"banner top"

Schutz und Sicherheit in der digitalen Gesellschaft

Download

Das «Research Institute for Security in the Information Society» RISIS und die Gruppe «Identity and Access Management» des Partnerinstituts «ICT based Management» betreiben kompetente Forschung, bieten massgeschneiderte Dienstleistung an und schulen in den Themenbereichen der IT-Sicherheit. Wir erforschen neue Lösungsansätze zur Sicherheit unserer Daten und zum Schutz der Privatsphäre mittels Kryptografie und mit pragmatischem «Security and Privacy Engineering».

Ungefähr zwei Milliarden Menschen benutzen täglich das Internet. Eine Vielzahl von kommerziellen und öffentlichen Diensten sind online. Die meisten von uns können sich ein Leben vor dem Internetzeitalter nicht mehr vorstellen. Verbunden mit den vielen praktischen Aktivitäten ist das Sammeln von «geschäftsrelevanten» Daten mit dem offiziellen Ziel, die Dienstleistungen zu optimieren. Spätestens seit den Enthüllungen von Snowden ist der Welt klar geworden, dass die Sammelwut keine Grenzen kennt. Staatliche Organisationen wie die NSA, aber auch Private wie Facebook, Google, Migros und COOP sammeln persönliche Daten, weil daraus ein meist kommerzieller Nutzen erzielt werden kann. Zu Recht spricht man von den Daten als Rohstoff des 21. Jahrhunderts.

Security and Privacy
Gesundheitsdaten von uns sind besonders schützenswert. Mit der Auslagerung vom papiergestützten Patientendossier in die IT-Systeme, in die Cloud und somit ins Internet bekommt deren Schutz eine neue Dimension. Allerdings riskieren die Patienten, sämtliche Kontrolle und Rechte ihrer Daten zu verlieren. Emmanuel Benoist erläutert in seinem Bericht, wie mit Hilfe kryptografischer Verfahren die Patienten die Macht über ihre Daten wieder zurückerhalten. Im Artikel von Bernhard Anrig et. al. betreiben wir einen Exkurs ins Gebiet des «Data Mining» , wo wir zeigen, wie trotz anonymisierten Daten der Netze der Sozialen Sicherheit mit Hilfe von Verknüpfungen Schlüsse über den Langzeitverlauf von bestimmten Risiken gezogen werden können.

E-Voting
Vertrauen ist gut, Kontrolle ist besser! Die dem russischen Politiker Lenin zugeschriebene Redewendung trifft ganz besonders beim E-Voting zu. Die grosse Schwierigkeit bei E-Voting-Systemen liegt darin, dass verschiedene widersprüchliche Anforderungen vereint implementiert werden müssen.
Eine der Schwierigkeiten ist die Verifizierbarkeit, das heisst, das Überprüfen der korrekten Abgabe des elektronischen Stimmzettels und der korrekten Ermittlung des Ergebnisses durch die Stimmberechtigten, ohne dass dabei das Stimmgeheimnis verletzt wird. Der Artikel von Rolf Haenni beleuchtet dieses Problem. Die Lösung dieses Dilemmas kann mit Hilfe des kryptografischen Mischens angegangen werden, was im Artikel von Philipp Locher anschaulich erklärt wird.
Die E-Voting-Gruppe von RISIS beschäftigt sich schon länger mit verifizierbaren E-Voting-Systemen und hat mit UniVote ein solches System realisiert. Im Interview mit dem E-Voting-Team wird etwas vertiefter auf dieses Thema eingegangen. Die Forschung auf diesem Gebiet hatte massgeblichen Einfluss auf die vom Bundesrat letztes Jahr verabschiedete, neu ausgerichtete Marschrichtung des «Vote électronique» in der Schweiz, wie Geo Taglioni von der Bundeskanzlei in seinem Bericht schreibt.

 

«Staatliche Organisationen, aber auch Private sammeln persönliche Daten, weil daraus ein meist kommerzieller Nutzen erzielt werden kann. Zu Recht spricht man von den Daten als Rohstoff des 21. Jahrhunderts.»»
Prof. Dr. Eric Dubuis

Big Brother
Das «Internet der Dinge» ermöglicht neue Anwendungsfelder. Um die Lastspitzen im öffentlichen wie Privatverkehr durch entsprechende Preispolitik auszugleichen, könnten die Transportsysteme mit geeigneten Vorkehrungen so ausgestattet werden, dass die Bewegungsprofile der Teilnehmenden erfasst und die Kosten am Ende einer Abrechnungsperiode in Rechnung gestellt würden. Gesucht sind neue Lösungsansätze, welche nach dem Prinzip «privacy by design» konzipiert sind. Wie das aussehen könnte, wird im Artikel von Eric Dubuis veranschaulicht. Um von den Diensten des Internets profitieren zu können, verlassen wir uns vermehrt auf unsere Smartphones und Tablets. Mit diesen Geräten sind wir jederzeit online und erreichen alle und alles. Dass dabei unsere Geräte permanent möglichen Angreifern ausgesetzt und somit in Gefahr sind, zeigt der Bericht von Reto Koenig. Er zeigt auch, wie ein sicheres Gerät aussehen könnte. In der Welt des Internets operieren wir mit elektronischen Identitäten. Diese lassen je nach Anwendung direkt, indirekt oder nicht auf die real existierende Person schliessen. Im Umgang mit den Behörden und, für gewisse Dienste wie das Eröffnen eines Bankkontos, mit Privaten ist eine elektronische, beglaubigte Identität unerlässlich. In der Schweiz denkt man über das Einführen einer amtlich beglaubigten, elektronischen Identität einmal mehr nach. Im Artikel von Annett Laube und Gerhard Hassenstein wird beleuchtet, welche technischen und praktischen Fragen die Einführung einer elektronischen Identität für die Bürger aufwirft. Security Engineering Unsere Gesellschaft hängt stark vom einwandfreien Funktionieren der IT-Systeme ab. Die Vertraulichkeit und Integrität unserer Daten, des Rohstoffs des 21. Jahrhunderts, ist dabei wesentlicher Bestandteil. Allerdings haben es auch Kriminelle auf diesen Rohstoff abgesehen: Im Internet erfolgen permanent Angriffe auf ITSysteme mit dem Zweck, Daten zu manipulieren oder zu entwenden. Die Systematik für eine dauerhafte Überwachung und das entsprechende Reagieren, wenn ein Angriff auf ein IT-System erfolgt ist, kann geschult werden. Im Artikel von Endre Bangerter wird in Hinblick auf einen Lehrgang im Rahmen der Weiterbildung gezeigt, wie sich Unternehmungen schützen können, um allfällige Schäden zu minimieren.