test_Restores.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Backup_Backup_Backup_-_And_Test_Restores.jpg Lizenz: Creative
Commons Attribution 2.0 Bearbeiter: John from USA
Datei:Privacy International 2007 privacy ranking map.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Privacy_International_2007_privacy_ranking_map.png Lizenz: Creative
Commons Attribution-Sharealike 3.0,2.5,2.0,1.0 Bearbeiter: Wüstling
Bild:Glider.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Glider.svg Lizenz: Public Domain Bearbeiter: Eric S. Raymond
Datei:Verschlüsselung (symmetrisches Kryptosystem) Schema.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Verschlüsselung_(symmetrisches_Kryptosystem)_Schema.svg
Lizenz: Public Domain Bearbeiter: w:de:Benutzer:SternBenutzer:Stern
Datei:Login Maske in Deutsch.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Login_Maske_in_Deutsch.png Lizenz: Public domain Bearbeiter: Suhadi Sadono
Datei:KeePass random password.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:KeePass_random_password.png Lizenz: GNU General Public License Bearbeiter: Dominik
Reichl
Datei:Netz.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Netz.svg Lizenz: GNU Free Documentation License Bearbeiter: Sfischer, Wst
Datei:Santy.bmp.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Santy.bmp.jpg Lizenz: Public domain Bearbeiter: ChristianBier, ErnestoZERO, Isderion, Mario23, 4 anonyme
Bearbeitungen
Datei:ASM-Virus.PNG Quelle: http://de.wikipedia.org/w/index.php?title=Datei:ASM-Virus.PNG Lizenz: Public Domain Bearbeiter: Tb, Trockennasenaffe, WikipediaMaster
Datei:HTML-virus.PNG Quelle: http://de.wikipedia.org/w/index.php?title=Datei:HTML-virus.PNG Lizenz: Public domain Bearbeiter: Leipnizkeks, Mario23, Marlus Gancher,
Trockennasenaffe
Datei:EICAR.PNG Quelle: http://de.wikipedia.org/w/index.php?title=Datei:EICAR.PNG Lizenz: Public domain Bearbeiter: Leipnizkeks, Mario23, TMg, Trockennasenaffe
Datei:Virus-crypt.PNG Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Virus-crypt.PNG Lizenz: Public domain Bearbeiter: Leipnizkeks, Mario23, Marlus Gancher, Trockennasenaffe
Datei:Virus-msg.PNG Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Virus-msg.PNG Lizenz: Public domain Bearbeiter: Leipnizkeks, Mario23
Datei:Screenshot-whitehouse com.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Screenshot-whitehouse_com.png Lizenz: GNU General Public License Bearbeiter: Original
uploader was Bluefoxicy at en.wikipedia
Datei:Sylpheed 1.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Sylpheed_1.png Lizenz: GNU General Public License Bearbeiter: AVRS, Flominator, Holger Thölking, Mnd,
Paul Geißler, Speck-Made, 8 anonyme Bearbeitungen
Datei:[email protected] Quelle: http://de.wikipedia.org/w/index.php?title=Datei:[email protected] Lizenz: Creative Commons Attribution 3.0 Bearbeiter: StromBer
Datei:Wie E-Mail funktioniert.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Wie_E-Mail_funktioniert.svg Lizenz: GNU Free Documentation License Bearbeiter:
de:Benutzer:ThePeritus
Bild:Signatur.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Signatur.png Lizenz: GNU General Public License Bearbeiter: Mozilla Foundation/Mozilla Messaging
Datei:Facebook.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Facebook.svg Lizenz: Public Domain Bearbeiter: Facebook
Datei:MarkZuckerberg.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:MarkZuckerberg.jpg Lizenz: Creative Commons Attribution 2.5 Bearbeiter: Elaine Chan and Priscilla
Chan
Datei:Flag of the United States.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_the_United_States.svg Lizenz: Public Domain Bearbeiter: Dbenbenn, Zscout370,
Jacobolus, Indolences, Technion.
Datei:Flag of Indonesia.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Indonesia.svg Lizenz: Public Domain Bearbeiter: Drawn by User:SKopp, rewritten by User:Gabbe
Datei:Flag of the United Kingdom.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_the_United_Kingdom.svg Lizenz: Public Domain Bearbeiter: Original flag by James I
of England/James VI of ScotlandSVG recreation by User:Zscout370
Datei:Flag of India.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_India.svg Lizenz: Public Domain Bearbeiter: User:SKopp
Bild:Flag of Turkey.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Turkey.svg Lizenz: Public Domain Bearbeiter: David Benbennick (original author)
Datei:Flag of Mexico.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Mexico.svg Lizenz: Public Domain Bearbeiter: Alex Covarrubias, 9 April 2006 Based on the arms
by Juan Gabino.
Datei:Flag of the Philippines.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_the_Philippines.svg Lizenz: Public Domain Bearbeiter: Aira Cutamora
Datei:Flag of France.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_France.svg Lizenz: Public Domain Bearbeiter: User:SKopp, User:SKopp, User:SKopp, User:SKopp,
User:SKopp, User:SKopp
Datei:Flag of Brazil.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Brazil.svg Lizenz: Public Domain Bearbeiter: Brazilian Government
Datei:Flag of Italy.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Italy.svg Lizenz: Public Domain Bearbeiter: see below
Datei:Flag of Germany.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Germany.svg Lizenz: Public Domain Bearbeiter: User:Madden, User:Pumbaa80, User:SKopp
Datei:Flag of Russia.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Russia.svg Lizenz: Public Domain Bearbeiter: Zscout370
Datei:Flag of Japan.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Japan.svg Lizenz: Public Domain Bearbeiter: Various
Datei:Flag of Switzerland within 2to3.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Switzerland_within_2to3.svg Lizenz: Public Domain Bearbeiter: burts
Datei:Flag of Austria.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Austria.svg Lizenz: Public Domain Bearbeiter: User:SKopp
Datei:Flag of the People's Republic of China.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_the_People's_Republic_of_China.svg Lizenz: Public Domain Bearbeiter:
Drawn by User:SKopp, redrawn by User:Denelson83 and User:Zscout370 Recode by cs:User:-xfi- (code), User:Shizhao (colors)
Datei:Flag of Canada.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Canada.svg Lizenz: Public Domain Bearbeiter: User:E Pluribus Anthony, User:Mzajac
Bild:Flag of Romania.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Romania.svg Lizenz: Public Domain Bearbeiter: AdiJapan
Datei:Flag of Cyprus.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Cyprus.svg Lizenz: Public Domain Bearbeiter: AnonMoos, Bukk, Consta, Dbenbenn, Denelson83,
Duduziq, Er Komandante, F. F. Fjodor, Fry1989, Homo lupus, Klemen Kocjancic, Krinkle, Mattes, NeoCy, Neq00, Nightstallion, Oleh Kernytskyi, Persiana, Pumbaa80, Reisio, Telim tor,
ThomasPusch, Túrelio, Ufo karadagli, Vzb83, 19 anonyme Bearbeitungen
Datei:Flag_of_Poland.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Poland.svg Lizenz: Public Domain Bearbeiter: Mareklug, Wanted
Bild:Flag of Hungary.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Hungary.svg Lizenz: Public Domain Bearbeiter: User:SKopp
Datei:Flag of Estonia.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Estonia.svg Lizenz: Public Domain Bearbeiter: Originally drawn by User:SKopp. Blue colour
changed by User:PeepP to match the image at .
Datei:Flag of Latvia.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Latvia.svg Lizenz: Public Domain Bearbeiter: User:SKopp
Datei:Flag of Bulgaria.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Bulgaria.svg Lizenz: Public Domain Bearbeiter: SKopp
Datei:Flag of Liechtenstein.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Liechtenstein.svg Lizenz: Public Domain Bearbeiter: User:Mnmazur
Datei:Flag of Luxembourg.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Luxembourg.svg Lizenz: Public Domain Bearbeiter: User:SKopp
185
Datei:Flag of Europe.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Flag_of_Europe.svg Lizenz: Public Domain Bearbeiter: User:Verdy p, User:-xfi-, User:Paddu,
User:Nightstallion, User:Funakoshi, User:Jeltz, User:Dbenbenn, User:Zscout370
Datei:EFTA Logo.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:EFTA_Logo.svg Lizenz: Logo, Verwendung zu enzyklopädischen Zwecken erlaubt Bearbeiter: Akkakk,
Kaneiderdaniel
Datei:E-Business.svg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:E-Business.svg Lizenz: Creative Commons Attribution-Sharealike 2.0 Germany Bearbeiter: Joey-das-WBF
Datei:Screenshot eBanking bei der Frankfurter Volksbank.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Screenshot_eBanking_bei_der_Frankfurter_Volksbank.png Lizenz:
Public domain Bearbeiter: Benutzer:Benji
Datei:Reiner_chipkartenleser.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Reiner_chipkartenleser.jpg Lizenz: GNU Free Documentation License Bearbeiter: Benutzer:Namex
Datei:sparkasse.png Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Sparkasse.png Lizenz: Public domain Bearbeiter: Crux, Frank Murmann, Isderion, Jens Liebenau, Rtc, Suhadi
Sadono, Svencb, Tischra, 2 anonyme Bearbeitungen
Datei:Bankomat_050421.jpg Quelle: http://de.wikipedia.org/w/index.php?title=Datei:Bankomat_050421.jpg Lizenz: Public Domain Bearbeiter: Andreas
186
Lizenz
187
Lizenz
Wichtiger Hinweis zu den Lizenzen
Die nachfolgenden Lizenzen bezieht sich auf den Artikeltext. Im Artikel gezeigte Bilder und Grafiken können unter einer anderen Lizenz stehen sowie von Autoren erstellt worden sein, die nicht in der Autorenliste
erscheinen. Durch eine noch vorhandene technische Einschränkung werden die Lizenzinformationen für Bilder und Grafiken daher nicht angezeigt. An der Behebung dieser Einschränkung wird gearbeitet.
Das PDF ist daher nur für den privaten Gebrauch bestimmt. Eine Weiterverbreitung kann eine Urheberrechtsverletzung bedeuten.
Creative Commons Attribution-ShareAlike 3.0 Unported - Deed
Diese "Commons Deed" ist lediglich eine vereinfachte Zusammenfassung des rechtsverbindlichen Lizenzvertrages (http:/ / de. wikipedia. org/ wiki/ Wikipedia:Lizenzbestimmungen_Commons_Attribution-ShareAlike_3. 0_Unported)
in allgemeinverständlicher Sprache.
Sie dürfen:
•
das Werk bzw. den Inhalt vervielfältigen, verbreiten und öffentlich zugänglich machen
•
Abwandlungen und Bearbeitungen des Werkes bzw. Inhaltes anfertigen
Zu den folgenden Bedingungen:
•
•
Namensnennung — Sie müssen den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
Weitergabe unter gleichen Bedingungen — Wenn Sie das lizenzierte Werk bzw. den lizenzierten Inhalt bearbeiten, abwandeln oder in anderer Weise erkennbar als Grundlage für eigenes Schaffen verwenden, dürfen Sie die
daraufhin neu entstandenen Werke bzw. Inhalte nur unter Verwendung von Lizenzbedingungen weitergeben, die mit denen dieses Lizenzvertrages identisch, vergleichbar oder kompatibel sind.
Wobei gilt:
•
•
Verzichtserklärung — Jede der vorgenannten Bedingungen kann aufgehoben werden, sofern Sie die ausdrückliche Einwilligung des Rechteinhabers dazu erhalten.
Sonstige Rechte — Die Lizenz hat keinerlei Einfluss auf die folgenden Rechte:
•
•
•
•
Die gesetzlichen Schranken des Urheberrechts und sonstigen Befugnisse zur privaten Nutzung;
Das Urheberpersönlichkeitsrecht des Rechteinhabers;
Rechte anderer Personen, entweder am Lizenzgegenstand selber oder bezüglich seiner Verwendung, zum Beispiel Persönlichkeitsrechte abgebildeter Personen.
Hinweis — Im Falle einer Verbreitung müssen Sie anderen alle Lizenzbedingungen mitteilen, die für dieses Werk gelten. Am einfachsten ist es, an entsprechender Stelle einen Link auf http:/ / creativecommons. org/ licenses/
by-sa/ 3. 0/ deed. de einzubinden.
Haftungsbeschränkung
Die „Commons Deed“ ist kein Lizenzvertrag. Sie ist lediglich ein Referenztext, der den zugrundeliegenden Lizenzvertrag übersichtlich und in allgemeinverständlicher Sprache, aber auch stark vereinfacht wiedergibt. Die Deed selbst
entfaltet keine juristische Wirkung und erscheint im eigentlichen Lizenzvertrag nicht.
GNU Free Documentation License
Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.
51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it,
either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others.
This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free
software.
We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this
License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or
reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide, royalty-free
license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". You accept the license
if you copy, modify or distribute the work in a way requiring permission under copyright law.
A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language.
A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters)
and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of
historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them.
The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If a section does not fit the above
definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5 words, and a
Back-Cover Text may be at most 25 words.
A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document straightforwardly with generic text editors
or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to
text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not
Transparent if used for any substantial amount of text. A copy that is not "Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML,
PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors,
SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title
page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text.
A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific section
name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according
to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only as regards
disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced
in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may
accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3.
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that
carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover
must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document
and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a
computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document, free of added material. If you use the latter
option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time
you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role
of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version:
•
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section of the Document). You may use
the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal
authors, if it has fewer than five), unless they release you from this requirement.
•
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
•
D. Preserve all the copyright notices of the Document.
•
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
•
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below.
•
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice.
•
H. Include an unaltered copy of this License.
•
I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled
"History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
•
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These
may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission.
•
K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given
therein.
•
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles.
•
M. Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version.
•
N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section.
•
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as
invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles.
You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization
as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of
Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are
acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.
•
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of
the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the
title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of
Invariant Sections in the license notice of the combined work.
Lizenz
188
In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled "Acknowledgements", and any sections Entitled
"Dedications". You must delete all sections Entitled "Endorsements".
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection,
provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding
verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the copyright resulting from the compilation
is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other works in the aggregate which are not
themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be placed on covers that bracket the
Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders,
but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License, and all the license notices in the Document, and any
Warranty Disclaimers, provided that you also include the original English version of this License and the original versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of
this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate
your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new
problems or concerns. See http:/ / www. gnu. org/ copyleft/ .
Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the option of following the terms and
conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version
ever published (not as a draft) by the Free Software Foundation.
ADDENDUM: How to use this License for your documents
To use this License in a document you have written, include a copy of the License in the document and put the following copyright and license notices just after the title page:
Copyright (c) YEAR YOUR NAME.
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2
or any later version published by the Free Software Foundation;
with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled
"GNU Free Documentation License".
If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this:
with the Invariant Sections being LIST THEIR TITLES, with the
Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.
If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to suit the situation.
If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under your choice of free software license, such as the GNU General Public License, to permit their use in free
software.

Sicherheit im Computernetz

Transcription

Similar documents

Inhalt - Online

Friedensvertrag von Versailles

Computerviren

LAN-Technologien

Cyberspace in Schule und Kinderzimmer

PDF Version

Netw ork Hacking Network Hacking

Skriptum Webgerechtes Texten Inhaltsverzeichnis 1. CMS

Wikipress 7: Computersicherheit

Soziale Netzwerke - Hochschule Augsburg

PDF-DE - EURES Institut für regionale Studien in Europa KG

Zwischen Modelleisenbahn und Todesstern

Performance Products - Hydraulic Supply Company

VIRENSCANNER

Social Media – das Mitmach

bibliographie courante partie b

Datenschleuder 95 - Die Datenschleuder

RASSENDISKRIMINIERUNG i.S.v. ART. 261BIS StGB – EINE