« Awareness | Blog | Gadgets »

Videokonferenzen und der Berliner Datenschutz [3. Update]

Freitag 03 Juli 2020   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte sich neben konkreter Kritik an Produkten der Fa. Microsoft (insb. Teams und Skype) auch zu der Auftragsverarbeitung in dem „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“ (Data Protection Addendum, DPA) geäußert. In der anschließenden Auseinandersetzung mit Microsoft wurde in einem Schreiben vom 27. Mai 2020 an die Fa. Microsoft von der BLnBDI unter anderem ein „Rechtswidriger Datenexport wegen unzulässig abgeänderter Standardvertragsklauseln“ statuiert. Dieses Schreiben kann bei FragDenStaat eingesehen werden.

Microsoft hat diese Kritik offensichtlich zum Anlass genommen, das DPA stillschweigend zu ändern. Jedenfalls ist die derzeit (1.7.2020) herunterladbare Version gegenüber der kritisierten Version zum Jahresbeginn verändert. Paulina Jopes hat die Änderungen in einer PDF-Datei dokumentiert.

<Update> Mittlerweile hat der Autor erfahren, dass der Hintergrund dieser Änderungen das Beheben eines Übersetzungproblems ist. Das DPA enstand in englischer Sprache und wurde dann von einem Übersetzungsbüro übersetzt. Dabei wurden die Standardsvertragsklauseln neu übersetzt und nicht etwa die amtliche Übersetzung der EU verwendet. Diese Übersetzungspanne wurde stillschweigend ausgebügelt. Die englische Version wurde Anfang Juni nicht geändert.</Update>

Es gibt gerade eine neue Version der „Bestimmungen für Onlinedienste“ mit Stand Juli 2020.

<2. Update>Microsoft hat am 6.7.2020 einen Blog-Beitrag zu "Datenschutz und Datensicherheit in Bildungseinrichtungen" veröffentlciht. Die Aussagen sind durchaus allgemein gültig. Auch der Europäische Datenschutzbeauftragte hat sich negativ zum Vertrag zwischen der EU und Microsoft geäußert.</2. Update>

<3. Update>Am 8.7.2020 hat Microsoft eine Stellungnahme zu den "Hinweisen für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten" geäußert. Darin wird betont, dass es zu den Abweichungen von den Standardvertagsklauseln in den Jahren 2013/14 ein Konsultationsverfahren mit der Art. 29-Gruppe gab. Die Art. 29-Gruppe war mit den Abweichungen einverstanden. Hierbei ging es insbesondere um das Verfahren bei der Änderung von Unterauftragnehmern.</3. Update>

Vergleicht man die aktuelle Version der Anlage 2 des DPA mit den offiziellen Standardvertragsklausel der Europäischen Kommission, findet man nur noch marginale Unterschiede, die nicht mehr zu der Kritik berechtigen, dass Microsoft „die Standardvertragsklauseln negativ abgeändert hat“.

Am 3. Juli hat die BlnBDI eine "Kurzprüfung von Videokonferenzdiensten" vorgelegt. Danach werden 17 Videokonferenzanbieter rechtlich und fünf zusätzlich technisch nach einem Ampel-System bewertet. Rechtlich gibt es zehnmal Rot, zweimal Gelb und fünfmal Grün sowie technisch fünfmal Gelb. Manche Bewertungen erschließen sich dem Leser nicht. Warum "frei verfügbare Jitsi-Angebote" mit Gelb bewertet werden, wenn es doch zu den Verstößen heisst "in der Regel ja, da kein Auftragsverarbeitungsvertrag". Ist kein Auftragsverarbeitungsvertrag besser als einer mit Mängeln? Während die rechtlichen Mängel mehr oder weniger begründet werden, gibt es zu der technischen Prüfung praktisch keine Aussagen. Hier wurden bestimmt keine technischen Maßnahmen wie z.B. Verschlüsslungsprotokolle oder Passwortspeicherung geprüft.

Da Aufsichtsbehörden - völlig zu Recht - immer auf dem Stand der Technik bei den technisch-organisatorischen Maßnahmen bestehen, müsste eine Aufsichtsbehörde sich mal zum Stand der Technik bei Videokonferenzen äußern. Der Autor hat erhebliche Bedenken, dass Ende-zu-Ende-Verschlüsslung bei Videokonferenzen Stand der Technik ist. Nur wenige Anbieter (z.B. Apple FaceTime, Google Duo, Jitsi) bieten überhaupt Ende-zu-Ende-Verschlüsslung für kleine Gruppen an. Zoom hat Ende-zu-Ende-Verschlüsselung immerhin angekündigt. Eine Transportveschlüsselung mit guter, aktueller Verschlüsselung (z.B. TLS 1.2 oder TLS 1.3) zwischen den beteiligten Geräten (Clients und Server) kann dagegen als Stand der Technik angesehen werden.

Bleibt natürlich nach wie vor die Frage, ob die Verarbeitung der Daten zu eignen Zwecken durch Microsoft durch eine Auftragsverarbeitung geregelt werden sollte. Der Kern des Art. 28 Abs. 3 Lit. a DSGVO, dass personenbezogene Daten „nur auf dokumentierte Weisung des Verantwortlichen … verarbeitet“ werden dürfen, widerspricht der Verarbeitung zu eigenen Zwecken durch den Auftragsverarbeiter. Hier wäre sicherlich das Konzept der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (siehe z.B. die Praxishilfe der GDD zu Details) tragfähiger. Der Auftraggeber verantwortet die Verarbeitung der Daten zu seinen Zwecken und Microsoft verantwortet die Verarbeitung der Daten zu den eigenen Zwecken. Dies bedarf natürlich auch einer vertraglichen Regelung, die inhaltlich einem Vertag zur Auftragsverarbeitung ähnelt. Den Teil zu den Zwecken der Verarbeitung würde es doppelt geben, da beide Vertragsparteien ihre jeweilige Verarbeitung festlegen.

Hierzu müsste Microsoft sehr deutlich und verständlich („in transparenter Form“) festlegen, was mit den personenbezogenen Daten im Verantwortungsbereich von Microsoft passiert. Ständige schleichende Veränderungen der Verarbeitung wären dann nicht möglich.

Würde man in dieser speziellen Konstellation die Auftragsverarbeitung und die gemeinsame Verantwortung verneinen, stünden zwei alleinig Verantwortliche nebeneinander. Dann käme als datenschutzrechtliches Instrument nur noch die Übermittlung der personenbezogenen Daten vom Kunden an Microsoft oder einen entsprechenden anderen Anbieter in Frage.

(Ich danke Stefan Hessel für den Hinweis auf das Dokument von Paulina Jopes.)

DoH in Windows 10: Datenschutz mit Nebenwirkungen

Freitag 15 Mai 2020   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Microsoft stellt im Insider-Build 19628 des Betriebssystems Windows 10 erstmalig eine DNS over HTTPS (DoH)-Implementierung im Betriebssystem zur Verfügung. Bisher waren Mozilla Firefox und Google Chrome/Microsoft Edge die relevantesten Implementierungen.

Damit dürfte DoH einen erheblichen Sprung nach vorne gegenüber DNS over TLS (DoT) gemacht haben. DoT wird in Deutschland im Wesentlichen durch AVM (Hersteller der Fritzboxen) gepusht. Auch Hersteller von preiswerten OpenWRT-basierten Routern (z.B. GL-inet) unterstützen DoT.

DoH/DoT der Absicherung des DNS dienen. Wenn es nur um die Sicherheit des DNS geht, gibt es bereits eine etablierte Möglichkeit. DNSSEC, das sind signierte DNS-Antworten, ist in der Praxis bewährt und funktioniert. Die Durchdringung ist leider ähnlich langsam wie die Einführung von IPv6. Mit deSEC gibt es in Deutschland auch eine Organisation die DNSSEC (ähnlich Let’s Encrypt für Serverzertifikate) pusht. Niemand muss auf DNSsec verzichten. Die großen Provider sollten es endlich einführen.

DoH/DoT sollen auch den Datenschutz bei DNS sicherstellen, damit niemand den DNS-Verkehr mitlesen oder filtern kann. Bisher nutzen die meisten DNS über ihren Provider. Das kommt der Idee des DNS, eine verteilte Ressource zu sein, sehr nahe. Da es im Moment nur drei große DoH-Anbieter (Google, Cloudflare und Quad9) gibt, wird DNS durch DoH zu einer zentralen Ressource. Google reibt sich schon begeistert die Hände, wenn sie nicht nur die Suchanfragen der Nutzer und die ausgespielte Internet-Werbung, sondern jetzt auch noch die DNS-Anfragen der Nutzer unter ihre Kontrolle bekommen. Das erlaubt es manches Nutzer-Profile abzurunden.

In Unternehmen und Organisationen führt DoH auch zu erheblichen Problemen. Mit DoH wird nicht mehr der interne DNS-Server, sondern ein externer DNS-Server genutzt. Damit entfallen wichtige und erforderliche Möglichkeiten. Ein Split-DNS (der DNS-Server beantwortet externe und interne DFNS-Anfragen unterschiedlich) ist nicht mehr möglich. Interne Strukturen (Intranet-Server, Produktionsserver etc.), die nach außen nicht offengelegt werden sollen, sind nicht mehr zugreifbar, da nur der interne DNS-Server diese kennt.

Der zentrale DNS-Server eines Unternehmens bzw. Providers hat auch eine gewisse Anonymisierungsfunktion, in dem er die DNS-Fragen der Beschäftigten bzw. Kunden bündelt und unter seiner IP-Adresse weiter reicht. Damit sehen die höheren DNS-Strukturen nicht mehr die IP-Adresse des Endnutzers, sondern die IP-Adresse des DNS-Servers des Unternehmens bzw. Providers.

Das Ausfiltern von Domain-Namen, über die Malware verteilt wird, zum Schutz der Beschäftigten funktioniert nicht mehr, da der interne DNS-Server nicht mehr benutzt wird. Selbst Privatanwender, die sich z.B. mit Pi-hole einen praktischen Werbe-Filter gebaut haben, haben verloren, da Windows DoH direkt mit einem externen DNS-Giganten redet.

Was kann man tun? DoH und DoT blockieren! Da DoT einen eigenen Port (TCP/853) nutzt ist das einfach. DoH ist schon schwieriger, da eine solche Anfrage wie normaler https-Verkehr aussieht. Auf gemanagten Unternehmensrechnern sollte DoH über GPOs abgeschaltet werden. BYOD wird zu einem Problem, da die Konfiguration dieser Rechner hat man nicht unter Kontrolle.

Einige Anregungen finden Sie in meinem Vortrag auf der 27. IT-Sicherheitskonferenz des DFN und in meinen Artikeln (hinter Bezahlschranken) im Linux Magazin, in der Datenschutz Praxis und im ADMIN - Network & Security.

DNS muss eine dezentrale Ressource bleiben und darf nicht in die Hände einiger weniger (US-amerikanischer) globaler Player gelegt werden. Zentrales DNS und Hintertüren in der Verschlüsslung sind der falsche Weg!

Private PC's im Home Office

Samstag 21 März 2020   Kategorien: Datenschutz, IT-Sicherheit, Tipps   von Rainer W. Gerling

Auf Grund der COVID-19 Krise arbeiten derzeit viele Beschäftigte im Homeoffice. Dabei haben nicht alle Arbeitgeber hinreichend viele transportable Rechner (Notebooks und MiniPCs) vorrätig. Wie kann man das private IT-Equipment nutzen?

Es gibt derzeit mehrere Empfehlungen zur Arbeit im Home Office. Zum Datenschutz hat sich Professor Dr. Thomas Petri, der bayerische Landesbeauftragte für den Datenschutz (bayLDSB) geäußert. Auch wenn er formal nur für die bayerischen Behörden zuständig ist, bietet seine Empfehlung eine brauchbare Orientierungshilfe für Unternehmen.

Vorzugsweise sollten Rechner des Arbeitgebers genutzt werden. Nur wenn diese nicht zir Verfügung sollte die Nutzung privater Geräte in Betracht gezogen werden. Auf den privaten Rechnern sollten nach Möglichkeit keine personenbezogenen und andere vertrauliche Daten gespeichert werden. Wenn es nicht ohne Speicherung geht, muss eine Löschung der Daten möglich sein (und auch durchgeführt werden). Die Dateien müssen sicher gelöscht werden. Das ist leider mit Bordmitteln der üblichen Betriebssysteme nicht möglich.

Der private Rechner muss über ein aktuelles vom Hersteller gepflegtes Betriebssystem verfügen (also kein Windows 7!) und aktuell gepatcht sein. Es muss einen aktuellen Virenscanner installiert haben (Windows, MacOS).

Und natürlich muss der Rechner, das Pad, das Smartphone über einen Passwortschutz verfügen. Dieses Passwort sollte nicht die ganze Familie oder Wohngemeinschaft kennen. Am Rechner kann man für die berufliche Nutzung eine neue Nutzerkennung einrichten (Anleitung z.B. für Windows). Diese Nutzerkennung sollte keine Administratorrechte besitzen. Soweit der Zugriff auf Unternehmens- oder Behördenressourcen über https-Verbindungen mit Anmeldung geschützt ist, können die Beschäftigten direkt arbeiten. Ist ein VPN-Zugriff erforderlich, muss zuerst noch die VPN-Software installiert werden. Hierzu erstellt man eine Anleitung für die Beschäftigten, wenn der Hersteller die Installation erlaubt. Das dürften zurzeit krisenbedingt die meisten tun.

Für den Dateiaustausch der Beschäftigten untereinander können verschlüsselte Dienste genutzt werden. In kleinen Unternehmen bzw. kleinen Teams kann man z.B. die Lösung der DRACOON GmbH nutzen. Mit maximal 10 GB Speicher und für 10 Nutzer ist die Lösung dauerhaft kostenfrei. Damit ist eine schneller Einstieg möglich. Ein deutsches Unternehmen, in Deutschland gehostet und mit guter Verschlüsslung: die Anforderungen der IT-Sicherheit und der DSGVO sind erfüllt. Ein Vertrag zur Auftragsverarbeitung ist natürlich trotzdem noch erforderlich.

Je nach Schutzbedarf der Daten im Unternehmen oder in der Behörde sollte auf eine 2-Faktor-Authentisierung (2FA) gesetzt werden. Für Administratoren ist 2FA bei der Anmeldung von außen Pflicht. Eine relativ einfach auszurollende Lösung ist der Google Authenticator. Auch der Microsoft Authenticator oder als Open Source Lösung z.B. FreeOTP sind nutzbar. Da dier Authentisierung in der Regel im Active Directory, per LDAP oder Radius erfolgt, muss die 2FA auch nur an einer Stelle eingebunden werden.

Die Nutzung privater Peripheriegeräte wie Tastatur, Maus, Monitors, Headsets und des privaten Druckers ist unproblematisch. Beim Drucker könnte es lediglich Probleme beim Installieren des Treibers geben. Weisen Sie die Beschäftigten darauf hin, dass möglichst ein LAN-Kabel zum Anschluss des dienstlich genutzten privaten Rechners an den Router genutzt wird. Muss WLSN genutzt werden muss ein sicher WLAN-Passwort genutzt werden.

Noch ein Tipp: die SpeedPort Router der Telekom nutzen das Konzept des sicheren Mail-Servers. Damit kann der Mail-Versand per SMTP (Port 25) nur zu freigegeben Mails-Servern erfolgen. Die großen Provider stehen auf der White-List, Ihr Unternehmensserver aber nicht; der muss eingetragen werden (Anleitung z.B. hier). Die Funktionalität ist im Handbuch des Routers dokumentiert. (Aber wer liest schon Handbücher.) Der Outlook-Zugriff auf Ihren Exchange-Server erfolgt über https und ist nicht betroffen.

Und zum Schluss: befristen Sie die Regeln zur Nutzung des privaten IT-Equipments. Falls erforderlich können Sie die Frist verlängern.

TrueCrypt und das BSI [Update]

Donnerstag 19 Dezember 2019   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Spiegel Online und Golem.de berichten heute (16.12.19) über ein als VS-NfD (Verschlusssache – Nur für den Dienstgebrauch; die niedrigste behördliche Geheimhaltungsstufe in Deutschland) eingestuftes Sicherheitsaudit der veralteten Software TrueCrypt. Es wird sich ein bisschen echauffiert, dass niemand von diesem Audit wusste. Dabei war die Existenz des Audits bekannt, es wurde nämlich schon im Juni 2014 in einer Pressemeldung der Fa. Sirrix AG (2015 von Rhode und Schwarz aufgekauft) erwähnt. Leider sind die Web-Seiten der Sirrix AG nicht mehr verfügbar. Der Autor ist sich aber sicher, dass dort auch die Einstufung des Audits-Reports als VS-NfD erwähnt wurde.

Die Sirrix AG hatte gemeinsam mit der escrypt GmbH im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TrueCrypt einem umfassenden Audit unterzogen. Der Hintergrund des Audits war die Entwicklung der Software TrustedDisk Enterprise. Noch heute im Kaufhaus des Bundes für Behördenbeschäftigte verfügbar. TrustedDisk basiert wohl auf dem Code von TrueCrypt und ist eine deutlich aufgebohrte Lösung mit zusätzlichen Funktionen. TrustedDisk ist seit 2013 für Dokumente der untersten Vertraulichkeitsstufe VS-NfD (und entsprechend seit 2015 für RESTREINT UE / EU RESTRICTED sowie NATO RESTRICTED) unter Windows 7/8/10 zugelassen.

In der Pressemeldung wird auch – allerdings sehr abstrakt – auf die gefundenen Schwachstellen eingegangen. „Die im Audit gesammelten Erkenntnisse sind in die neue Verschlüsselungssoftware eingeflossen und haben die bisherige TrueCrypt-Sicherheits-Architektur und -Implementierung deutlich verbessert. Hierzu gehören beispielsweise ein verbesserter Bootloader, die Zufallszahlenerzeugung oder der Schutz des Schlüsselmaterials.“ Mit der neuen Verschlüsselungssoftware ist TrustedDisk gemeint.

Anlass der Pressemeldung von 2014 war die (bis heute nicht erfüllte) Ankündigung eine OpenSource Version von TrustedDisk als TrueCrypt-Nachfolger zu entwickeln und zur Verfügung zu stellen. Die Probleme liegen in der sehr eigenwilligen Lizenz von TrueCrypt, die nicht als freie Lizenz angesehen wird.

Das mittlerweile der Audit-Report bei FragDenStaat veröffentlicht wurde, ist natürlich zu begrüßen. Insbesondere VeraCrypt als legitimer TrueCrypt-Nachfolger hat schon und wird auch weiter davon profitieren, indem vorhandene Sicherheitslücken geschlossen wurden und werden.

Mittlerweile (18.12.) hat Golem.de diesen Blogeintrag aufgegriffen und den Sachverhalt entsprechend dargestellt.

Bundesrats-Ausschüsse wollen Datenschutz abschaffen [Update]

Samstag 13 Oktober 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Der federführende Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates haben den Plenum des Bundesrates empfohlen die Regeln für die Bestellpflicht eines betrieblichen Datenschutzbeauftragten zu streichen. Damit würde eine seit vielen Jahren bestehende bewährte Regelung gekippt.

Die offensichtliche Unkenntnis über die Regelungen der DS-GVO hat ja bekannterweise ziemliche Blüten getrieben. Aber auch organisationen die es besser wissen sollten, versuchen sich an einer Schwächung des Datenschutzes. Der Branchenverband bitcom hat schon im Juli 2018 in einer Stellungnahme gefordert, die Grenze für die Bestellpflicht eines Datenschutzbeauftragten von zehn Beschäftigte auf 250 Beschäftigte anzuheben. Diese Zahl 250 stammt übrigens aus einer EU-Definition für KMUs. Nach diese Definition sind über 99% aller Unternehmen in Deutschland KMUs.

Die wirtschaftspolitischen Vereinigungen, die der CDU, CSU, SPD und FDP nahestehen fordern sogar die völlige Abschaffung deutscher Regelungen zur Bestellpflicht eines Datenschutzbeaufttagten.

Die Bundesratsdrucksache ist nicht lesefreundlich, deshalb hier eine Synopse der vier unterschiedlich prioriiserten Ausschussvorschläge zur Änderung des § 38 Abs. 1 BDSG. Dabei hat Vorschlag 1 die höchste Priorität.

Die Abschaffung der Regelungen für die Bestellpflicht des Datenschutzbeauftragten ist der falsche Weg. Die (offensichtliche falsche) Wahrnehnung bei den Unternehmen war schon immer: wer keinen Datenschutzbeauftragten bestellen muss, für den gelten die Vorschriften der Datenschutzgesetze auch nicht. In Unternehmemn, die keinen Datenschutzbeauftargten haben, kümmert sich dann auch niemand mehr um den Datenschutz. Hier darf die Politik kein falsches Signal setzen.

Am 19. Oktober 2018 steht der "Entwurf des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)" als TOP 29 auf der Tagesordnung des Bundesrates.

Update: 1:0 für den Datenschutzbeauftragten; der Bundesrat ist in seiner Sitzung am 19.10.2018 dem Vorschlag der Ausschüsse nicht gefolgt und hat § 38 BDSG unverändert gelassen (Seite 377). Jetzt folgt die Behandlung des Gesetzes im Bundestag.

DS-GVO Placebo

Freitag 10 August 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Am 31. Juli 2018 erschien im Allgemeinen Ministerialblatt der Bayerischen Staatsregierung eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018 "Datenschutz-Grundverordnung (DSGVO): Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung.

Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:

  • Kein Amateursportverein, keine Musikkapelle oder sonstige vor allem durch ehrenamtliches Engagement getragene Vereine müssen einen Datenschutzbeauftragten bestellen.
  • Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.
  • Wir werden eine Praxis von Abmahnanwälten, die glauben bei Unternehmen formelle Datenschutzverstöße rechtsmissbräuchlich abmahnen und abkassieren zu können, nicht hinnehmen.
  • Wir werden mit den Betroffenen weitere Bestimmungen im Datenschutzrecht identifzieren, bei deren Anwendung im Besonderen darauf hinzuwirken ist, dass die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt werden.
  • Hierzu werden wir weitere Gespräche mit Vereinen und Mittelständlern anbieten."

Sehr viel mehr als ein Datenschutz-Placebo ist das allerding nicht. Auch wenn Heise schreibt: "Damit gilt in Bayern die ausdrücklich die Vorgabe etwa an die für den Datenschutz zuständigen Landesbehörden, die Ziele der DSGVO 'sachgerecht und mit Augenmaß' zu verfolgen." [Link], so ist dem nicht so, denn nach Art. 52 Abs. 1 DS-GVO handeln die Aufsichtsbehörden "bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig." Eine Weisung durch den Ministerrat ist also europarechtswidrig, da nicht mit der Unabhängigkeit der Aufischtsbehörden vereinbar. Wer als Amateursportverein, Musikkapelle oder sonstiger vor allem durch ehrenamtliches Engagement getragene Verein nach § 38 Abs. 1 Satz 1 BDSG eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen muss, da er in "der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt", sollte das tun. Die meisten angesprochen Vereinen dürften aber so klein oder so wenig IT-durchdrungens ein, dass die Vorschriften zur Betsellung einer oder eines DSB soweiso nicht greifen.

Also letztendlich ein Placebo, da nichts geregelt wird.

Pressemitteilung des ULD: E-Mails an den Richtigen versenden!

Sonntag 26 Juni 2016   Kategorien: Awareness, Datenschutz   von Rainer W. Gerling

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) spricht in dieser Pressemitteilung schon ein wirklich wichtiges Thema an, mit dem fast jeder schon so seine Erfahrungen gemacht hat: Eine E-Mail wird an den falschen Adressaten geschickt, weil die automatische Adressvervollständigung des E-Mail-Programms einen Fehler gemacht und man es nicht bemerkt hat.

Der Text des ULD suggeriert, dass die Verschlüsselung einer E-Mail hier hilft: „Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen.

Das hier zugrundeliegende Kommunikationsmodell ist längst überholt: Man tippte den Mailtext in einen Editor und kopierte ihn dann in die Zwischenablage. Danach wurde die Zwischenablage mit PGP verschlüsselt und dann der verschlüsselte Text in die eigentliche Mail eingefügt. Da wurde in der Tat der Empfänger zweimal ausgewählt: einmal beim Verschlüsseln und einmal beim Adressieren der E-Mail.

Heute ist das anders, da sich das E-Mail-Programm um die Verschlüsselung der E-Mails kümmert. Die Verschlüsslung erfolgt automatisch ohne weiteres Zutun des Absenders, wenn das Häkchen für die Verschlüsslung gesetzt wird. Und da alles automatisch geschieht, erfolgt die Auswahl des Schlüssels über die E-Mail-Adresse des Empfängers. Ist die E-Mail-Adresse falsch, dann wird auch der falsche Schlüssel genommen. Konsequenz: der falsche Empfänger („Fehladressat“) kann die E-Mail sehr wohl entschlüsseln. Nur wenn der falsche Empfänger zufällig keinen Schlüssel hat, hilft die Warn- oder Fehlermeldung.

Eine Frage bleibt noch: wie verschlüsselt eigentlich das ULD seine E-Mails? Mit GnuPG, das ist schon klar, aber wie ist die Integration der Verschlüsslung in den E-Mail-Workflow? Über die Zwischenablage?

Wir wollen starke Bürger, die in Freiheit sicher leben.

Montag 28 März 2016   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Bundesinnenminister Thomas de Maizière äußert sich durchaus widersprüchlich, wenn es um den Konflikt von Grundrechten und Sicherheit (gerade auch vor dem Hintergrund Terrorismus) geht. Die Europäische Menschrechtskonvention sagt in Art. 5 Abs. 1 Satz 1 "Jede Person hat das Recht auf Freiheit und Sicherheit." Freiheit und Sicherheit sind Grundrecht die gelichberechtigt nebeneinander stehen. Zitate unseres Inneministers wie "Datenschutz ist schön, aber Sicherheit hat Vorrang" (genau hat er in den Tagesthemen vom 22.3.1026 gesagt: "Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.") legen nahe, dass Datenschutz ein Grundrecht zweiter Ordnung und die Sicherheit ein Grundrecht erster Ordnung ist. Bei einem Konflikt von Grundrecht gewinnt dann automatisch das Grundrecht erster Ordnung.

Unsere Rechtsordnung kennt nur Grundrechte und keine Rangfolge der Grudnrechte. Alle Grundrechte stehen gleichberechtigt neben einander! Natürlich kommt es immer wieder zu Konflikten zwischen Grundrechten. Diese müssen dann im Einzelfall gegeneinader abgewogen werden. Dabei kommen unterschiedliche gesellschaftliche Gruppierungen durchaus auch zu unterschiedlichen Bewertungen. Diese unterschiedlichen Bewertungen müssen ausdiskutiert werden.

Die finale Messlatte sind das Grundgesetz, die Europäische Menschrechtskonvention und Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen. Die Messlatte wird ultimativ angelegt von den dafür zuständigen Gerichten, also in Deutschland dem Bundesverfassungsgericht und auf europäischer Ebene dem Europäischen Gerichtshof. Und diese Urteile gelten final. Es steht einer Regierung nicht frei, die Urteille des jeweiligen Verfassugsgerichts zu ignorieren, da sie ihr nicht passen. Eine Regierung (so geschehen in Europa), die dies versucht hat die Grundidee von Demokratie und Gewaltentrennung nicht verstanden.

Einer der Gründerväter der Vereinigten Staaten, Benjamin Franklin, formulierte bereits 1775 eine noch heute gültige Maxime: "Wer wesentliche Freiheit aufgeben kann um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit." (Zitiert nach Dr. Benjamin Franklin's nachgelassene Schriften und Correspondenz, nebst seinem Leben. Band 3. Franklin's Leben ersten Theil enthaltend. Weimar 1818).

(Abbildung: Screenshot der Homepage des BMI; abgerufen am 28.3.2016)