Fachartikel und Whitepaper
Wissenschaftliche Veröffentlichungen und Interviews
Impulspapiere Wissenschaftliche AG Nationale Cyber-Sicherheit
Die ständige Wissenschaftliche Arbeitsgruppe unterstützt den Nationalen Cyber-Sicherheitsrat der Bundesregierung. Der Institutsleiter des Fraunhofer SIT, Prof. Dr. Michael Waidner, ist Mitglied der Wissenschaftlichen Arbeitsgruppe. Die Wissenschaftliche Arbeitsgruppe erstellt in regelmäßigen Abständen Impulspapiere, die ausgewählte Themen zur Cybersicherheit aus einer Forschungsperspektive beleuchten. Diese können kostenlos heruntergeladen werden.
Cybersicherheit im Energiesektor -- Herausforderungen bei der praktischen Umsetzung des geplanten § 5c Energiewirtschaftsgesetzes
Dominik Appelt, Matthias Enzmann, Annika Selzer
DuD 6/2025
Der Energiesektor ist ein attraktives Ziel von Cyberkriminellen und erfolgreiche Angrife können u. a. den Zugang zu wichtigen Kommunikationskanälen stark einschränken. Vor diesem Hintergrund ist es essenziell, den Energiesektor bestmöglich vor Cyberangrifen zu schützen. Die Vorschriften der NIS-2-Richtlinie sowie ihrer geplanten nationalen Umsetzung unterstützen dieses Ziel regulatorisch. Doch vor welche Herausforderungen stellt NIS-2 und ihre geplante nationale Umsetzung Deutschlands Energieversorger?
Online-Altersverifikation zur Gewährleistung des Minderjährigenschutzes
Thomas Kunz, Ulrich Waldmann
DuD 6/2025
Eine zuverlässige Altersverifikation ist für die Nutzung von Social-Media-Diensten erforderlich, wird aber oft nur unzureichend umgesetzt. Dies kann dazu führen, dass Minderjährige Dienste nutzen, die für ihr Alter ungeeignet sind. Dieser Beitrag untersucht die gängige Praxis der Altersverifikation und bewertet verschiedene Verfahren hinsichtlich ihrer Eignung. Demgegenüber gilt der Einsatz digitaler Identitäten wie Self-Sovereign Identity (SSI) als vielversprechender zukünftiger Lösungsansatz, der durch eIDAS 2 in Form von elektronischen Attributsbescheinigungen des European Digital Identity Wallet (EUDI-Wallet) unterstützt wird und eine datensparsame Alternative zur herkömmlichen Altersangabe ermöglicht.
Datensparsame Altersverifikation
York Yannikos, Martin Steinebach
BZKJ Aktuell 2/2025
Die Autoren stellen eine Methode zur sicheren und datensparsamen Altersverifikation vor. Bei dem selbst entwickelten Ansatz wird nicht das konkrete Alter überprüft. Personen können stattdessen bestätigen beziehungsweise verifizieren lassen, dass sie einer gewissen Altersgruppe angehören, ohne dabei weitere persönliche Daten an den Dienst zu übermitteln.
Metaverse – eine Datenschutzfalle?
Marina Steenbergen
DuD 5/2025
Metaverse-Anwendungen könnten in Zukunft Teil unseres Alltags sein. Zugleich weisen Literatur und Organisationen bereits darauf hin, dass mit der Nutzung immersiver virtueller Welten auch Datenschutzrisiken verbunden sind. Motiviert durch die Ergebnisse einer empirischen Datenerhebung zum allgemeinen Interesse an der Nutzung solcher Anwendungen sowie nutzungshemmenden Ursachen analysiert der vorliegende Beitrag drei Risiken der Metaverse-Nutzung anhand von Risikofaktoren nach der DSGVO.
Risiken für Ladeinfrastrukturen im Heimbereich
Daniel Zelle, Dirk Scheuermann, Jonathan Stancke
Das Gesamtsystem des gesteuerten und bidirektionalen Ladens ist eine komplexe Infrastruktur mit zahlreichen Entitäten und Kommunikationswegen. Jede einzelne dieser Komponenten ist potenziell Angriffen ausgesetzt. Im Whitepaper ist dargelegt, dass je nach geforderten Sicherheitseigenschaften und deren Position in der Architektur unterschiedliche Risiken bestehen.
Aktive Cyberabwehr
Prof. Dr. Michael Waidner, Prof. Dr. Haya Shulman
Unter aktiver Cyberabwehr verstehen wir eine Reihe von Technologien und Maßnahmen, die Strafverfolgungsbehörden dabei unterstützen können, Straftaten im Cyberraum zu verhindern, abzumindern oder zu verfolgen.
Aktive Cyberabwehr wird in der Öffentlichkeit häufig mit Hackbacks gleichgesetzt. Unter einem Hackback versteht man allerdings einen digitalen Vergeltungsangriff gegen den Cyberangreifer, also eine Maßnahme, die auf Rache angelegt ist, nicht auf die Verfolgung und Vereitelung von Straftaten. Hackbacks werden deshalb von Politik und Wissenschaft nahezu einhellig abgelehnt. Bedauerlicherweise führt die fälschliche Gleichsetzung von aktiver Cyberabwehr und Hackbacks aber dazu, dass auch aktive Cyberabwehr oft pauschal abgelehnt wird. Ein Ziel dieses Whitepapers ist deshalb, zur Versachlichung der Diskussion zur aktiven Cyberabwehr beizutragen.
Ohne Cybersicherheit kein Datenschutz, ohne Datenschutz keine Cybersicherheit?
Alina Boll
DuD 6/2023
Wiederherstellen der Cybersicherheit durch aktive Abwehr von Cyberangriffen - Der Schutz personenbezogener Daten setzt die Sicherheit der Datenverarbeitung voraus. Datensicherheit ist damit integraler Bestandteil und sogar Voraussetzung für einen effektiven Datenschutz. Aber auch Cybersicherheitsmaßnahmen müssen sich an datenschutzrechtliche Vorgaben der DSGVO halten, sofern im Rahmen dessen personenbezogene Daten verarbeitet werden. Ob und wie der Datenschutz bei der Ausführung einer Cybersicherheitsmaßnahme durch IT-Sicherheitsforschungseinrichtungen umzusetzen ist, erläutert dieser Artikel anhand der Verteidigung eines BGP-Hijacking Angriffs.
Digitalisierung in Deutschland: Ein Vergleich zu Südkorea und Singapur
Stefan Engelbrecht, Jens Gerber, Michael Gyollai, Philipp Rosch, Cord C. Schulz, Annika Selzer
DuD 6/2023
Im Februar 2023 beschäftigten sich Führungskräfte aus der Verwaltung, der Industrie und der angewandten Forschung im Rahmen einer Feldstudie mit der Digitalisierung in Deutschland. Die in Deutschland gewonnenen Erkenntnisse zum Digitalisierungsstand wurden mit den Bestrebungen Südkoreas und Singapurs in diesem Themenfeld verglichen. Im Rahmen des vorliegenden Beitrags sollen wichtige Erkenntnisse der Feldstudie zusammengetragen und somit ein Beitrag zur politischen und gesellschaftlichen Diskussion geleistet werden.
Personenbezogenheit vs. Anonymität
Sarah Stummer
DuD 6/2023
Ein Mapping des rechtlichen und technischen Begriffsverständnisses von „Personenbezogenheit“, „Pseudonymität“ und „Anonymität“: Um die Anonymisierung praktisch anwendbar zu machen und konkrete Anforderungen an Anonymität stellen zu können, sollte der Themenkomplex von einem interdisziplinären Standpunkt aus betrachtet werden. Hierbei gilt es bereits bei den grundlegenden Begriffen der Personenbezogenheit und Anonymität anzusetzen und diese interdisziplinär zu vereinheitlichen.
Metrikensysteme als Beitrag zur Umsetzung des risikobasierten Ansatzes
Tanya Gärtner, Annika Selzer
DuD 6/2023
Der risikobasierte Ansatz ist ein prägendes Merkmal der DSGVO. Eine einwandfreie und präzise Umsetzung dieses Grundsatzes lässt Effizienzgewinne für Verantwortliche erwarten, ohne gleichzeitig ein adäquates Schutzniveau für betroffene Personen zu gefährden. Der vorliegende Beitrag untersucht, ob in dieser Hinsicht Optimierungspotential in Bezug auf Datenschutzaudits besteht und inwiefern hierfür neue Technologien nützlich gemacht werden können. Dafür wird der Prozess des Datenschutzaudits analysiert und auf eine Einsatzfähigkeit von Datenschutzmetriken hin untersucht.
Hat die häufige Videotelefonie in Corona-Zeiten Einfluss auf unser Privatsphäreverständnis genommen?
Dr. Annika Selzer, Sarah Stummer
DuD 12/2022
Seit Beginn der Corona-Pandemie konnte man sich mit Geschäftspartner*innen, Freund*innen und Familienangehören häufig nur noch virtuell austauschen. Für die meisten Menschen war die Videotelefonie das Mittel der Wahl, um die Kontakte so persönlich wie möglich zu gestalten. Dieser Beitrag untersucht basierend auf zwanzig teilstrukturierten Interviews, inwiefern die Videotelefonie und das damit verbundene „Beobachtetwerden“ durch eine Kamera Einfluss auf unser Privatsphäreverständnis genommen hat.
Whitepaper "Gegenüberstellung von Ladeeinrichtungsarchitekturentwürfen für eichrechtskonforme authentifizierte Ladevorgänge unter Einbeziehung eines SMGWs"
Daniel Zelle, Maria Zhdanova, Christoph Krauß et al.
Im Forschungsprojekt LamA-connect beschäftigen sich die Projektpartner mit der Fragestellung, wie der stark wachsende Elektromobilitätssektor sinnvoll in das Energienetz integriert werden kann. Mit einem Fokus auf Möglichkeiten zur sicheren und intelligenten Steuerung von Ladeinfrastruktur bei gleichzeitiger eichrechtskonformer Abrechnung von Ladevorgängen werden in diesem Papier drei unterschiedliche Architekturen zur Integration von Smart Meter Gateways (SMGW) in Ladeinfrastruktur verglichen und bewertet.
Datenschutzkonformes Löschen bei Datenschutz- und Informationssicherheitsvorfällen
Louisa Rudolph, Dr. Annika Selzer, Dr. Ulrich Pordesch
BvD-News 2/2021
In diesem Beitrag wird erörtert, wann personenbezogene Daten, die im Rahmen einer Dokumentation von Datenschutz- und Sicherheitsvorfällen anfallen, entsprechend der Vorgaben der DSGO zu löschen sind und wie eine Löschregel zur Vorfalldokumentation für einen Löschregelkatalog gebildet werden kann.
White Paper "IT/OT Security bei Internet of Railway Things"
Herausgeber: AG CYSIS
Heute sind Sensoren bei Bahnanwendungen nicht mehr weg zu denken. Sie ermitteln kontinuierlich Daten zur Optimierung von Verkehr, Reisendenstrom-Lenkung, Energie- und Instandhaltungseffizienz. Damit wird einerseits der hohe Verfügbarkeits- und Sicherheitsaspekt unterstützt, andererseits fördern die möglichen Analysen die Steigerung der Verkehrsleistungen effektiv. Die weite Verbreitung der Sensoren und ihre Vernetzung als Internet of Railway Things (IoRT) rufen jedoch auch neue Angriffsvektoren hervor, denen effizient und unter Beachtung der Normen, Gesetze und Regeln im Eisenbahnverkehr begegnet werden muss.
Das White Paper "IT/OT Security bei Internet of Railway Things (IoRT)" erläutert Anwendungen von IoRT-Geräten und mögliche IT-Sicherheitsstrategien, die gleichzeitig die Nutzung der Daten, den Betrieb der Geräte und die Adaptionsfähigkeit an die Anforderungen der IT-Sicherheit im Blick behält. Das White Paper ist im Rahmen der Arbeitsgruppe Cybersecurity (AG CYSIS) entstanden, einer Innovationsallianz der TU Darmstadt und der DB Netz AG.
Das White Paper wurde gemeinsam mit den Kooperationspartnern Fraunhofer SIT, CISCO, ÖBB und INCYDE erarbeitet und ist entstanden im Rahmen des Projekts "Haselnuss" - IT-Sicherheit für die Bahn.
Datenschutzkonformes Löschen personenbezogener Daten in Kundenbeziehungsmanagementsystemen
Tugba Koc Macit, Annika Selzer
BvD-News, Ausgabe 1/2020
Die DSGVO schreibt eine Löschpflicht personenbezogener Daten vor, nachdem der Zweck der Aufbewahrung der Daten erloschen ist. Dieser Aufsatz beschreibt Vorgehensweisen, wie diese Löschpflicht in Kundenbeziehungsmanagementsystemen (CRM) umgesetzt werden kann.
Verwendung computergenerierter Kinderpornografie zu Ermittlungszwecken im Darknet
Sandra Wittmer, Martin Steinebach
In: David, K., Geihs, K., Lange, M. & Stumme, G. (Hrsg.), INFORMATIK 2019: 50 Jahre Gesellschaft für Informatik – Informatik für Gesellschaft. Bonn: Gesellschaft für Informatik e.V.. (S. 381-392). DOI: 10.18420/inf2019_56
Die Möglichkeiten für Cyberkriminelle, Straftaten mit Hilfe des Internets weitestgehend anonym zu begehen, wachsen mit der Entwicklung neuer Technologien stetig. Ein bekanntes Beispiel hierfür ist das Verbreiten von Kinderpornografie über geschützte Peer-to-Peer Netzwerke wie Tor und Freenet. Seit dem Bekanntwerden der Hintergründe des Amoklaufs vor dem Olympia- Einkaufszentrum in München ist das Darknet als Synonym für solche Netze in den Fokus der öffentlichen Wahrnehmung gerückt. Zuletzt wurde im Rahmen der 89. Konferenz der Justizministerinnen und Justizminister der Länder sogar die Zulassung von computergeneriertem kinderpornografischem Material zur Täterermittlung im Darknet angeregt. Der folgende Beitrag greift den Beschluss der Justizministerkonferenz auf und widmet sich der aktuellen Diskussion, indem auf rechtliche Rahmenbedingungen und technische Möglichkeiten zur Umsetzung eines solchen Vorhabens eingegangen wird.
Das Löschen nach der DSGVO - Eine Diskussion der datenschutzkonformen Umsetzung bei E-Mails
Erdem Durmus, Annika Selzer, Dr. Ulrich Pordesch
DuD, Heft 12, 2019
Die DSGVO schreibt Verantwortlichen vor, personenbezogene Daten nach Erreichung des Zwecks ihrer Verarbeitung zu löschen. Einer Löschpflicht stehen häufig zahlreiche (spezial-) gesetzliche Aufbewahrungspflichten gegenüber. In der betrieblichen Praxis ist die E-Mail eines der wichtigsten Kommunikationsmittel, das gezielte Bewerten und Löschen von tausenden E-Mails stellt jedoch eine komplexe Herausforderung dar. Der Beitrag diskutiert verschiedene Lösungsmöglichkeiten, diese Herausforderung zu meistern.
Verschlüsselung in der Cloud
Michael Herfert, Benjamin Lange, Dominik Spychalski
Digma, Ausgabe 3/2019
Bei Cloud-Diensten bietet sich Verschlüsselung als Schutzmaßnahme an. Nur: Was meint "Verschlüsselung"? Welchen Schutz bringen die verschiedenen Verschlüsselungslösungen? Was taugen neue Ansätze wie Hardware-basierte sichere Ausführungsumgebungen oder homomorphe Verschlüsselung? Und wie steht es mit der Langzeitverschlüsselung?
Kryptografie-Experte Michael Herfert zur "Volksverschlüsselung"
Michael Herfert und Jürgen Hartz
BvD-News, Ausgabe 2/2019
Fehlende sichere Verschlüsselung ist immer noch eine große Schwachstelle der elektronischen Kommunikation, nicht nur im privaten Bereich, sondern auch im geschäftlichen. Viele Unternehmen versenden vertrauliche Informationen als offene E-Mail oder Dokumente, selbst mit sensiblen geschäftlichen oder gar Gesundheitsdaten, als unverschlüsselte Anlage. Die Volksverschlüsselung will hier Abhilfe schaffen und Verschlüsselung so einfach machen, dass sie flächendeckend eingesetzt wird.
Die Zukunft von Auftragsdatenverarbeitungskontrollen - Änderungen und Chancen durch die DSGVO
Annika Selzer
Der Artikel behandelt Auftragsdatenverarbeitungskontrollen gemäß Bundesdatenschutzgesetz, Auftragsdatenverarbeitungskontrollen gemäß Datenschutzgrundverordnung und schließt mit einem Vorschlag für automatisierte Datenschutzkontrollen als zukünftiges Modell für ADV-Kontrollen.
DuD Heft 4, 2017
Datenschutz und Datenanalyse
Von Martin Steinebach, Erik Krempel, Christian Jung und Mario Hoffmann
DuD, Heft 7, 2016
Eine der großen Chancen von Big Data sind neue Erkenntnisse, die sich durch die schnelle und flexible Analyse großer Datenmengen ergeben. Um diese Analyse aber rechtskonform durchzuführen, bedarf es der Beachtung des Datenschutzes, sobald auf personenbezogene Daten zugegriffen wird. Mittlerweile existieren verschiedene Ansätze und Konzepte, wie Datenschutz und Datenanalyse vereint werden können.
Laientaugliche Schlüsselgenerierung für die Ende-zu-Ende-Verschlüsselung
Von Michael Herfert, Annika Selzer und Ulrich Waldmann
DuD, Heft 5, 2016 BibTeX)
Mehr als dreißig Jahre sind seit der Erfindung asymmetrischer Verschlüsselungsverfahren vergangen, und noch immer finden jene kryptographischen Verfahren längst nicht überall dort Anwendung, wo sie z. B. vor Massenüberwachung schützen könnten. Wichtige Ursachen dafür sind insbesondere Schwierigkeiten bei der Verbreitung von Verschlüsselungsschlüsseln sowie die fehlende Benutzerfreundlichkeit existierender Lösungen. Vor diesem Hintergrund stellt dieser Beitrag die Volksverschlüsselung vor, die eine laientaugliche und sichere Schlüsselgenerierung, Zertifizierung und automatische Integration der Schlüssel in die Anwendungen vorsieht.
Die teilautomatisierte Verifizierung der getrennten Verarbeitung in der Cloud
Von Bernd Jäger, Reiner Kraft, Annika Selzer und Ulrich Waldmann
DuD, Heft 5, 2016 BibTeX)
Automatisiert mess- und auswertbarer Datenschutz in Cloud-Umgebungen kann potenziellen Cloud-Nutzern Datenschutzbedenken nehmen. Doch für jede Messung müssen vorab geeignete Datenquellen gefunden und sinnvoll kombiniert werden, um sich einer automatisierten Verifikation von Datenschutzzielen anzunähern. Der Beitrag schlägt ein solches Vorgehen für das Datenschutzziel der getrennten Verarbeitung vor.
Die Kontrolle des Umsetzungsgrades des Zugangs- und Zugriffsschutzes
Von Bernd Jäger, Reiner Kraft, Annika Selzer und Ulrich Waldmann
DuD, Heft 4, 2016 BibTeX)
Weit verbreitete Datenschutzbedenken gegen Cloud-Dienste hemmen deren Nutzung. Der Beitrag beleuchtet, wie man mit automatisierten Datenschutzkontrollen, die dem Nutzer den Umsetzungsgrad von Datenschutzzielen anzeigen, dieser Barriere begegnen kann.
Die Gretchenfrage: Wie halten Sie’s mit der App-Sicherheit?
Von Jens Heider
DuD, Heft 1, 2014
Durch die immer stärkere Integration von Smartphones und Tablets in den Arbeitsalltag basiert die Sicherheit von Unternehmensdaten nicht mehr nur auf der Absicherung auf Netzwerk-und Endgeräteebene. Die Vertrauenswürdigkeit und Sicherheitsqualität der Flut von Apps für die Anforderungen von Unternehmen sicherzustellen, erfordern auch einen kritischen Umgang mit der Software. Mit den Ergebnissen von App-Massentests werden Beispiele dieser Herausforderung aufgezeigt und Strategien im Umgang mit den Risiken diskutiert.
Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing
Von Annika Selzer
DuD, Heft 4, 2013
Nutzt ein Unternehmen etwa für die Verwaltung von Kunden- bzw. Mitarbeiterdaten einen Cloud Computing Service, so handelt es sich in der Regel um eine Auftragsdatenverarbeitung nach § 11 BDSG. Das Unternehmen ist als Auftraggeber dazu verpflichtet den Auftragnehmer vor Beginn der Datenverarbeitung und sodann regelmäßig im Hinblick auf die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu kontrollieren und das Ergebnis zu dokumentieren. Eine Vor-Ort-Kontrolle scheint im Zeitalter des Cloud Computing nicht realistisch umsetzbar. Der Aufsatz beschäftigt sich daher mit Alternativen zur Vor-Ort-Kontrolle.
Geht Ihr Smartphone fremd?
Von Jens Heider und Rachid El Khayari
DuD, Heft 3, 2012
Smartphones haben sich längst als praktische Alleskönner durchgesetzt und sind aus dem Unternehmensalltag nicht mehr wegzudenken. Genauso unerlässlich wie das allgegenwärtige Nutzen ihrer vielfältigen Funktionen ist aber auch ihre Absicherung geworden. Der Beitrag stellt die wichtigsten Angriffsvektoren vor, die für eine Unternehmensabsicherung berücksichtigt werden sollten, um die Kontrolle über die genutzten Informationen zu behalten.