25. Chaos Communication Congress

Von 27.-30.12.2008 fand der 25. Chaos Communication Congress (25C3), die jährliche Kongresstagung des CCC in Berlin statt. Der 25C3 stand dieses Jahr unter dem Motto „Nothing to hide“, was eine Anspielung auf die Behauptung „Ich habe doch nichts zu verbergen“ sein dürfte, die manch naiver Zeitgenosse absondert, wenn es um die kritische Auseinandersetzung mit den Überwachungsgesetzen des Schäuble-Staates geht.

Inhaltlich drehte sich der gut besuchte Kongress um Themen wie die zahlreichen Datenschutzskandale dieses Jahres sowie Forderungen nach regulatorischen Maßnahmen zu ihrer Eindämmung. Umgekehrt standen auch offensichtliches Staatsversagen z.B. in Form des „Hackerparagraphen“, den Projekten zum Thema Wahlcomputer oder der Vorratsdatenspeicherung sowie den zunehmenden Politikerwünschen nach staatlicher Netzzensur zur Debatte. In all diesen Fällen hatten sich die Parlamentarier nicht nur völlig beratungsresistent gegenüber der Fachwelt gezeigt sondern meist sogar das Gegenteil dessen beschlossen, was Experten ihnen nahe legten. Die so angerichteten Schäden werden noch auf lange Zeit die Gerichte zu beschäftigen haben.

Neben weiteren IT-politischen Themen wie dem elektronischen Personalausweis (ePA), der geplanten elektronischen Gesundheitskarte (eGK) oder den Auswirkungen des neuen IT-Grundrechts lag der Schwerpunkt bei technischen Themen, Sicherheitsfragen oder Proof-of-concept-Vorträgen zu Hackertechniken. Auch exotische Dinge wie z.B. „Pflanzenhacking“ (dass Manipulieren pflanzlicher DNA durch Züchtung) fanden ihr Plätzchen. Und natürlich wurden Hacks für mitgebrachte iPhones, Computer, Spielkonsolen und vielerlei anderes Gerät demonstriert und thematisiert.

Die Kongressdokumentation kann hier bestellt werden. Auf der Website können einige Vorträge auch als PDF heruntergeladen werden.

Heise.de: Hackerkongress 25C3 mit neuem Besucherrekord abgeschlossen

Gulli.de: Jahresrückblick des Chaos Computer Club Teil 1

Gulli.de: Jahresrückblick des Chaos Computer Club Teil 2

Update zum Hackerparagraph: Interview mit iX-Chefredakteur auf Gulli.de

Vor kurzem berichtete ich hier über die Hackerparagraph-Selbstanzeige des IX-Chefredakteurs Jürgen Seeger.

Jetzt hat Gulli.de ein Interview mit ihm zu eben dieser Aktion veröffentlicht:

Gulli.de: Interview mit Jürgen Seeger

Der Kampf um die Netzneutralität

Stellen Sie sich vor, Deutschlands Straßen wären Eigentum der Autobauer. Das Münchner Straßennetz wäre im Besitz von BMW, in Stuttgart hätte Daimler das Sagen und in Wolfsburg VW. Nicht nur dass – natürlich zusätzlich zur Kfz-Steuer – Maut und Wegezoll wie im Mittelalter erhoben würde. Auch kann, wer das passende Auto zur Straße fährt, besondere Privilegien in Anspruch nehmen. Er darf schneller fahren, seinen Wagen im Parkverbot abstellen, bekommt einer Extra-Fahrspur und darf sogar den Politessen ungestraft an den Hintern grabschen.

Unvorstellbar? Nein – denn genau darum geht es im Prinzip bei der weltweit geführten Diskussion um die sog. „Netzneutralität“. Die Betreiber der globalen Kommunikationsnetze sind an sich austauschbare Dienstleister. Der Wettbewerb erfolgt weitgehend über den Preis. Diese Position passt den Managern dieser Konzerne schon länger nicht. Allerdings gelang es ihnen bis heute nicht, ihr Geschäft so zu gestalten, dass es einen einmaligen unverwechselbaren Kundennutzen bietet, den so kein Wettbewerber bieten kann. Kommunikationsnetze sind Infrastruktur wie Strom, Wasser, Bahnlinien oder die bereits erwähnten Straßen. In etlichen Staaten sind sie als staatlich organisierte Einrichtungen gar nicht Gegenstand der Privatwirtschaft.

Das ist im „Reich der geistigen Monopolrechte“ anders. Hier lassen sich die Gesetze der Marktwirtschaft zumindest vorübergehend außer Kraft setzen. Patente, Markenrechte oder spezielle Privilegien für Urheber und Verwerterlobby ermöglichen es, am Markt vorbei (zeitlich begrenzt) Monopolrenditen zu erwirtschaften. Von diesen Überrenditen hätten auch die Netzbetreiber gerne etwas ab. Daher entwickelten sie die Idee, von webbasierten Diensten mit besonderer Anziehungskraft (etwa Amazon, eBay, Youtube oder Myspace) oder mit hohen Verfügbarkeitsanforderungen (etwa IP-TV, VoIP, Onlinespiele oder virtuelle Welten) einen Zusatzbeitrag zu verlagen.

Letztlich sollen also die Kunden zweimal bezahlen. Einmal für ihren DSL-Anschluss ans Internet. Und ein zweites Mal in Form höherer Preise und Gebühren, da die oben genannten Dienste Zusatzkosten durch die Netzbetreiber natürlich an den Endverbraucher weitergeben würden.

Netzneutralität dagegen bedeutet, dass es die Netzbetreiber nichts anzugehen  hat, welche Inhalte sich in ihren Netzen bewegen, da sie für die reine Menge der Inhalte bzw. für die reine Bereitstellung der Infrastruktur und bestimmter Datentransferraten bereits abschließend bezahlt wurden. Sie hätten aller Datenpakete an ihre Kunden zu übertragen, unabhängig davon, woher diese stammen oder welche Anwendungen die Pakete erzeugt haben. So wie Provider heute ein Haftungsprivileg erhalten, durch dass sie nicht für die (möglicherweise illegalen) Datentransfers ihrer Kunden zur Rechenschaft gezogen werden können (§ 11 TDG Mitstörerhaftung), so hätten sie sich auch nicht ohne Aufforderung Dritter oder durch die Justiz mit diesen Inhalten zu befassen.

Die Sache hat zudem eine politischen und einen sicherheitstechnischen Aspekt. Gibt man die Netzneutralität auf und den Providern somit die Möglichkeit Inhalte privilegiert zu befördern und andere künstlich auszubremsen, so kämen zwar große Content-Provider nach wie vor schnell durchs Netz, indem sie die Zusatzkosten zahlen oder schlicht einen Netzbetreiber aufkaufen. Finanziell weniger starke Anbieter würden aber – im Gegensatz zu heute – rasch aus dem Internet herausgedrängt. Zudem könnten auch NGOs und politisch nicht dem Mainstream entsprechende Angebote verdrängt werden. Die Möglichkeiten zur Netzzensur wären um eine weitere bereichert. Früher oder später würden Regierungen davon Gebrauch machen, indem sie z.B. fordern, dass Tauschbörsenprotokolle ausgebremst oder ganz weggefiltert werden. Oder nur von einer staatlichen Behörde akkreditierte Angebote mit voller Geschwindigkeit im Netz abrufbar wären.

Der sicherheitstechnische Aspekt besteht in Datenschutz- und Haftungsrisiken der Netzbetreiber sowie zusätzlichen Angriffspunkten auf Firmen. Schon heute dürfen Urheber (und solche die sich dafür halten) über besondere Auskunftsrechte Kundendaten der Provider „absaugen“. Bestimmte Unternehmen (z.B. Fluggesellschaften) dürfen sogar Kundendaten mit erhöhtem Schutzniveau (z.B. Gesundheits- und Sozialdaten) ungestraft und unkontrolliert in „datenschutzrechtliche Bananenstaaten“ wie die USA weiterleiten. Staat und Wirtschaft nehmen es bereits heute nicht allzu genau mit den Daten ihrer Kunden. Ihnen daher noch weitere Missbrauchsmöglichkeiten zuzugestehen wäre schlicht weltfremd. Und die Privilegierung dieser oder die Behinderung jener Netzinhalte wäre so etwas, da Netzbetreiber Inhalte natürlich mit Kundenidentitäten und Zahlungen in Verbindung bringen müssen, um sie privilegieren oder behindern zu können.

Über technische Manipulationen der entsprechenden Systeme wären auch ganz neue Formen von Denial-of-Service-Angriffen auf unbeteiligte Dritte möglich. Netzprovider hätten massiv in die Sicherheit ihrer Systeme zu investieren, da sie mit der Möglichkeit der bewussten Manipulation von Datenströmen (z.B. „Ausbremsen“ aller Daten eine bestimmten Internet-Versandhändlers oder einer Bank) ein zusätzliches Scheunentor für Hackerattacken öffnen würden. Zudem entstünden ganz neue Rechtsrisiken für die Provider, die dann dem Geschädigten für den aus einem solchen Angriff entstandenen Schaden haften müssten.

Trotzdem betreiben gerade die Telcos massiv Lobbying auf EU-Ebene, um absehbare Regulierungsprojekte wie z.B. das sog. „Telekom-Paket“ in ihrem Sinne und damit zum Nachteil der Netzneutralität zu beeinflussen.

Alles in allem spricht viel dafür, die Netzneutralität zügig gesetzlich zu regeln, um dieses „Experimentierfeld“ mit seinen rechtlichen und sicherheitstechnischen Tretminen sauber und abschließend geregelt zu bekommen. Auf freiwillige und unverbindliche Selbstregulierung durch die Wirtschaft zu setzen wäre hier ebenso falsch, wie einem Hund die Bewachung der Wurstvorräte zu überlassen.

Telekom-Paket – Blogosphäre protestiert für Netzneutralität

Europäische Telcos gegen Netzneutralität

Einigung im EU-Rat über Neufassung der Telecom-Regulierung

Kampf um Netzneutralität: Wird das Internet langsam?

Link ipwiki.de

Link hinzugefügt (IT-Recht): Wiki zum gewerblichen Rechtsschutz und geistigen Eigentum

Sicherheitsrisiko Softwaretest

Wenn es um den Schutz von Kundendaten geht, wurden viele Unternehmen durch die Datenschutzskandale der letzten Monate mittlerweile sensibilisiert. Ausnahme von der Regel ist einer Studie zufolge die Verwendung von Realdaten in Testsystemen.

Bei einer Umfrage von Freeform Dynamics unter 240 IT-Verantwortlichen in Deutschland, Frankreich und Großbritannien im Auftrag von IBM fand man heraus, dass in mehr als 70% der Unternehmen Daten aus Produktivsystemen für Softwaretests verwendet werden. Oftmals unverändert und unverschlüsselt. Da Testumgebungen häufig nicht den gleichen strengen Sicherheitsbestimmungen unterliegen, die für die Produktivsysteme gelten, entstehen hier beträchtliche Sicherheitsprobleme und Compliance-Risiken. Schließlich dürfen personenbezogene Echtdaten nur zweckbestimmt verarbeitet werden. Auch sind Kundendaten aus einer Testumgebung leichter illegal „abzuzweigen“ als aus einer – vielleicht vorbildlich gesicherten – Produktivumgebung.

Die Studie ging dabei auch der Frage nach, warum so häufig Echtdaten an Stelle zufällig generierter Testdaten verwendet werden. Die häufigsten Antworten darauf waren:

„Ohne Echtdaten lässt sich keine echte Arbeitsumgebung simulieren.“

„Wir können unseren Testverpflichtungen nicht nachkommen, ohne die Anwendung mit echten Daten zu präsentieren.“

„Wir brauchen Daten in ausreichender Quantität, um Workloads und Performance präzise messen und anpassen zu können.“

„Die Verwendung von Live Data spart enorm Arbeit im Vergleich zur Erzeugung von Testdaten.“

Demnach verfügen zwar 58% der befragten Firmen über übergreifende Governance-Richtlinien, was den verantwortungsvollen Umgang mit Daten angeht. Wenn es um die Verwendung von Echtdaten bei der Softwareentwicklung geht, ist allerdings meist allein die IT-Abteilung zuständig, so dass einige interne Kontrollinstanzen wegfallen. So konnten in der Umfrage 40% der Risiko- und Compliance-Manager nicht beantworten, ob in ihrem Unternehmen Echtdaten von Kunden für Softwaretests verwendet werden.

Verschärft wird die Problematik durch das Thema Outsourcing. Softwareentwicklung sowie Softwarequalitätssicherung zählen zu den am häufigsten ausgelagerten IT-Prozessen, so dass zunehmend Gefahr besteht, dass Außenstehende Zugriff auf sensiblen Informationen bekommen. In der Umfrage gaben nur 27% an, alle Tests zur Qualitätssicherung intern vorzunehmen.

Daher wird den Lesern geraten, durch eine Kombination aus werkzeugunterstütztem Testen und Governance Ordnung in die Angelegenheit zu bringen. Dazu werden vier Schritte empfohlen: Testdaten inventarisieren, Risiken bewerten, eine Strategie zur Softwarequalitätssicherung festlegen und schließlich Rollen und Verantwortlichkeiten definieren. Also im Prinzip die übliche Vorgehensweise, um Probleme durch fachlich und methodisch korrektes Vorgehen in den Griff zu bekommen.

Das Problem der Testdaten sollte bereits in das Projektmanagement von Entwicklungsprojekten eingebunden werden. Dabei zeigt die Praxis leider häufig: An das Testen wird erst ganz zuletzt gedacht. Und an die Herkunft der Testdaten oft überhaupt nicht.

Projektmanagern, die dieses Problemfeld künftig besser planen und bearbeiten wollen, sei dazu der Studie folgend ,diese Vorgehensweise ans Herz gelegt:

• Verschaffen Sie sich einen Überblick über die Testdaten. Sammeln Sie Testdaten und strukturieren Sie diese nach ihrem Risikopotenzial.
• Klären Sie die rechtlichen Rahmenbedingungen ab. Welchen Regulatorien unterliegen die Daten, die zum Testen verwendet werden sollen? Was darf mit ihnen legal getan werden und was nicht?
• Überprüfen Sie Ihre Testprozesse. Genügen die Abläufe den Sicherheitsvorschriften? Was passiert im Fall eines Datenlecks?
• Legen Sie Richtlinien fest. Ein Mix aus übergeordneten, unternehmensweiten Vorgaben und bereichsspezifischen Vorgehensweisen stellt die Einhaltung von Richtlinien am ehesten sicher.
• Legen Sie die Zuständigkeiten fest. Überprüfen Sie dazu, inwieweit sich das allgemeine Rollenmodell in Sachen Sicherheit auf die Testumgebung anwenden lässt und wo gegebenenfalls Lücken geschlossen werden müssen.
• Wählen Sie Tools aus und setzen Sie diese ein. Bestimmte Informationen sollten nicht in ihrer Rohversion verwendet werden. Spezialisierte Tools können helfen, diese Daten zu anonymisieren und anderweitig für den Test aufzubereiten, ohne ihre Integrität etwa bei Plausibilitätstests innerhalb der zu entwickelnden Applikation zu zerstören.
• Vernichten Sie nicht verwendete Daten. Gibt es Zweifel, ob die Daten noch gebraucht werden, dann müssen diese zumindest bis zur endgültigen Entscheidung in „Quarantäne gesteckt“, d.h. besonders gesichert außerhalb der Testsysteme verwahrt werden.

Computerzeitung.de: Echtdaten in Testsystemen bergen große Risiken

Freeformdynamics.com: Data Governance in the Software Lifecycle. Assuring the security of sensitive information

Hackerparagraph: iX-Chefredakteur zeigt sich selbst an

Jürgen Seeger, der Chefredakteur des IT-Magazins iX hat sich heute selbst bei der Staatsanwaltschaft Hannover wegen „Vorbereitung des Ausspähens und Abfangens von Daten“ nach Paragraf 202c StGB (dem sog. „Hackerparagraphen“) angezeigt.

Der Grund dafür: Auf der Heft-DVD des iX Special „Sicher im Netz“ wurde Backtrack III, ein „Hackerlinux“ mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann, mit veröffentlicht. Derartige Software ist ein klassisches Beispiel für so genannte „dual use“-Programme. Software also, die sowohl zu legalen Zwecken der Sicherheitsprüfung der eigenen IT als auch zu illegalen Zwecken wie Angriffen auf fremde Rechner verwendet werden kann.

Die Sonderausgabe des Fachmagazins iX gibt Administratoren Tipps, wie sie Systemeinbrüche simulieren können, um anschließend geeignete Schutzmethoden zu finden.

Chefredakteur Seeger erklärt dazu: „Wir verteilen die Software, da es für Administratoren unentbehrlich ist, diese Programme zum Schutz des eigenen Systems und zur Abwehr von Angriffen zu verwenden. Gleichzeitig können wir aber nicht ausschließen, dass die Programme auch im rechtswidrigen Rahmen eingesetzt werden. Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen“.

Es stimmt mehr als bedenklich, wenn selbst renommierte Fachzeitschriften neben der Konsultation ihrer (wohl gut bestückten) Rechtsabteilungen zu solchen Maßnahmen greifen müssen, um halbwegs Rechtssicherheit zu ihrer fachlich-publizistischen Tätigkeit erlangen zu können. Und das in einem Land, das regelmäßig anderen Ländern meint, Demokratie, Menschenrechte und Zivilisation erklären zu müssen.

Der sog. „Hackerparagraph“ reiht sich somit  in die immer länger werdende Liste IT-rechtlicher Fehlleistungen der schwarz-roten Koalitionsregierung in Berlin ein.

Heise.de: iX-Chefredakteur zeigt sich selbst an

BITKOM gibt Leitfaden zum Hackerparagraph heraus

Computer & Arbeit 06/2008: Neues vom „Hackerparagraphen“

Regierung missbraucht Kindesinteressen zum Zwecke der Netzzensur

Aus aktuellem Anlass dokumentiere ich an dieser Stelle eine Pressemeldung der Piratenpartei Niedersachsen. Sie zeigt deutlich, dass die Regierung mittlerweile sogar vor Missbrauch von Kindesinteressen und Irreführung von Eltern nicht mehr zurückschreckt, um ihre Ziele der staatlich gesteuerten Netzzensur durchsetzen zu können. Die Verallgemeinerung „Regierung“ habe ich bewusst gewählt, da die Gedanken des niedersächsischen Innenministers auch von rechtskonservativen Politikern der Bundesregierung (Schäuble, van der Leyen u.a.) geteilt werden.

Wahltag ist Zahltag!

Kinderpornografie wirksam bekämpfen

Zensurmaßnahmen für das Internet sind der falsche Weg

Stellungnahme des Landesverband Niedersachsen der Piratenpartei Deutschland:

Der Niedersächsische Innenminister Uwe Schünemann (CDU) will mittels Filterprogrammen den Zugriff auf im Internet bereitgestellte Kinderpornografische Inhalte sperren. Diese Filter sollen bei den Anbietern von Internetzugängen und bei jedem Computernutzer eingerichtet werden. Wir, die Piraten Niedersachsen, finden das es wichtig und auch notwendig sei, Kinderpornografie zu verbieten, einen Zugriff darauf gar nicht erst zu ermöglichen und Straftäter wirksam zu verfolgen. Der Schutz der Kinder ist hier allererste Pflicht, nicht nur durch die Familie, sondern eben auch durch den Staat.

Nur leider schießt hier Herr Schünemann, wie so oft mit seinen scheinbar famosen Ideen, weit über das Ziel hinaus und vergisst dabei grundlegende Dinge, an die wir ihn aber immer wieder erinnern. Er hält es nach eigener Aussage für zu mühevoll die Hersteller von Kinderpornographie aufzuspüren und jeden Verstoß einzeln zu verfolgen. Dies müsste unserer Ansicht nach jedoch das vordringliche Ziel der Sicherheitsbehörden sein.

Es reicht nicht aus, den Zugang und Zugriff auf solche Inhalte zu erschweren. Vielmehr muss hier von vorne herein verhindert werden, dass solche Inhalte überhaupt erstellt und dann auch noch veröffentlicht oder weitergegeben werden. Das ist in etwa so, als würde man sagen, dass lediglich noch die Hehlerei verfolgt werden soll, weil die Verfolgung von Diebstählen zu mühsam ist. Herr Schünemann sieht im Internet nur ein Tatwerkzeug, dabei ist es im engen Rahmen ein wertvolles Werkzeug, um an die Hintermänner heranzukommen.

Auch wird immer wieder behauptet dass Kinderpornografie ein großes Geschäft sei. Wenn dem so ist, müsste es ja auch Zahlungsströme geben, die verfolgbar sind, und die Konten, auf die das Geld geht, müssten doch zu sperren sein. Bei Menschen oder Organisationen die in Verdacht stehen, Terroristen zu sein oder sie zu unterstützen, geht das schließlich auch sehr schnell, und das schon bei geringsten Verdachtsmomenten.

Doch dieser Weg scheint für den niedersächsischen Innenminister nicht geeignet. Die Aussage, dass das „zu mühsam“ ist, zeigt eindeutig, dass es Schünemann dann doch nicht so wirklich nur um missbrauchte Kinder gehen kann.

Wir, die Piraten Niedersachsen, sehen, so schlimm Kinderpornografie auch ist, keine Notwenigkeit darin Grundrechte auszuhebeln und Zensur zu etablieren. Denn nichts anderes würde solch eine Filtersoftware darstellen. Zudem birgt dies die Gefahr, dass in Zukunft auch andere Inhalte vorsorglich gefiltert werden könnten. Es bedarf keiner „Great Firewall of Niedersachsen“ Diese vorgeschlagene Maßnahme verhindert nicht den Missbrauch an Kindern, hierfür sind andere Mittel besser und umfassender geeignet.

Piratenpartei Niedersachsen: Kinderpornografie wirksam bekämpfen

Heise.de: Verhindern von Kinderporno statt Internetsperren

Heise.de: Niedersachsens Innenminister fordert Filterprogramme gegen Kinderpornos

Deutschlands bisher größter Datenschutz-GAU

Der bisher größte Datenschutz-GAU Deutschlands ging die letzten beiden Wochen durch die Presse. Zunächst gab die Wirtschaftswoche bekannt, ihr wären im Rahmen von Recherchen in den Rotlichtvierteln der Datendealer etwa 21 Millionen (!!) Datensätze von Bundesbürgern angeboten worden. Jeweils komplett mit Namen, Adressen, Kontendaten und Einordnung der Vermögenslage. Zehn Prozent davon gab es als DVD vorab zur Begutachtung (die DVD wurde anschließend der Staatsanwaltschaft übergeben). Und erst vor wenigen Tagen musste dann die Landesbank Berlin gestehen, dass ihr ebenfalls Millionen von Kundendaten gestohlen wurden. Betroffen sind u.a. Kunden, die über Amazon oder den ADAC Kreditkarten laufen hätten, deren technische Abwicklung über die Berliner Landesbank läuft.

Inzwischen muss davon ausgegangen werden, dass fast jeder deutsche Haushalt mit Bankverbindung den Datenhehlern bekannt ist. Und da Banken Abbuchungen von Kundenkonten grundsätzlich nicht genauer prüfen, sondern im Beschwerdefall nur rückgängig machen, muss wohl jeder selber prüfen, ob ihm was zu Unrecht abgebucht wurde. Insbesondere Kleinbeträge mit unscheinbaren Bezeichnungen können da auf vielgenutzten Konten schon  mal durch die Lappen gehen. Auf dieser Überlegung basiert das „Geschäftsmodell“ von Kontentrickbetrügern. Aber auch untergeschobene Aboverträge setzen bekannte Bankkonten voraus, von denen unberechtigt abgebucht wurde. Die Erfahrung zeigt, dass sich gerade ältere Leute und Ausländer gegen solche Praktikern nicht wehren, da dies ein längeres Hin und Her von Korrespondenz mit sich bringen kann.

Unser Staat, der gegen kleinere oder gar nicht existierende Übel sofort mit Vorratsdatenspeicherung, Antiterrorwahn, Nackscannern und Netzzensur zu Felde ziehen will, ist offenbar nicht in der Lage seine Bürger vor Datenschmu und Datenklau zu schützen. Illegal gewonnene Kundendaten können verdealt werden, ohne dass die Übeltäter ernsthaft mit Problemen durch Polizei und Justiz zu rechnen haben. Zumindest erscheint kaum entsprechende Rechtsprechung in den Fachzeitschriften der Datenschützer und IT-Rechtler der letzten Jahre.

Und das obwohl zumindest das Bundeskabinett Aktivität bewies und letzte Woche den Entwurf für ein reformiertes Datenschutzgesetz beschloss, der unter anderem die Weitergabe persönlicher Daten ohne Zustimmung der Betroffenen grundsätzlich verbietet. Darin flossen etliche Dinge ein, welche Politiker auf Datenschutzgipfeln der letzten Monate als Folge zahlreicher Datenskandale zusagten. Was letztlich daraus werden wird, ist noch offen.

Zugleich zeugt die genauere Analyse der neuen Datendealereien die strukturelle Schwachstelle der Datenhaltung in der Wirtschaft. So konnte die Wirtschaftswoche die Herkunft der geklauten Daten immer wieder in dubiose Call-Center zurückverfolgen. Diese erhalten von Auftraggebern zur Ausführung von Kundenumfragen, Marketing-Aktionen usw. deren Daten zur Verfügung gestellt. Dass diese nach Abschluss des Auftrags wieder gelöscht werden, prüft niemand nach. Stattdessen werden die Daten oft mit weiteren Beständen sowie selbst zugekauften Daten zu immer größeren und wertvolleren Datenbanken aufgetürmt. Hin und wieder klaute diese auch mal ein Mitarbeiter, um damit sein eigenes Call-Center zu eröffnen. Mehr als den Rauswurf riskierte er nicht, da die Szene Strafanzeigen und juristische Ermittlungen scheut. Und so sind diese Datenbestände wohl kaum noch rückholbar. Sie werden letztlich nur durch Alterung (Adressänderungen, Kontenwechsel) nach und nach unbrauchbar werden.

Die Verarbeitung von Kundendaten durch externe Dritte, Outsourcing-Dienstleister, Zeit- und Leiharbeiter, Shared-Service-Center usw. ist die Schwachstelle, durch die zunächst kontrollfreie Grauzonen und später Datenkriminalität in die Unternehmen schlüpfen. Und schlecht bezahlte Randbelegschaften, wie man sie gerade in kostengedrückten Call-Centern oder Industriedienstleistern antrifft, zeichnen sich auch nicht gerade zu übermäßiger Loyalität zu ihren Nicht-Arbeitgebern aus.

Der Bundesdatenschutzbeauftragte Peter Schaar kritisierte dieses Vorgehen der Unternehmen: „Ich habe den Eindruck, dass immer mehr Arbeitsprozesse ausgelagert werden, um Kosten zu sparen, dass aber beim Auslagern keine entsprechenden Sicherheitsvorkehrungen getroffen werden, um Datenmissbrauch zu vermeiden“, sagte er in einem Interview mit Spiegel Online. „Würden die Banken die Daten, die sie rausgeben, genau kontrollieren, würden die Margen, die sie durch das Outsourcing erzielen, wieder schrumpfen“, sagt Schaar. Die Folge seien mangelhafte Kontrollen der externen Dienstleister. „Und das ist unverantwortlich.“

Diese Pflicht beginnt bei der Auswahl des externen Dienstleisters, erstreckt sich über die genaue Fixierung der technischen und organisatorischen Maßnahmen, mit denen die Einhaltung der Datenschutzregeln gewährleistet wird, und sie endet bei der Kontrolle des externen Dienstleisters.

Zudem ist diese Frage eigentlich ganz klar im Bundesdatenschutzgesetz geregelt. Es schreibt in § 9 und 11 vor, dass bei Auftragsdatenverarbeitung stets der Auftraggeber für die Einhaltung der Vorschriften des Gesetzes verantwortlich bleibt. Er hat also seinen Dienstleistern auf die Finger zu sehen und haftet für alles, was diese in seinem Namen verbocken.

Es warten daher sowohl für den Staat (härteres Datenschutzrecht, besserer Verbraucherschutz, effektiveres Vorgehen gegen Betrug) als auch für die Wirtschaft (effektiverer Schutz von Kundendaten, Verzicht auf unkontrollierbare Auslagerung sensibler Geschäftsbereiche, keine prekär Beschäftigten für den Umgang mit Kundendaten) noch „Baustellen“ in beträchtlichem Umfang.

Erklärung der Landesbank Berlin zu Datendiebstählen

Verfassungsrichter: Staat muss Bürger stärker vor Datenmissbrauch schützen

Datenlecks: Outsourcing macht Kreditkartenzahlung zum Risikospiel

Berliner Landesbank: Neuer Datenskandal schockiert Experten

Skandal bei der LBB – Gigantisches Datenleck

FR- Leitartikel: Datensicherheit 1.0

21 Millionen Kontonummern von deutschen Bürgern im Umlauf

Datenskandal: Kontonummern von 21 Millionen Bürgern illegal im Umlauf

Link Deutsches Sicherheitsnetz e.V.

Link hinzugefügt (Sicherheitspraxis): Deutsches Sicherheitsnetz e.V.

Arbeitnehmerdatenschutzgesetz im politischen Winterschlaf?

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), ein Zusammenschluss der Datenschutzbeauftragten zahlreicher deutscher Unternehmen, sieht große Defizite beim Arbeitnehmerdatenschutz. Trotz öffentlicher Lippenbekenntnisse in Folge der zahlreichen Datenschutzskandale der letzten Monate sind kaum Taten gefolgt, kritisiert der Verband.

Auf ihrem Treffen am vergangenen Wochenende in Kempten kamen die Experten des BvD-Arbeitskreises „Datenschutz in Recht und Praxis“ zu einem ernüchternden Fazit: „Neun Monate nach den Skandalen bei Lidl und Co. hat die Bundesregierung den Arbeitnehmerdatenschutz ad acta gelegt“ zieht der Arbeitskreis in einer aktuellen Pressemitteilung Bilanz. Zwar hat die Regierung „in den Zeiten medialer Aufmerksamkeit für das Thema Mitarbeiterüberwachung die Notwendigkeit moderner bereichsspezifischer Datenschutzregelungen im Arbeitsverhältnis anerkannt“ und eine Reformierung des Arbeitnehmerdatenschutzes geplant. Es ist jedoch bis heute bei der reinen Ankündigung solcher Taten geblieben, ohne dass wirklich konkret etwas zur Umsetzung der Pläne unternommen wurde. „Die vielfältigen Initiativen für eine eigenständige gesetzliche Regelung wurden bisher als unnötig abgelehnt. Die Regelung einzelner Aspekte im Rahmen des Bundesdatenschutzgesetzes ist unserer Meinung nach der falsche Weg. Aber nicht einmal darüber wird momentan verhandelt“, so Dieter Ehrenschwender, Vorstandsmitglied im BvD und Sprecher des Arbeitskreises „Datenschutz in Recht und Praxis“.

„In der Tat blenden die aktuellen Gesetzesvorhaben den Datenschutz im Arbeitsverhältnis aus: Vorschläge zum Umgang mit Bewerberdaten, zur Kontrolle der E-Mail- und Internetnutzung im Unternehmen oder zur Datenschutzkontrolle beim Betriebsrat sucht man ebenso vergebens wie Vorgaben zu Mitarbeiterdaten im Konzernverbund“, kritisiert der BvD, der die aktuelle rechtliche Situation für keineswegs ausreichend hält, um den Schutz der Privatsphäre am Arbeitsplatz zuverlässig sicherzustellen.

Dabei hatten sich der Bundesrat und zuletzt die SPD-Bundestagsfraktion deutlich für übersichtliche gesetzliche Regelungen im Arbeitnehmerdatenschutz ausgesprochen. Anscheinend aber so „übersichtlich“, dass sich eine weitere Verfolgung des Themas erübrigt. Oder befürchtet man etwa, mit dem Projekt nicht mehr vor Ablauf der Legislaturperiode bzw. der faktischen Einstellung der Regierungstätigkeit aus Wahlkampfgründen zu Potte zu kommen?

„Nach unserer Meinung ist eine erfolgreiche und nachhaltige Verwirklichung des Beschäftigtendatenschutzes nur möglich, wenn es eine eigenständige, umfassende und einfach handhabbare gesetzliche Regelung gibt“, meint Dieter Ehrenschwender weiter. „Vielleicht ist das Arbeitnehmerdatenschutzgesetz aus Wahlkampfgründen in den Winterschlaf geschickt worden. Wir werden das Thema im Interesse der Betroffenen nicht ruhen lassen“ verspricht Ehrenschwender kämpferisch. Mit etwas Glück und Einsatz aus der Fachwelt wird neben Vorratsdatenspeicherung, BKA-Gesetz und Volkszählung demnächst auch noch ein weiteres netzpolitisches Thema Stoff für die politischen Debatten unseres Landes hergeben.