[datensicherheit.de, 10.12.2024] Der Verbraucherzentrale Bundesverband (vzbv) geht in seiner aktuellen Stellungnahme im Kontext des Forschungsdatenzugangs auf den Entwurf einer „delegierten Verordnung über den Datenzugang gemäß dem Digital Services Act (DSA)“ ein. Der Zugang zu Daten großer Plattformen solle Forschern helfen, systemische Risiken zu identifizieren und deren Auswirkungen auf Verbraucher zu verringern.

Aus vzbv-Sicht Anpassungen am Entwurf der Europäische Kommission erforderlich

Die Europäische Kommission habe daher einen Entwurf für eine „delegierte Verordnung zum Forschungsdatenzugang“ zur Konsultation gestellt. Diese Verordnung solle die Bedingungen für den Datenzugang festlegen und dabei die Interessen der Forschung mit den Rechten der Plattformen und ihrer Nutzer in Einklang bringen. Aus vzbv-Sicht seien jedoch Anpassungen am Entwurf erforderlich.

Die Nutzung von Online-Plattformen und Suchmaschinen präge zunehmend den Verbraucher-Alltag. Doch häufig bleibe unklar, „wie Algorithmen Inhalte priorisieren oder Daten für personalisierte Empfehlungen nutzen“. Dieses fehlende Wissen berge Risiken wie Manipulation, Desinformation und Diskriminierung. Verbraucher könnten ihre Rechte nur schwer wahrnehmen – „und systemische Gefahren wie ,Hassrede’ und Vorurteile bleiben oft verborgen“.

vzbv rät zum Forschungsdatenzugang gemäß Digital Services Act

Ein Forschungsdatenzugang gemäß dem Digital Services Act (DSA) könne helfen, diese Risiken zu minimieren. Wissenschaftliche Untersuchungen könnten aufdecken, „wie Plattformen Daten nutzen, welche Auswirkungen Algorithmen haben und ob die Datenschutz-Grundverordnung eingehalten wird“. Diese Erkenntnisse förderten Transparenz und Fairness und unterstützten die Durchsetzung des Europäischen Rechts. Der Entwurf der „delegierten Verordnung“ präzisiere die Bedingungen für den Datenzugang. Dabei gelte es, die „berechtigten Interessen“ der Forschung und der Allgemeinheit mit den Rechten der Plattformen und ihrer Nutzer auszubalancieren. Zwar biete der Entwurf eine solide Grundlage, jedoch besteht aus vzbv-Sicht Anpassungsbedarf, „um eine gerechte Berücksichtigung aller Interessen zu gewährleisten“.

zvbv-Forderungen (Auszug):

• Es muss klar definiert sein, dass ,zugelassene Forscher’ auch zivilgesellschaftliche Organisationen umfasst, die die Anforderungen des DSA erfüllen.
• Die Verordnung sollte explizit regeln, dass Plattformen keine Gebühren für den Datenzugang erheben dürfen.
• Es muss sichergestellt werden, dass die Dateninventare der Plattformen vollständig, präzise und aktuell sind.
• Die Verordnung sollte präzisere Vorgaben zum Datenschutz enthalten.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 05.12.204
FORSCHUNG ERMÖGLICHEN, PLATTFORMEN KONTROLLIEREN / Anmerkungen des Verbraucherzentrale Bundesverbands (vzbv) zum Entwurf einer delegierten Verordnung über den Datenzugang gemäß dem Digital Services Act (Ares(2024)7652659)

[datensicherheit.de, 12.12.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) meldet, dass Forscher der Universität Bayreuth in Zusammenarbeit eben mit dem LfDI Rheinland-Pfalz die Grundlage für digitale Experimentierumgebungen schaffen. In dieser sollen Unternehmen und Behörden künftig die Datenschutzkonformität ihrer Anwendungen testen können. Das Projekt wird demnach vom Bundesministerium für Bildung und Forschung (BMBF) gefördert. Nach LfDI-Angaben läuft das Projekt „Die Datenschutz-Sandbox“ seit dem 1. Oktober 2024 und wird vom BMBF über drei Jahre mit 1,01 Millionen Euro unterstützt – diese Förderung erfolge im Rahmen der „Plattform Privatheit“ des BMBF.

Diese „Regulatory Sandbox“ soll helfen, Probleme zu erkennen und Innovationskraft zu fördern

Innovative digitale Anwendungen gingen oft mit Unsicherheiten hinsichtlich des Datenschutzes einher. Einer Umfrage des Branchenverbandes Bitkom zufolge habe der Großteil der befragten Unternehmen deshalb schon einmal von der Einführung einer digitalen Anwendung abgesehen, während andere in Kauf nähmen, gegen geltendes Datenschutzrecht zu verstoßen. Eine sogenannte „Regulatory Sandbox“ könnte nun helfen, Rechtsverstöße und Datenschutzprobleme zu vermeiden, gleichzeitig aber die Erprobung neuartiger Anwendungen im „regulatorischen Sandkasten“ zu ermöglichen und so die Innovationskraft zu fördern.

„Eine ,Sandbox’ in diesem Sinne ist ein zeitlich begrenzter, digitaler Experimentierraum, in dem Unternehmen oder Behörden die Rechtskonformität ihrer Anwendungen unter realen Bedingungen testen können.“ So sollen in Kooperation mit den Aufsichtsbehörden mögliche Datenschutzprobleme in einem gesicherten Raum erkannt werden – „bevor die Anwendungen auf den Markt kommen“. Obwohl das europäische Recht für den Bereich der Künstlichen Intelligenz (KI) die Einrichtung von „KI-Reallaboren“ bereits verbindlich vorgebe, sei noch weitgehend offen, wie eine „Sandbox“ unter deutschen Regularien zu realisieren sei.

„Datenschutz-Sandbox“ soll beim LfDI eingerichtet und umfassend rechts- sowie IT-wissenschaftlich analysiert werden

Deshalb solle nun mit dem vom BMBF geförderten Projekt „Die Datenschutz-Sandbox“ die Grundlage für solche Experimentierräume geschaffen werden. „Hierfür begleiten Prof. Dr. Agnes Koschmider vom Lehrstuhl ,Wirtschaftsinformatik’ der Universität Bayreuth und Prof. Dr. Christoph Krönke vom Lehrstuhl ,Öffentliches Recht I’ der Universität Bayreuth die Einrichtung und Realisierung einer Datenschutz-Sandbox beim LfDI Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, aus rechtswissenschaftlicher und informationstechnischer Sicht.“

In einem ersten Schritt werden laut LfDI die rechtlichen Bedingungen und technischen Voraussetzungen für die Einrichtung einer solchen „Sandbox“ erfasst. Anschließend werde eine „Datenschutz-Sandbox“ beim LfDI eingerichtet und umfassend rechts- sowie IT-wissenschaftlich analysiert. Am Ende des Projekts solle ein praktischer Leitfaden entstehen, um den anderen 17 Datenschutz-Aufsichtsbehörden in Deutschland die Einrichtung einer „Datenschutz-Sandbox“ zu erleichtern.

„Datenschutz-Sandbox“ hat das Ziel Win-Win-Situation zu ermöglichen

„Unser Projekt ist ein wichtiger Schritt in Richtung sicherer und innovativer digitaler Anwendungen in Deutschland. Wir stellen damit eine Balance zwischen dem Schutz sensibler Daten und der Förderung von Innovationen her, indem wir eine Umgebung schaffen, in der Unternehmen neue Technologien und Lösungen testen können, ohne die Privatsphäre der Nutzenden zu gefährden“, erläutert hierzu Professor Krönke.

Der LfDI, Professor Kugelmann, als Projektpartner führt weiter aus: „Innovation ist datenschutzkonform möglich. Wir als Aufsichtsbehörde haben größtes Interesse daran, dass die Anforderungen des Datenschutzes von Anfang an in die Entwicklung neuer Technologien einfließen. Mit der ,Datenschutz-Sandbox’ schaffen wir eine Win-Win-Situation: Meine Behörde kann frühzeitig intensiv beraten, Unternehmen können ihre Anwendungen in einem klar abgesteckten Rahmen rechtssicher testen und entwickeln. Die Bürgerinnen und Bürger profitieren schließlich von Produkten, die ihre Rechte und Freiheiten im nötigen Maße achten statt sie zu gefährden.“

Weitere Informationen zum Thema:

Bundesministerium für Bildung und Forschung
Datenschutz-Sandbox / Datenschutzkonformität neuer digitaler Anwendungen sicher testen

[datensicherheit.de, 24.11.2023] Laut einer aktuellen Meldung der Landesbeauftragten für Datenschutz Schleswig-Holstein (ULD-SH), hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) unter ihrer Leitung auf ihrer Tagung am 22. und 23. November 2023 intensiv zu aktuellen datenschutzpolitischen Themen ausgetauscht. Dr. h.c. Marit Hansen: „Neben Diskussionen u. a. zu Künstlicher Intelligenz, den wichtigen Aktivitäten auf europäischer Ebene sowie den nächsten Schritten für eine Institutionalisierung der Datenschutzkonferenz stand die Gewährleistung eines hohen Datenschutzniveaus bei der medizinischen Forschung im Fokus der Tagung.“

Datenschutzgrundrechte wahren und schützen

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Dies soll namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen erreicht werden.

Hohes Datenschutzniveau als Basis eines wirksamen Grundrechtsschutzes

Zu den erörterten Themen hat die DSK zwei Entschließungen verabschiedet:

• Datenschutz in der Forschung durch einheitliche Maßstäbe stärken
• Rahmenbedingungen für die gesetzliche Regulierung medizinischer Register

Dr. Hansen zeigt sich zufrieden mit den Ergebnissen des DSK-Treffens: „Wir haben wichtige Anforderungen formuliert, die bei der Forschung mit Gesundheitsdaten beachtet werden müssen. Einheitliche Maßstäbe und standardisierte Verfahren helfen enorm, um ein hohes Datenschutzniveau sicherzustellen. So kann ein wirksamer Grundrechtsschutz gelingen.“

2023 brachte zahlreiche Gesetzesvorhaben mit Auswirkungen auf den Datenschutz

Als aktuelle DSK-Vorsitzende zieht Dr. Hansen ein Fazit zum Konferenzjahr 2023: „Insgesamt war es ein ereignisreiches Jahr mit spannenden Diskussionen, das von zahlreichen Gesetzesvorhaben mit Auswirkungen auf den Datenschutz geprägt war.“

Auch die Technikentwicklungen im Bereich der Künstlichen Intelligenz (KI) haben die DSK demnach vor Herausforderungen gestellt. „Daher bin ich froh, dass wir in der Datenschutzkonferenz die verschiedenen Perspektiven zusammenbringen und im Jahr 2023 viele gemeinsame Stellungnahmen beschlossen haben, die für die Arbeit der Gesetzgeber relevant sind oder den Anwendern in der täglichen Praxis helfen“, so Dr. Hansen abschließend.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 23.11.2023
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. November 2023: Datenschutz in der Forschung durch einheitliche Maßstäbe stärken

DSK DATENSCHUTZKONFERENZ, 23.11.2023
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22./23. November 2023: Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register

[datensicherheit.de, 02.11.2022] Die Cyber-Sicherheit ist ganz offensichtlich ein zentrales Thema der digitalen Gesellschaft und spielt sowohl im kommerziellen wie auch privaten Kontext zunehmend eine wesentliche Rolle. Sogenanntes Maschinelles Lernen (ML) hat sich laut einer aktuellen Meldung der Technischen Universität Berlin (TUB) in diesem Zusammenhang in den letzten Jahren als eines der wichtigsten Werkzeuge zur Analyse sicherheitsrelevanter Probleme herauskristallisiert. Demnach konnte eine Gruppe europäischer Forscher der TU Berlin, der TU Braunschweig, des University College London, des King’s College London, der Royal Holloway University of London und des Karlsruher Instituts für Technologie (KIT) / „KASTEL Security Research Labs“ unter der Leitung von „BIFOLD“-Forschern der TU Berlin jedoch zeigen, dass diese Art der Forschung oft fehleranfällig ist. Ihre diesbezügliche Publikation: „Dos and Don’ts of Machine Learning in Computer Security“ über Fallstricke bei der ML-Anwendung in der Sicherheitsforschung wurde auf dem renommierten „USENIX Security Symposium 2022“ mit einem „Distinguished Paper Award“ ausgezeichnet. Die Probleme bei der Anwendung von ML-Methoden in der Cyber-Sicherheit würden durch die Notwendigkeit, in einem feindlichen Kontext zu arbeiten, noch verschärft. Mit ihrer Veröffentlichung hoffen die Forscher nach eigenen Angaben, „das Bewusstsein für potenzielle Fehlerquellen im experimentellen Design zu schärfen und diese wenn möglich zu verhindern“.

ML-Erfolg wirkt sich auch auf Cyber-Sicherheit aus

ML habe in einer Vielzahl von Anwendungsbereichen, wie zum Beispiel der Bilderkennung und der Verarbeitung natürlicher Sprache, zu großen Durchbrüchen geführt. Dieser Erfolg wirke sich auch auf die Cyber-Sicherheit aus: Nicht nur kommerzielle Anbieter würden damit werben, dass ihre von Künstlicher Intelligenz (KI) gesteuerten Produkte effizienter und effektiver als bisherige Lösungen seien – auch viele Forscher setzten diese Technik ein, da Algorithmen den traditionellen Methoden oft weit überlegen zu sein schienen. So werde ML zum Beispiel auch eingesetzt, um neue digitale Angriffstaktiken zu erlernen und die Abwehrmaßnahmen an diese Bedrohungen anzupassen.

„In dem Paper liefern wir eine kritische Analyse des Einsatzes von ML in der Cyber-Sicherheitsforschung“, berichtet Erstautor Dr. Daniel Arp, „Postdoc“ an der TU Berlin: „Zunächst identifizieren wir häufige Fallstricke bei der Konzeption, Implementierung und Evaluierung von lernbasierten Sicherheitssystemen.“ Ein Beispiel für solche Probleme sei die Verwendung nicht repräsentativer Daten – also von Datensätzen, bei denen die Anzahl der Angriffe im Vergleich zu ihrer Häufigkeit in der Realität überrepräsentiert sei. Mit solchen Daten trainierte ML-Modelle könnten sich in der Praxis als unbrauchbar erweisen. Im schlimmsten Fall könnte sich sogar herausstellen, dass sie außerhalb einer experimentellen Umgebung gar nicht funktionieren oder zu Fehlinterpretationen führten.

Fallstricke selbst in sorgfältig durchgeführter Cyber-Spitzenforschung weit verbreitet

In einem zweiten Schritt hätten die Forscher eine Prävalenzanalyse auf der Grundlage der identifizierten Probleme durchgeführt, bei der sie 30 Beiträge hochrangiger Sicherheitskonferenzen – veröffentlicht zwischen 2010 und 2020 – untersucht hätten. „Zu unserer Besorgnis mussten wir feststellen, dass diese Fallstricke selbst in sorgfältig durchgeführter Spitzenforschung weit verbreitet sind“, so „BIFOLD Fellow“ Prof. Dr. Konrad Rieck von der TU Braunschweig.

Auch wenn diese Ergebnisse bereits ein alarmierendes Signal gewesen seien – die möglichen Folgen seien zunächst unklar gewesen. In einem dritten Schritt hätten die Forscher daher anhand von vier konkreten Fallstudien mit Beispielen aus der Literatur gezeigt, wie und wo diese identifizierten Probleme zu unrealistischen Ergebnissen und Interpretationen von ML-Systemen führen würden.

Moderne Cybersecurity-Ansätze tendieren dazu, sich bei der Erkennung von Schadsoftware auf Merkmale aus der Quelle der App zu konzentrieren

Eine der untersuchten Fallstudien habe sich mit der Erkennung mobiler Schadsoftware, sogenannter Malware, beschäftigt. Aufgrund der großen Anzahl neuer gefährlicher Software für mobile Geräte hätten herkömmliche Antiviren-Scanner oft Probleme, mit der Schadsoftware Schritt zu halten und böten nur eine schlechte Erkennungsleistung. Um dieses Problem in den Griff zu bekommen, hätten Forscher lernbasierte Methoden vorgeschlagen und entwickelt, um sich automatisch an neue Malware-Varianten anpassen zu können.

„Leider wurde die Leistung der lernbasierten Systeme in vielen Fällen überschätzt“, erläutert Dr. Arp. Da es keine öffentlich zugänglichen Lern-Datensätze von Unternehmen gebe, hätten Forscher meist eigene Datensätze genutzt und dazu verschiedene Quellen zusammengeführt. „Diese Zusammenführung der Lern-Datensätze aus verschiedenen Quellen führt jedoch zu einer Verzerrung der Stichprobe: Apps aus den offiziellen ,App Stores’ der Smartphone-Hersteller bergen tendenziell weniger Sicherheitsrisiken als Apps, die aus alternativen Quellen mit geringeren Sicherheitsstandards stammen.“ Im Ergebnis habe gezeigt werden können, dass moderne Cybersecurity-Ansätze dazu neigten, „sich bei der Erkennung von Schadsoftware auf Merkmale zu konzentrieren, die auf die Quelle der App zurückzuführen sind, anstatt reale Malware-Merkmale zu identifizieren“. Dies sei nur eines von vielen Beispielen des Papiers, welche zeigen, „wie ein kleiner Fehler bei der Zusammenstellung der Lern-Datensätze, schwerwiegende Verzerrungen im Ergebnis herbeiführt und das gesamte Experiment beeinflussen kann“.

Weitere Informationen zum Thema:

USENIX
Dos and Don’ts of Machine Learning in Computer Security

[datensicherheit.de, 08.09.2022] Die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) vergibt nach eigenen Angaben Forschungsaufträge für fünf Vorstudien zur „Stärkung der digitalen Souveränität Deutschlands“. Die Ergebnisse sollen demnach im Januar 2023 vorliegen.

Cyberagentur hat Aufträge an mehrere Forschungsgruppen vergeben

Nach der Ausschreibung von fünf Vorstudien zur Erstellung einer Übersicht hinsichtlich des Aufbaus und Managements einer „sektorübergreifenden Entwickler- und Anwender-Community“ habe die Cyberagentur nun Aufträge an mehrere Forschungsgruppen vergeben. „Es ist erfreulich, dass wir exzellente Akteure für die Vorstudien zum Ökosystem vertrauenswürdige IT gewinnen konnten“, kommentiert Dr. Sebastian Jester, bei der Cyberagentur verantwortlich für „Sichere Hardware und Lieferketten“, den Start der Vorstudien.

Dazu gehöre die Firma Hensoldt Cyber GmbH, welche mit dem Betriebssystemkern „seL4“ den Stand der Technik bei formal verifizierten Betriebssystemkernen kommerziell anbiete. Sie werde vier der fünf Vorstudien durchführen, jeweils gemeinsam mit unterschiedlichen Forschungspartnern – mit der TU Kaiserslautern zu Hardware, mit dem Deutschen Forschungszentrum für Künstliche Intelligenz zur Hardware-Software-Schnittstelle, mit Experten der RWTH Aachen zu Hardware-Lieferketten und mit der Berliner Hochschule European School of Management and Technology zum Community-Building.

Das FZI Forschungszentrum Informatik in Karlsruhe habe für die Vorstudie zur Software das inhaltlich und preislich überzeugendste Angebot abgegeben und bringe weitere Perspektiven ein. An der Ausschreibung hätten sich fünf Bieter mit neun Angeboten beteiligt, welche nach inhaltlicher Qualität und Preis bewertet worden seien. „Ich bin gespannt auf die Ergebnisse, auf deren Grundlage wir im Jahr 2023 ein großes Forschungsvorhaben zu beweisbar sicherer IT ausschreiben wollen.“

Aus den Forschungsergebnissen wird die Cyberagentur neue Forschungsaufträge definieren

Ziel der Forschungsaufträge dieser nächsten Phase werde es sein, in den einzelnen Bereichen detaillierte Erkenntnisse zu gewinnen, um die Forschungslücken zwischen sicheren Technologien und deren Anwendbarkeit zu schließen. Denn Computer wiesen aktuell viele Sicherheitslücken in Soft- und Hardware auf. Die formale Verifikation von diesen IT-Komponenten und von sicheren Lieferketten biete das Potenzial, beweisbar sichere Systembausteine einsetzen zu können. Daraus solle ein durchgängig sicheres System entstehen.

Bisher existiere jedoch kein Verfahren, welches zu einer solchen gesamtheitlich betrachteten Verifikation in der Lage sei. Hier setze nun die Cyberagentur mit ihren Forschungsaufträgen an. Ziel sei, ein „Ökosystem aus Forschung und Endanbietern“ aufzubauen, welches besonders gesicherte IT-Systeme für kritische Anwendungen bereitstellen könne. Hierzu zähle zum Beispiel die IT der öffentlichen Verwaltung, gerade bei Sicherheitsbehörden. Aber auch für die Steuerung der Energieversorgung oder von Industrieanlagen sei besonders sichere IT nötig, um Cyber-Angriffen vorzubeugen.

Die fünf Vorstudien hätten eine Laufzeit von vier Monaten und seien der erste Schritt, mit dem die Cyberagentur des Bundes ein „Ökosystem vertrauenswürdige IT“ schaffen möchte. Die Vorstudien sollten zunächst die prioritären Forschungsschwerpunkte systematisch eingrenzen und deckten alle System-Ebenen ab: Hardware, Software, Zusammenspiel von Hard- und Software, Lieferketten und wissenschaftliche Community sowie ein „Ökosystem von Endanbietern“. Für die Vorstudien, welche als Grundlage für das Hauptprojekt zum Thema dienten, sei ein Gesamtvolumen von rund 450.000 Euro vorgesehen. Ab Januar 2023 sollten die Forschungsergebnisse vorliegen. Aus diesen werde die Cyberagentur die neuen Forschungsaufträge definieren.

Weitere Informationen zum Thema:

cyber | agentur
Fünf Vorstudien zu vertrauenswürdiger IT ausgeschrieben um Forschungslücken aufzudecken

[datensicherheit.de, 08.07.2022] „Forschung erzeugt fast immer Forschungsdaten, die im Sinne guter wissenschaftlicher Praxis gesichert und bei Bedarf bereitgestellt werden müssen“ – sogenanntes Forschungsdatenmanagement (FDM) stehe hierbei für „Good Practice“ und den professionellen Umgang mit diesen Daten. Wie sich das FDM an Hochschulen für Angewandte Wissenschaften (HAWs) und Fachhochschulen (FHs) entwickelt und verbreitet, analysiert nach eigenen Angaben das Forschungszentrum Demografischer Wandel (FZDW) der Frankfurt University of Applied Sciences (Frankfurt UAS).

FZDW wird mittels standardisierter Online-Befragung erstmals umfassendes FDM-Bild an Hochschulen erstellen

Im nun gestarteten Projekt „Entwicklung und Verbreitung von Forschungsdatenmanagement an Fachhochschulen und Hochschulen für Angewandte Wissenschaften“ (EVER_FDM) werde das FZDW anhand einer standardisierten Online-Befragung erstmals ein umfassendes Bild des FDM an diesen Hochschulen erstellen.

In einer empirischen Analyse erfasst es demnach die FDM-bezogenen Erfahrungen des wissenschaftlichen Personals sowie die bisherigen Aktivitäten und Bedarfe im Bereich FDM. „In diesem Zusammenhang werden im Winter 2022 sowohl Forschende aller teilnehmenden Hochschulen befragt, als auch Diskussionsrunden mit Expertinnen und Experten durchgeführt.“ Gefördert werde „EVER_FDM“ über einen Zeitraum von einem Jahr mit 106.614 Euro durch das Bundesministerium für Bildung und Forschung (BMBF) .

FZDW sieht gerade in angewandter Forschung enormes Potenzial für gesellschaftliche Veränderung

„Es gibt zwar unheimlich viele Initiativen zur Förderung von FDM, doch vielfach wissen wir nicht genau, was die Forschenden wirklich benötigen“, erläutert Dipl.-Soz. Robert Lipp, Referent für Forschungsdatenmanagement an der Frankfurt UAS und „EVER_FDM“-Koordinator, und führt weiter aus: „Gerade in der angewandten Forschung steckt enormes Potenzial für gesellschaftliche Veränderung, das jedoch vielfach nicht voll genutzt wird. Diese Situation ließe sich ändern, wenn mehr Daten auch nach Projektende für andere Forschende zur Verfügung stünden. Dafür braucht es einen Kulturwandel und Unterstützung.“

Ziel von „EVER_FDM“ sei es daher, Maßnahmen zur Förderung von FDM passgenauer weiterentwickeln zu können. Zudem sollten von der Untersuchung wichtige Impulse für nationale Akteure ausgehen, beispielsweise im Bereich der Wissenschaftspolitik oder in Bezug auf die Rolle der FHs und HAWs in der Nationalen Forschungsdateninfrastruktur (NFDI).

FZDW startet umfangreichste Erhebung ihrer Art in Deutschland

Die Erhebung erfolge mittels eines speziell zugeschnittenen Online-Fragebogens, „der inhaltlich drei Themenbereiche umfasst“: FDM-Awareness, -Aktivitäten und -Bedarfe. Ein besonderes Merkmal dieses Projekts sei seine geplante große Reichweite: „Der digitale Fragebogen soll über alle Personen, die für das Datenmanagement an den 210 staatlichen FHs und HAWs zuständig sind, an das wissenschaftliche Personal weitergegeben werden.“

„Damit erreichen wir im besten Fall 100.000 Personen. Selbst bei einer Beteiligung von nur einem Prozent aller wissenschaftlich Beschäftigten, wäre dies immer noch die umfangreichste Erhebung ihrer Art in Deutschland“, so der Projektleitrt, Prof. Dr. Andreas Klocke, Geschäftsführender Direktor des FZDW sowie Professor für Allgemeine Soziologie der Frankfurt UAS. Ein „Pretest“ sichere die Qualität des Fragebogens. Die im Projekt erhobenen, anonymen Angaben würden gemäß den sogenannten FAIR-Prinzipien („Findable, Accessible, Interoperable, Re-usable“) nachnutzbarer Forschungsdaten in einem geeigneten Repositorium veröffentlicht.

FZDW nutzt Kontakte des Verbunds Hessischer Forschungsdateninfrastrukturen

Im Projektplan seien zudem fünf regional verteilte, qualitative Diskussionsrunden mit Experten vorgesehen. Das FZDW entwickele dafür zunächst einen Gesprächsleitfaden. Anschließend nutze es die Kontakte des Verbunds Hessische Forschungsdateninfrastrukturen (HeFDI), um geeignete Diskussionsteilnehmer zu identifizieren und einzuladen. Durch die hierdurch ermöglichte Einbeziehung der Verwaltungsebene könnten möglicherweise versteckte Problemlagen und Bedarfe aufgedeckt werden. Die Durchführung der Diskussionsrunden werde bundesweit an mehreren Standorten erfolgen.

Das FZDW untersucht laut seiner Selbstdarstellung die Folgen und Herausforderungen des demographischen Wandels: „Dabei hat sich ein Schwerpunkt auf die junge Generation und den Themenbereich Gesundheit herausgebildet.“ Gleichsam würden etwa Veränderungen der Sozialstruktur, der Lebensqualität sowie der Familienverhältnisse in den Blick genommen. Das FZDW realisiere dies insbesondere durch quantitative Umfragen, vorwiegend mit längsschnittlichen Designs, Zufallsauswahlen und großen Fallzahlen. Fachgerechtes Datenmanagement und die Veröffentlichung der anonymisierten Forschungsdaten gehörten ebenso zum Service-Portfolio.

Weitere Informationen zum Thema:

FRANKFURT UNIVERSITY OF APPLIED SCIENCES
Forschungszentrum Demografischer Wandel (FZDW)

FORSCHUNGSZENTRUM DEMOGRAFISCHER WANDEL
EVER_FDM / Entwicklung und Verbreitung von Forschungsdatenmanagement an Fachhochschulen und Hochschulen für Angewandte Wissenschaften

[datensicherheit.de, 29.07.2021] Die Gesellschaft für Informatik e.V. (GI) lädt zu einer neuen Veranstaltungsreihe, der „Forschungsdaten-Soiree“ ein – in der ersten Auflage geht es demnach um „Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ Nachgegangen werden soll folgenden Fragen: „Was bedeutet FAIRes Forschungsdatenmanagement für die Informatik? Mit welchen Herausforderungen sehen sich Wissenschaftler/innen im Forschungsalltag konfrontiert? Welche Lösungsansätze wurden in einzelnen Sub-Disziplinen erarbeitet? Wie kann der Transfer dieser ,Best Practices‘ in andere Sub-Disziplinen gelingen?“

GI möchte Austausch zum Forschungsdatenmanagement in der Informatik befördern

Mit diesem neuen Veranstaltungsformat möchte die GI nach eigenen Angaben „den Austausch zum Forschungsdatenmanagement (FDM) in der Informatik befördern“ und lädt daher alle Interessierten ein, sich aktiv daran zu beteiligen.
In kurzen Impulsvorträgen sollen einzelne Sub-Disziplinen der Informatik ihre Forschungsdaten sowie ihre spezifischen Herausforderungen und Lösungsansätze im FDM vorstellen.
Neben der Darstellung unterschiedlicher Forschungsdaten der Informatik werde jede Veranstaltung zudem einem FDM-Thema gewidmet sein, „das disziplinübergreifend relevant ist und ebenfalls in kurzen Impulsvorträgen präsentiert wird“.

Es soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden

„Vom Spezifischen kommen wir so ins Allgemeine und öffnen die Diskussion im Anschluss für alle Teilnehmenden. Dadurch soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden.“

Abbildung: Gesellschaft für Informatik e.V.

Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit
19.08.2021, 17.00–18.30 Uhr
Interaktive Diskussions-Veranstaltung über „Zoom“ – Anmeldung erforderlich

In dieser Auftaktveranstaltung werde man sich den Forschungsdaten widmen, welche beim Hochleistungsrechnen (HPC) entstehen, und über Datensicherheit im Forschungsdatenmanagement diskutieren. Kurze Inputvorträge von Prof. Dr.-Ing. André Brinkmann (Johannes Gutenberg-Universität Mainz), Prof. Dr. Martin Schulz (TU München) und Prof. Dr. Hannes Federrath (Universität Hamburg) bilden laut GI die Grundlage für die anschließende Diskussion.

Weitere Informationen zum Thema:

NFDI CS
Abendveranstaltung / Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit

NFDI CS
Anmeldung zur Veranstaltung „Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ am 19.08.2021, 17:00 – 18:30 Uhr

[datensicherheit.de, 03.11.2019] Laut einer Stellungnahme der Piratenpartei Deutschland soll bereits am 7. November 2019 das „Digitale-Versorgungs-Gesetz“ im Bundestag beschlossen werden. Es verspricht demnach, die Digitalisierung in der Medizin einen großen Schritt voranzubringen – so sollen u.a. Verwaltungsprozesse vereinfacht und die Telemedizin gestärkt werden. Als „besonders brisant“ bezeichnet indes die Piratenpartei, dass dieses Gesetz zusätzlich vorsehe, „die persönlichen Daten aller gesetzlich Versicherten an den Spitzenverband der Krankenkassen weiterzuleiten“.

Pseudo-Pseudonymisierung der Patientendaten befürchtet

Unter § 303b „Datenzusammenführung und -übermittlung“ im Antrag zur Änderung des Fünften Buches Sozialgesetzbuch werde konkret gefordert,

1. Angaben zu Alter, Geschlecht und Wohnort,
2. Angaben zum Versicherungsverhältnis,
3. die Kosten- und Leistungsdaten nach den §§ 295, 295a, 300, 301, 301a und 302,
4. Angaben zum Vitalstatus und zum Sterbedatum und
5. Angaben zu den abrechnenden Leistungserbringern

an den Spitzenverband Bund der Krankenkassen als Datensammelstelle weiterzuleiten.
Dieser wiederum übermittele die Daten (ohne das Versichertenkennzeichen) an ein Forschungsdatenzentrum. Die einzelnen Datensätze sollten mit einer Arbeitsnummer gekennzeichnet werden, was als Pseudonymisierung angesehen werden könnte. „Allerdings soll eine Liste beigefügt werden, welche diese Arbeitsnummern wiederum den eindeutigen Versichertenkennzeichen zuordnet“, warnt die Piratenpartei.

Ausverkauf der Patientendaten in diesem Ausmaß nicht widerspruchslos hinzunehmen

Das Forschungsdatenzentrum selbst (geregelt in § 303d) werde zudem ermächtigt, Anträge auf Datennutzung zu prüfen, die Daten zugänglich zu machen und „das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren“.
Anja Hirschel, Stadträtin in Ulm und Bundesthemenbeauftragte für Digitalisierung der Piratenpartei, kommentiert: „Es ist zu befürchten, dass die höchst persönlichen und sensiblen Gesundheitsdaten, welche nun zentral gesammelt werden sollen, komplett schutzlos sind: vor gezielten Angriffen, vor Datenpannen, vor kommerziellen Interessen. Es ist leicht, eine Datensammelwut mit Digitalisierung zu begründen, es ändert aber nichts an der Tatsache, dass wir den Ausverkauf unserer Daten in diesem Ausmaß nicht widerspruchslos hinnehmen dürfen.“

Widerspruchsrecht bei Weiterleitung der Patientendaten offenbar nicht vorgesehen

Auf technische Details wie Verschlüsselung usw. werde nicht eingegangen. Deren Klärung obliege dem Spitzenverband selbst. „Das Nähere zur technischen Ausgestaltung der Datenübermittlung nach Satz 1 vereinbart der Spitzenverband Bund der Krankenkassen mit den nach § 303a Absatz 1 Satz 2 bestimmten Stellen spätestens bis zum 31. Dezember 2021.“ Ein Widerspruchsrecht werde ebenso nicht erwähnt – dies wäre aber dringend erforderlich.
Beim Vergleich dieses Gesetzesentwurfs mit dem Krebsfrüherkennungs- und -registergesetz (KFRG), beschlossen 2013, fällt laut Piratenpartei auf: „Das Krebsregister hält die Daten in von Internet getrennten Netzen und nutzt sie ausschließlich dazu, die medizinische Versorgung voran zu bringen um u.a. Therapien zu verbessern. Es dient der Optimierung der individuellen Betreuung der Patienten. In manchen Landesgesetzen ist zudem ein Widerspruchsrecht und/oder ein Widerspruch gegen die Kontaktaufnahme möglich.“

Weitere Informationen zum Thema:

bundesgesundheitsministerium.de
Gesetzentwurf der Bundesregierung / Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG)

datensicherheit.de, 26.09.2019
Leistungsschutzrecht: Piratenpartei fordert Experiment zu stoppen

datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen

[datensicherheit.de, 09.08.2016] Symantec ist nach eigenen Angaben bei seiner Forschungsarbeit auf eine bislang unbekannte Gruppe Cyber-Krimineller namens „Strider“ gestoßen, die Angriffe auf sehr ausgewählte Ziele in Russland, China, Schweden und Belgien vornimmt.

Fokussierte Auswahl der Ziele

Die „Strider“-Gruppe gehe bei der Auswahl ihrer Ziele sehr fokussiert vor. Bis jetzt habe Symantec Infizierungen auf 36 Computern in sieben unterschiedlichen Organisationen nachgewiesen. Dazu gehörten mehrere Organisationen und Privatpersonen in Russland, eine Airline in China, eine schwedische Organisation sowie eine Botschaft in Belgien.

Parallelen zu Spionagesoftwares „Regin“ und „Flamer“

Bei den Zielen handele es sich in erster Linie um Unternehmen und Privatpersonen, die auch für Geheimdienste interessant sein könnten.
Die Analysen von Symantec zeigten auch, dass es gewisse Parallelen bei den Angriffen von „Strider“ zu den enthüllten Spionagesoftwares „Regin“ und „Flamer“ gebe

Einsatz von Spionage-Malware

Die „Strider“-Gruppe verwende eine hochentwickelte Malware, die unter dem Namen „Remsec“ bekannt sei, vermutlich in erster Linie für Spionagezwecke entwickelt. „Remsec“ öffne „Hintertüren“ auf infizierten Rechnern, könne Tastaturaufschläge aufzeichnen und Dateien stehlen. Die Angriffe seien mindestens schon seit 2011 durchgeführt worden.

Weitere Informationen zum Thema:

Symantec Official Blog, 07.08.2016
Strider: Cyberespionage group turns eye of Sauron on targets

[datensicherheit.de, 12.12.2014] Vor allem Kritische Infrastrukturen (KRITIS) sind bei der Vernetzung besonders zu schützen. Angriffe auf diesen sensiblen Bereich müssen umgehend erkannt werden, um noch rechtzeitig reagieren zu können. Dafür werden jetzt im Forschungsprojekt „Intelligente Intrusion Detection-Systeme für Industrienetze“ (INDI) neue Sicherheitstechnologien entwickelt. Projektpartner sind die Brandenburgische Technische Universität Cottbus-Senftenberg, die Georg-August-Universität Göttingen, die Vattenfall Europe Generation AG und die genua mbh. Vom Bundesministerium für Bildung und Forschung wird das Projekt nach genua-Angabenh bis Oktober 2017 mit 1,69 Millionen Euro gefördert.

Einsatz intelligenter Intrusion-Detection-Technologien

Nahezu alle Prozesse zur Energieübertragung – vom Kraftwerk bis zur Steckdose – werden heute mit Hilfe vernetzter Informationstechnik gesteuert. Diese modernen Industrienetze müssen besonders gegen Cyber-Angriffe geschützt werden.
Möglich werden soll dies durch intelligente Intrusion-Detection-Technologien, die im Forschungsprojekt INDI entwickelt werden. Basierend auf dem Konzept der Anomalieerkennung werden Abweichungen im Informationsfluss gesucht, registriert und gemeldet. Dabei sollen der Netzverkehr in Industrieanlagen automatisch mit Techniken des maschinellen Lernens analysiert und Modelle für den normalen Betrieb der Anlagen berechnet werden. Diese Modelle ermöglichen es, anomale Kommunikation in den Industrienetzen zu identifizieren und dadurch bekannte und unbekannte Angriffe aufzuspüren.

Schutz der Strom-, Wasser- und Gasversorgung

Um eine Beeinträchtigung der empfindlichen Anlagen auszuschließen, werde die Erkennungstechnik laut genua in robuste Mikrokern-Systeme eingebettet, die gegen gezielte Angriffe gesichert seien.
Ziel des Projektes seien neuartige Sicherheitssysteme, die sich automatisiert an die unterschiedlichen Gegebenheiten von industriellen Steuerungssystemen anpassen. Damit ermöglichten sie zugleich eine spezifische Analyse sowie eine breite Nutzung in der Strom-, Wasser- und Gasversorgung.

Weitere Informationen zum Thema:

INDI
Intelligent Intrusion Detection Systems for Industrial Networks / Research Project

VDI/VDE Innovation + Technik GmbH
Kritische Infrastrukturen