5. Juli 2009
Die Auslagerung von Teilbereichen eines Unternehmens, der Einsatz von Leiharbeitskräften oder auch die Zusammenarbeit mit externen Beratern auf Dienst- und Werkvertragsbasis zählen mittlerweile zu den etablierten Instrumenten im Geschäftsleben, um flexibel zusätzliche Personalkapazität zukaufe zu können, ohne selbst verbindliche Verpflichtungen eingehen zu müssen.
So flexible die Beschäftigten in den Randbelegschaften des Unternehmens zirkulieren und fluktuieren, so flexibel können allerdings auch sensible interne Daten durch die Unternehmensgrenze hindurchdiffundieren.
Diese Erfahrung musste kürzlich auch die Sparkasse Köln/Bonn machen. Sie hatte sensible Vertriebsdaten an einen externen Berater weitergegeben, mit dem sie schon länger zusammenarbeitete. An sich nichts Ungewöhnliches –sowas geschieht täglich in Deutschland. Wenn man gemeinsam unternehmensübergreifend an Projekten arbeitet, geht das oft nicht anders. Daher werden für solche Fälle Vertraulichkeitsvereinbarungen, Datenschutzregeln etc. Gegenstand der Verträge aller Beteiligten und es wird sich auf gemeinsame Möglichkeiten zum sicheren Austausch von Informationen geeinigt. Und nach Abschluss der Projekte bzw. Beendigung der Zusammenarbeit werden alle projektbezogenen Informationen, Dokumente und Berechtigungen an den Auftraggeber zurückgegeben oder – ebenfalls zu vereinbaren – sicher vernichtet.
Genau da wurde aber anscheinend seitens der Sparkasse etwas geschludert. Und als es zwischen der Bank und einem ihrer externen Berater zu Streitigkeiten bzgl. finanzieller Fragen kam, behielt der wohl 25 Festplatten mit vertraulichen Mitarbeiter- und Kundendaten ein. Und erklärte dem Fernsehsender WDR gegenüber, die Daten ohne Abgabe einer sonst üblichen Vertraulichkeitserklärung und ohne Anonymisierung erhalten zu haben. Die Staatsanwaltschaft Köln schaltete sich daraufhin ein, um die Vorwürfe zu prüfen. Und auch die Landesdatenschutzbeauftragte von Nordrhein-Westfalen eröffnete ein datenschutzrechtliches Ermittlungsverfahren.
Und als die Bank eine den Vorfall relativierende Pressemitteilung herausgab, wurde diese vom Spiegel-Autor Felix Knoke prompt „aufgespießt“:
Ein klares Dementi sieht anders aus. Fasst man die Pressemitteilung in drei Sätzen zusammen, steht da: Es wurden Daten weitergebeben. Es sollten nur anonymisierte Daten weitergegeben werden. Wir wissen noch nicht zu 100 Prozent, was in welcher Form weitergegeben wurde.
Inzwischen wird dem Berater die Sache wohl zu heikel. Er habe im Laufe seiner Tätigkeit Vertriebsdaten von der Sparkasse erhalten, darunter aber nur vereinzelt Kundendaten, die er auf Papier bekommen und inzwischen vernichtet habe, erklärte er der dpa.
Er war demnach mehrere Jahre als freier Mitarbeiter bei der Sparkasse tätig und hat dort unter anderem Schulungsvideos und Lehrbücher erstellt. In dem Zusammenhang hat der Berater nach eigenen Angaben „alle möglichen Daten“ auf Papier oder als E-Mail von verschiedenen Sparkassen-Mitarbeitern bekommen. Doch während die Sparkasse die Ansicht vertritt, dem Mann bereits 2005 schriftlich zur Verschwiegenheit verpflichtet zu haben, kann oder will dieser sich nicht daran erinnern: „Ich habe in meinen Unterlagen keinen Vertrag gefunden“ Es habe seiner Ansicht nach nur mündliche Absprachen gegeben.
Daher versucht die Sparkasse ihre Daten auf dem Rechtsweg von ihrem früheren Mitarbeiter zurückzuerlangen.
Zusammenfassend lässt sich feststellen, dass die unternehmensübergreifende Zusammenarbeit mit Externen immer ein zusätzliches Risiko darstellt und daher besonderer vertraglicher, organisatorischer und technischer Maßnahmen bedarf, um diese Risiken beherrschbar zu machen.
Dazu gehören die bereits erwähnten Vertraulichkeitsvereinbarungen ebenso wie der nachvollziehbare Umgang mit Informationen und Datenträgern sowie Vorgehensweise in Konfliktfällen.
Dabei sollte stets bedacht werden: Ein Unternehmen das externe Kräfte flexibel einsetzen will, demonstriert (auch) dass es auf dauerhafte Bindungen nicht allzu viel Wert legt. Ein solches Unternehmen sollte daher auch keine nennenswerte Loyalität dieser Mitarbeiter erwarten. Sondern vertraglich vereinbaren und dokumentieren, was für die korrekte Erledigung des jeweiligen Jobs oder Projektes nötig ist. Und sich über die „Restrisiken“ bei deren Eintritt nicht beschweren.
Und Kunden werden sich zunehmend fragen, wie weit sie einer Firma vertrauen können, wenn sie kaum etwas über deren Führung, Strategie und internen Abläufe hinsichtlich Personal und Organisation wissen.
WDR.de: Kundendaten der Sparkasse Köln/Bonn wurden ausgelagert. Ermittlungen gegen Ex-Sparkassen-Berater
Spiegel.de: Ärger mit Ex-Mitarbeiter. Honorarstreit könnte Sparkassen-Datenproblem ausgelöst haben
Kommentar schreiben » | 
Compliance, Datenschutz, Informationssicherheit, Privacy | Mit Tag(s) versehen: Bankdaten, Compliance, Data Leakage, Data Loss Prevention, Daten, Datenleck, Datenschutz, Datensicherheit, Ermittlung, Informationssicherheit, Innentäter, IT-Revision, IT-Risiken, IT-Sicherheitsmanagementsystem, ITSM, Kundendaten, Leiharbeit, Outsourcing, Privacy, Projektmanagement, Risikobewertung, Risikomanagement, Sicherheitslücken, Staatsanwaltschaft, Unternehmen, Zeitarbeit | 
Permalink
Verfasst von Guido Strunck
3. Juli 2009
Kommentar schreiben » | 
Softwarequalität | Mit Tag(s) versehen: Outsourcing, Projektmanagement, Qualitätsprüfung, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, Tester, Testmanager, Zertifizierung | 
Permalink
Verfasst von Guido Strunck
2. Juli 2009
Als eine der letzten Taten der aktuellen Regierung vor der Sommerpause wurde heute im Bundestag die bereits seit Monaten beratene Reform des Bundesdatenschutzgesetzes auf den Weg gebracht. Wir erinnern uns: Zahlreiche Datenschutzskandale, zumeist in Konzernen, hatten deutlich gemacht, das eine von laissez-faire geprägte Regulierung des Umgangs mit Daten durch Staat und Wirtschaft letztlich nur einen Datenskandal nach dem anderen produzieren wird.
Umgekehrt kamen aber rasch Lobbyverbände der Wirtschaft in die Gänge, um ein allzu striktes und bürgerrechtsorientiertes neues Datenschutzgesetz zu verhindern. Man wollte also schlicht nicht aus den Fehlern der Vergangenheit lernen – Autismus als Prinzip!
Was also steht nun drin im neuen BDSG?
Vom ursprünglich vorgesehenen Opt-in-Prinzip zur Weitergabe persönlicher Daten für Werbung, Markt- und Meinungsforschung blieb nicht all zu viel übrig. Das von der Wirtschaft haart umkämpfe sog. „Listenprivileg“ (die Möglichkeit, listenmäßig erfasste Daten wie etwa Name, Beruf, Adresse, Geburtsjahr auch ohne Erlaubnis der Betroffenen an Dritte weitergeben zu können) bleibt im Gesetz drin. Allerdings muss bei der Weitergabe der Daten grundsätzlich für zwei Jahre dokumentiert werden, wohin sie gingen. Betroffene müssen über gespeicherte Daten und deren Herkunft informiert werden. Damit soll es ihnen leichter gemacht werden, der Weitergabe und der Nutzung ihrer Daten wirksam zu widersprechen.
Deutlich konkretisiert und präzisiert wird die Dokumentations- und Überwachungspflicht des Auftraggebers bei der Datenverarbeitung durch Drittfirmen (Auftragsdatenverarbeitung). Für Verstöße werden in diesem Fall sowie bei nicht erfolgten Dokumentationen neue Bußgeldtatbestände geschaffen.
Die Datensicherheit soll durch Vorschriften zur Verschlüsselung verbessert werden. Das Prinzip der Datensparsamkeit (schon jetzt im BDSG enthalten) sowie die Möglichkeit, Datenverarbeitungsprozesse möglichst (auch) anonym oder pseudonym nutzen zu können, wird gestärkt. Hier wird die Zukunft zeigen müssen, was davon in der Praxis ankommen wird.
Gelangen sensible Daten unrechtmäßig in die falschen Hände (Datenlecks) und besteht ein „erhebliches Missbrauchsrisiko“, so müssen künftig die Betroffenen sowie die Aufsichtsbehörde informiert werden. Bei Dingen wie Kreditkartendaten muss das künftig sogar öffentlich geschehen. Obwohl hier etliche unbestimmte Rechtsbegriffe drin sind, werden dadurch doch Prinzipien umgesetzt, wie sie in Staaten mit strikterer Datenschutzregelung schon länger Standard sind. Insbesondere die Pflicht „Daten-GAUs“ künftig melden zu müssen, wird in mancher Firma zu Sensibilisierungsprozessen führen.
Für betriebliche Datenschutzbeauftragte wurde ein besserer Kündigungsschutz beschlossen, so dass sie künftig auch „heikle“ betriebliche Datenschutzschlaglöcher gefahrlos angehen können. Den bisher ziemlich zahnlosen Aufsichtsbehörden wird die Möglichkeit gegeben, bei Verstößen gegen Datenschutzregelungen Bußgeldverfahren mit höheren Bußgeldern einzuleiten. Zudem können sie anordnen, dass der entsprechende Verstoß eingestellt wird und damit verbundene Gewinne eingezogen werden. Man kann nur hoffen, dass von diesen Möglichkeiten auch Gebrauch gemacht wird.
Das schon länger diskutierte Datenschutzaudit fiel allerdings unter den Koalitionstisch.
Das neue Datenschutzgesetz soll zum September 2009 größtenteils in Kraft treten. Das verbesserte Auskunftsrecht für Betroffene und die verschärften Bußgeldregeln folgen im April 2010. Übergangsregelungen bis 2012 sind für die Neufassung des Listenprivilegs vorgesehen.
Alles in allem sind da doch zahlreiche wichtige Ansätze und Forderungen aus den Reihen der Datenschützer und IT-Sicherheitsexperten mit in das Gesetz eingeflossen. Jetzt muss man sehen, wie sich die neuen Regeln in der Praxis bewähren. Was allerdings noch aussteht, sind konkrete Regelungen zum Thema Arbeitnehmerdatenschutz in einem eigenen Gesetz.
Heise.de: Datenschutznovelle in abgespeckter Form
Heise.de: Bundesregierung verabschiedet Entwurf zur Datenschutzreform
Kommentar schreiben » | 
Compliance, Datenschutz, IT-Recht, Privacy | Mit Tag(s) versehen: Arbeitnehmerdatenschutz, Bankdaten, Bürgerrechte, Compliance, Datendiebstahl, Datenhandel, Datenleck, Datenschutz, Datenschutzaudit, Datenschutzbeauftragter, Datensicherheit, IT-Recht, Privacy | 
Permalink
Verfasst von Guido Strunck
28. Juni 2009
Regulatorische Auflagen wie Basel II, Solvency II oder EuroSOX fordern von Unternehmen zunehmend (IT-)Systeme und Verfahren zur Kontrolle von Risiken zu etablieren. Dabei wird meist auch verlangt, alle Veränderungen an diesen Systemen revisionssicher zu protokollieren und zu dokumentieren. Das bringt neue Anforderungen für das Testen solcher Systeme mit sich, da auch Durchführung und Ergebnisse von (funktionalen) Softwaretests durch dazu autorisierte Personen entsprechend zu protokollieren und zu dokumentieren sind.
Testing-Tools sowie Testmanagement werden dadurch compliance-relevant.
Konkret geht es in der Praxis dann meist darum, Echtheit, Integrität und Vertraulichkeit aller im Testverlauf anfallenden Informationen auch über längere Zeiträume hinweg sicherstellen und Prüfern gegenüber nachweisen zu können. Dabei spielen Verfahren zur revisionssicheren Langzeitarchivierung von Daten, Verschlüsselung mit starker Kryptografie, Signierung mit qualifizierten elektronischen Signaturen sowie der Aufbau (oder das Mieten) entsprechender Trust-Center-Architekturen eine Rolle. Ebenso Versionierung und nachvollziehbare Ergebnissicherung jedes Teilschrittes, durch den sich etwas ändert.
Testen entsprechender Softwareprodukte wird dadurch organisatorisch anspruchsvoller und aufwendiger. Dazu werden auch entsprechend weiter reichende Funktionalitäten in den Testwerkzeugen und Frameworks benötigt, worauf Anbieter entsprechender Software bereits mit neuen Produkten reagiert haben.
Desweiteren macht es Sinn, dort wo häufiger getestet werden muss oder das Testen von compliance-relevanten Softwareprodukten ansteht, ein echtes Test-Center als Dienstleistungseinheit im Unternehmen zu etablieren und so die Qualitätssicherung aus dem Entwicklungsprozess herauszulösen. Dies kann auch ein Beitrag zur weiteren Professionalisierung und Systematisierung der Softwarequalitätssicherung sein.
Daher bieten auf Softwaretest und Testmanagement spezialisierte Unternehmen das Test-Center zunehmend aus Outsourcing-Dienstleistung für Dritte an. Denn viele compliance-relevante Branchenanwendungen werden von kleineren oder mittleren, stark produktbezogenen Firmen entwickelt, die sich den Aufbau einer solchen Infrastruktur nicht leisten können oder wollen.
1 Kommentar | Compliance, Softwarequalität, Technische Regulierung | Mit Tag(s) versehen: Basel II, Compliance, elektronische Signatur, EuroSOX, IT-Infrastruktur, IT-Revision, Kryptografie, Langzeitarchivierung, Outsourcing, Projektmanagement, Qualitätsprüfung, Software, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, Solvency II, Test-Center, Tester, Testmanager, Trust-Center, Verschlüsselung | Permalink
Verfasst von Guido Strunck
27. Juni 2009
Gestern habe ich an der Halbtagsveranstaltung „Trends im Testing 2009“ teilgenommen, die von der imbus AG in München veranstaltet wurde. Gegenstand der Veranstaltung waren aktuelle Entwicklungen im Bereich Softwaretest und Testmanagement.
Immer komplexer werdende Softwareentwicklungsprozesse und Systemlandschaften, höhere Qualitätsanforderungen und strengere gesetzliche Vorschriften haben heute mehr denn je unmittelbar gravierende Auswirkungen auf den Testprozess. Das führt zu einer zunehmenden Professionalisierung und Ausdifferenzierung der in diesem Bereich tätigen Experten. Softwaretester, Testautomatisierer und Testmanager sind heute Hightech-Jobs von zunehmender Bedeutung in der Software-Entwicklung.
Rex Black, Präsident des International Software Testing Qualifications Board (ISTQB) sieht in den nächsten Jahren vor allem folgendes auf die Gemeinde der Softwaretester und Testmanager zukommen:
- Wirtschaftlicher Druck macht es zunehmend erforderlich den finanziellen Nutzen von Testverfahren so herauszuarbeiten, dass er auch von Managern verstanden wird. Er schlägt dazu den Einsatz von aussagekräftigen Kennzahlen (KPIs) vor.
- Es wird zunehmend unternehmensübergreifend gearbeitet. Outsourcing und Auftragsarbeit spielen eine wichtiger werdende Rolle. Das erfordert mehr Projektmanagement und Koordination im Testbereich. Auch Tools müssen so ausgelegt sein, dass eine unternehmensübergreifende Projektarbeit unterstützt wird. Der Trend geht hin zu Professionalisierung und Systematisierung.
- Anwendungssysteme werden zunehmend komplexer und ihr Einsatzkontext wichtiger („systems of systems“). Das macht auch Tests aufwendiger. Testmanager benötigen dazu ein breiter werdendes Technologiewissen und Erfahrung im Handling komplexer branchenspezifischer Softwareprojekte. Unternehmensübergreifende IT-Systeme wie Software as a Service, Cloud Computing und Social Software bringen ganz neue Testanforderungen mit sich.
- Der zunehmende Einsatz von Open Source Software bringt die Fragestellung ihrer Qualität mit sich. Die meisten Open Source Produkte unterliegen zwar einem intensiven peer review durch die beteiligten Entwickler, wurden aber meist nie formal getestet. Ihr tatsächliches Qualitätsniveau kann zum Zeitpunkt ihrer Einführung meist nicht wirklich beurteilt werden. Das bringt Unsicherheitsfaktoren mit sich.
- Integrationstest im Umfeld von Legacy-Anwendungen erfordert oft spezielles Legacy-Know-How, das im Markt kaum noch vorhanden ist. Auch unüberlegte Personalabbau- und Frühverrentungsprogramme der Vergangenheit rächen sich nun.
- Softwaretest ist ein Spezialistenthema. Daher wird hier gern und überproportional gekürzt, wenn Sparrunden anstehen.
- Es gibt im Markt eine hohe Zahl an „Amateur-Testern“, was an Testmanager höhere Anforderungen stellt, Arbeitsprozesse zu systematisieren und zu strukturieren. Die Zahl der Amateur-Testern wird durch Outsourcing-Dienstleister in Schwellenländern künftig weiter zunehmen. Umgekehrt sind echte Testprofis und erfahrene Testmanager und –automatisierer knapp und werden es auch bleiben.Hier macht sich das Fehlen einer einschlägigen Ausbildung zunehmend bemerkbar (Softwaretester wird man i.d.R. durch berufliche Praxis und berufsbegleitende Weiterbildung, nicht durch Ausbildung und anschließende Berufstätigkeit).
- Teamentwicklung und Personalentwicklung gewinnt für Testmanager an Bedeutung, schon um ihre eingearbeiteten Teams an guten Spezialisten beisammenzuhalten.
- Zertifizierung ist und bleibt wichtig. Allerdings gilt es genauer hinzuschauen, da vieler Zertifizierungen nicht all zu viel taugen. Als „Goldstandard“ hat sich in Deutschland der „ISTQB certified tester“ etabliert. Insbesondere stark methoden- und technologiezentrierte Zertifizierungen sowie solche ohne formales Prüfverfahren seien kritisch zu bewerten
- Neue Formen der Arbeitsorganisation in der Software-Entwicklung (agile und iterative Methoden, SCRUM etc.) sowie die Anwendung von Vorgehens- und Reifegradmodellen wirken sich auch auf die Organisation und das Management von Softwaretests aus.
- Testen wird zunehmend compliance-relevant. Durchführung und Ergebnisse von Softwaretests müssen aufgrund regulatorischerer Auflagen revisionssicher dokumentiert werden, um so Nachweispflichten erfüllen zu können. Das erfordert Anpassungen der Arbeitsabläufe und ggf. neue Tools.
Alles in allem eine sehr interessante und gehaltreiche Veranstaltung, die ich nur weiter empfehlen kann. Zum Teilaspekt der revisionsfesten Testdokumentation werde ich morgen einen weiteren Artikel schreiben.
1 Kommentar | Softwarequalität | Mit Tag(s) versehen: Audit, Cloud Computing, Compliance, Debugging, Open Source, Outsourcing, Projektmanagement, Qualitätsprüfung, Reifegradmodell, Software, Software as a Service (SaaS), Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest, Tester, Testmanager, Vorgehensmodell, Zertifizierung | Permalink
Verfasst von Guido Strunck
24. Juni 2009
Wer hat das nicht schon erlebt: Man vertippt sich bei einer Internet-Adresse und bekommt eine DNS-Fehlermeldung „Adresse konnte nicht gefunden werden“ im Browser angezeigt. Daraus lässt sich meist sofort erkennen, dass man Mist eingetippt hat. Es ist aber auch möglich, dass stattdessen eine Werbeseite voller Links vom Provider eingeblendet wird. Diese – bei existierenden, aber noch frei verfügbaren Domains schon übliche – Praxis greift zunehmend auch bei der Beantwortung von DNS-Adressfehlern um sich. Diese Linkseiten werden von manchen Registraren und vermehrt auch von Internetzugangsprovidern wie etwa T-Online zwischengeschaltet. So lassen sich Kunden auf ein eigenes Portal locken und Traffic für Werbezwecke generieren. Diese Unsitte ist auch als “Wildcarding” bekannt.
Durch solche „Umleitungen“ werden allerdings Kernfunktionen des DNS sowie viele klassische Dienste gestört. So werden beispielsweise nicht zustellbare E-Mails nicht mehr zurückgesandt, so dass ein Mailversender nichts von der Unzustellbarkeit erfährt. Dadurch wird auf Dauer das Vertrauen ins Internet und seine Dienste untergraben. Zudem werden so auch mögliche Schlupflöcher für neue Angriffe auf IT-Infrastrukturen eröffnet.
Ram Mohan, CTO von Afilias, stellte kürzlich bei einer Konferenz der ICANN in Sydney einen Bericht (PDF, 45 KB) des Sicherheitsausschuss der ICANN vor, in dem er diese Praxis der DNS-Manipulation kritisiert.
Darin fordert er auch, dass die ICANN bei der Einführung neuer Internet-Adresszonen (TLDs) dieser Praxis einen Riegel vorschiebt. Auch bei bestehenden TLD-Registries sollten derartige Verbote die Regel werden, so der Bericht.
Die ICANN könne die Einhaltung von Standards nicht erzwingen, das könnten nur lokale Regulierer, sagte Jaap Akkerhuis, Mitglied im Sicherheitsausschuss. Eine Telefongesellschaft könne auch nicht in Eigenregie Rufnummern umleiten, ähnlich hätte es seiner Meinung nach auch bei IP-Adressen zu sein. Allerdings kann die ICANN diesen lokalen Regulierern und Providern durchaus Vorgaben machen. Die Diskussion über das Problem ist jedenfalls in den zuständigen Fachausschüssen der ICANN angekommen.
Das Thema ist heikel, da in den ICANN-Fachremien bereits seit langem kontrovers über die Einführung neuer TLD’s diskutiert wird und zahlreiche Interessensgruppen dabei im Spiel sind.
1 Kommentar | Allgemeines, Technische Regulierung | Mit Tag(s) versehen: Compliance, DNS-Problem, DNS-Server, Domain Name System, ICANN, Internet, IP-Adresse, IT-Infrastruktur, Netzwerk, Provider, Sicherheitslücken, Standard | Permalink
Verfasst von Guido Strunck
21. Juni 2009
Der § 202c des Strafgesetzbuches, allgemein auch als „Hackerparagraph“ bezeichnet, war einmal mehr Gegenstand einer juristischen Entscheidung. Mehrere in der IT-Sicherheit beruflich Tätige hatten Verfassungsbeschwerden eingelegt, weil sie sich durch die recht allgemein und weit auslegbar gefasste Rechtsnorm in ihrer Berufsfreiheit bedroht sahen.
Nun befand das Bundesverfassungsgericht diese Ansinnen allesamt für unzulässig und verwarf sie (Az: 2 BvR 2233/07, 1151/08 und 1524/08). Denn nach Ansicht der Richter in Karlsruhe gelten die Vorschriften des § 202c StGBs nur für Programme, die mit illegaler Absicht entwickelt wurden. Die bloße Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar. Die Richter begründeten dies damit, dass der Bundestag mit der Rechtsnorm ausdrücklich nur Software erfassen wollte, die für einen kriminellen Zweck hergestellt worden sind. Sogenannte „Dual Use“-Produkte, die im Dienste der Computersicherheit genutzt werden aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem Anwender, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.
Diese Klarstellung des BVerfG schränkt die Auslegungsmöglichkeiten des Paragraphs durch Instanzgerichte deutlich ein und reduziert nun die von Experten kritisierte Möglichkeit für Willkürentscheidungen. Somit war das Beschwerdeverfahren trotz seiner Ablehnung erfolgreich. Trägt es doch zur Klarstellung der Normanwendung in künftigen Rechtskonflikten zum Hackerparagraphen deutlich bei.
Gleichzeitig macht dies einmal mehr deutlich, wie wichtig durchdachte vertragliche Vereinbarungen und Protokolle der Leistungserbringung für kommerziell tätige Sicherheitsexperten sind, die IT-Systeme ihrer Kunden auf Sicherheitsprobleme hin testen. Aber auch festangestellte Administratoren und IT-Koordinatoren, die ihre Systeme mit Hackertools austesten, sollten hierfür auf klare Regelungen achten, da für sie im Falle von selbst verursachten Problemen die Regeln der Arbeitnehmerhaftung greifen. Das bedeutet konkret, dass sie im Falle des unbefugten oder ungeregelten Testens der Systeme ihres Arbeitgebers ohne dessen Zustimmung bei Schäden mit einer vollen Haftung wegen grober Fahrlässigkeit rechnen müssen.
Heise.de: Verfassungsbeschwerden gegen Hackerparagraphen unzulässig
4 Kommentare | Compliance, IT-Recht | Mit Tag(s) versehen: Arbeitnehmerhaftung, Arbeitsrecht, Compliance, Hacker, Hackerparagraph, Hackertools, Informationssicherheit, IT-Recht, IT-Sicherheit, Pen-Test, Risikomanagement | Permalink
Verfasst von Guido Strunck
19. Juni 2009
Die Piratenpartei ruft zu Demonstrationen gegen das „Zugangserschwerungsgesetz“ auf, das heute vom Bundestag verabschiedet wurde.
Dirk Hillbrecht, Bundesvorsitzender der Piratenpartei, erläutert das vom Gesetz missachtete Demonstrations-Motto „Löschen statt sperren – Stoppt die Internet-Zensur!“: „Wir verlangen wirksame Maßnahmen gegen Kinderpornographie und das heißt: Die Inhalte müssen aus dem Netz verschwinden und nicht hinter Stoppschildern versteckt werden. Außerdem protestieren wir gegen die Einführung einer Zensurinfrastruktur im deutschen Internet. Vielfacher Protest im Vorfeld und die erfolgreichste Petition in der Geschichte der Bundesrepublik haben die Regierung nicht interessiert. Die einzigen Reaktionen von SPD und CDU sind Unverständnis und hämische Kommentare. Es wird Zeit, auf die Straße zu gehen!“
Zusammen mit anderen Parteien und zivilgesellschaftlichen Organisationen hat die Piratenpartei bereits im Vorfeld scharfen Protest geübt.
Dazu Hillbrecht: „Das Gesetz etabliert eine Zensurinfrastruktur, wie es sie im freiheitlich-demokratischen Deutschland noch nie gegeben hat. Kinderpornographie lässt sich damit aber in keiner Weise verhindern oder eindämmen, wie es von den Befürwortern behauptet wird. Stattdessen sind die missbrauchten Kinder nur billiges Vehikel, um den Wünschen von Musikindustrie und politischen Hardlinern nach einer umfassenden Internetzensur populistischen Nachdruck zu verleihen. Mit diesem Internetzensurgesetz werden die Grundfesten der Meinungsfreiheit in Deutschland irreparabel geschädigt.“
In Berlin, Hamburg, München, Düsseldorf, Frankfurt, Hannover und weiteren Städten finden deshalb am Samstag, 20. Juni 2009, um 12:00 Uhr Protestdemonstrationen statt. Genauer Ort sowie das Programm finden sich auf www.LoeschenStattSperren.de. Die Piratenpartei ruft alle demokratischen Kräfte auf, sich an diesen Veranstaltungen zu beteiligen. Die letzte parlamentarische Möglichkeit, diesen Wahnsinn zu stoppen, liegt jetzt beim Bundesrat. Je stärker und zahlreicher unsere Demonstrationen sind, desto schwieriger wird es für die Abgeordneten, die Stimme des Volkes zu ignorieren.
Quelle dieses Textes: Piratenpartei.de
3 Kommentare | Allgemeines, Netzkultur | Mit Tag(s) versehen: Access Blocking, Access Control, Bürgerrechte, Internet, IT-Recht, Kinderpornografie, Netzkultur, Netzsperren, Netzzensur, Piratenpartei | Permalink
Verfasst von Guido Strunck
16. Juni 2009
Ein interessantes Fundstück aus dem Netz: Panopti.com
Auf der Webseite gibt es ein Flash-Video, das anhand des Alltags eines Bürgers aufzeigt, wo heute überall bereits Überwachungstechnologie drinsteckt, um Datenspuren zu erzeugen und auszuwerten.
Der Seitentitel ist angelegt an das „Panopticon“, ein Konzept des Philosophen Jeremy Bentham zum Bau von Gefängnissen, in denen von einem zentralen Ort aus alle Insassen leicht überwacht werden können, ohne dass diese ihrerseits bemerken, ob sie gerade überwacht werden oder nicht. Von diesem Konstruktionsprinzip erhoffte sich Bentham, dass sich zu jeder Zeit alle Insassen regelkonform verhalten, da sie jederzeit davon ausgehen müssen, beobachtet zu werden.
Kommentar schreiben » | Allgemeines, Datenschutz, Netzkultur, Privacy | Mit Tag(s) versehen: Arbeitnehmerdatenschutz, Bürgerrechte, Daten, Datendiebstahl, Datenhandel, Datenleck, Datenschutz, Netzkultur, Privacy | Permalink
Verfasst von Guido Strunck
14. Juni 2009
In der Krise stehen reihenweise Unternehmen beim Staat an, um sich per Kredit, Bürgschaft oder anderer Förderung unter die Arme greifen zu lassen. Meist läuft das aber aufgrund der formalen Verfahren und den Prüfungen bis rauf auf EU-Ebene zumindest recht öffentlich ab. Im Wochentakt berichtet die Presse darüber.
Etwas klandestiner verläuft dagegen seit einiger Zeit die Einrichtung eines „Förderprogramms“ der besonderen Art zur finanziellen Stabilisierung der kommerziellen Kinderpornografie auf Kosten des Steuerzahlers.
Dazu gab die Piratenpartei Deutschland kürzlich eine Pressemeldung heraus, die ich hier wiedergebe. Es bleibt jedem selbst überlassen, ob er in den darin kommentierten Plänen unserer Regierung nur Dummheit und Ignoranz sieht. Oder aber eine tiefergehende Absicht …
Internet-Sperren helfen Straftätern
Das von der Bundesregierung geplante Gesetz zur Bekämpfung der Kinderpornografie im Internet schadet nach Ansicht der Piratenpartei dem eigentlichen Zweck. Durch das Sperren werden Listen mit brisanten Seiten generiert, die als eine Art „Einkaufsliste“ von Straftätern missbraucht werden können und zudem als Frühwarnsystem für Betreiber illegaler Inhalte dienen.
Mit frei zugänglichen Netzwerk-Werkzeugen lässt sich mit geringem Aufwand, völlig automatisch die Liste der brisanten, gesperrten Seiten ermitteln, und damit eine Art „Kinderpornografie-Katalog“ erstellen. Auf diese Art wurden bereits Sperrlisten in anderen Ländern trotz strenger Geheimhaltung ermittelt und kursieren seitdem im Internet. Das wird nach unserer Einschätzung auch mit der deutschen Sperrliste der Fall sein. Der Zugang zu kinderpornographischen Angeboten würde so sogar erleichtert statt erschwert.
Andreas Blochberger von der Piratenpartei erklärt: „Für Betreiber illegaler Seiten eröffnen Internetsperren außerdem die Möglichkeit, zu überprüfen, ob ihr Angebot bereits unter Verdacht geraten ist. Damit wird den Betreibern ein Frühwarnsystem an die Hand gegeben, welches die Strafverfolgung massiv erschwert.“
Jens Seipenbusch, stellv. Vorsitzender der Piratenpartei erklärt zu dem Vorhaben: „Am 18. Juni soll im Bundestag die zweite und dritte Lesung zum Gesetz stattfinden, damit es noch vor der Sommerpause abgesegnet werden kann. Die auffällige Eile und die Tatsache, dass die Lesungen an einem Tag zusammengelegt werden, legen die Vermutung nahe, dass hier schnell ein Gesetz unter fadenscheinigen Vorwänden durchgepeitscht werden soll, noch bevor die öffentliche Debatte stattgefunden hat. Die Online-Petition gegen das Gesetz mit knapp 120.000 Unterzeichnern ist einmalig und sollte von der Regierung ernst genommen werden!“
Die Piratenpartei fordert die Regierung auf, Kindermissbrauch und dessen Dokumentation im Internet effektiv aber ausschließlich mit rechtsstaatlichen Mitteln zu bekämpfen: Da kriminelle Angebote gelöscht werden müssen, gibt es keinen Grund, sie bloß zu verstecken. Gegen die Täter muss wirksam strafrechtlich ermittelt werden. Die internationale Zusammenarbeit im Sinne der Kommunikation der Sicherheitsbehörden zum Abschalten der Angebote muss verbessert werden. Grundgesetzwidrige Maßnahmen oder das Umgehen der Gewaltenteilung sind in diesem Zusammenhang absolut nicht hinnehmbar. Die kontraproduktiven Vorschläge der Bundesregierung müssen gestoppt werden.
FoeBud-Seite zum Thema Internetzensur
Arbeitskreis Internetzensur
1 Kommentar | Allgemeines, Informationssicherheit, Netzkultur | Mit Tag(s) versehen: Access, Access Blocking, Access Control, Bürgerrechte, Computerforensik, Cyber-Crime, DNS-Server, Domain Name System, Ermittlung, Fahndung, Internet, IT-Forensik, Kinderpornografie, Netzkultur, Netzsperren, Netzwerk, Netzzensur, Piratenpartei, Webanwendung, Webapplikation, Webhoster, Webserver | Permalink
Verfasst von Guido Strunck
