Datenschutz

Vor nicht allzu langer Zeit gab es einen Aufschrei in der Bevölkerung – der Überwachungsskandal, den Edward Snowden damals aufdeckte, rief in der Bevölkerung breite Empörung hervor. Die Angst, ein gläserner Mensch zu werden, der auf Schritt und Tritt überwachbar sein soll, lässt regelrecht Gänsehaut entstehen. Der Kampf zum Schutz der persönlichen Daten hatte eingesetzt und in den vergangenen Jahren auch die Politik bestimmt: Das Recht auf mehr Privatsphäre war das Schlagwort für so manche politische Kampagne.

Doch wieder einmal ändert die Politik ihre Kursrichtung. Die letzten Ereignisse in Paris und Brüssel wie auch in Hannover haben die EU-Politik hin zu einer geplanten Totalüberwachung aller Flugreisenden vorangetrieben. Die Daten aller Passagiere sollen minutiös überwacht und registriert werden, so dass alle verdächtigen Reisewege sofort erkannt und potentielle Terroristen unmittelbar aus dem Verkehr gezogen werden können. Natürlich reicht die Überwachung des Flugverkehrs hier noch nicht aus. Das Schengen-Abkommen wird mehr und mehr in Frage gestellt, denn innerhalb der zugehörigen Staaten fanden höchstens stichprobenartige Grenzkontrollen statt, Reisende konnten sich mehr oder weniger unbehelligt über Grenzen hinweg bewegen – zumindest war dies der Status Quo vor der Flüchtlingskrise.

Die aktuelle politische Situation macht vielleicht eine vermehrte Kontrolle notwendig, allein schon aus bürokratischer Sicht, aber es bleibt dennoch fraglich, wie man die Überwachung und anschließende Speicherung dieser ganzen Massen an Daten rechtfertigen will. Es lag nicht an der fehlenden Registrierung von Reisedaten, dass die Anschläge in Paris nicht verhindert werden konnten, den Behörden lagen sämtliche Namen wie Akten der Terroristen vor. Vielleicht sollte man nicht anstreben, noch größere Massen an Daten zu speichern, sondern versuchen, die Informationen, die man besitzt, besser auszuwerten und zu verstehen. Bei dem angestrebten Gesetzesvorschlag zum Austausch der Daten von Fluggästen werden unter anderem Essenswünsche der Passagiere gespeichert.

Inwiefern meine persönlichen Daten über meine Vorliebe für Süßes oder Herzhaftes bei der Terrorbekämpfung helfen sollen, ist mir schleierhaft. Was wohl weniger verdächtig wirkt: Käsebrötchen oder Schokocroissant?

menuseperator

Kürzlich bin ich über einen Bericht der Computerwoche gestolpert, der sich mit dem „EICAR Minimum Standard für Anti-Malware-Produkte“ beschäftigt: Demnach dürfen sich entsprechende Lösungen der Firmen F-Secure, G Data, Trend Micro und Kaspersky bald mit dem EICAR-Prüfsiegel schmücken. Die Produkte dieser Anbieter erfüllen somit folgende Sicherheits-Standards:

  • Einhaltung von Datenschutzbestimmungen
     
  • Nachvollziehbare Datenkommunikation
     
  • Garantieren, dass die Software nicht manipuliert ist.

Zugegebenermaßen war ich überrascht, über die Notwendigkeit einer „Plakette“ zu lesen, die die Achtung – so sollte man meinen – fundamentaler Rechte und Pflichten Anwendern gegenüber bestätigt. Jedoch fällt auf, dass keine amerikanischen Unternehmen beteiligt sind und voraussichtlich auch nicht sein werden. Genau, da war doch was: Stichwort NSA-Affäre; zudem ist bekannt, dass die amerikanische Gesetzgebung unter bestimmten Bedingungen den eigenen Geheimdiensten die Möglichkeit des Zugangs zu Unternehmensdaten einräumt. Aber auch in Deutschland hat sich der BND in Sachen Wirtschaftsspionage ja bekanntlich nicht mit Ruhm bekleckert ...

Vor diesem Hintergrund macht ein Siegel als vertrauensbildende Maßnahme in einem verunsicherten Markt durchaus Sinn und kann für bestimmte Anbieter von Enterprise-Security-Software ein richtiger Schritt sein. Die Botschaft ist simpel: „Wir sind sauber!“

Das Siegel erhalten zunächst Unternehmen, die sich per Unterschrift dazu verpflichten, diese Kriterien einzuhalten. In einem späteren Schritt sollen dann unabhängige Prüflabore kontrollieren. EICAR, die European Expert Group for IT-Security, ist eine unabhängige und unparteiische Organisation von IT-Security-Experten aus den Bereichen Wissenschaft, Forschung und Entwicklung sowie der Industrie.

menuseperator

Es gibt kaum einen Bereich in dem das Internet of Things (IoT) nicht Einzug gehalten hätte. Somit ist es auch nicht verwunderlich, dass Entwickler weltweit davon ausgehen, dass ihre IoT-Apps im produktiven Einsatz echte Umsätze generieren. Laut einer Umfrage, die von Progress in Auftrag gegeben wurde, sehen die Befragten weltweit derzeit folgende Gebiete als die wichtigsten bei der Entwicklung von IoT-Apps an: Smart Homes (19%), Wearables (13%), die Automotive-Branche (11%) und den Bereich Sport/Fitness (11%). Für die deutschen Entwickler stehen die Apps für den Einzelhandel an erster Stelle. Die höchsten Umsätze werden ihrer Meinung nach in den Bereichen Wearables und Logistik erzielt.

So viele Vereinfachungen das IoT mit sich bringt, stellt auch hier das Thema Schutz der Daten und der Privatsphäre eine große Herausforderung dar. Welchen Stellenwert dieses Thema in Deutschland einnimmt, zeigt der internationale Vergleich. Für 34 Prozent der deutschen Entwickler ist das die größte Herausforderung, während die anderen Länder hier bei 20 Prozent liegen.

Weitere Informationen zur Studie gibt es hier: https://d117h1jjiq768j.cloudfront.net/docs/default-source/default-document-library/progress/documents/rollbase/iot_survey_infographic_2015.pdf?sfvrsn=2

menuseperator

An jedem PC-Arbeitsplatz in deutschen Mittelstandsunternehmen entstehen täglich durchschnittlich zwei bis vier Gigabyte an Daten. 600 Megabyte werden dort wiederum pro Tag im Durchschnitt „nach außen“ verschickt. Zwei Drittel dieser versendeten Daten bedürften eigentlich einer sicheren, sprich verschlüsselten, Übertragung, da sie sensible Informationen enthalten – bei der tatsächlichen Nutzung sicherer Übertragungswege gibt es aber noch Luft nach oben, wie eine Studie von techconsult im Auftrag von QSC ergeben hat.

Für die Studie wurden 300 CIOs und IT-Leiter mittelständischer Unternehmen aus verschiedensten Branchen befragt. Wichtigste Erkenntnis: Die IT-Leiter sind durchaus sensibilisiert für das Thema, rund zwei Drittel der befragten Firmen setzen bereits diverse E-Mail-Verschlüsselungslösungen ein, weitere 30 Prozent planen eine Implementierung bis 2016. Der Haken: Nicht einmal die Hälfte der Mitarbeiter (44%) in den Unternehmen, die bereits Verschlüsselungslösungen implementiert haben, nutzt diese auch tatsächlich.

Quelle: QSC/ techconsult, Mai 2015

Dafür gibt es mehrere Gründe. Techconsult nennt hier Hindernisse wie Lizenzbestimmungen bezüglich der Anzahl der Nutzer, aber auch Probleme mit der Usability – viele Verschlüsselungslösungen erforderten bisher einen hohen Arbeitsaufwand und gingen zulasten der Produktivität. Darüber hinaus müssen bei allen Beteiligten entsprechende Zertifikate vorhanden sein, und unterschiedliche Tools sind auch nicht immer kompatibel. Oftmals stelle sich allerdings auch die Frage, ob die Geschäftsführung die Belegschaft überhaupt schon mal zum Thema Compliance gebrieft habe, so das Kasseler Analysten- und Beratungshaus.

Umso wichtiger sei es daher, eine unternehmensinterne Strategie zum Umgang mit kritischen Daten zu erarbeiten und diese nahtlos in den Unternehmensalltag zu integrieren. Die Klassifikation der Daten, sowie eine Festlegung, wie diese Daten je nach Klassifikation zu behandeln sind, bilden den Grundstock hierzu. User-freundliche Tools, die sich einfach in die bestehenden Routinen integrieren lassen und damit die Mitarbeiter bei der Einhaltung dieser Regelungen zum Schutz der „Kronjuwelen“ des Unternehmens, seiner Daten, unterstützen, sind wiederum das A und O, um diese Aufgabe flächendeckend auszuführen. Am besten sollten Unternehmen, laut diesem Teil der Studie, darüber nachdenken, eine Lösung einzusetzen, die nicht nur eine Verschlüsselung von Mails, sondern auch weiterführende Funktionen zur Kollaboration anbietet.

Die Studie in voller Länge kann hier heruntergeladen werden.

menuseperator

Egal, ob es um den Schutz unserer persönlichen Daten geht, um Staatsgeheimnisse oder um die Kontrolle über das interne IT-System: Die IT-Sicherheit gewinnt immer mehr an Bedeutung, denn Gefahren lauern aus allen Richtungen. In den letzten Jahren haben sich sowohl der Schweregrad als auch die Häufigkeit von Datenmissbrauchs-Fällen vervielfacht. Schlupfloch für die Angriffe sind dabei meist fehlende Sicherheitsmaßnahmen: mangelhaft konfigurierte Einstellungen oder Rechte, unzureichendes Zugriffsmanagement oder lückenhafte Nutzungsrichtlinien. Trojaner, Hash-Attacks, Phishing-Mails, all dies sind keine Fremdwörter mehr und Cyberattacken jeglicher Couleur wurden in den vergangenen Jahren publik. Längst geht es nicht mehr nur um unsere Daten, die massenweise gespeichert und ausgespäht werden – gläsern ist der Mensch inzwischen sowieso – mittlerweile zielen diese Angriffe auf konkreter fassbare Bereiche unseres Lebens ab: unser Hab und Gut wie auch unser Leben geraten ins Visier. Heute benötigen Terroristen und Kriminelle keine Waffen mehr, um Unternehmen oder gar ganze Staaten zu bedrohen.

Das zeigen Coups in den vergangenen Monaten ganz deutlich: Da wären beispielweise die „Guardians of Peace“, die 2014 wegen unzureichender Sicherheitsvorkehrungen ganz einfach in das Firmennetz von Sony Pictures Entertainment eindringen konnten, massenweise Daten der Filmstars abgriffen und den Konzern tatsächlich zwangen, einen Nordkorea-kritischen Film nicht auszustrahlen. Eine Blamage sondergleichen für Sony. Ein weiteres Beispiel dafür, wie lax die Industrie mit Sicherheitsmaßnahmen umgeht, ist der BMW-Connected-Drive-Hack, wo Hacker ganz einfach via einer Sicherheitslücke 2,2 Millionen Fahrzeuge entsperren konnten – das Angebot DriveNow von BMW sollte wohl nicht nur dem Besitzer freistehen, sondern auch jeglichem Passanten das Vergnügen einer kleinen Spritztour bereiten.

Fortgesetzt wird die Reihe durch einen aktuellen Hackangriff, welcher aber die Öffentlichkeit nicht nur in Sprachlosigkeit, sondern regelrecht in Angst versetzt: Der Passagier, der sein Flugzeug hackte – einem Sicherheitsexperten war es möglich, das Steuerungssystem eines Flugzeugs ganz simpel aus der Passagierkabine heraus zu hacken und somit die Kontrolle über das Leben vieler Menschen zu übernehmen. Wenn es nicht gelingt neue, nicht hackbare Sicherheitsvorkehrungen einzurichten, müssen wir in Zukunft vielleicht gar mit erweiterten Handgepäckregeln rechnen: das Verbot gilt nicht mehr nur für Flüssigkeiten und Waffen, sondern betrifft in Zukunft auch BYOD.

Da sich hier einmal mehr zeigt, dass für die Industrie das Kriterium Sicherheit immer noch nicht oberste Priorität hat, wird der Ruf nach einem Gesetz immer dringlicher, das zu einer Erhöhung der IT-Sicherheit in Deutschland beitragen soll. Dazu diskutiert der Bundestag momentan eine Gesetzesvorlage, die aber von Experten scharf kritisiert wird: unter anderem sieht das Gesetz keine proaktiven Sicherheitsmaßnahmen als Pflicht vor, sondern im Falle schon eingetretener Sicherheitsvorfälle eine Meldepflicht. "Eine weitere Bürokratisierung der IT-Sicherheit geht zulasten dringend notwendiger proaktiver Maßnahmen zur effektiven Erhöhung der IT-Sicherheit", so der Experte Linus Neumann vom Chaos Computer Club. Da in vielen Fällen Daten-Ausspähungen nicht einmal von den vorhandenen Security-Systemen entdeckt werden, wirklich eine fragwürdige Besserung! Das Übel der Angriffe wird nicht bei der Wurzel gepackt und im Keim erstickt, sondern nur mit zahlreichen anderen Vorfällen dokumentiert und ad acta gelegt.

Im Zeitalter des Internet of Things sollte endlich ein Umdenken stattfinden und in der Euphorie eines technischen Fortschritts um jeden Preis nicht jede Innovation ohne ausreichende Sicherheitsprüfung eingeführt werden. Und dazu ist ein entsprechendes Gesetz schlichtweg notwendig.

Quelle: pixabay / Lizenz: CC0 Public Domain

menuseperator

„Cloud Computing wird Basistechnologie in vielen Unternehmen“, prophezeit der BITKOM. Es scheint die Ideallösung schlechthin zu sein, angefangen vom geringen Investitionsaufwand über schnelle, unkomplizierte Server-Wartung und Systemwiederherstellung bis hin zur besseren Zusammenarbeit und einer enormen Flexibilität in Sachen Kapazität und Standort. Doch genau da zeigt sich die Krux gleich doppelt der Standort! Die Cloud ist überall, die Cloud ist nirgends so viel steht fest. Doch wo sitzt der Anbieter und wo sind die Daten gehostet? Lieber ein günstiger Hoster im Ausland oder eine Cloud durch und durch „Made in Germany“, bei der sowohl Betreiber als auch Daten in heimischen Gefilden bleiben und die hohe Qualität, Präzision und auch Sicherheit verspricht? Doch auch eine Cloud im Inland heißt nicht, dass auch der Betreiber hierzulande sitzt, das wird uns nur manchmal verschwiegen. Viele deutsche Unternehmen überlegen, ihre Daten ins meist günstigere Ausland zu verlagern. Aber Achtung: Wie steht es um die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten, wenn der Hoster im Ausland sitzt? Ist wirklich alles kontrollierbar, transparent, mein Ansprechpartner immer erreichbar und vor allem – sind meine oder noch wichtiger die Daten meiner Kunden sicher? Zieht hier das Prinzip „aus den Augen, aus dem Sinn“ noch weitere Kreise? 

Diese Sicherheitsbedenken bremsen das ein oder andere Unternehmen aus, die ganze „himmlische“ Freiheit zu nutzen. Denn gerade bei grenzüberschreitenden Dienstleistungen bestehen größtenteils Unsicherheiten, welches Recht denn nun gilt. Und damit auch, wer bestimmt, was mit den größtenteils vertraulichen Firmendaten passiert. Klärungsbedarf besteht vor allem auch hinsichtlich des Urheberrechts, der Lizenzbedingungen und vor allen Dingen des Datenschutzes. 

So fordern Datenschützer, dass Anwender Cloud-Services nur dann in Anspruch nehmen dürfen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen, sprich Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung gewährleisten können (offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, 2011). Schwierig wird es bei ausländischen Cloud-Anbietern, denn wer durchschaut schon vollkommen die ausländischen Rechtsordnungen? Räumt mein Cloud-Provider den ausländischen Behörden Zugriffsrechte ein? Muss er vielleicht sogar meine Daten in unsichere Drittstaaten übermitteln (Übermittlungsobliegenheit)? 

Bleiben wir also doch lieber beim guten alten „Made in Germany“ oder zumindest Europa? Brüssel macht den ersten Schritt, ein „Made in Europe“-Siegel ist in Arbeit. 

Bis dahin: Drum prüfe, wer sich ewig bindet.

menuseperator

Gartners Hype Cycle für Emerging Technologies hat Tradition. Seit 20 Jahren ordnen die Marktforscher Technologien kurvenförmig in Lebensabschnitte ein. Einen guten Überblick gibt es hier. Die Werte der y-Achse dokumentieren die öffentliche Aufmerksamkeit einer Technologie und die x-Achse die Zeitspanne, in der sie nach Einschätzung von Gartner verschiedene Phasen bis zu ihrer Marktreife durchläuft. Mitte der 1990er-Jahre waren übrigens „Intelligente Agenten“ und der „Information Superhighway“ die angesagten Themen.

Den „Gipfel der Erwartungen“ hat im diesjährigen Hype Cycle das Internet der Dinge erreicht. Ähnlich hoch angesiedelt sind „Natural- Language Question Answering“ und „Wearable User Interfaces“. Im Jahr 2013 stand übrigens „Big Data“ kurz vor dem „Gipfel der Erwartungen“. Nun ist es müßig, über die Eintrittswahrscheinlichkeit von Prognosen, und nichts anderes sind ja die Hype Cycles, zu streiten. Die Basistechnologien hinter Big Data, dem Internet der Dinge, Hybrid Cloud Computing und den In-Memory-Database-Management-Systemen sind so weit fortgeschritten, dass es heute viele Unternehmen weltweit gibt, die sie als Innovationsmotor nutzen. Wäre da nicht das berechtigte Thema „Sicherheit“ als begrenzender Faktor. Wie sieht es hier beim Internet der Dinge aus? Da bleiben noch viele Fragen offen. Ich persönlich bin kein Technikpessimist und davon überzeugt, dass es in absehbarer Zeit Lösungen für die Sicherheitsprobleme im Internet der Dinge geben wird. Hier eröffnet sich ein weites Feld für neue Ansätze.

menuseperator

Ich sitze staunend vor meinem Rechner und schaue mir die Unmengen an bunten „Kometstreifen“ an, die quer über die Weltkarte rasen. Habe ich mich in der Webseite geirrt? Sehe ich gerade den für die nächsten Tage zu erwartenden Meteroitenschwarm der Perseiden oder doch die Darstellung der gerade stattfindenden Cyberattacken? Unter http://map.ipviking.com dokumentiert Norse das Ausmaß der Angriffe auf Kommunikationsnetze in Echtzeit. Mit Abstand die meisten Attacken kommen gerade aus China und treffen die USA. Und interessant: Die Niederländer sind heute bei den Ländern, aus denen die Angriffe gestartet werden, auf Platz drei. Vielleicht wollen sie mit allen Mitteln in Erfahrung bringen, wie man endlich im Fußball Erfolg hat bzw. Weltmeister wird...

menuseperator

Das Internet der Dinge (Internet of Things) – ein weiteres Schlagwort, ein weiterer Hype, der einem momentan in der Medienlandschaft oft begegnet, neben der allgegenwärtigen Cloud natürlich. Dabei ist der Terminus an sich nicht mehr neu: Bereits 1999 wurde der Begriff erstmals verwendet, und zwar von Kevin Ashton, dem Mitbegründer und damaligen Leiter des Auto-ID Center am Massachusetts Institute of Technology (MIT).

Doch wie so viele neue Technologien steckt auch das „Internet der Dinge“ noch voller Sicherheitslücken, wie eine aktuelle Studie von HP zeigt. Im Rahmen der Studie wurden zehn der beliebtesten Geräte getestet, unter anderem Webcams, Thermostate, Sprinkleranlagen-Controller, Türschlösser, Garagentüröffner und Hausalarmanlagen.

Wer bisher dachte, Garagentüröffner wären harmlos, wird hier eines Besseren belehrt: Im Schnitt hatte jedes Gerät 25 Schwachstellen, so dass bei der Studie insgesamt 250 Sicherheitslücken in den getesteten Geräten zum Vorschein kamen. Die häufigsten Lücken betreffen den Datenschutz, eine unzureichende Berechtigung und Verschlüsselung, unsichere Web-Schnittstellen und einen mangelhaften Schutz durch Software.

Gartner prognostiziert, dass bis zum Jahr 2020 26 Milliarden Geräte mit Bluetooth, WLAN und Co. ausgestattet sein sollen. Bis dahin gibt es für die Anbieter vernetzter Geräte wohl noch viel zu tun.

menuseperator

Zum Stichwort Big Data heute ein aktuelles Beispiel aus der Automobilbranche:

Ab 2015 sollen sämtliche Neuwagen in Europa mit dem Notfallsystem eCall ausgestattet werden, das im Falle eines Crashs per Mobilfunkverbindung automatisch Hilfe anfordert. Angesichts von jährlich 28.000 Toten auf europäischen Straßen eine einleuchtende Sache. Und zudem weitreichender als es auf den ersten Blick erscheinen mag: Denn der Einbau erfordert Technologie-Schnittstellen, beispielsweise zu LTE- und GPS-Systemen, die dann auch von anderen Connected-Car-Produkten, wie etwa vernetzten Sicherheitsfeatures und Fahrsicherheitskomponenten, genutzt werden können. Mit diesen eröffnet sich derzeit ein Milliardenmarkt - geschätztes jährliches Umsatzvolumen weltweit bis 2020 allein im Pkw-Segment rund 110 Milliarden Euro.

Datenschützer schlagen Alarm: Sie fürchten, dass mangelnde Datenschutzbestimmungen dem ungehemmten und unkontrollierten Datenverkehr auf europäischen Straßen sämtliche Bodenwellen ebnen. Autohersteller, Versicherungen und der ADAC streiten sich schon jetzt um die erhobenen Fahrerdaten. Es geht um lukrative Service- und Reparaturgeschäfte, Versicherungstarife, die sich am Fahrverhalten orientieren, Mahngelder für Raser, die aus Fernbeobachtungen resultieren und andere Anwendungsszenarien. Volker Lüdemann, Professor für Wirtschaftsrecht an der Hochschule Osnabrück, ist besorgt: „Hier wird unter dem Deckmantel der Lebensrettung die Grundlage für den gläsernen Autofahrer geschaffen – und zwar verpflichtend für alle Neuwagen.“ (ZEIT online, http://www.zeit.de/2014/29/datenschutz-unfallmelder-ueberwachung) Läuft es nun also Meter um Meter auf ein bereiftes Smart Device hinaus? „Natürlich hätte man das datenschutzrechtlich auch anders gestalten können“, so Lüdemann. „Dann wäre die korrekte Nutzung der Daten aber sehr kompliziert geworden – und wesentlich uninteressanter für die Wirtschaft.“

Wir sind gespannt, wie sich die Diskussion auf dem Informationsmarkt weiter entwickelt: Der gläserne Autofahrer – Sicherheit vs. Freiheit? Oder sollte es besser heißen: Milliardenmarkt contra Datenschutz?

menuseperator

Seiten

Datenschutz abonnieren