Handwerker und Ingenieure unter den Hackern

Hacker (im Sinne von Angreifern auf IT-Systeme) lassen sich sehr grob in zwei Kategorien einteilen: „Handwerker“ und „Ingenieure“.

„Handwerker“ bilden die große Masse der möglichen Angreifer auf IT-Systeme. Sie gehen bei einem Angriff in etwa wie folgt vor:

1. Sie versuchen herauszubekommen, wie das Zielsystem genau beschaffen ist. Konfiguration, genaue Version des Betriebssystems und aller relevanten Anwendungen, Verbindungen zu anderen Systemen, verwendete Netzwerk- und Kommunikationsprotokolle. Die dabei eingesetzten Methoden können recht vielfältig sein.
2. Dann schlagen sie in einer öffentlich verfügbaren Datenbank wie etwa Bugtraq nach, welche bekannten Schwachstellen ein System mit dieser Konfiguration hat.
3. Mit Hilfe von parametrisierbaren Exploits, die aus frei verfügbaren Werkzeugsammlungen wie dem Metasploit-Projekt entnommen werden können, wird das Zielsystem angegriffen. Oftmals erfolgreich.

Schematisch erfolgende Angriffe dieser Art sind relativ einfach abzuwehren. Oft reicht es im Wesentlichen, alle Systeme auf aktuellem Patchlevel zu halten, sie bzgl. der Zugriffsrechte und bereitgestellter Dienste und Ports sparsam zu konfigurieren und dazu noch gehärtete Systemplattformen einzusetzen.

Dagegen gehen die „Ingenieure“ unter den Hackern mit beträchtlich mehr Wissen und um einiges individueller vor:

1. Sie versuchen herauszubekommen, wie das Zielsystem genau beschaffen ist. Konfiguration, genaue Version des Betriebssystems und aller relevanten Anwendungen, Verbindungen zu anderen Systemen, verwendete Netzwerk- und Kommunikationsprotokolle.
2. Dann entwickeln sie eigenen Code, den sie mit selbstgebauten Werkzeugen zunächst auf Testplattformen und später am Zielsystem zum Einsatz bringen, um unbekannte aber für Experten abschätzbare Sicherheitslücken aufzustöbern und auszukundschaften.
3. Anschließend verschaffen sie sich Zugang, nehmen alle gewünschten Transaktionen vor (meist möglichst unbemerkter und spurloser Datendiebstahl), hinterlassen ggf. um „Hintertüren“ für späteres Zurückkommen gepatchte Syteme und verschwinden so lautlos wie sie gekommen sind.

Gegen „Ingenieure“ sind standardisierte Vorgehensweisen im IT-Sicherheitsmanagement nur begrenzt wirksam. Sie erschweren ihr Vorgehen, machen es aber nicht unmöglich.

Unternehmen, die ihr IT-Sicherheitsniveau verbessern wollen, beauftragen regelmäßig externe Dienstleister mit der Durchführung von Penetration Tests. Bei solchen Tests wird je nach Auftragsumfang mehr oder weniger gründlich versucht, die Unternehmens-IT auszuspähen und zu hacken. Der Auftraggeber erhält als Ergebnis des Pen-Tests einen Bericht, dem er aufgedeckte Schwachstellen und Ratschläge zu deren Beseitigung entnehmen kann. Oft werden auch Audits und Zertifizierungen zur begleitenden Prozessberatung und Verbesserung des Reifegrads der IT-Sicherheit angeboten. Es ist empfehlenswert, seine sensiblen IT-Systeme regelmäßig einem solchen „Sicherheits-TÜV“ zu unterziehen.

Allerdings orientieren sich Pen-Tester schon aus ökonomischen Gründen am Vorgehen der „Handwerker“. Das kundenindividuelle Programmieren von Exploits ist eher unüblich bzw. würde meist auch nicht bezahlt werden. Außerdem wollen Kundenfirmen ja meist ihr grundsätzliches Sicherheitsniveau anheben und stabilisieren, statt mit hohem finanziellen Aufwand an den letzten Prozentpunkten ihres Sicherheitsniveaus zu feilen.

Gegen „Ingenieure“ helfen gängige Sicherheitsstrategien also ebensowenig wie Pen-Tests zu deren Validierung. Da „Ingenieure“ heute aber meist professionell arbeitende Wirtschaftskriminelle sind, lohnt es sich über deren Motive nachzudenken, um die Wahrscheinlichkeit von Angriffen auf ein konkretes Unternehmen einzuschätzen.

Meist sind sie auf den unbemerkten Diebstahl von Informationen aus, zu deren Beschaffung sie beauftragt wurden (Wirtschaftsspionage). Oder die auf dem Datenschwarzmarkt einen hohen Preis erzielen können (Datenhandel, z.B. Kontodaten). Oder die sich dazu eignen, das angegriffene Unternehmen damit zu erpressen (z.B. durch existenzgefährdenden Reputationsverlust und Regressklagen wenn das Abhandenkommens der Daten bekannt wird).

Hier müssen also Strategien des Risikomanagements und der Prävention zum Einsatz kommen, die über rein technische Maßnahmen hinausreichen. Das kann bei so banalen Dingen wie einer möglichst datenarm organisierten Betriebsinformatik beginnen. Daten, die erst gar nicht erhoben wurden, müssen auch nicht geschützt und gesichert werden.

Für den Rest gilt dann das Pareto-Prinzip, auch 80/20-Prinzip genannt. Die Konzentration auf die „Handwerker“ wird in etwa gut 80% des Maximalbedarfs an Informationssicherheit abdecken und einen brauchbaren IT-Grundschutz auf mittlerem Niveau realisieren. Um auch einen Großteil der „Ingenieure“ abzuwehren, sind weitere Maßnahmen erforderlich. Die jedoch deutlich mehr Kosten verursachen können, als die Umsetzung der Grundschutzprogramme für die ersten 80%.

Fürs Surfen gefeuert – Risiken privater Internetnutzung zuhause

Das Thema private Internetnutzung am Arbeitsplatz wird seit etwa drei Jahren in vielen Fachzeitschriften zum IT-Recht sowie auf entsprechenden Kongressen heftig diskutiert. Je genauer man sich damit befasst, desto heikler und detaillierter werden die rechtlichen Aspekte dieses Themas. Was es Entscheidern in Unternehmen alles andere als einfach macht, eine sinnvolle und zugleich akzeptable Lösung dafür zu finden.

Gerade für Arbeitnehmer kann aber auch die private Internetnutzung zuhause empfindliche arbeitsrechtliche Folgen haben. Und das ohne, dass sie ihren Arbeitgeber im Internet öffentlich schaden, wie es erst kürzlich zwei Mitarbeiter der Pizza-Kette Domino’s taten.

Popel auf der Pizza – Dominos Social Media Krise

Die beiden Pizzabäcker stellten selbstgedrehte Videos auf die Videoplattform Youtube, in denen einer der beiden Käse in seine Nase steckte und auf Salamistücke pupste, bevor er sie auf eine Pizza legte und draufspuckte. Sie wurden dafür natürlich entlassen, bescherten dem Pizzadienst allerdings heftige Probleme. Und lassen damit die Art und Weise wie Mitarbeiter in Fast-Food-Ketten geführt werden, einmal mehr als problematisch erscheinen. Solche „Aussetzer“ haben fast immer strukturelle Gründe – welcher loyale und vernünftige Mitarbeiter käme schon auf solch abstrusen Blödsinn?

Inzwischen ist auch die private Internetnutzung am privaten Internetzugang für Arbeitnehmer mit disziplinarischen Risiken behaftet – beispielsweise wenn man sich zuvor krankschreiben lässt. Das musste kürzlich die Angestellte einer Schweizer Krankenkasse erfahren, die sich wegen Migräne krankmeldete. Mit Kopfschmerzen könne sie keine Bildschirmarbeit verrichten. Kurz darauf war die Frau allerdings wieder soweit genesen, dass sie per Internethandy auf das soziale Netzwerk Facebook zugreifen konnte.

Das wurde vom Arbeitgeber bemerkt, worauf er ihr aufgrund des nun zerstörten Vertrauensverhältnisses kündigte. Dieser Fall aus der Schweiz ist grundsätzlich auch auf das Arbeitsrecht in Deutschland übertragbar. Denn auch das deutsche Arbeitsrecht basiert zu großen Teilen auf unbestimmten Rechtsbegriffen, die im Zweifel von Gerichten auszulegen sind. Dazu zählen auch schwammige Begriffe von „Vertrauensverhältnissen“ und Maßstäbe wann diese so weit „gestört“ sind, dass eine Kündigung ohne vorherige Abmahnung oder andere disziplinarische Maßnahmen rechtens ist.

Was darf der Mitarbeiter eines Unternehmens tun, während er krankgeschrieben ist? Muss man auf alle Aktivitäten verzichten und strikte Bettruhe einhalten? Das ist bis heute unklar und umstritten. Allenfalls lässt sich sagen, dass Erwerbstätigkeit (etwa in Nebenjobs oder als eBay-Händler) in jeder Form tabu ist. Und das der Krankgeschriebene alles zu vermeiden hat, was seine Genesung gefährden oder verzögern würde.

Kündigungen eines Arbeitsverhältnisses durch den Arbeitgeber unterliegen in Deutschland bis auf wenige Ausnahmen dem Kündigungsschutzgesetz. Es besagt in Kürze, dass Kündigungen nicht willkürlich erfolgen dürfen und dass sie bestimmten formalen Regeln zu folgen haben, deren Nichteinhaltung die Kündigung nichtig werden lässt.

Allerdings gibt es Kündigungen, die quasi „am Kündigungsschutz vorbei“ und rechtlich fast unangreifbar ausgesprochen werden können. Dazu zählen alle Formen der außerordentlichen Kündigung, die im BGB geregelt ist, und mit denen man den Kündigungsschutz legal umgehen kann, wenn die Voraussetzungen erfüllt sind.

Speziell im Einzelhandel beliebt: Sog. „Verdachtskündigungen“ bei denen der Arbeitgeber den Beschäftigten einer Straftat verdächtigt. Sowie Kündigungen aufgrund angeblicher (oftmals zur Umgehung des Kündigungsschutzes manipulierter) Bagatelldiebstähle durch Mitarbeiter, die dann durch „Störung des Vertrauensverhältnisses“ in Einklang mit der Rechtsprechung legalisiert werden. Beides ermöglicht es Arbeitgebern teure Arbeitsgerichtsprozesse, die meist auf Trennung und Abfindung hinauslaufen, zu vermeiden. Erst in den letzten Monaten gingen mehrere entsprechende Prozesse durch die Presse.

Mit der privaten Internetnutzung zuhause während des Krankseins ist so (zumindest für Bildschirmarbeiter) ein weiterer Quell manipulierbarer aber auch realer Kündigungsgründe entstanden, der die Arbeitsgerichte wohl noch beschäftigen wird.

Ein durchaus ernstzunehmendes Risiko. Getrickst wird schließlich überall. Angeblich sei ja die Diplomatie die höchste Form der Lüge, nach der aber gleich dahinter die Personalwirtschaft käme (Ausspruch eines BWL-Dozenten während meines Studiums).

Die Konsequenz: So wie ein Schwerverletzter kaum munter im Stadtpark spazieren oder im Garten Holz hacken sollte, so sollte auch ein krankgeschriebener Bildschirmarbeiter während des Krankseins nicht allzu viel unternehmen, was ihn nach außen sichtbar und identifizierbar macht (etwa Webseiten umbauen, Blogeinträge schreiben oder in Foren diskutieren). Schon um seinen informationellen Selbstschutz zu wahren.

Spiegel.de: Krank gemeldete Angestellte nach Facebook-Besuch gefeuert

Verdi.de: Die Verdachtskündigung

Arbeitsrecht.de: Die Verdachtskündigung

1euro30.de – Initiative gegen Bagatellkündigungen

Zum Welttag des geistigen Eigentums: Lasst die Ideen frei!

Sogenanntes „Geistiges Eigentum“ ist schon eine merkwürdige Sache. So merkwürdig, dass man ihm mit dem 26.04. des Jahres sogar einen eigenen Gedenktag gewidmet hat. Einen Tag, den die Verwerterlobby und ihre Lobbyverbände geschickt zur weiteren Infiltration der Politik nutzen.

Dabei fehlt es dem „geistigen Eigentum“ an eigentlich allen Charakteristiken, die echtes Eigentum ausmachen. Man kann es weder stehlen noch verkaufen, es kann weder aufgebraucht werden, noch verdirbt es, dafür kann es zu Nullkosten beliebig oft vervielfältigt werden. Daher ist es bei Bedarf alles andere als knapp, so dass man es erst künstlich verknappen muss, um daraus ein Wirtschaftsgut machen zu können. Diese künstliche Verknappung einer an sich unbegrenzt vorhandenen Ressource zusammen mit der unpassenden Analogie zu echtem (knappen) Eigentum hat zu einem Immaterialgüterrecht geführt, dass voller Skurrilitäten steckt und das vor allem dazu dient, mit Hilfe eigentumsähnlicher Konstrukte wie handelbaren geistigen Monopolrechten Immaterialgüter in Wirtschaftsgüter zu verwandeln. Dies geht soweit, dass die Vertreter der Verwerterlobby sogar Einschränkungen der Bürgerrechte und des Grundgesetzes fordern, um ihre kruden Vorstellungen von “Eigentum” notfalls auch gegen die Mehrheit der Bevölkerung durchsetzen zu können – wie man an den Diskussionen um Filesharing, Netzzensur und den sog. „Three-Strikes-Regelungen“ in einigen Ländern gut beobachten kann.

Doch das System des „geistigen Eigentums“ kommt immer mehr ins Rutschen. Software, Internet und Globalisierung lassen eine Reihe von Problemen entstehen, die zwangsläufig dazu führen müssten, das System an sich zu überdenken, denn es ist momentan dabei, völlig unbrauchbar zu werden. Das reicht von neuen Abrechnungsmodellen wie z.B. einer Kulturflatrate bis hin zur Open-Access-Bewegung für steuerlich finanzierte wissenschaftliche Forschung (die heute oft genug gesellschaftlich finanziert aber privatwirtschaftlich verwertet wird).

Selbst die Weltorganisation für geistiges Eigentum (WIPO) erkennt inzwischen das Problem. So stellte Francis Gurry, Generaldirektor der WIPO, auf einem Vortrag zum Jahrestag des geistigen Eigentums fest, dass das System unter „tektonischen Spannungen“ steht. Global organisierten Verwertungsprozessen steht ein national organisiertes Immaterialgüterrecht gegenüber. Es besteht daher die Gefahr, dass sich die wirtschaftliche und soziale Ebene so schnell verändert, dass die Anpassung der politischen Architektur nicht mithalten könne, so Gurry.

Globalisierungsdynamik als Hemmnis für das Immaterialgüterrecht?

Hinzu kommt: Es gibt schlichtweg zu viele Ideen. Den Ausführungen des WIPO-Chefs zufolge, schieben die großen Patentbehörden in den USA, der EU und Japan mittlerweile gut 3,5 Mio. Anträge auf staatliche Monopolrechte (Patente) vor sich her. Tendenz steigend.

Passend dazu hat der Landesverband der Piratenpartei Brandenburg eine Anregung veröffentlicht, die ich voll und ganz unterstütze und daher an dieser Stelle dokumentiere:

Wer Ideen liebt lässt sie frei: Zum Welttag des geistigen Eigentums

Am morgigen Sonntag ist der Welttag des geistigen Eigentums. Dieser Tag soll die Wichtigkeit von geistigen Eigentumsrechten herausstreichen. Im Sinne dieses Ereignisses veranstaltet der BDI seine Aktion Ideenliebe, die Kindern den Wert geistigen Eigentums vermitteln soll.

Wir Piraten finden Kreativität und gute Ideen wichtig und wollen diese fördern. Wir glauben aber, dass restriktive Eigentumsrechte der falsche Zugang zur Förderung von Ideen sind. Wir sind nicht die Einzigen, die das so sehen: Tausende Menschen auf der ganzen Welt sehen keinen Sinn darin ihre Ideen und ihre Kreativität in Ketten zu legen, vielmehr sorgen sie für freie Verbreitung.

Ihren großen Durchbruch erlebte die Idee, eigene Werke auch anderen frei zugänglich zu machen, bei Open-Source-Software. Heutzutage nutzen viele Menschen Firefox, OpenOffice, Linux oder Thunderbird. All diese Programme wurden von Menschen geschrieben, die darauf verzichtet haben kleinlich auf jede Kopie Lizenzgebühren zu verlangen. Stattdessen erlaubten sie die freie Verbreitung. Ein Verzeichnis von Open-Source-Software findet sich unter freshmeat.net.

Ein weiteres bekanntes Beispiel für die faire Zugänglichkeit von Wissen ist die Wikipedia. Wer hat nicht schon alles von ihr profitiert. Aber die Wikipedia wäre nie so groß geworden, wenn nicht so viele Menschen zu ihr Inhalte beigetragen hätten. Und es wären nie so viele Teilnehmer geworden, wenn die Wikipedia nicht eine Lizenz gewählt hätte, die die Verbreitung ihrer Inhalte befördert.

Als ‘Wikipedia für Karten’ versteht sich das Projekt OpenStreetMap. Viele Menschen weltweit arbeiten zusammen um eine Weltkarte zu erstellen.

Auch Musik und Filme gibt es, die auf Verbreitung statt auf Fesselung setzen. Jamendo ist eine Plattform, die Musik vieler Künstler bereitstellt. Der private Download ist vollkommen legal. Einen Durchbruch in einem anderen Bereich erzielte die Blender-Foundation, mit ihrem selbst produzierten Animationskurzfilm Elephants Dream. Inzwischen wurde ein weiterer Film produziert, Big Buck Bunny.

Die eingangs genannte Open-Source-Software, setzt auf Lizenzen, die die freie Verbreitung und Weiterentwicklung ermöglichen. Open-Source-Lizenzen sind auf der Seite der Open-Source-Initiative einsehbar. Im Bereich Inhalte neben Software haben sich die Creative-Commons-Lizenzen etabliert. Viele der vorgenannten Beispiele sind unter einer Creative-Commons-Linzenz veröffentlicht.

All das Geschehen um befreites und angekettetes Wissen, Kreativität und Ideen ist im Wissensallmende-Report 2009 ausführlich beschrieben.

So ist unser Wunsch für den Welttag des geistigen Eigentums: Mehr Menschen sollten ihr geistiges Eigentum mit anderen teilen. Was ist Euer Beitrag? Was habt ihr bereits zur Wissensallmende beigetragen? Welche freien Inhalte findet ihr neben den genannten Beispielen erwähnenswert? Teilt uns Eure Meinung mit, die Kommentarfunktion steht zu Eurer Verfügung. Und entlasst morgen zum Tag des geistigen Eigentums einige Ideen, etwas Wissen oder Kreativität in die Freiheit.

Wer Ideen liebt, lässt sie frei!

Heise.de: Das System geistigen Eigentums ist massiv unter Druck

Gulli-com: Welttag des geistigen Eigentums

Link: Computer Crime Research Center

Link hinzugefügt (Organisationen): Computer Crime Research Center

Warum Logfiles immer mehr an Bedeutung gewinnen

Server, Netzwerkkomponenten, Applikationen und zahlreiche andere Bestandteile von IT-Systemen erzeugen während ihres Betriebes kontinuierlich Logfiles, in denen sie Aktivitäten, Fehler, Statusmeldungen u.ä. ablegen. Systemverwalter können diese Logfiles manuell oder automatisiert auswerten, um so Rückschlüsse auf das Systemverhalten, auf Probleme oder notwendige Wartungsaktivitäten zu ziehen.

Logfiles sind sicherheitsrelevant, da in ihnen auch Ereignisse im Zusammenhang mit Angriffen auf die Systeme festgehalten werden. Das können – je nach Art des Systems – fehlgeschlagene Logins, Zugriffsversuche auf Ressourcen oder das nahende Zusammenbrechen des Systems aufgrund von Überlastung durch DoS-Attacken sein. Selbstverständlich werden Angreifer mit erschlichenen Root-Rechten nach Abschluss ihrer Aktivitäten auch versuchen, die Logfiles davon zu bereinigen, um spätere forensische Analysen zu erschweren.

Zudem beziehen Sicherheitssysteme wie z.B. Intrusion-Detection-Systeme oder auch Netzwerk-Monitoring-Werkzeuge Informationen aus Logfiles, die sie dazu laufend auswerten.

Logfiles stellen daher geschäftsrelevante Informationen dar, d.h. sie können mehrjährigen gesetzlichen Aufbewahrungspflichten unterliegen und müssen vor Verfälschung oder Löschung besonders geschützt werden. Das gilt insbesondere für Unternehmen in hochregulierten Branchen wie dem Gesundheitswesen, dem Finanzsektor oder der Luftfahrtindustrie. So fordern Datenschutzregelungen wie der Health Insurance Portability and Accountability Act (HIPAA) oder Regelwerke zur Abwicklung von Zahlungsverkehrt wie der Payment Card Industry Data Security Standard (PCI-DSS) explizit die zentrale Sammlung und Langzeitarchivierung von Logging-Informationen.

Das hat einen neuen Teilbereich der Sicherheitsindustrie entstehen lassen: Das Security Information and Event Management (SIEM). Bei diesem Ansatz werden aus Logfiles und anderen Quellen innerhalb einer überwachen IT-Infrastruktur kontinuierlich Informationen zur Erkennung von Bedrohungen, der Reaktion auf sicherheitsrelevante Ereignisse sowie für Forensik und sicherheitsbezogener Compliance gesammelt und aggregiert. Dadurch erhalten Administratoren einen (meist grafisch aufbereiteten) Gesamtüberblick über das System und können zeitnah auf Probleme reagieren.

Die Forderung nach Langzeitarchivierung von Logfiles führt auch dazu, dass hierfür weitere IT-Systeme beschafft und betrieben werden müssen. Diese sammeln die Logfiles regelmäßig ein und archivieren sie revisionssicher. Dazu werden in aller Regel auf dem  Syslog-Standard basierende Protokolle eingesetzt. Syslog ist ein De-facto-Standard der Internet Engineering Task Force (IETF) zur Übermittlung von Log-Meldungen in einem IP-basierten Rechnernetz. X.509-Zertifikate und SSL-Verschlüsselung sorgen dabei für die oft regulatorisch geforderte Vertraulichkeit und Authentizität der kommunizierenden Systeme.

Doch damit ist es meist noch nicht getan. In einem standortübergreifenden Netzwerk können Teilbereiche ausfallen. Überschreiten Logfiles auf Servern eine bestimmte, vorgegebene Größe, werden ältere Einträge gelöscht. Um daher „Aufzeichnungslücken“ aufgrund vorübergehend nicht erreichbarer Systeme, in denen es dann zu Logfile-Löschungen kommen kann, zu vermeiden, müssen entsprechende Pufferungsmechanismen mit eingeplant werden. Nur so ist eine lückenlose Dokumentation der Logfiles erst möglich.

Einmal im revisionssicheren Langzeitarchiv angekommen, sorgen starke Verschlüsselung, Zeitstempel vertrauenswürdiger externer Zeitgeber (Timestamp Authorities) und digitale Signaturen dafür, dass die Logdaten chronologisch, lückenlos und nachvollziehbar gespeichert sowie nur autorisierten Nutzern wieder zugänglich gemacht werden.

Wer hätte das gedacht angesichts dessen, dass Logfiles ursprünglich einmal ein Abfallprodukt des Debuggings während der Softwareentwicklung und später ein willkommenes Hilfsmittel für Systemadministratoren waren?

Syslog and Log Analysis Wiki and Forums

Computerwoche.de: Neue Wege der ICT-Sicherheit – Security Information & Event Management

Kann der Umgang mit heiklen Daten standardisiert werden?

In der produzierenden Industrie ist es längst selbstverständlich: Bestimmte problembehaftete Materialien wie Asbest, radioaktive Isotope oder toxische Stoffe (Gefahrgüter und Gefahrstoffe) dürfen nur unter genau definierten Bedingungen von Fachleuten mit speziellen Werkzeugen und unter Beachtung von Sicherheitsvorkehrungen bearbeitet werden. Je gefährlicher die Stoffe, desto restriktiver die Regeln zu ihrer Handhabung.

In der Datenverarbeitung fehlen diese Standards oftmals noch. Und das obwohl es hier nicht alle paar Jahre sondern inzwischen alle paar Wochen zu einem neuen Daten-GAU kommt.

Einige Beispiele der letzten paar Tage:

Beim Autobauer Daimler wurden in einem Werk in Bremen illegale Krankenakten über Mitarbeiter angelegt. Ursache waren sogenannte „Krankenrückkehrgespräche“ (ein arbeitsrechtlich sehr heikles Thema, da man dabei hart an der Grenze des Erlaubten laviert), deren Ergebnisse dann auch noch illegal erfasst, in Ordnern angelegt und anschließend auf einer wöchentlichen Sitzung ausgewertet worden sind.

Bei der Bahn weitet sich der bereits bekannte Datenskandal zunehmend weiter aus. Ausspähung der Mails von Aufsichtsräten, Totalscreening aller Mitarbeiter im Rahmen einer sog. „Korruptionsbekämpfungsmaßnahme“, aktive Bespitzelung etlicher Beschäftigter über längere Zeit hinweg sowie jetzt auch Massendatenabgleiche von Festplatten mit Mitarbeiterdaten. Stückchenweise kommt immer mehr heraus.

Nachdem sich kürzlich der Discounter Lidl bei der Entsorgung illegal gesammelter medizinischer Daten blamierte, ist jetzt die Drogeriekette Müller dran. Auch dort wurden mit Hilfe von „Krankenrückkehrgesprächen“ Beschäftigte unter Druck gesetzt und illegal medizinische Daten abgegriffen.

D. Deckstein u. S. Liebrich von der Süddeutschen zum Hergang des Verfahrens:

Wer krankheitsbedingt ausfalle, werde nach seiner Rückkehr zum Gespräch mit den Vorgesetzten zitiert, berichtet ein Mitarbeiter, der aus Angst um seinen Arbeitsplatz seinen Namen nicht nennen will. Der Fragebogen werde dann gemeinsam ausgefüllt und anschließend von beiden Gesprächsteilnehmern unterzeichnet. Unter anderem soll der Mitarbeiter darüber Auskunft geben, ob er wegen “derselben Ursache im laufenden Kalenderjahr bereits krank gewesen” oder “die Genesung vollständig abgeschlossen” sei.

Wie aber kommt es zu diesen offenbar systemisch bedingen Fehlleistungen in Unternehmen aller Branchen und Größen? Zunächst einmal dürfte eine Ursache beim schwachen Regulierungsrahmen und dessen laxer Durchsetzung liegen. Ein besonderes Arbeitnehmerdatenschutzgesetz fehlt immer noch in Deutschland. Für gravierende Verstöße gegen das allgemeine Datenschutzrecht werden allenfalls Geldstrafen verhängt, die sich für Unternehmen zudem im Portokassenbereich bewegen und üblicherweise nicht im Wege der Managerhaftung durch Regress an die Verursacher weitergereicht werden. Unternehmen haben hier ein Führung- bzw. Governance-Problem.

Hinzu kommt aber auch ein fehlendes Bewusstsein dafür – gerade bei den managerialen Innentätern in den mittleren und oberen Hierarchiestufen. Die von Gefahrstoffen ausgehende Gefahr wird spätestens dann spürbar, wenn sich jemand daran verletzt und krankgeschrieben wird. Aber das illegale Erheben und Missbrauchen von Daten verläuft meist ohne Verletzungen der Leute, die damit herumhantieren. Eine illegale Krankenakte ist eben weder heiß, noch scharf, noch ätzend oder radioaktiv. Und ihre Entstehung und Verwendung ist für die Verantwortlichen mit zu geringen Risiken verbunden.

Daher wären Anreize und Sanktionsmechanismen zu schaffen, die ein entsprechendes Bewusstsein bei denjenigen schaffen, die damit zu tun haben oder die Verantwortung haben. Beispielsweise erheblich häufigere Datenschutzaudits von Aufsichtsbehörden (z.B. zusammen mit Betriebsprüfungen durch Finanzämter oder Sozialversicherungen). Oder auch durch Prüfpflichten bei der Testierung von Jahresabschlüssen. Gefundene Mängel von strafrechtlicher Relevanz müssten dann zwangsweise gemeldet und Gegenstand von Ermittlungs- und Revisionsverfahren werden.

Es ist daher absehbar, dass im allgemeinen Trend zu mehr Compliance-Auflagen auch das Thema Datenschutz vermehrt auf die Agenda kommen wird. Und das Regeln gefunden werden müssen, deren Umsetzung nicht an den schmalen Budgets von Datenschutzbehörden scheitern. Die Kosten der Bilanzerstellung und –prüfung tragen ja auch die Unternehmen selbst. Stefan Spang, Leiter des Business Technology Office von McKinsey hierzu „Die Beobachtung der Unternehmen durch die Regierungen wird weiter zunehmen“. Ein etabliertes IT-Sicherheitsmanagementsystem (ITSM) im Unternehmen, basierend auf anerkannten Standards und Vorgehensmodellen könnte da bereits helfen.

Es gilt also letztlich Best-Practice-Standards für die Vermeidung von sowie den ordnungsgemäßen Umgang mit problematischen Datenbeständen zu entwickeln. Diese dann in den Unternehmen prüfbar und zertifizierbar einzuführen. Und sie dann durch kontinuierliche Verbesserungsprozesse (KVP) weiterzuentwickeln.

Die Alternative wären allenfalls sehr strenge und harte Auflagen, durch die auch viele sinnvolle Nutzungsmöglichkeiten von Daten verunmöglicht werden. Wenn die Wirtschaft hier weiter mauert, wird es ihr so gehen wie aktuell den Automobilbauern. Nachdem diese eine vor Jahren abgegebene unverbindliche Selbstverpflichtung zur Reduzierung des Schadstoffausstoßes ihrer Flotten in den Wind schlugen, waren harte Regulierungen auf EU-Ebene die Folge. Regulierungen durch die in den nächsten Jahren Milliardeninvestitionen in neue Technologien nötig werden und die die Marktverhältnisse gravierend verändern werden.

Spiegel.de: Bahn schnüffelte offenbar auf Festplatten der Mitarbeiter

Zeit.de: Neuer Datenskandal – Daimler speicherte heimlich Krankendaten

Spiegel.de: Daimler – Datenaffäre in Bremer Werk

Süddeutsche.de: Neue Datenaffäre im Handel – Müller forscht Mitarbeiter aus

Spiegel.de: Illegale Krankenakten – Drogeriekette Müller soll Mitarbeiter ausforschen

Datenschützer fordern Nachbesserungen beim Bürgerportal-Gesetz

Nachdem sich bereits der Bundesrat und die Länderchefs kritisch über das vom Innenministerium angeschobene neue Bürgerportal-Gesetz äußerten, konkretisierten nun auch die Datenschutzbeauftragten des Bundes und der Länder ihre inhaltlichen Einwände gegen das Gesetz und fordern Nachbesserungen.

Das neue Gesetzesprojekt aus dem Hause Schäuble soll den Aufbau einer „sicheren Kommunikationsplattform“ regeln, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Einhaltung von Sicherheitsstandards überwacht wird. Über die von privaten Anbietern zu betreibenden Bürgerportale sollen Mehrwertdienste wie ein Behörden-Maildienst De-Mail, die Dokumentenablage De-Safe sowie ein Identitätsbescheinigungsdienst angeboten werden. Bürger erhalten ein De-Mail-Konto bei einem akkreditierten Provider, wenn sie sich zuvor per Personalausweis identifiziert haben. Alles zusammen soll einen durch qualifizierte Signaturen geschützten verlässlichen Geschäftsverkehr auf Basis von rechtssicher beglaubigten und zugestellten elektronischen Dokumenten ermöglichen. Ziel dürften u.a. Einsparungen im bisher postalischen Dokumentenverkehr der Behörden mit Bürgern und Unternehmen sein.

Da aber z.B. eine De-Mailbox die rechtssichere Zustellung jeder Art von Dokumenten ermöglicht und der Empfänger dann ggf. sehr zeitnah reagieren müsste, um damit zugestellte unrechtmäßige Abmahnungen oder gefakte Mahnbescheide aktiv abzuwehren, ist für viele ein solcher Dienst alles andere als wünschenswert, da er ganz neue Formen des Betruges ermöglichen könnte.

Konkret fordern die Datenschützer in einem Dokument strengere und vor allem konkretere Auflagen für die geplanten Anbieter-Akkreditierungen, die durch neutrale Prüfstellen regelmäßig zu auditieren wären.

DE-Mail-Daten und Dokumente sollen nicht nur auf dem Übertragungsweg sondern auch auf den Servern der Betreiber durch eine starke Ende-zu-Ende-Verschlüsselung geschützt werden.

Förmliche Zustellungen amtlicher Dokumente mit entsprechenden Rechtsfolgen dürfen nur auf der Grundlage einer sicheren und rückverfolgbaren Anmeldung am System erfolgen.

Das System soll besser als im Gesetz vorgesehen, vor Identitätsdiebstahl und Identitätsmissbrauch geschützt werden. Trotzdem soll auch eine pseudonyme Nutzbarkeit der Bürgerportale vorgesehen werden.

Auch für Menschen, die das Bürgerportal nicht nutzen können oder wollen, muss ein diskriminierungsfreier Zugang zu Behörden möglich bleiben. Zudem sollen E-Government-Anwendungen nur dann eine persönliche Identifizierung verlangen, wenn dies für die Erbringung einer Leistung sachlich notwendig ist.

Der Schäuble-Entwurf sieht vor, dass wichtige technische Details statt im Gesetz nur durch eine Verordnung (des Innenministeriums) im Nachhinein festgelegt werden können. Das lehnen die Datenschützer aus Gründen der grundgesetzlich geforderten Normenklarheit ab und verlangen gesetzliche Regelungen zu Fragen der Konteneinrichtung, des Postfach- und Versanddienstes, der Speicherung von Dokumenten, des Identitätsmanagements und des Akkreditierungsverfahrens.

Außerdem sollen die Regelungen zur Zweckbindung der Daten in den Bürgerportalen klarer und präziser formuliert werden, um Möglichkeiten der Fehlinterpretation und des Missbrauchs auszuschließen.

Während die Datenschützer damit Änderungen an Detailregelungen fordern, den Sinn des Gesetzes als Ganzes aber nicht hinterfragen, kann man entsprechenden Diskussionen in zahlreichen Foren (u.a. auf Heise.de) entnehmen, für wie wenig vertrauenswürdig die Community ausgerechnet Schäuble und andere Regierungspolitiker hält.

Staatlicher Datenmissbrauch, Internetzensur, faule „Reformen“ am Urheberrecht, Ermöglichung von Abmahnbetrug, Aufweichung von Datenschutzstandards, Vorratsdatenspeicherung, Einschränkung der Bürgerrechte, zahlreiche Gesetze, die vom Bundesverfassungsgericht wieder kassiert wurden – wahrlich, die „Verdienste“ dieser Regierung um Fragen des Datenschutzes und moderner, bürgerfreundlicher informationeller Selbstbestimmung sind alles andere als glaubwürdig und vertrauenserweckend.

Heise.de: Widerstand im Bundesrat gegen Bürger-Mail-Projekt

Heise.de: Datenschützer attestieren Bürgerportal-Gesetz “erhebliche Mängel”

Hat der Wahnsinn Methode?

Das möchte man sich schon fragen, wenn man liest, dass am Boston College die Rechner und diverse Mobilgeräte eines Informatik-Studenten beschlagnahmt wurde, u.a. mit der Begründung er nutze darauf mehrere Betriebsysteme und würde Befehle über eine Shell eingeben, was auf gefährliches Wissen über Computer („Computer Science Mayor“) schließen lasse. Das allein machte ihn bereits verdächtig, als Gefährder Straftaten begangen zu haben.

Ja ist es nicht Aufgabe eines Informatik-Studenten sich ein tiefergehendes Wissen über sein Studienfach anzueignen? Solle er nicht irgendwann programmieren, mit der Shell arbeiten und mit mehreren Betriebssystemen umgehen können? Schon allein, um später den durch Studiengebühren aufgelaufenen enormen Schuldenberg abarbeiten zu können.

Doch die Verrücktheiten gehen in den USA noch weiter. Die Nutzung von Proxy-Servern, einer alltäglichen Internet-Infrastruktur, soll künftig bei Urteilen in Sachen IT-Kriminalität als strafverschärfend gelten. Das fordert die U.S. Sentencing Commission, eine Bundesbehörde in Amerika, die für die Festlegung von bindenden Grundsätzen für die Strafbemessung an Bundesgerichten zuständig ist.

Eine Auffassung, die zunehmend Bürgerrechtsorganisationen in Alarm versetzt. Schließlich ist das Land eine datenschutztechnische Bananenrepublik, unterhält mehrere Geheimdienste und gibt diesen sowie seinen Behörden zum Teil Rechte und Möglichkeiten, von denen selbst im dritten Rech die SS oder die Gestapo nur träumen konnte.

Boston College Campus Police: “Using Prompt Commands” May Be a Sign of Criminal Activity

US mulls stiffer sentences for common Net proxies

Vom Patent auf die arme Sau und anderen Schweinereien

Gestern versammelten sich etwa 2000 Demonstranten auf dem Münchner Marienplatz, um gegen Patente auf Leben zu demonstrieren. Transparente mit Aussagen wie „Erst Schwein und Rind, dann Frau und Kind“, „Patentiert – Deine Kuh gehört mir“ oder „Rettet unsere Staaten vor den Patentpiraten“ machten deutlich, was die Landwirte umtreibt. Und neben den Milchviehhaltern und Schweinezüchtern marschierten auch zahlreiche IT-Leute, darunter auch ich.

Die Informatiker treibt das gleiche Problem auf die Straße, dass auch die Bauern empört: Ein zunehmend wirres und krankes Immaterialgüterrecht, dass sie in ihrer beruflichen Existenz bedroht. Denn Softwarepatente sind für freiberufliche Programmierer und mittelständische Software-Entwickler ebenso fatal wie Patente auf Leben für die Landwirte. Kaum ein Programmierer könnte noch irgendetwas Sinnvolles entwickeln, wenn er jedes Codefragment und jede Funktion einer umfangreichen patentrechtlichen Prüfung unterziehen müsste, ob dadurch nicht irgendeines der Millionen weltweit existierenden Monopolrechte tangiert würde. Zahlreichen mittelständischen Anbietern von Branchenlösungen und ähnlicher Software wäre von jetzt auf gleich die Geschäftsgrundlage entzogen. Patente, einst zur Förderung von Innovationen erdacht, wenden sich damit zum Verhinderer echten Fortschritts. Eine Situation die wir bereits aus anderen Teilen des Immaterialgüterrechts kennen. Nur noch Konzerne mit gut bestückten Rechtsabteilungen könnten Software entwickeln. Freie und quelloffene Software wäre aufgrund der enormen rechtlichen Risiken gar nicht mehr möglich.

Unter den empörten ITlern wehte die Fahne der Piratenpartei ebenso wie das charakterisistische Gelb-Blau der Free Software Foundation (FSF). Zahlreiche Anhänger der Open-Source-Szene nahmen ebenfalls teil.  Zusätzlicher Anziehungspunkt dürfte auch eine Rede des US-Aktivisten für freie Software, Hacker und Programmentwickler Richard Stallman gewesen sein, der ebenfalls teilnahm und in seiner Rede das Europäische Patentamt harsch kritisierte.

Wie widersinnig Patente auf Leben sind, zeigt Folgendes: Wer etwas erfindet (nicht nur entdeckt!) und dann zum Patent anmeldet, muss erstens der Erste sein (Neuheit), zweitens muss die Erfindung eine gewisse Erfindungshöhe aufweisen (Weiterentwicklung des Standes der Technik) und drittens muss sie gewerblich anwendbar sein (Nutzen). Doch gelingt es gerade Konzernen immer wieder durch Ausnutzung von Verfahrenstricks, Schwächen des Immaterialgüterrechts und entsprechender Formulierung der Patentanträge Trivialpatente, ganze „Patentfamilien“ oder gar rechtlich nicht patentierbare Dinge monopolrechtlich geschützt zu bekommen. Mit einem solchen Freibrief können sie dann von jedem, der gegen das gefakte Patent verstößt, Lizenzabgaben fordern. Dagegen rechtlich vorzugehen ist langwierig und teuer.

Patenten auf Leben fehlen regelmäßig die Neuheit sowie die Erfindungshöhe. Das Leben bzw. die Gensequenzen existierten ja schon – sie wurden nur entdeckt. Allenfalls wären in diesem Zusammenhang neu entwickelte technische Geräte und Verfahren in engen Grenzen patentierbar.

Die Demo endete vor dem Europäischen Patentamt, wo die Einsprüche gegen das „Schweinepatent“ von einer zehnköpfigen Delegationen unter laufenden Kameras der Presse waschkörbeweise an das EPA übergeben wurden. Damit soll das Patent Nr. EP 1651777 auf ein gentechnisches Verfahren in der Schweinezucht angefochten werden.

Denn es ist gerade das EPA, dass im Zusammenhang mit Softwarepatenten und Patenten auf Leben zunehmend unter Kritik gerät. Denn aufgrund seiner Struktur ist das EPA der demokratischen Kontrolle weitgehend entzogen und sich selbst Richter, Gesetzgeber und Ausführungsorgan sei. Rechtsexperten und Abgeordnete kritisieren dies seit Langem. Sie schlagen daher vor, das Patentamt in eine EU-Behörde umzuwandeln. Mit Sorge beobachten Kritiker zudem andauernde Bestrebungen des EPA-Verwaltungsrats, seine Kompetenzen zu erweitern.

Sueddeutsche.de: Protest gegen Schweinepatent – Kampf um das Schwein

Merkur Online: Mit Traktoren und Schweinen gegen Patent auf Zuchtverfahren

Merkur Online: Fotostrecke Demo München

Heise.de: Freie Schweine braucht das Land

Heise.de: Stallman redet auf Demo gegen Software- und Biopatente

Heise.de: Neue Befürchtungen um heimliche Legalisierung von Softwarepatenten

Wie Gerichte das Fernmeldegeheimnis zunehmend aufweichen

Arbeitgeber, die ihren Beschäftigten die private Nutzung betrieblicher Internet-Zugänge erlauben wollen (an Bedingungen geknüpft oder nicht) befinden sich derzeit in einem Dilemma. Tun sie es, sind sie Diensteanbieter im Sinne des § 88 TKG, d.h. für sie gilt das Fernmeldegeheimnis und sie dürfen dann z.B. die E-Mails ihrer Beschäftigten nicht mitlesen. Schließlich können sie dienstliche und private Mails nicht ohne Weiteres trennen und den Arbeitgeber gingen ohnehin nur dienstliche Dinge etwas an.

Den Beschäftigten aber die private Internetnutzung komplett zu verbieten, erscheint zum einen schlicht lebensfremd in einer Arbeitswelt, die zunehmend auch ins Privatleben der Beschäftigten eindringt (Ausdehnung von Arbeitszeiten, Rufbereitschaften, flexibilisierte Arbeitszeiten, Home-Office, erhöhte Mobilitätsanforderungen etc.). Zum andern könnten dann taktisch klug agierende Betriebsräte ihrerseits bei so manchem IT-Projekt mauern. Sie haben schließlich über § 87 BetrVG ein sehr weit reichendes Mitbestimmungsrecht bei Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Darunter fällt auch jede Form der IT im Unternehmen, die auch nur dazu geeignet ist, eine solche Überwachung zu ermöglichen, auch wenn dies vom Arbeitgeber gar nicht beabsichtigt wird.

Doch auch ein Arbeitgeber, der Diensteanbieter i.S.d. TKG ist und sich ans Fernmeldegeheimnis zu halten hat, könnte von Strafverfolgungsbehörden dazu aufgefordert werden, Mails zum Zwecke der Ermittlung an diese herauszugeben. Er stünde dann vor dem Problem gegen das Fernmeldegeheimnis zu verstoßen, wenn er dem Ansinnen der Behörden nachkäme.

In der aktuellen Ausgabe des Fachinformationsdienstes IT-Grundschutz wird über ein Urteil des Verwaltungsgerichts Frankfurt a.M. berichtet. Ein Unternehmen war von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Rahmen einer Ermittlungsverfahrens wegen Verdachts auf verbotenen Insiderhandel aufgefordert worden, Mails herauszugeben, die bestimmten vorgegebenen Kriterien entsprachen. Das Unternehmen verweigerte dies, berief sich auf das Fernmeldegeheimnis nach § 88 TKG und erhob eine Feststellungsklage gegen die BaFin. Diese verlor es (Az. 1 K 628/08) und wurde zur Herausgabe der Mails an die BaFin verurteilt. Interessant ist in diesem Zusammenhang die Urteilsbegründung des Gerichts.

Denn nach Meinung des Frankfurter Gerichts greift der strenge Schutz des Fernmeldegeheimnisses nur während des eigentlichen Telekommunikationsvorgangs, also für den Zeitraum da die Mail über das Netz vom Sender zum Empfänger unterwegs ist. Sobald sie angekommen ist, greift es nicht mehr, da es der Empfänger dann selbst in der Hand hat, die Mail zu löschen oder zu entscheiden, welche technischen Schutzmaßnahmen er ihr angedeihen lassen will. Vor dem Hintergrund erlaubter Privatnutzung gilt zwar das grundgesetzliche informationelle Selbstbestimmungsrecht. Dies schließt die Aushändigung von Datenbeständen an staatliche Ermittlungsbehörden nicht aus.

Da zudem das Bundesverfassungsgericht in einer ähnlich gelagerten Sache bereits 2006 gleichartig entschieden hatte (Az. 2 BvR 2099/04), konnten sich die Frankfurter Richter auf diese bestehende Rechtsprechung berufen.

Konkret zeigt dies jedoch, dass das Fernmeldegeheimnis längst nicht so schützend vor den betrieblichen Datenbeständen steht, wie oft angenommen. Vor Beginn und nach Abschluss des Telekommunikationsvorganges haben Ermittlungsbehörden problemlos rechtlichen Zugriffsanspruch auf alle existierenden Daten in einem Unternehmen – seien sie nun „dienstlich“ oder „privat“.

Dr. Christiane Bierekoven, Autorin des bereits erwähnten Artikels in IT-Grundschutz Info 3/09, kommt allerdings zu dem Fazit dass diese Entscheidung nicht überbewertet werden sollte, da sie die meisten der in der Praxis im Zusammenhang mit dem Zugriff auf private E-Mails des Arbeitnehmers relevanten Rechtsfragen unberücksichtigt lässt. Daher rät sie die private Nutzung von E-Mail und Internet im Unternehmen entweder komplett zu verbieten oder eindeutig und detailliert in einer Betriebsvereinbarung zu regeln. Ein Schritt zu dem auch viele anderen Experten aus den Bereichen IT-Sicherheit, IT-Recht und Datenschutz raten.

Dabei sollte besonders auf die Formulierung der Einwilligungserklärungen durch die Beschäftigten geachtet werden, da datenschutzrechtliche Einwilligungen von Arbeitnehmern aufgrund des Machtungleichgewichts im Betrieb rechtlich besonders kritisch gewertet werden. Die individuell einzuholenden Erklärungen der Beschäftigten sollten möglichst genau beschreiben, bei welchen oder welcher Art von Straftaten und bei welchem Grad an Verdachtsmomenten ohne Vorankündigung eine inhaltliche Kontrolle von Mails oder ähnlichem durch den Arbeitgeber zulässig sein soll.

Individuelle Einwilligungen aller betroffenen Beschäftigten sind erforderlich, da § 4 BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässsig, wenn ein Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Betroffene dazu eingewilligt hat. Eine Betriebsvereinbarung ist weder ein Gesetz noch eine individuelle Einwilligung und daher dafür kein Ersatz.

Deshalb rät die Anwältin die Sache unter Beteiligung des betrieblichen Datenschutzbeauftragten und des Betriebsrats unter Beachtung dessen Beteiligungsrechte möglichst konkret und zügig zu regeln. Zumindest bis ein ordentliches Arbeitnehmerdatenschutzgesetz an dieser Baustelle für klarere Verhältnisse sorgt.

Grundschutz.info: IT und Recht – Kein Fernmeldegeheimnis am Arbeitsplatz?