Cryptography Reference
In-Depth Information
schen und über Feinheiten unterhalten können, sondern dass eben jeder versteht,
was mit seinem Rechner passiert und wie er ihn entsprechend absichern kann.
Teilnehmer C
Ich bin in meinem Unternehmen für die Missbrauchserkennung verantwortlich
und wir haben jeden Tag mit solchen Fällen zu tun, wie wir sie heute besprochen
haben. Ich möchte gerne drei Beobachtungen dazu loswerden. Erste Beobachtung:
Meiner Ansicht nach sind unsere Systeme heute schon ziemlich sicher und die
schwächste Stelle im System stellt inzwischen der Kundenrechner dar. Inzwischen
habe ich viele hundert Fälle auf meinem Schreibtisch gehabt und ich erwarte nicht,
dass irgendein Anspruch gegenüber dem Kunden bestehen kann, sich mit der
Problematik auseinanderzusetzen. Zum einen, weil er sich gar nicht damit aus-
einandersetzen will und zu anderen, weil er es in vielen Fällen auch gar nicht kann.
Es gibt natürlich Leute, die das alles verstehen. Die wissen, was Cookies sind und
wo sie sich auf dem Rechner befinden. Auf der anderen Seite wissen 99 Prozent
der Leute das überhaupt nicht und davon muss man ausgehen.
Zweite Beobachtung: Wir haben heute von einigen technischen Maßnahmen
gehört, die sich zum Schutz unserer Produkte anwenden lassen. Ich möchte dazu
kurz aus der Praxis berichten, dass die meisten Dinge heute wie „works as
designed“ genutzt werden. Das heißt, wenn ich etwas - auch zu Ungunsten von
Kunden - missbrauchen will, kann ich dies oft tun, indem ich ganz andere Wege
zur Nutzung dieser Funktionen finde, ohne sie anzugreifen. Herr Pelzl hat solche
Vorgehensweisen heute in seinem Vortrag beispielsweise anhand der Nutzung
von Baggern oder der Freischaltung von Software beschrieben. Der Angriffsvektor
geht dann einfach so, dass ich eine gestohlene Kreditkarte freischalte. So werden
alle vorher ergriffenen Maßnahmen umgangen.
Als dritten Punkt möchte ich noch gerne erwähnen, dass sich von der Rechtslage in
Deutschland her eine ziemlich schwierige Situation ergibt. Der Skandal ist schon
angesprochen worden. Wir haben keine klare Vorgabe, was wir eigentlich machen
dürfen, um Kunden zu schützen oder zu warnen. Das ist eine schwierige Situation.
Die Rechtslage geht davon aus, dass ich einen Missbrauch erkennen kann. Es gibt
aber keine klare gesetzliche Grundlage zum Kundenschutz, um zum Beispiel
Daten auswerten zu dürfen, um damit den Kunden zu schützen. Diese Punkte
möchte ich gerne noch einmal in Diskussion einbringen.
Udo Bub
Herr Posegga, Sie möchten noch etwas zu diesem Themenkomplex sagen.
Search WWH ::
Custom Search