ai3/BSI-Symposium: Wie es um den Persönlichkeitsschutz im Zeichen der IT-(Un)Sicherheit steht
Wie persönliche Daten in unsicheren IT-Infrastrukturen geschützt werden können, darauf gibt es juristische oder IT-basierte Antworten. Beide Aspekte zusammen denken, wurde auf einem zweitägigen Symposium versucht.
(Bild: Pixabay)
Der Schutz von Personendaten inmitten der Digitalisierung der Kommunikation und Produktion ist ein hohes Gut. Wie hoch es angesiedelt ist, zeigte sich während des Symposiums der Arbeitsgruppe Identitätsschutz im Internet (aI3) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bochum, als der Aktienkurs von Facebook nach Bekanntwerden einer skandalösen Datenfreigabe einbrach. Zudem zeigte die Veranstaltung, dass es untaugliche juristische Maßnahmen gibt wie die Einführung eines digitalen Hausfriedensbruches und untaugliche technische Vorkehrungen wie die Einführung eines elektronischen Ausweises mit einer Charge von fehlerhaften Chips.
Der Jurist Carl-Friedrich Stuckenberg legte dar, dass der neue Straftatbestand des Hausfriedensbruchs unnötig, überbreit und unstimmig und keine Waffe zum Schutz vor Zombie-Rechnern sei. Der Sicherheitsforscher Jörg Schwenk wunderte sich, dass der Chip des estnischen Personalausweises nicht vollständig nach CC EAL 5+ durchgeführt wurde. Vermutlich sei bei der Zertifizierung die Primzahlerzeugung einfach ausgeklammert worden.
"Besonderes" Anwaltspostfach
Dann gibt es Maßnahmen, über die trefflich gestritten werden kann. So demontierte Markus Drenger wieder einmal das besondere Anwaltspostfach beA, während die Technik der doppelten Verschlüsselung und Umschlüsselung von Daniela Freiheit energisch verteidigt wurde. Für die Koordinatorin für IT-Standards in der Justiz bei der Bund-Länder-Kommission ist beA ein funktionaler Teil des elektronischen Gerichts- und Verwaltungspostfaches, in dem sichere authentifizierte Nutzer dank des vertrauenswürdigen Herkunftsnachweises (PDF-Datei) sicher zusammenkommen. Insgesamt 133.150 Nutzer zeigten die herausragende Zuverlässigkeit des OSCI-Systems, sagte Freiheit. Dem "Chorgeist" der Länder und der "guten Kinderstube" der Juristen sei es zu verdanken, dass der elektronische Rechtsverkehr in Deutschland ständig ausgebaut werden kann.
Was den Stand der Verwaltungs-Fachverfahren anbelangt, dazu gab es einen Überblick von BSI-Abteiliungsleiterin Astrid Schumacher. Von 5800 Verwaltungsleistungen nach dem Leika-Katalog könnten 500 onlinefähig gemacht werden, bis das Online-Zugangsgesetz alle Verwaltungen zum 31. Dezember 2022 zu Online-Angeboten verpflichtet. Bereits 2019 sollen interaktive Bürgerserviceportale in Pilotprojekten erprobt werden. Ziel sei es, in drei Klicks eine Online-Dienstleistung wie die Aufnahme in das Geburtenregister abzuschließen.
NetzDG: kaum Overblocking
Zum Schutze der Persönlichkeit wurde in der vorigen Legislaturperiode das Netzwerkdurchsetzungsgesetz im Eilverfahren verabschiedet. Der Jurist Martin Munz berichtete über die ersten Erfahrungen mit diesem neuen Gesetz. Er bestätigte Berichte, laut denen bisher wenige Meldungen eingegangen seien und auch die Löschpraxis eines "Overblockings" sich nicht bemerkbar mache. Grundsätzlich seien die Recherchen durch die genaue Aufarbeitung des Kontextes, in dem eine Hassrede erfolgte, sehr aufwendig geworden. Problematisch seien Fälle, in denen sich Beleidigte bewusst nicht wehren wollen.
Zum Schluss der zweitägigen Veranstaltung hielt Michael Mehrhoff, BSI-Abteilungsleiter "Informationssicherheitsprodukte" ein Grundsatzreferat über Anti-Virus-Produkte zum Schutze von Persönlichkeits-, aber auch von Firmendaten. Gerade bei letztgenannten Lösungen gehen die Anti-Virus-Hersteller zunehmend dazu über, den Virenschutz über Cloud-Rechenzentren zu organisieren, weil hier die Scangeschwindigkeit um ein Vielfaches höher ist.
Mehr Effizienz in der Cloud
Obwohl es keine zuverlässigen Zahlen zur Effektivität von Anti-Virus- und Reputationsdiensten in der Cloud gebe, schätzte Mehrhoff, dass in der Cloud die Effizienz um bis zu 50 Prozent gesteigert werden könne. Seine Behörde hatte die zugehörigen Datenschutzerklärungen von Avast, AVG, Avira, Bitdefender, Cylance, Kaspersky, McAfee, Sophos, Symantec und Trend Micro eingehend analysiert. Ein einziger Hersteller lieferte eine Datenschutzerklärung mit hohem Detaillierungsgrad ab, bei fünfen lang die Auskunftsfreudigkeit in der Mitte, während sechs Hersteller nur geringe Angaben machten.
Mehrhoff und seine Miterbeiter erhielten durch Nachfrage und Testreihen eine Menge an übertragenen Daten, die ohne jeden Anti-Virus-Bezug in die Cloud übertragen wurde. Alles Einzelfälle, meinte Mehrhoff, doch in ihrer Gesamtzahl durchaus erschreckend: Fotos, Bilder und Videos, Adressbücher, gar biometrische Daten wie Fingerabdrücke oder Stimmaufnahmen befanden sich ebenso darunter wie persönliche Interessen oder demografische Daten der Nutzer, die dann auch noch an Vertriebspartner weitergegeben wurden. Vermisst hatte das BSI zudem eindeutige Angaben zur Hoheheit des Nutzers über die Konfiguration und eine Zusicherung, dass keine "heimlichen" Änderungen bei Updates erfolgen. Elf Hersteller gaben an, die Daten an staatliche Einrichtungen weiterzugeben, wenn diese mit einem Gerichtsbeschluss auf Herausgabe drängen, ein einziger verneinte das.
Bis auf einen einzigen Hersteller verweigerten alle AV-Firmen dem BSI unter Hinweis auf ihre Geschäftsgeheimnisse den Eindblick in die interne Dokumentation, aus denen beispielsweise auf die Speicherdauer von Daten und auf den Datenschutz des Rechenzentrums geschlossen werden kann. Mehrhoff plädierte aus diesem Grund für eine unabhängige Prüfstelle, die die Dokumentation, den Sourcecode der Detektionsmodule oder die Prüfung auf eingebaute Überwachungsschnittstellen durchführen kann. Sein Schlusssatz klang leicht resigniert: "Wer möchte bei diesem Thema mit uns zusammenarbeiten?" (anw)
