Digitaler Radierer mit DRM nicht praxistauglich
Da es im Projekt draufhaber.tv insbesondere um nutzergenerierte Medieninhalte von Jugendlichen auf einer Community-Plattform geht, beschäftigen wir uns auch mit der Frage, ob, und wenn ja, wie sich ein Verfallsdatum für bestimmte Inhalte auf der Plattform umsetzen lässt.
Elektronisch verfügbare Inhalte sind - wenn man von verlustbehafteten Formatkonvertierungen und Beschädigungen an sämtlichen Speichermedien absieht - in gleichbleibender Qualität beliebig lange verwendbar. So können sich etwa Jugendsünden, die durch Mitschüler filmisch dokumentiert und ins Internet gestellt wurden, auch noch nach vielen Jahren schädlich auf die eigene Darstellung im Netz auswirken.
Gibt es eine technische Lösung für diese Problemstellung? Kann man das Internet durch Verschlüsselung und Digitales Rechte- (bzw. Beschränkungs-) Management (DRM) etwas vergesslicher machen? Kann es gar so etwas wie einen digitalen Radiergummi geben?
Die an der Universität Saarbrücken entwickelte Software X-Pire, die nach der am 11.01.2011 vom BMELV organisierten Dialogveranstaltung “Verbraucher im Netz” eine hohe Medienbeachtung fand (angefangen mit der Süddeutschen), verspricht “Bilder mit einem digitalen Verfallsdatum”. Inwieweit kann die Software die Versprechen einlösen?
Ein kurzer Testlauf der X-Pire Firefox-Erweiterung im ifib machte deutlich, dass die Installation und Nutzung der Software - zumindest im derzeitigen Entwicklungsstadium - einige über Basiswissen hinausgehende IT-Kenntnisse voraussetzt. Es kann auch nach Verbesserungen der Benutzerschnittstelle nicht erwartet werden, dass sich die Software nahtlos in gewohnte Abläufe in sozialen Netzwerken wie Facebook oder Flickr einbinden lässt. Nicht zuletzt die vorgesehene Mensch-oder-Maschine-Prüfung durch CAPTCHA und die unumgehbare Zwischenschaltung eines Schlüsselservers stellen erhebliche Einschränkungen des Nutzungskomforts dar.
Bild: Blick in eine verschlüsselte X-Pire-Bilddatei
Die durch IT-Fachleute und Journalisten getroffenen Einschätzungen reichen von milder bis zu vernichtender Kritik (SPON titelte: “Warum der Radiergummi fürs Web versagen muss”). Wesentliche Kritikpunkte sind:
(a) Nutzerinnen und Nutzer, die Inhalte einstellen, ohne sich darüber Gedanken zu machen, wer diese Inhalte später einmal sehen könnte, werden sich mit hoher Wahrscheinlichkeit nicht für Verfallsdaten interessieren und erst recht nicht kostenpflichtige (Abo!) Spezialsoftware einsetzen.
(b) Schlüsselserver bieten ein interessantes Angriffsziel. Etwa könnten gefälschte Firefox-Erweiterungen und Plugins und Erweiterungen für andere Browser Schlüssel einsammeln und auf Servern des Angreifers speichern. Ein ähnlicher Einwand wurde auch schon gegen das an der Universität Washington entwickelte komplexere Vanish-System vorgebracht.
(c) Der Schlüsselserver-Betreiber wäre in der Lage, detaillierte Nutzungsdaten zu sammeln.
(d) Wenn die Schlüsselserver-Infrastruktur zerstört würde, könnten keine der geschützten Daten mehr angezeigt werden.
(e) Es besteht kein Schutz gegen Bildschirmaufzeichnungen und automatisierte Verfahren, die in der Lage sind, CAPTCHA-Aufgaben zu lösen.
Eine DRM-basierter Ansatz wie bei X-Prire erscheint nach alldem für draufhaber.tv nicht als geeignet.
Auf welche andere Weise könnte mit dem Problem umgegangen werden?
Es ist wohl nicht praktikabel, generell das Erreichen der Volljährigkeit mit einer Namensänderung zu verbinden (Vorschlag von Google CEO Eric Schmidt).
Einige Kleinigkeiten können ohne Bedienbarkeitseinschränkungen technisch umgesetzt werden. Zum einen sollte bei der Datenübertragung TLS / https verwendet werden, soweit dies serverseitig geleistet werden kann. Zum anderen sollte für bestimmte Kategorien von Mediendateien (etwa Entwürfe) eine Frist voreingestellt werden, nach der die Dateien vom Server entfernt werden (verbunden mit einem Nutzerhinweis und einer Verlängerungsmöglichkeit).
Wichtiger als Technik dürfte bei einer Internet-Community mit Jugendlichen allerdings eine regelmäßig anwesende Moderation und Unterstützung sein (ggf. auch Online-“Streetworker”). Nicht zuletzt ist die Vermittlung von Medienkompetenz, insbesondere durch Elternhaus, Schule und gemeinnützige Organisationen, wichtiger als jede nachträgliche technische Schadensbegrenzungsmaßnahme.
Gesendet von C. Hanken
Zuordnungen:
Kommentare •
Schulen und Schulträger •
Vereine und Verbände •
Dokumentenmanagement •
(0) Kommentare • Permalink
E-mail
Facebook
Twitter
Google Bookmarks
Del.icio.us
Mister Wong
Evaluation des BremIFG liefert wertvolle Hinweise für Open Government Data Initiativen (Teil 2)
Evaluation und Novellierung des Bremer Informationsfreiheitsgesetzes liefern wertvolle Hinweise für aktuelle Open Government Data Initiativen (Teil 2)
Das 2006 verabschiedete Bremer Informationsfreiheitsgesetz hat mit der Verpflichtung der Behörden zur pro-aktiven Veröffentlichung bestimmter Arten von Dokumenten und dem zentralen Zugriff über ein gemeinsames Register als erste und bisher einzige gesetzliche Regelung in Deutschland wesentliche Punkte realisiert, die aktuell unter der Bezeichnung Open Government Data gefordert und von der Bundesregierung angekündigt werden. Im ersten Teil dieses Berichts wurde behauptet, dass man bei der Planung und Umsetzung einer Open Government Data Plattform viel aus den Bremer Erfahrungen lernen kann. Dies ist deshalb möglich, weil diese Erfahrungen in einer wissenschaftlichen Evaluation durch das ifib aufgearbeitet und aufbereitet worden sind. Sie sind zwar schon im Juni des vergangenen Jahres auf der Konferenz Informationsfreiheit - die nächste Generation vorgestellt worden, zu der der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern eingeladen hatte (http://www.lfd.m-v.de/dschutz/veransta/inffrei/index-inf.html) Aus aktuellem Anlass wird nun auch der vollständige Bericht zugänglich gemacht, den Herbert Kubicek und Barbara Lippa in Zusammenarbeit mit Vertretern der Senatorin für Finanzen und der Landesbeauftragten für Datenschutz und Informationsfreiheit erstellt haben
Die erste sozialwissenschaftliche Evaluation eines IFG
Weil es unterschiedliche Bedenken bei den parlamentarischen Beratungen des BremIFG gab, wurde als Kompromiss eine Befristung auf sechs Jahre und in § 13 die Verpflichtung zu eine wissenschaftlichen Überprüfung der Auswirkungen dieses Gesetzes nach vier Jahren vorgeschrieben. Um diese auf eine solide Grundlage zu stellen, hat die zuständige Senatorin für Finanzen der Freien Hansestadt Bremen das Institut für Informationsmanagement Bremen (ifib) mit dieser wissenschaftlichen Evaluation beauftragt. Zum ersten Mal wurde damit in der Geschichte der deutschen Informationsfreiheitsgesetze eine Evaluation auf empirischer sozialwissenschaftlicher Basis vorgenommen.
Die vorgeschriebene Überprüfung der Auswirkungen geht weit über eine Analyse der Inanspruchnahme hinaus. Gedacht hatte der Gesetzgeber in erster Linie an die (teilweise befürchteten negativen) organisatorischen und finanziellen Auswirkungen auf die Behörden. Aber zur Evaluation der Auswirkungen gehört auch die Frage, ob die Bürgerinnen und Bürger die neuen Rechte überhaupt wahrnehmen, und zwar im doppelten Sinne des Wortes, also erstens kennen und zweitens dann auch nutzen. Daher wurden für die Evaluation mehrere Erhebungen kombiniert:
- In einer repräsentativen telefonischen Bevölkerungsumfrage wurden die Bekanntheit des Gesetzes sowie des zentralen elektronischen Informationsregisters, die Kenntnisse über die Inhalte des Gesetzes, bisheriger Informationsbedarf sowie das Informationsverhalten der Bürgerinnen und Bürger, aber auch mögliche Nutzungsbarrieren ermittelt.
- In einer Online-Befragung wurden die Benutzerinnen und Benutzer des zentralen Registers nach ihrer bisherigen Nutzung und Zufriedenheit mit diesem Angebot befragt. Ferner wurden hier auch Einstellungen in Bezug auf das Gesetz sowie zur Politik und Verwaltung selbst abgefragt.
- Durch eine Logfile-Analyse wurden die Zugriffe auf das Register ermittelt.
- Eine schriftliche Befragung der Bremischen Behörden sowie vertiefende Interviews mit den IFG-Beauftragten der Ressorts bezogen sich auf die interne Organisation zur Umsetzung der gesetzlichen Bestimmungen sowie die Arbeitsschritte, Aufwände und eventuellen Probleme im Zusammenhang mit den Veröffentlichungspflichten und der Antragsbearbeitung.
Nicht behandelt wurden in dieser Evaluation die rechtlichen Fragen nach der angemessenen Formulierung und Gewichtung der Verweigerungsgründe sowie einzelne Unklarheiten in der Gesetzesformulierung, die im Zuge der Anwendung des Gesetzes festgestellt wurden. Hierzu hat die Landesbeauftragte für Datenschutz und Informationsfreiheit einen eigenen Bericht vorgelegt.
Befunde und Empfehlungen
Der etwas über 100 Seiten umfassende Bericht gibt die Befunde dieser Erhebungen ausführlich wieder und leitet daraus eine Reihe von Empfehlungen für eine Novellierung ab. So wird ua. festgestellt und empfohlen:
- Die im Gesetz vorgesehene statistische Erfassung der Anträge liefert keine validen Daten, da vielfach Auskünfte gegeben, aber nicht erfasst werden. Daher kann in Zukunft darauf verzichtet werden.
- Die Bezeichnung Informationsfreiheitsgesetz wird teilweise missverstanden als Garantie des Rechts auf freie Meinungsäußerung. Daher sollte in der Kurzbezeichnung des novellierten Gesetzes der Zugang betont werden (Bremer Informationszugangsgesetz).
- Das zentrale Informationsregister kannten in der repräsentativen Telefonumfrage mehr Bürgerinnen und Bürger als das Gesetz. Es wird in der Telefonumfrage und von den Nutzern positiv gewürdigt. Im Detail sollten die Suchfunktion und die Darstellung der Ergebnisse allerdings noch weiter verbessert werden.
- Die im Gesetz als Regelfall vorgesehene Antragstellung ist in der Praxis die Ausnahme. Die Anzahl der Suchanfragen im zentralen Register beträgt ein Vielfaches der Anzahl der gestellten Anträge. Insofern hat sich dieser Ansatz zweifelsfrei bewährt. Der Katalog der zu veröffentlichenden sonstigen Dokumente in der entsprechenden Rechtsverordnung sollte erweitert werden.
- Auf der Seite der Verwaltung hält sich der Aufwand nicht nur wegen der geringen Anzahl von Anträgen in Grenzen. Die durchschnittliche Bearbeitungszeit für das Heraussuchen und Prüfen begehrter Dokumente liegt bei drei Stunden.
- Bei der pro-aktiven Veröffentlichung gibt es erhebliche Unterschiede zwischen den einzelnen Ressorts. Hier besteht auch Unsicherheit, was mit den im Gesetz so genannten sonstigen Dokumenten gemeint ist. Daher werden eine klarere formulierte Anordnung und eine ergänzende Schulung vorgeschlagen.
- Insgesamt wird in den Behörden zwar eine Tendenz hin zu mehr Veröffentlichung über das Internet festgestellt. Diese mündet jedoch nicht immer auch in das zentrale Informationsregister. Dazu ist noch mehr Aufklärungsarbeit in den Behörden zu leisten.
- Die Rolle der vom Gesetz vorgesehenen IFG Beauftragten in jeder Behörde wird von den betroffenen Personen und den Behördenleitungen unterschiedlich wahrgenommen. Oft führen sie nur die Statistik. Ihre Rolle könnte stärker in der Vermittlung zwischen Bürgern und den Stelle, die über die begehrten Information verfügen, bestehen.
Umsetzung der Empfehlungen in der Gesetzesnovellierung
Der Evaluationsbericht wurde der Senatorin für Finanzen im Februar 2010 übergeben. Im April 2010 hat der Senat die Bürgerschaft über die Ergebnisse und die daraus zu ziehenden Konsequenzen unterrichtet (Drucksache 17/1279 v. 27.4.2010). Er hat sich dabei weitestgehend den Empfehlungen des ifib angeschlossen.
Im September 2010 hat der Senat dann der Bürgerschaft einen Entwurf für das erste Gesetz zur Änderung des Bremer Informationsfreiheitsgesetzes zugeleitet. Darin wurden die Empfehlungen, die den Gesetzestext betreffen, konkret umgesetzt. Insbesondere wurde die Liste der zu veröffentlichenden Dokumente ausgeweitet. Der entsprechende Absatz in § 11 soll nun lauten (Änderungen fett):
“(4) Die Behörden sollen die in den Absätzen 1, 2 und 3 genannten Pläne, Verzeichnisse und Verwaltungsvorschriften sowie weitere geeignete Informationen ohne Angaben von personenbezogenen Daten und Geschäfts- und Betriebsgeheimnissen in elektronischer Form zugänglich machen und an das elektronische Informationsregister nach Absatz 5 melden. Weitere geeignete Informationen sind insbesondere Handlungsempfehlungen, Statistiken, Gutachten, Berichte, Broschüren, bei den Behörden vorhandene gerichtliche Entscheidungen, Informationen, zu denen bereits nach diesem Gesetz Zugang gewährt wurde, Senatsvorlagen nach Beschlussfassung, Mitteilungen an die Bürgerschaft sowie Unterlagen, Protokolle und Beschlüsse öffentlicher Sitzungen. “
Viele andere Empfehlungen müssen nicht durch Änderungen des Gesetzestextes umgesetzt werden, sondern durch die konkretisierenden Verordnungen, Organisationsanweisungen, technische Änderungen und konkretes Tun.
Maschinell weiterverarbeitbare Formate
Der von der Open Data Bewegung geforderte Zugang zu Daten in maschinell weiterverarbeitbaren (offenen) Formaten wird in der Evaluation nicht explizit angesprochen. Rechtlich stehen dem keine Formulierungen des Gesetzes in der alten wie in der vorgeschlagenen neuen Fassung entgegen. Gegenstand sind amtliche Informationen. Diese werden in § 1 definiert als jede amtlichen Zwecken dienende Aufzeichnung, unabhängig von der Art der Speicherung. Dazu gehören Akten, Briefe und andere Schriftstücke, Broschüren, Karteikarten und auch Daten in Datenbanken. Das bisher vor allem PDF-Dokumente veröffentlicht werden, liegt zum einen an dem noch kurzen Katalog der zu veröffentlichenden Dokumenten und an einer noch fehlenden Nachfrage nach anderen Formaten. Mit der beabsichtigten Erweiterung der Katalogs dürfte sich dies ändern. In der Bremer Empfehlung zu Open Government Data hat die Senatorin für Finanzen angekündigt, diese Forderung der Open Data Initiativen zu unterstützen und zusammen mit den IFG-Beauftragten nach praktikablen Lösungen zu suchen. Den die Umsetzung dieser Forderung ist nicht trivial, weil viele noch in Betrieb befindliche Datenbanken gar keine Export-Schnittstellen haben.
Gesendet von Herbert Kubicek
Zuordnungen:
Kommentare •
Nachrichten •
Studien •
Veröffentlichungen •
Vorträge •
Öffentliche Verwaltung •
E-Democracy •
E-Government •
Informationsfreiheit •
(0) Kommentare • Permalink
Evaluation des BremIFG liefert wertvolle Hinweise für Open Government Data Initiativen (Teil 1)
Evaluation und Novellierung des Bremer Informationsfreiheitsgesetzes liefern wertvolle Hinweise für aktuelle Open Government Data Initiativen
Open Data und Freedom of Information
Immer wieder werden in Deutschland Initiativen aus den USA aufgegriffen, die das Verhältnis von Bürgerinnen und Bürgern zu Staat und Verwaltung verbessern und zu mehr Demokratie führen sollen. Aktuell sind dies Konzepte des Open Government und Open Government Data, die 2008 in Kalifornien entwickelt und im Wahlkampf von Barack Obama aufgegriffen wurden. Mitte der 90er Jahre waren es Konzepte des E-Government und des Information Superhighway im Wahlkampf von Bill Clinton und Al Gore. Sie wollten die Informationen, die mit den Steuergeldern der Bürgerinnen und Bürger erzeugt worden sind, diesen unentgeltlich über das Internet zugänglich machen und haben dann auch dementsprechend den aus den 60er Jahren stammenden Freedom of Information Act um einen Electronic Freedom of Information Act ergänzt. Das alte Paradigma des Rechts auf Stellung eines Antrags auf Informationszugang wurde durch die Pflicht zur pro-aktiven Veröffentlichung von Informationen in sogenannten Electronic Reading Rooms ergänzt. Jede Bundesbehörde muss ein Verzeichnis der zugänglich gemachten Dokumente veröffentlichen, und das Department of Justice muss eine zentrale Übersicht über diese Verzeichnisse bereitstellen (http://www.justice.gov/oip/04_2.html). NGOs bieten schon seit mehreren Jahren eine Erschließung von Dokumenten an, die aufgrund von Anträgen nach FoI herausgegeben worden sind und von Freiwilligen auf deren Plattform eingestellt werden (z.B. http://www.citizensforethics.org). Die erhoffte Mitwirkung ist allerdings deutlich hinter den Erwartungen zurückgeblieben.
Es ist erstaunlich, dass die Open Data Bewegung keine Aufarbeitung der Erfahrungen mit diesen Ansätzen vornimmt, sondern aus dem etwas anderen Blickwinkel der technischen Weiterverarbeitung von Daten der Verwaltungen unbeschwert und hoffnungsfroh Prinzipien formuliert und Forderungen erhebt, bei deren Umsetzung man sehr viel aus diesen Erfahrungen lernen kann (http://www.opengovdata.org/ sowie http://resource.org/8_principles.html und http://wiki.opendata-network.org/Open_Government_Data_Principles). Man sagt: Das Internet vergisst nicht. Aber man muss hinzufügen: Das Internet erinnert sich nicht. Wenn man Open Data bei Google eingibt, bekommt man keine Treffer zu Freedom of Information. Dies ist auch ein Hauptproblem bei der Suche nach Daten unter Open Data Regelungen.
Eine Open Data Plattform von Bund und Ländern
Die fehlende Erinnerung und Assoziation finden wir auch in der aktuellen Diskussion in Deutschland. Die Bundesregierung hat in ihrem Regierungsprogramm Vernetzte und transparente Verwaltung u. a. das Vorhaben Open Government als einen zentralen Baustein angekündigt. Auf dem IT-Gipfel in Dresden am 7. Dezember 2010 wurde der Aufbau einer zentral zugänglichen, den Interessen der Nutzer an einem einheitlichen, leichten und benutzerfreundlichen Zugriff gerecht werdenden Open-Data-Plattform bis 2013 vereinbart. (http://de.wikipedia.org/wiki/Nationaler_IT-Gipfel#Ergebnisse). Sie soll die Plattformen von Bund, Ländern und Kommunen vernetzen und den Anforderungen von Bund, Ländern und Kommunen sowie den fachlichen Qualitätserwartungen der Nutzer gerecht werden.
Dies soll in enger Abstimmung mit allen Beteiligten geschehen. Das federführende Bundesministerium des Innern hat die Mitglieder des IT-Planungsrats für den 18. Januar 2011 zu einer Auftaktsitzung eingeladen, um eine gemeinsame Standortbestimmung vorzunehmen und die Felder festzulegen, auf denen Bund und Länder bereits auf gutem Wege sind und schnelle Erfolge erzielt werden können.
Als einen der vorbereitenden Schritte hat das federführende Bundesministerium des Innern bei der Forschungskooperation Interdisziplinäre Studien zu Politik, Recht, Administration und Technologie e.V. (ISPRAT) eine Studie in Auftrag gegeben. Diese Studie mit dem Titel “Vom Open Government zur Digitalen Agora - Die Zukunft offener Interaktion und sozialer Netzwerke im Zusammenspiel von Politik, Verwaltung, Bürgern und Wirtschaft” ist jedoch wenig zielführend für die Planung einer solchen Plattform, weil sie auf hohem Abstraktionsniveau verharrt und die Situation der Informationsfreiheitsgesetze in Deutschland nicht zutreffend wiedergibt (http://www.isprat.net/) . So ist den Autoren entgangen, dass sich das Bremer IFG von dem des Bundes und denen anderer Bundesländer genau in dem kritisierten Punkt der fehlenden Veröffentlichungspflichten unterscheidet. Weder das Gesetz selbst noch die 2009 vorgelegte Evaluation durch das ifib werden dort erwähnt.
Benutzungsfreundlichkeit bedeutet Integration und einheitliche Erschließung
Für die angestrebte Open Data Plattform von Bund und Ländern kann man sehr viel aus diesen Erfahrungen in Bremen lernen. Diese soll, wie oben zitiert, einen einheitlichen und zentralen Zugang zu den Daten von Bund und Ländern ermöglichen, der leicht und benutzerfreundlich sein soll. Genau dies schreibt §11 des 2006 verabschiedeten BremIFG vor (http://www.informationsfreiheit-bremen.de/pdf/ifg.pdf) und wurde seitdem, so gut es geht, in dem zentralen Informationsfreiheitsregister umgesetzt, das auch unter http://www.bremen.de zugänglich ist. In der 2009 durchgeführten Evaluation hat sich gerade dieser Ansatz als Stärke des Bremer Konzepts erwiesen. Der hohe Anspruch einer Schlagwort-gestützten Suche über alle Dokumente aller Behörden ist allerdings auch eine langwierige, man kann sagen nie endende Aufgabe, für die die Evaluation auch noch weiteren Verbesserungsbedarf konkretisiert hat.
Dabei ist in einem Stadtstaat der Aufbau eines zentralen Registers noch um ein Vielfaches leichter als in einem Flächenland, wo nicht nur die Informationen aller Landesbehörden, sondern auch die aller Ämter der Kommunen und der Zwischenebenen in einem zentralen Register nach gemeinsamen Standards integriert werden müssen, wenn es den Erwartungen der Nutzerinnen und Nutzer entsprechen soll, die die Zuständigkeitsaufteilung zwischen Landesbehörden, Regierungsbezirken, Landschaftsverbänden, Landkreisen, Städten und Gemeinden nicht kennen.
Bremer Empfehlung zu Open Government Data
Was man aus den Erfahrungen mit dem Bremer IFG für die geplante Open Data Plattform lernen kann, wird aktuell in der Bremer Empfehlung zu Open Government Data der Senatorin für Finanzen und des ifib zusammengefasst, die anlässlich der Konferenz E-Government In medias res am 17. Januar 2011 vorgestellt wird und hier heruntergeladen werden kann.
Die Empfehlung nimmt auch Anregungen aus der Open Data Diskussion auf, die im Kontext der Informationsfreiheitsgesetze bisher nicht näher betrachtet wurden. So unterstützt die Senatorin für Finanzen das Prinzip des Zugriffs auf Dateien und der maschinellen Weiterverarbeitung und kündigt eine Suche nach praktikablen technischen und rechtlichen Lösungen in Bremen an.
Ergänzung: Fortgesetzt in Teil 2.
Gesendet von Herbert Kubicek
Zuordnungen:
Kommentare •
Nachrichten •
Studien •
Veranstaltungen •
Veröffentlichungen •
Vorträge •
Öffentliche Verwaltung •
E-Democracy •
E-Government •
Informationsfreiheit •
(0) Kommentare • Permalink
Norbert Hayduk: 25.08.2010
Neuer Personalausweis bringt Nachteile für Blinde und macht das Internet nicht sicherer
Bremer Informatikprofessor Herbert Kubicek korrigiert ARD-Magazin Plusminus
Das ARD-Magazin Plusminus sorgte gestern (24.8.2010) durch eine Vorabveröffentlichung für Schlagzeilen, indem es den Nachweis von gravierenden Mängeln im Sicherheitssystem des ab November ausgegebenen neuen Personalausweises ankündigte. Für Betrüger sei es problemlos möglich, geheime Daten inklusive der PIN abzufangen. Dies habe ein mit dem Chaos Computer Club durchgeführter Test mit den vorgesehenen Basislesegeräten gezeigt.
In der Sendung buten un binnen vom 24.08.2010 stellte der Bremer Informatikprofessor Herbert Kubicek schon vor der Sendung klar, dass es sich bei dieser angeblichen Sicherheitslücke nicht um ein Problem des neuen Ausweises handelt, sondern um ein generelles Sicherheitsproblem von Online-Transaktionen und dass der Ausweis dieses Problem sehr wohl reduziere. Der von Plusminus gezeigte Test fand mit so genannten Basislesegeräten statt, die keine eigene Tastatur haben. Die PIN, die den Zugriff auf die Daten des Personalausweises freigibt, muss über die Tastatur des Computers eingegeben werden, an den das Lesegerät angeschlossen wird. Im Test wurde gezeigt, dass man mit einem Spionageprogramm die Eingaben der Tastatur und die Darstellungen auf dem Bildschirm abfangen und einsehen kann. Nicht erwähnt wurde, dass dies mit anderen Lesegeräten nicht der Fall ist, dass diese Spionageangriffe auch für die derzeitigen Verfahren des Identifizierens und Einloggens mit Benutzername und Passwort gelten und dass der neue Personalausweis demgegenüber das Missbrauchsrisiko deutlich reduziert.
Kubicek zeigt in buten un binnen neben dem kritisierten Kartenleser der Klasse B (Basic) einen Leser der Klasse S (Standard) mit eigener Tastatur (Foto in der Anlage). Damit wird die PIN direkt an den Server des Dienstleisters übertragen, bei dem man sich identifizieren will. Und selbst wenn die PIN abgefangen wird, so Kubicek, kann der Angreifer damit nichts anfangen, wenn er nicht gleichzeitig auch den Ausweis in seinen Besitz bringt. Denn in den neuen Online-Verfahren wird zunächst eine Verbindung zwischen dem Chip des Ausweises und dem Server hergestellt und dann erst nach der PIN gefragt. Der in der Plusminus-Sendung gemachte Hinweis, der Angreifer könne neben der PIN auch die Adresse des Inhabers in Erfahrung bringen und dann den Ausweis stehlen, erscheint etwas weit hergeholt. Das Risiko, dass auf dem häuslichen Rechner ein Spionageprogramm platziert wird, hält er zudem auch für gering, wenn regelmäßig ein Virenschutzprogramm aktualisiert wird. Wie bisher sollte man auch mit dem neuen Ausweis in fremden Umgebungen keine Online-Transaktionen mit PINs durchführen.
Weniger Sicherheit für Blinde
In der von Plusminus ausgelösten Diskussion wird das Problem inzwischen überwiegend auf die Angreifbarkeit der einfachen Kartenleser reduziert. In ergänzenden Stellungnahmen wirft der Chaos Computer Club dem BMI vor, aus Kostengründen Sicherheitsrisiken in Kauf zu nehmen. Auch der Bundesdatenschutzbeauftragte empfiehlt, die sichereren Kartenleser mit Tastatur einzusetzen. Kubicek weist jedoch auf ein daraus resultierendes Folgeproblem hin: der elektronische Identitätsnachweis muss barrierefrei sein, das heißt, er muss auch von Menschen mit Behinderungen nutzbar sein. Beim Einsatz der einfachen und riskanten Kartenleser erfolgt die Benutzung über die Tastatur und Blinde können ihre Vorleseprogramme, die so genannten Screen Reader, einsetzen. Bei den sichereren Kartenlesern mit eigener Tastatur geht dies nicht. Kubicek, der die Bremer Firma bremen online services dabei berät, den so genannten Bürgerclient, die Software für den elektronische Identitätsnachweis, barrierefrei zu machen, weist auf die Konsequenz hin: Mehr als 1 Mio. Blinde müssten die geschilderten Sicherheitsrisiken in Kauf nehmen, weil es für sie keine Alternative gibt. Er hat das BMI schon vor einem Jahr darauf hingewiesen, dass es bisher nur Kartenleser für Blinde für kontaktbehaftete Chipkarten gibt, aber nicht für kontaktlose RFID-Chips, und entsprechende Anforderungen oder Fördermaßnahmen angeregt.
Sicherer Ausweis macht Internet und Online-Transaktionen nicht generell sicherer
Kubicek wies in buten un binnen auf andere Probleme des neuen Personalausweises hin, die er aus einer gerade abgeschlossenen Studie von sieben ähnlichen Systemen in anderen europäischen Ländern ableitet. Dort habe sich gezeigt, dass die Anbieter von Online-Diensten die bisherigen Formen der Online-Registrierung und des Log-In mit Benutzername/Passwort oder PIN-TAN weiterhin anbieten und die Mehrheit der Nutzerinnen und Nutzer daher keinen Grund sieht, sich einen Kartenleser zuzulegen und die erforderliche Software zu installieren.
Im Zielkonflikt Sicherheit versus Bequemlichkeit entscheide sich die Mehrheit hier wie auch in vielen anderen Bereichen für die Bequemlichkeit. Auch die im deutschen System vorbildlichen Datenschutzregelungen werden daran nichts ändern. In dem im November erscheinenden Buch mit dem Titel Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich (LIT-Verlag) zeigen Kubicek und sein Co-Autor Torsten Noack an konkreten Zahlen, dass die Verfahren der Online-Authentisierung in Schweden und Estland die höchsten Nutzungsraten bei elektronischen Steuererklärungen haben, jedoch gleichzeitig technisch niedrigere Sicherheitsstufen aufweisen und keine besonderen Datenschutzvorkehrungen beinhalten. Die erfolgreichen elektronischen Identitätsnachweise wurden in Kooperation mit den Banken eingeführt. In Deutschland sieht es derzeit nicht so aus, als würden die Banken den neuen Personalausweis für das Einloggen akzeptieren. Sie setzen auf die mobile TAN. Darin sieht Kubicek eine Quelle für Verunsicherung. Da der elektronische Identitätsnachweis auf dem neuen Personalausweis nur auf Antrag frei geschaltet wird, erwartet er, dass die meisten Personen abwarten und zumindest zunächst darauf verzichten. Erst wenn es attraktive Anwendungen gibt, die man nur mit dem neuen Ausweis nutzen kann, könnte sich das ändern.
Foto: ifib/Norbert Hayduk
Gesendet von Norbert Hayduk
Zuordnungen:
Kommentare •
Nachrichten •
Öffentliche Verwaltung •
E-Government •
(0) Kommentare • Permalink
Bremens befreite Behördendaten
Als ich vor einigen Tagen über Bemühungen des Open Data Network e.V. zur Befreiung deutscher Behördendaten berichtete, habe ich es versäumt, einige Worte zum Stand der Dinge in Bremen anzufügen. Das möchte ich kurz nachholen.
Die Freie Hansestadt Bremen ist dank des zentralen Informationsregisters für Bremen und Bremerhaven (http://www.informationsregister.bremen.de) anderen Verwaltungen in Sachen Informationsfreiheit einen großen Schritt voraus. In diesem Register werden amtliche Dokumente bereitgestellt, die nach dem Bremer Informationsfreiheitsgesetz (BremIFG) freigegeben sind. Mir wurde durch die Landesbeauftragte für Datenschutz und Informationsfreiheit und bremen.online bestätigt, dass sich der urheberrechtliche Schutz an den IFG-Dokumenten auf ein Änderungsverbot und die Pflicht zur Namensnennung der Behörde beschränkt (wohl Behandlung als “amtliche Werke, die im amtlichen Interesse zur allgemeinen Kenntnisnahme veröffentlicht worden sind” gemäß § 5 UrhG).
Gesetze, Verordnungen und Verwaltungsvorschriften, auf die im Informationsregister verwiesen wird, stehen leider nur unter restriktiveren Bedingungen im Gesetzesportal bereit, da die konsolidierten Fassungen durch den Verlag C.H. Beck erstellt werden.
Unter den Dokumenten im Register sind mehr als 1.000 PDFs aus Senat, Deputation und Ausschüssen. Die Veröffentlichung von elektronischen Dokumenten im Informationsregister ist in Bremen heute nichts Ungewöhnliches mehr (der Senator für Umwelt, Bau, Verkehr und Europa, die Senatorin für Finanzen und die SAFGJS - sind bisher die größten Inhaltslieferanten).
Dreißig im Register aufgeführte Geschäftsverteilungs-, Organisations- und Aktenpläne liegen nur in Papierform vor und lassen sich in der entsprechenden Behörde vor Ort einsehen.
Das Informationsregister ist eine großartige Quellensammlung für Journalisten, Wissenschaftler und Personen, die sich für detaillierte Verwaltungsinformationen zu einem bestimmten Thema interessieren.
Das Informationsfreiheitsgesetz könnte in einem nächsten Schritt als Katalysator für die offene Bereitstellung von Verwaltungsdaten wirken.
Bisher werden im IFG-Register überwiegend zum Lesen aufbereitete PDFs veröffentlicht, deren Inhalte teilweise nicht ohne Texterkennungs-Einsatz für Rechner auslesbar sind (es wurden zahlreiche Scans in Faxqualität eingestellt).
In Dokumenten enthaltene Daten sind derzeit nicht mit Zusatzinformationen zum maschinellen Auslesen und Verlinkungen versehen. Daher ist eine strukturierte Zusammenstellung enthaltener Daten - etwa zur Darstellung in einem neuen Kontext - und eine Weiterverwendung in Datenbanken wie CKAN (Comprehensive Knowledge Archive Network) unmöglich.
Die offene Bereitstellung von Daten mit Geobezug ist für verknüpfende Anwendungen besonders spannend und sollte vorangetrieben werden. (Als positives Beispiel kann ein Dokument mit Gauss-Krüger-Koordinaten für Fluglärmschutzzonen im Informationsregister genannt werden.)
Zudem sollte geprüft werden, wie die Datenbanken des Statistischen Landesamts Bremen sich mit den IFG-Informationen zusammenbringen lassen.
Vielleicht kann ja der eine oder andere dieser Gedanken noch im Rahmen der aktuellen Evaluierung des BremIFG eine Rolle spielen. A propos: Aktuelle Informationen zur IFG-Evaluierung gibt es am 5.7. in Schwerin, Anmeldungen beim Veranstalter sind noch bis zum 24.6.2010 möglich.
Foto: C. Hanken unter CC by-3.0-de - “Transparenz”
Update: Dieser Artikel ist am 13.08.2010 - mit Anpassungen - auch im Open Data Blog erschienen. http://opendata-network.org/2010/08/freier-informationszugang-in-bremen/
Gesendet von C. Hanken
Zuordnungen:
Kommentare •
Öffentliche Verwaltung •
E-Government •
(0) Kommentare • Permalink
Suche
Letzte Einträge
- Beteiligung am Dialog der Kanzlerin über die Zukunft der Bürgerbeteiligung
- DeLFI 2011 & LOG IN: Organisationslücken bei der Implementierung von E-Learning in Schulen
- ifib consult an Dataport-Rahmenvertrag für E-Government im Norden beteiligt
- e2democracy-Projekt auf internationaler Konferenz „Nachhaltiger Konsum“
- IT-Innovationen bewegen Schulträger
Kategorien
Archiv
Weiterverbreitung der Inhalte
Die im Weblog veröffentlichten Inhalte stehen, soweit nicht anders gekennzeichnet, unter der Creative Commons Lizenz Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Deutschland.Der zu nennende Name ist ifib GmbH.
Zum Webauftritt des ifib
© 2008 XHTML . CSS .
Powered by ExpressionEngine
ifib: Institut für Informationsmanagement Bremen GmbH
Am Fallturm 1, 28359 Bremen
Tel: 0421 218-56590, Fax: 0421 218-56599, info@ifib.de