Workshop Sicherer Umgang mit sensiblen Daten - technische Prävention und Reaktionen auf Datenschutzverletzungen

Die Diskussion um Maßnahmen zur Verbesserung und Durchsetzung eines angemessenen Datenschutzes rückt durch das stetige Bekanntwerden neuer Datenschutzvorfälle weiter und weiter in die Öffentlichkeit. Dabei kommt insbesondere medizinischen Daten eine Sonderrolle zu, da ihre Vertraulichkeit wesentlich für das Vertrauensverhältnis zwischen Arzt und Patient ist. Darunter fallen unter anderem Art und Umfang der Erkrankung, die Tatsache, dass bzw. ob ein Behandlungsverhältnis bestanden hat, durchgeführte Maßnahmen und Ergebnisse der Untersuchung wie natürlich auch alle personenbezogenen Daten -- teilweise sogar über den Tod des Patienten hinaus. Medizinische Daten sind hoch sensibel und müssen oftmals über einen langen Zeitraum sicher gespeichert werden. Dies ist insbesondere dann problematisch, wenn aus Kostengründen ein Outsourcing von Aufgaben an dritte Unternehmen erfolgt. Die fehlende Betrachtung von Sicherheitsfragen zeigt beispielhaft der Fall der Deutschen Angestellten-Krankenkasse, die "für die unzulässige Weitergabe von Patientendaten 200.000 chronisch kranker Versicherter an eine Privatfirma, ohne die Versicherten über die Weitergabe zu informieren oder ihre Zustimmung einzuholen" den BigBrotherAward 2008 erhielt.

Dieser und andere öffentlich bekannte Fälle sowohl des vorsätzlichen als auch des fahrlässigen Missbrauchs von sensiblen Daten zeigen die akute Notwendigkeit neuer Technologien zur Sicherung des Umgangs mit sensiblen Daten. Diese Technologien sollen sowohl technische Werkzeuge als auch nichttechnische Anwendungsmethoden und Muster umfassen, da in vielen Fällen der Anwender selbst das größte Sicherheitsrisiko darstellt -- wie Erfahrungen vieler IT-Sicherheitsbeauftragter eindrucksvoll belegen können. Daher ist für die Entwicklung neuer Technologien ein offener Dialog zwischen Informatikern und Anwendern unabdingbar, um adäquate Sicherheitsaspekte der jeweiligen Anwendungen frühzeitig berücksichtigen zu können.

Der Workshop wird gemeinsam von den GI-Fachgruppen KRYPTO, PET und SIDAR organisiert. Sein Hauptziel ist es, einen Dialog, insbesondere mit Bezug zu den Lebenswissenschaften, zu initiieren, um die interdisziplinäre Zusammenarbeit in der Entwicklung innovativer Sicherheitslösungen zu fördern. Dabei sollen Fragestellungen wie

• Sicherheit, Transparenz und Zweckbindung der Datenverarbeitung und -speicherung
• Risikoabschätzung und Langzeitimplikationen der Verarbeitung persönlicher Daten
• die Kontrolle der betroffenen Person über die Speicherung, den Zugriff und die Weitergabe ihrer Daten (informationelle Selbstbestimmung)
• die Aufsicht und Kontrolle des Datenschutzes
• Planung, Implementierung und Auditierung technischer Datenschutzmaßnahmen sowie Abschätzung ihrer wirtschaftlichen Auswirkungen
• Prävention, Erkennung und forensische Analyse von Datenschutzvorfällen
• die Erkennung von Schadsoftware und Rechnerkompromittierungen, die illegalen Zugang zu sensiblen Daten ermöglichen

betrachtet werden. Gemäß der Schwerpunkte der ausrichtenden Fachgruppen freuen wir uns in diesem Zusammenhang besonders über Beiträge, die Aspekte

• der angewandten Kryptologie
• datenschutzfördernder Techniken
• der Erkennung und Beherrschung von Vorfällen der Informationssicherheit

aufgreifen.

Praktiker und Wissenschaftler aus den Bereichen Datenschutzfördernde Techniken, Kryptographie und Erkennung und Beherrschung von Sicherheitsvorfällen sind herzlich dazu eingeladen, Beiträge zu den aufgeführten und weiteren relevanten Themen einzureichen.

26.04.2009	Einreichungstermin verlängert bis
5.05.2009	Einreichung von Workshop-Beiträgen
25.05.2009	Mitteilung über Annahme/Ablehnung von Workshop-Beiträgen
01.07.2009	Abgabe der fertigen Druckvorlagen für den Tagungsband
28.09.2009	Workshop auf der Informatik 2009

Einreichungen können zentral über Conftool der Informatik 2009 vorgenommen werden. Die Beiträge können wahlweise in Deutsch oder Englisch verfasst werden. Der gewünschte Umfang soll dabei 8 bis 15 Seiten (gegebenenfalls zuzüglich Anhängen) betragen. Da der Review-Prozess "double-blind" abläuft, wird um eine Anonymisierung der Beiträge gebeten.
Die angenommen Workshopbeiträge werden in einem gemeinsamen Tagungsband der GI-Reihe 'Lecture Notes in Informatics (LNI)' erscheinen und müssen im LNI-Format erstellt werden. Hinweise zum entsprechenden Beitragsformat, Autorenrichtlinien, Vorlagen für Latex und Word, sowie Hinweise zur Benutzung der zentralen Konferenzverwaltung befinden sich ebenfalls auf der zentralen Einreichungsseite der Informatik 2009.
Für die gedruckte Ausgabe des Tagungsbandes soll für angenommene Beiträge zum 1.07.2009 ein einseitiges Extended-Abstract eingereicht werden, volle Beträge werden mit jedem Tagungsband in elektronischem Form mitgeliefert und sind somit referenzierbar.
Von mindestens einem der Autoren wird erwartet, sich zur Tagung anzumelden und den Beitrag in Form eines Vortrags vorzustellen.

Für die Teilnahme am Workshop ist eine Anmeldung zur INFORMATIK 2009 erforderlich (ggf. nur für einen Tag). Weitere Informationen zur INFORMATIK 2009 befinden sich auf der Homepage der Tagung.

Session 1 (9:00 bis 10:30) -- Sensible Daten: Missbrauch und Gegenmassnahmen

Session Chair: Ulrich Greveler

• Harald Baier and Tobias Straub: Vom elektronischen Reisepass zum Personalausweis: RFID und personenbezogene Daten -- Lessons Learned!?
• Zidu Wang, Christopher Wolf and Jörg Schwenk: Sicherheitsanalyse von Kreditkarten am Beispiel von EMV
• Stefan Weiss: Datenschutzgerechte Betrugs- und Korruptionsbekaempfung (*)

Session 2 (11:00 bis 12:30) -- Nachhaltiger Datenschutz

Session Chair: Sebastian Pape

• Klaus Pommerening, Ulrich Sax, Thomas Müller, Ronald Speer, Thomas Ganslandt, Johannes Drepper and Sebastian Semler: Das TMF-Datenschutzkonzept für medizinische Datensammlungen und Biobanken
• Ulrich Greveler and Christoph Wegener: Verschlüsselung personenbezogener Daten zur Umsetzung von Löschvorschriften
• Oliver Raabe: Datenschutz im Internet der Energie (*)

Session 3 (14:00 bis 15:30) --

Datenschutz in der vernetzten Welt: neue Herausforderungen und Bedrohungen

Session Chair: Pavel Laskov

• Dominik Birk: Datenschutz in Sozialen Netzwerken: Freund oder Feind? (*)
• Markus Engelberth: Eine Analyse von 33 Gigabyte gestohlener Keylogger-Daten (*)
• Marit Hansen: Putting Privacy Pictograms into Practice -- a European Perspective (*)

Session 4 (16:00 bis 17:30)

Moderation: Karen Schuler

• Diskussionspanel: "Datenschutz als Luxusgut: Wer soll das bezahlen?"

In der Podiumsdiskussion soll die Diskrepanz zwischen theoretisch-wissenschaftlichem Anspruch und praktisch-ökonomischen Umsetzungsmöglichkeiten thematisiert werden. Wie schafft man es, in Software-Entwicklungsprojekten und beim Design Verständnis für die Notwendigkeit und Implikationen von Datenschutz-Anforderungen zu wecken? Und wie, die damit verbundenen Investitionen zu veranlassen? Wie kann man überhaupt die Investitionen in Datenschutz-Features "gegenrechnen"? Und wie könnte man durch geschickte Nutzung von Marktanforderungen und Wettbewerb die Sache des Datenschutzes befördern?

(*) eingeladener Vortrag

• Ulrich Greveler (Fachhochschule Münster)
• Pavel Laskov (Universität Tübingen, Fraunhofer FIRST)
• Sebastian Pape (Universität Kassel)

• Ulrich Flegel (SAP Research)
• Sandra Frings (Fraunhofer IAO)
• Lothar Fritsch (Norwegian Computing Center)
• Ulrich Greveler (Fachhochschule Münster)
• Marit Hansen (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein)
• Stefan Katzenbeisser (TU Darmstadt)
• Pavel Laskov (Universität Tübingen, Fraunhofer FIRST)
• Michael Meier (Universität Dortmund)
• Holger Morgenstern (IT-Service / Sachverständigenbüro Morgenstern)
• Sebastian Pape (Universität Kassel)
• Jan Pelzl (escrypt GmbH - Embedded Security)
• Kai Rannenberg (Goethe Universität Frankfurt)
• Sebastian Schmerl (BTU-Cottbus)
• Christian Tobias (Thomas Cook AG)
• Stefan Weiss (KPMG)
• Christopher Wolf (Ruhr-Universität Bochum)

Pavel Laskov
Wilhelm-Schickard-Institut für Informatik (WSI)
Sand 1
72076 Tübingen