Dies ist die Heimat der Java User Group Nürnberg.


Sonntag, 7. September 2008

Hex and the City: Datenschutz und Datensicherheit

Meine Kolumne Hex and the City zum Thema Datenschutz und -Sicherheit war bereits im kostenlosen Magazin KaffeeKlatsch zu lesen. Wer es noch nicht abonniert hat, kann meine Kolumne auch hier lesen (wenn auch nicht so schön im Layout^^):

Hex And the City: Datenschutz und Datensicherheit

Gibt man in der weiten Welt der Datenverarbeitung eine Information ein, besteht immer die Gefahr, dass unbekannte Dritte ein weiteres Puzzlestück zusammenfügen können. Häufig gehen wir mit Daten nicht sensibel um. Bei eigenen Daten ist das schlimm genug, doch für die sind wir selbst verantwortlich. Aber bei Daten anderer ist dies meiner Meinung nach - und diese Ansicht teilt der Gesetzgeber1 - unverzeihlich. Selbst bei simplen Anwendungsfällen dürfen wir Sicherheit nicht unterschätzen. Stellen wir uns eine völlig unkritische Anwendung vor, beispielsweise ein harmloses2 Internetforum, mit Name und Passwort als Zugangsdaten. Außerdem ist dort die eMail-Adresse ausschließlich für Administratoren sichtbar hinterlegt. Völlig simpel. Vielleicht denkt sich der Entwickler dieses Forums: "Häufig vergessen User ihre Passwörter.3 Passwörter nach Sicherheitsfragen4 neu zu generieren oder zu mailen ist mir zu aufwendig. Wir hinterlegen alle Passwörter lesbar für unsere Administratoren, und die können sie den Nutzern bei Bedarf mitteilen." Er hat ein entscheidendes Detail nicht beachtet. Oft genug haben User dasselbe Passwort für ein Forum und den eMail-Zugang. Administratoren des Forums haben somit Zugang zu den eMail-Postfächern einiger User. Wenig Phantasie reicht aus, was für Missbrauch betrieben werden kann - Newsletter der Online-Bank, anderer Internetdienste, vielleicht wieder mit dem gleichen Passwort geschützt ... und wenn nicht, naja, solange der Mailaccount bekannt ist, kann ich jetzt bei Diensten Passwörter neu generieren und zuschicken lassen. Die eMails können wir schließlich lesen. Datenschutz und Datensicherheit ist wichtig, auch und gerade bei den weniger sensiblen Diensten.

Datenschutz

Als Datenschutz bezeichnen wir den Schutz personenbezogener Daten vor Missbrauch. Zu personenbezogenen Daten gehören alle Daten, die persönliche oder sachliche Verhältnisse eine Person wiedergeben. Kernpunkte des Datenschutzes sind Datensparsamkeit und Datenvermeidung (so wenig wie möglich sammeln), Erforderlichkeit (brauchen wir die Daten wirklich) und Zweckbindung (für was brauchen wir die Daten eigentlich). Häufig wird in diesem Zusammenhang in Deutschland auf das Recht auf informationelle Selbstbestimmung hingewiesen, doch was ist das für ein Recht und woher stammt es?

1983 sollte in Deutschland eine Volkszählung durchgeführt werden, zu der die Beantwortung von Fragebögen gehörte. Dazu sollte die Zählung durch Beauftragte, die an der Haustür klingelten, erfolgen. Die Volkszählung bestand auch aus einer Erhebung von Gebäude- und Wohnungsstatistiken und einer Berufszählung. Es ging um detaillierte Angaben zum Lebenslauf, Religion, alleinige Nutzung der Wohnung, Quelle des Lebensunterhaltes, Art/Größe/Eigentümer des Wohnraumes, soziale Förderungen für den Wohnraum, evtl. Miethöhe, Dauer des Leerstehens bei nicht benutzten Wohnungen. Die beruflichen Fragen umfassten u.a. Daten zum Telefonanschluss, Anzahl der Telefone, Art der ausgeübten Tätigkeit und des Unternehmens als solches, Zahl der beschäftigten Personen nach Geschlecht und Stellung im Betrieb, Summe der Gehälter. Die Fragen gaben Anlass zur Sorge, dass die Volkszählung zu einem Überwachungsstaat führte und der Gläserne Bürger wurde ein Begriff. Nach mehreren Verfassungsbeschwerden gab es eine einstweilige Verfügung, die die Volkszählung vorübergehend aussetzen ließ. Das Bundesverfassungsgericht bestätigte im selben Jahr, dass Vorschriften der Volkszählung die Grundrechte des Einzelnen verletzten. Aus diesem Urteil stammt das Recht auf Informationelle Selbstbestimmung, welches das Bundesverfassungsgericht in Artikel 2 Absatz 1, in dem Recht auf freie Entfaltung der Persönlichkeit aus dem Grundgesetz erkannte. Damit haben wir in Deutschland folglich eine Art Grundrecht auf Datenschutz, das direkt nicht im Grundgesetz erwähnt wird. Hier ein Auszug der Entscheidungsbegründung des Bundesverfassungsgerichtes:

Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art 2 Abs. 1 in Verbindung mit Art 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Diese Entscheidung hat alle Gesetze zum Thema Datenschutz, wie das Bundesstatistikgesetz und das Bundesdatenschutzgesetz sowie der Europäischen Datenschutzrichtlinie geprägt und wirkt sich auf alle Bereiche unserer Arbeit in der Informatik aus, sobald wir Verfahren entwickeln, die auf personenbezogenen Daten angewendet werden. An dieser Entscheidung ist die Rasterfahndung in Nordrhein-Westfalen 2006 gescheitert, da sie als verfassungswidrig erklärt wurde. Auch gibt es demnach keine unwichtigen Daten, jedes Datum als solches kann in einer per elektronischer Datenverarbeitung leicht mit anderen Daten verknüpft werden und damit bereits relevant sein. Daraus folgt, dass jedes Datum für sich betrachtet bereits schützenswert ist und immer hinterfragt werden muss, ob eine Erhebung tatsächlich (personenbezogen) notwendig ist.

Datensicherheit

Während Datenschutz regelt, wann und welche Daten gesammelt und verarbeitet werden, bezieht sich Datensicherheit auf die Daten, welche nach dem Datenschutz erhoben wurden. Technische Schutzmaßnahmen zur Vermeidung von Manipulierung und Datenverlust sowie Gewährleistung von Vertraulichkeit bezeichnen wir als Datensicherheit.

Techniken zur Sicherheit sind vielen in unserer Branche geläufig5: symmetrische und asymmetrische Kryptographieverfahren, Demilitarisierte Zonen mit Firewalls, VPN zu Schnittstellenpartnern für Zugriff auf zu schützende System, wechselnde Passwörter6 deren Komplexität geprüft und gefordert wird, Schlüsselanhänger mit wechselnder PIN, UUID-Verwendung bei Serialisierung von Klassen damit niemand die Implementierung auf Clientseite beliebig austauschen kann, uvm. Auch organisatorische Aspekte die zur Sicherheit beitragen sollte man nicht unterschätzen, z.B. darf ein Sachbearbeiter Teile eines Passwortes sehen? Man denke an das Szenario in der Einleitung.

Aber alle diese Techniken sind lediglich so sicher, wie wir es erlauben. Nur durch die durchdachte Kopplung der Verfahren können wir sicherstellen, dass Schutzmechanismen nicht ausgehebelt werden. Eine kleine Anekdote: in einem europäischen Nachbarland war bei Bankgeschäften im Internet das TAN-Verfahren nicht eingeführt, weil man um die Akzeptanz der Nutzer fürchtete. Lange Zeit galt es als sicher genug, das man sich mit der Kontonummer und einer PIN anmelden musste und nach drei Fehlversuchen das Konto gesperrt wurde. Es ist schließlich unwahrscheinlich, dass man bei drei Versuchen die richtige Nummer rät. Denkt man kurz darüber nach, wird man vielleicht eine andere Missbrauchsmöglichkeit finden. Warum nicht einfach die PIN einmal zufällig bestimmen, und einfach alle Kontonummern ausprobieren, bis man eine findet, welche diese PIN hat? D.h. pro Konto ein Versuch, und höchstwahrscheinlich am Ende mindestens ein Konto auf das man vollen Zugriff hat.

Rechtliches

Durch die internationalen Gegebenheiten des Internets entstehen rechtliche Kollisionen, da inhaltliche Kontrolle der Medien bisher ein Reservat nationaler und kultureller Besonderheiten war. Dennoch: das Internet ist zweifelsohne kein rechtfreier Raum. Betrachten wir die in Frage kommenden Gesetze:


Der BTX-Staatsvertrag (für Bildschirmtext) schließt bewegte Bilder aus und scheidet daher für die Multimediawelt namens Internet aus, das Fermeldeanlagengesetz wurde mit dem Telekommunikationsgesetz aufgehoben. Letzteres gilt für den „technischen Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in der Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen“ und ist im weitesten Sinne auf Online-Dienste anwendbar. Es fordert angemessene technische Sicherheit zum Schutz von personenbezogenen Daten, führt aber die Art und Weise nicht aus. Generell erlaubt es die Erhebung von Daten zur betrieblichen Nutzung, nicht aber darüber hinaus. Die Telekommunikations-Dienstunternehmen-Datenschutzverordnung von 1996 zählt nicht für Online-Dienste sondern nur für lizenzpflichtige Telekommunikationsdienste und hat somit keinen Belang für das Internet. Das Presserecht gilt lediglich für (nichtelektronische) Druckwerke, und das Rundfunkrecht widerspricht dem Gedanken des Sendens von Informationen bei Abruf im Internet, da es vorsieht, dass Daten öffentlich stets übermittelt werden, unabhängig davon ob jemand sie empfangen möchte.


Das Informations- und Kommunikationsdienste-Gesetz (IuKDG) regelt die Verantwortlichkeit von Providern für eigene und fremde Inhalte, klärt die Anwendbarkeit digitaler Signaturen, fordert Pseudonymisierung und beinhaltet wie das Bundesdatenschutzgesetz den Schutz personenbezogener Daten.


Das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze sind unsere Hauptquelle für die juristischen Grundlagen, auf denen unsere Arbeit mit Daten basiert. Im Einzelfall ist sicherlich die Beratung durch Juristen zu empfehlen, grob beschrieben gibt es allerdings einige Grundprinzipien, an die man sich laut diesen Gesetzen halten muss:

  • Im Allgemeinen ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht erlaubt

  • Ausnahme: eine Rechtsgrundlage liegt vor, d.h. ein Gesetz erlaubt die Datenverarbeitung in dem spezifischen Kontext

  • Ausnahme: der Betroffene stimmt ausdrücklich der Erhebung zu, oder der Betroffene hat die Daten selbst offenkundig öffentlich gemacht

  • Weitere Ausnahme: §13 Abs. 2 ff BDSG (für uns nicht so interessant)

  • Datenvermeidung und Datensparsamkeit wird gefordert, so dass wir nur erforderliche und so wenig wie möglich Daten erheben dürfen und dazu angeleitet sind Daten anonymisiert zu speichern. Die Sicherheit der Daten muss gewährleistet sein.

Die genannten Gesetze beziehen sich auf personenbezogene Daten natürlicher Personen. Auch wenn der Name der Person selbst nicht gespeichert wird, liegt unter Umständen keine Anonymisierung vor, wenn sie bestimmbar ist. Dazu muss nur ein Kriterium gespeichert sein, dass auf die Person schließen lässt (Telefonnummer, Personalnummer, etc.).

Bei den meisten unserer Projekten bedeutet dies, wir müssen evtl. Betroffene parallel zur Dateneingabe darum bitte die Einwilligung zum Umgang mit seinen Daten zu geben. Dabei reicht es nicht mehr, eine Checkbox auf einer Internetseite vorzusehen, die per Standard vorgewählt ist. Außerdem sieht das Gesetz vor, dass auf den Daten angewendete Verfahren vom jeweiligen Datenschutzbeauftragten geprüft werden. Sollte ein solcher nicht vorhanden sein, muss man sich beim Landesdatenschutzbeauftragen melden. Gern wird dies belächelt, aber im Ernst: jedes private (also nicht-öffentliche) Stelle, und damit jedes Unternehmen, muss ab 10 Personen, die ständig per elektronischer Datenverarbeitung mit personenbezogenen Daten arbeiten, einen Datenschutzbeauftragten haben. Ab 20 Mitarbeitern sogar wenn die Daten nur manuell bearbeitet werden.

Jeder Betroffene hat das Recht, Auskunft zu erhalten, welche personenbezogenen Daten über ihn erhoben wurden, woher die Daten stammen und zu welchem Zweck sie persistent gehalten werden. Er kann verlangen, dass Daten über ihn korrigiert werden, sie nicht an dritte weitergegeben werden, sie gelöscht oder gesperrt werden (letzteres z.B. wenn eine Löschung wegen gesetzlicher Aufbewahrungsfristen nicht erfolgen kann). Reagiert ein Unternehmen nicht (z.B. wenn man sich in Folge eintreffender Werbeanschreiben meldet, und die Auskunft über die Herkunft der Quelle und die Löschung verlangt), so kann man es durch einen Rechtsanwalt Abmahnen lassen.

Firmen mit Sitz im Ausland können Daten in Deutschland erheben und fallen nicht unter die deutschen Gesetze, sondern müssen sich an die Bestimmungen des Landes halten, in dem sie ihren Sitz haben. Falls jedoch Niederlassungen in Deutschland existieren, gilt auch für sie das BDSG.

Eine Ausnahme zu den Datenschutzgesetzen bilden übrigens die katholischen und evangelischen Kirchen. Noch aus den Zeiten der Weimarer Republik können sie nach dem kirchlichen Selbstbestimmungsrecht eigene Rechtsordnungen für sich festlegen, was sie bezüglich Datenschutz und Datensicherheit getan haben. Diese Regelungen stehen in ihrer Anordnung über den kirchlichen Datenschutz (KDO) der römisch-katholischen Kirchen und dem Datenschutzgesetz der Evangelischen Kirchen in Deutschland (DSG-EKD). Nach diesen Verordnungen werden viele personenbezogene Daten erhoben, z.b. von Patienten in einem katholischen Krankenhaus, Eltern die kirchliche Beratungsstellen aufsuchen, Pflegebedürftigen die von kirchlichen Stellen versorgt werden. Auch haben die Kirchen eigene Datenschutzbeauftragte, die nur dem kirchlichen Recht und dem für die Kirchen verbindlichen staatlichen Recht untergeordnet sind.7

Widersprüche

Leider geschieht in der heutigen Zeit auch in Deutschland eine Entwicklung, in der der Staat selbst, der uns zwar durch die Datenschutzgesetze vor Unternehmen schützt, immer mehr darauf besteht, dass er Zugriff auf unsere Daten erhalten kann. Daher sind bereits einige der sieben Grundprinzipien verletzt, die Herbert Damker und Günter Müller 1997 in ihrem Artikel gefordert haben: Vertraulichkeit, Anonymität, Pseudonymität, Unbeobachtbarkeit, Unverkettbarkeit (abgerufene Seiten nicht miteinander in Beziehung bringen), Unabstreitbarkeit (z.B. durch digitale Signaturen) und Übertragungsintegrität. Denn seit dem 1.1.2008 gilt in Deutschland das „Gesetz zur Neuregelung der Telekommunikationsüberwachung [...]“ und damit die sogenannte Vorratsdatenspericherung.

Das Gesetz wird bereits angefechtet, da die Vermutung besteht, dass es gegen das Grundgesetz verstößt. Es verpflichtet Telekommunikationsanbieter und Internetprovider alle Verkehrsdaten für mindestens sechs Monate zur eventuellen Strafverfolgung zu speichern. Verkehrsdaten sind hier Telefonverbindungen, Verbindungsaufbau mit dem Internet (Inhalt noch nicht), E-Mail-Verkehr (u.a. Sender, Empfänger inklusive IPs, Zeitstempel, nicht der Inhalt), Fax und SMS (dabei auch der Standort durch verwendete Mobilfunkzelle). Es bedeutet nicht, dass die Justiz Kriminelle im Visier hat, und die dann gezielt überwacht werden, sondern es bedeutet von jedem (auch der Leser) werden alle Verkehrsdaten immer gespeichert. Unwichtig, ob man jemals das Gesetz übertreten hat. Das heißt, das soziale Netz eines jeden wird sichtbar, und wir haben somit die erste Stufe einer Telekommunikationsüberwachung. Demnächst gelten wir dann vielleicht als potentiell verdächtig, weil wir mit jemanden (den wir vielleicht nur bzgl. einer Internet-Versteigerung anschreiben mussten) in eMail-Verkehr gestanden haben und geraten in ein Strafverfahren. Da bei eMails der Inhalt und Betreff nicht gespeichert wird, weiß ja niemand, das die eMail harmlos war. Durch Analysen der Kommunikationbeziehungen können leicht soziale Netze entdeckt werden, und wer garantiert uns, dass wir nicht in einigen Jahren zu den politischen Gegnern der dann vorhandenen Regierung zählen und die angefallenen Daten gegen uns genutzt werden. Vorratsdatenspeicherung widerspricht dem Erforderlichkeitsgrundsatz, dem Informantenschutz für Journalisten, der Schweigepflicht von Rechtsanwälten und Ärzten und dem Beichtgeheimnis. Ich bin nicht der Meinung, dass unter dem Deckmantel der Strafverfolgung und der Terrorbekämpfung jeder Bundesbürger ausspioniert und protokolliert werden sollte. Genau dies passiert aber seit dem 1. Januar 2008. Bislang war ich immer froh, in einem Land zu leben, in dem solche Zustände nicht herrschen.

Die kriminellen können solche Gesetze leichter ertragen, als der normale Bürger. Denn ein Krimineller, welcher eine Straftat plant (z.B. Betrug durch Verkäufe im Internet) kann einen öffentlichen Internetzugang nutzen, etc. Eine abschreckende Wirkung durch Vorratsspeicherung konnte bislang statistisch auch in anderen Staaten nicht nachgewiesen werden, ebenso ist die Zahl der Strafdaten, die wegen fehlender Daten nicht aufgeklärt werden konnte verschwindend gering (siehe Studie des Max-Planck-Institutes zur Vorratsdatenspeicherung 2007 und Studie des Bundeskriminalamtes von 2005). Auch keine der letzten Terroranschläge wäre durch Vorratsdatenspeicherung verhindert worden. Dagegen ist das Mißbrauchs- und Irrtumsrisiko erschreckend hoch.

Meiner Meinung nach ist Datenschutz und Datensicherheit und die damit gekoppelten Datenschutzgesetze die wichtigsten Schutzmechanismen für die Freiheit eines jeden einzelnen Menschen. Die Bedeutung des Datenschutzes und der Datensicherheit wird mit fortschreitender Entwicklung immer wichtiger, weil Daten die wir heute für unkritisch halten vielleicht bereits in naher Zukunft sehr effizient mit anderen in Zusammenhang gebracht und ausgewertet werden können. Identitätsdiebstahl, meist per Internet eingeleitet, geschieht bereits heute und endet häufig mit hohen Rechnungen für die Opfer, die kaum nachweisen können, Waren nicht bestellt zu haben. Oder im Zuge einer Recherche für die Universität oder sogar durch belangloses Surfen landet man in einem Internetforum, in dem kritische Äußerungen in Bezug auf Terrorismus und Bombenattentate ausgetauscht werden, und dank der neuen Speicherung der Daten auf Vorrat landen wir später in einer Rasterfahndung, weil unsere IP Rückschlüsse auf unseren Besuch der Seite hinterlassen hat. Sicherlich gibt es hier die Denkweise, dass man nicht zufällig auf einer solchen Seite landet. Mir ist genau dies aber erst kürzlich passiert, als ich lediglich im Internet nach den Bedeutungen von Vornamen gesucht habe. Man sollte nicht vergessen, Kriminelle finden Wege um ihre Daten zu schützen, Terroristen können ausgebildet werden eMails verschlüsselt zu versenden, selbst Fingerabdrücke am Flughafen sind leicht zu fälschen, aber der normale Bürger hat meist nicht genug technisches Wissen um sich zu schützen. Benutzt ein Terrorist daher unseren Fingerabdruck, den er sich an vielen Geldautomaten besorgen kann, können wir im Nachhinein evtl. mit einer Straftat in Zusammenhang gebracht werden. Wir müssen vorsichtig sein, was wir preisgeben. Vor allem als Verantwortliche für den Umgang mit Daten anderer. Daher sind wir in unserer täglichen Projektarbeit gefordert den Schutz und die Sicherheit zu gewährleisten und mit Daten verantwortungsvoll umzugehen.

Literatur

DuD Datenschutz und Datensicherheit, Fachzeitung, siehe http://www.dud.de

Wikipedia: http://de.wikipedia.org/wiki/Datenschutz, http://de.wikipedia.org/wiki/Datensicherheit, http://de.wikipedia.org/wiki/Vorratsdatenspeicherung

Bundesdatenschutzgesetz, Landesdatenschutzgesetzte

Anordnung über den kirchlichen Datenschutz (KDO)

Datenschutzgesetz der Evangelischen Kirchen in Deutschland (DSG-EKD)

Damker, Herbert; Müller, Günter (1997): Verbraucherschutz im Internet. In: Datenschutz und Datensicherheit 21 (1997). S. 24-29.

Reif, Holger (1995): Netz ohne Angst. Sicherheitsrisiken des Internets. In: c’t 9/95. S. 174.

Kauffels, Dr. Franz-Joachim (1998): Sichere Transaktionen – Standards und Verfahren für digitalen Handel. In: Gateway April 1998. S. 68-72.

http://www.vorratsdatenspeicherung.de

1Zumindest so weit er es durchschauen kann. Oft tut er das – meist Jahre zu spät.

2Ja, das soll es auch geben.*

* Zur Not mit dem Hinweis, dass alles Besprochene nur zu wissenschaftlichen Zwecken dient.

3Und damit hat er schonmal Recht, denn auch das soll es geben.

4So sicher wie "wie lautet der Mädchenname Ihrer Mutter" oder "In welchem Ort sind Sie geboren"... Wer denkt, die dazu gehörigen Antworten sind geheim, braucht seine Haustür gar nicht erst abzuschließen.

5Ich hoffe dies inständig^^

6Was ich übrigens hasse... und was meist bei Usern dazu führt, dass hinten eine Nummer am Passwort hochgezählt wird oder es auf einem Zettel am Bildschirm hängt. Somit ist der Sinn direkt in Frage gestellt.

7Allerdings: wer kann der Kirche nicht vertrauen, hat sie doch schon seit 1215 n. Chr. das Seelsorge- und Beichtgeheimnis im Kirchenrecht aufgenommen und damit wahrscheinlich schon vor allen anderen an Datenschutz gedacht. Ob die Intention dahinter die richtige war, naja, wer weiß.

Keine Kommentare: