Steht die Internet-Zensur vor dem Aus?

In den letzten Jahren häuften sich Gesetze mit dem Ziel Bürgerrechte und Freiheiten einzuschränken, um der politischen Klasse unangemessene Vorteile zu verschaffen oder zur angeblichen Verbesserung der Sicherheitslage in Deutschland. Sie alle atmeten den Ungeist der Angst der Politiker vor dem Volk. Viele dieser Vorhaben scheiterten später ganz oder teilweise vor dem Bundesverfassungsgericht. Gegen andere laufen derzeit Prozesse.

Einen Überblick über den Stand solcher, zum Teil verfassungsfeindlicher Gesetzesvorhaben liefert u.a. die Chronik des Grundrechteabbaus der Piratenpartei Deutschland.

Derzeit erleben wir erneut das hilflose Herumgeeiere der Politik, wenn ihr ein solches Vorhaben rechtlich zwischen den Fingern zerbröselt. Das umstrittene Internetzensur-Gesetz von Ex-Familienministerin Ursula von der Leyen brachte im Bundestagswahlkampf vor allem der FDP, der Linkspartei und der Piratenpartei Stimmenzuwächse, nicht aber den Christdemokraten. So war es auch nicht verwunderlich, dass die FDP im Koalitionsvertrag eine Vereinbarung durchsetzen konnte, wonach diese Form des politischen Kindsmissbrauchs (immerhin wurde das Gesetz mit der Notwendigkeit des Schutzes von Kindern begründet) ausgesetzt werden sollte. Man wollte wohl Zeit gewinnen, so dass auch die Konservativen, dieses Gesetz ohne Gesichtsverlust still und leise endgültig verabschieden können.

Dazu sollte dem BKA per Verordnung die Aussetzung der Anwendung des „Zugangserschwernisgesetzes“ befohlen werden. Dumm nur, dass das Gesetz bereits am 18.06.2009 vom Bundestag und am 10.07.2009 vom Bundesrat verabschiedet wurde und Behörden ein rechtmäßig zustande gekommenes Gesetz nicht einfach auf Befehl hin ignorieren können.

In einem Rechtsstaat hat die Regierung ein missliebiges Gesetz auf demselben Wege zu ändern oder abzuschaffen, auf dem sie es in die Welt gesetzt hat: Durch parlamentarische Beschlussmehrheit.

Da könnte es der Regierung jedoch zupass kommen, dass das potentiell grundgesetzwidrige Gesetz derzeit beim Bundespräsidenten Köhler „hängt“, der es erst ausfertigen will, sobald ihm dazu „ergänzende Informationen“ von der Bundesregierung gegeben werden, die er dazu eingefordert hatte.

Möglicherweise nutzt man jetzt diese Chance, um die peinliche Angelegenheit durch Zeitablauf und Fristverfall bald schon als erledigt abhaken zu können, ohne dass sich die Politiker nochmals damit befassen müssen.

Die Dienstmädchen-Attacke

Manche Methoden IT-Systeme anzugreifen haben kuriose Namen und seltsame Hintergründe, die geeignet erscheinen, gute Geschichten zu liefern. Dazu zählt auch die Dienstmädchen-Attacke („evil maid attack“). Sie wurde erdacht, um mobile Rechner mit aktivierter Festplattenverschlüsselung stehlen und an die Daten herankommen zu können. Und um die Angreifbarkeit von Festplattenverschlüsselungstools wie Truecrypt oder Bitlocker zu prüfen.

Die Vorgehensweise:

Jemand nimmt einen Laptop mit sensiblen Informationen mit auf Geschäftsreise. Um die Informationen zu schützen, hat er eine Festplattenverschlüsselung auf dem Gerät installiert, welche die Daten durch Passwort und starke Verschlüsselung schützt. Unterwegs kommt es vor, dass er den Laptop im Hotelzimmer unbeaufsichtigt zurücklässt (ggf. per Schloss vor Entwendung geschützt).

Zu Hotelzimmern hat das Haus- und Reinigungspersonal jederzeit Zugangsmöglichkeiten. Ein Dienstmädchen, das vom eigentlichen Datendieb dazu beauftragt wurde, steckt einen präparierten bootfähigen USB-Stick an den Rechner und fährt ihn damit hoch. Auf dem Stick befindet sich ein Trojaner mit Sniffer- oder Keylogger-Funktion, der nun installiert wurde. Der Rechner wird wieder heruntergefahren und der USB-Stick wieder mitgenommen. Der ganze Vorgang dauert nur wenige Minuten und erfordert seitens des Durchführenden keinerlei tiefere technische Kenntnisse.

Später als der Geschäftsreisende wieder mit dem Laptop arbeitet, gibt er u.a. das Passwort zur Entschlüsselung der geschützten Daten ein, meldet sich am Firmenintranet an und tätigt andere mit Login geschützte Arbeiten. Der im Hintergrund mitlaufende Schnüffeltrojaner zeichnet alles auf.

Einige Tage später wird der Laptop tatsächlich gestohlen. Und da der Dieb sich durch den zuvor installierten Keylogger die Passwörter für den Zugriff auf die verschlüsselten Daten beschafft hat, kann er nun alle auf dem Rechner vorhandenen Informationen entwenden.

Eine linuxbasierte Referenzimplementation für die Evil Maid-Attacke per USB-Stick kann man vom The Invisible Things Lab’s blog herunterladen. Was für Zwecke des Selbststudiums und des Experimentierens mit eigenen Geräten noch legal ist, dürfte spätestens beim Einsatz „in the wild“ die Kriterien des sog. „Hackerparagraphen“ erfüllen.

Wie kann man sich nun vor dem „bösen Dienstmädchen“ schützen?
Joanna Rutkowska, CEO bei Invisible Things Lab und Erfinderin dieses Angriffs sowie Graham Cluley von Sophos schlagen dazu in ihren Blogs Folgendes vor:

Um zu vermeiden, dass in Abwesenheit des Besitzers andere unbemerkt mit dem Laptop arbeiten, sollte der Rechner nicht nur softwareseitig sondern auch physisch geschützt sein. Beispielsweise indem er in einem Hoteltresor verwahrt wird.

Besteht allerdings auch nur die Wahrscheinlichkeit, dass zwischenzeitlich jemand unberechtigten Zugriff auf den Rechner hatte, so hätte seine weitere Nutzung an sich zu unterbleiben, bis er einer sorgfältigen technischen Überprüfung (auf Veränderung der Hardware) und einer anschließenden Neuinstallation des Systems sowie der Software unterzogen wurde. Ein Aufwand der in der Praxis vieler Geschäftsleute auf Reisen wohl nicht betrieben werden dürfte.

Denkbar wäre auch der Einsatz von Laptops, die weder über USB-Anschlüsse noch bootfähige Medien (z.B. DVD-Laufwerke) verfügen, was aber in der Praxis oftmals schwer durchzusetzen sein dürfte.

Viele Attacken der „Evil Maid“-Machart können durch Trusted Computing Architekturen und einem entsprechend geschützten Bootprozess durch ein sicheres Betriebssystem verhindert oder zumindest technisch deutlich aufwändiger gestaltet werden, so dass die meisten  in Frage kommenden Angreifer ausscheiden.

Auch der Einsatz einer Zweifaktoren-Authentifizierung (z.B. Passwort + biometrisches Merkmal oder Token) beim Zugriff auf die verschlüsselten Daten kann von Keyloggern nicht so ohne Weiteres überwunden werden, da sie nur das Passwort, nicht aber das biometrische Merkmal oder den Token abgreifen können.

Zudem sollte das Booten von USB-Sticks im BIOS des Rechners deaktiviert werden. Allerdings macht das eine Dienstmädchen-Attacke nicht unmöglich sondern nur aufwendiger. Das Dienstmädchen (oder ihr Auftraggeber) hätten nun die Festplatte des Laptops auszubauen und in einen mitgebrachten Netbook einzustecken, um von dort per USB-Boot den Trojaner aufzuspielen. Und sie anschließend wieder in den ursprünglichen Rechner einzubauen. Ein darin geübter Angreifer schafft das in etwa 10-15 Minuten. Auch das BIOS selbst sollte passwortgeschützt sein, so dass ein Angreifer vor Ort die USB-Deaktivierung nicht rückgängig machen kann.

IT-Sicherheit in Unternehmen durch Cloud-Computing verbessern

Cloud Computing, also das Auslagern von IT-Dienstleistungen auf Provider und Rechenzentren, kann aus der Perspektive des Datenschutzes eine recht heikle Angelegenheit werden. Denn die rechtliche Verantwortlichkeit für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken können nicht mit in die Cloud wegdelegiert werden.

Andererseits kann Cloud Computing gerade kleineren und mittelständischen Unternehmen dabei helfen, professionelle Abläufe im IT-Betrieb sowie hohe Standards bei IT-Sicherheit und Datenschutz einzukaufen anstatt sie selbst erst aufbauen zu müssen.

Zu diesem Schluss kommt eine Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die kürzlich veröffentlicht wurde (PDF, 2 MB). „Die Weitergabe der eigenen Daten in fremde Hände bedeutet für Unternehmen natürlich ein Risiko. Neben offensichtlichen Gefahren wie Datenschutz-Intransparenz, Datenverlust und unvollständiger Datenlöschung kann die fehlende Kompatibilität von Lösungen zu Problemen bei der Migration zu einem anderen Anbieter führen“, erläutert ENISA-Researcher Daniele Catteddu. Daher rät man den am Cloud Computing interessierten Unternehmen, sich in Frage kommende Anbieter genau anzusehen. Dafür sollte im Unternehmen eine geschäftsspezifische Risikoanalyse gemacht werden, wozu die ENISA in ihrer Untersuchung konkrete Handlungsanleitungen gibt.

Besonders attraktiv ist Cloud Computing dabei für neu gegründete Unternehmen, deren Alternative ansonsten darin bestünde, ihre IT auf der grünen Wiese komplett neu aufzubauen. Schließlich lassen sich viele Cloud-Leistungen modular buchen, kurzfristig erweitern und nutzungsabhängig abrechnen.

Auch der Netzwerksicherheitsdienstleister RSA kam zu der Erkenntnis, dass Cloud Computing das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in KMU deutlich steigern kann. In der November-Ausgabe des „RSA Security Brief“ ist ein Leitfaden enthalten, worauf ein Unternehmen technisch, rechtlich und organisatorisch bei der Auswahl eines Cloud-Dienstleisters sowie der Einführung von Cloud Computing achten sollte. Und mit welchen technischen Ansätzen sich wertvolle Unternehmensdaten schützen und rechtliche Datenschutzanforderungen erfüllen lassen.

Metasploit Framework in neuer Version 3.3 erschienen

Das Metasploit-Projekt hat die neue Version 3.3 seiner gleichnamigen Plattform für Pen-Tests bereit gestellt. Das aktuelle Release enthält mehr als 440 neue Exploit-Module, 216 weitere Hilfsmodule und ermöglicht die Fernsteuerung von Rechnern über einen eingebauten VNC-Dienst. Außerdem unterstützt die neue Version nun auch IPv6 und kann zur Prüfung von Sicherheitslücken in Microsofts neuem Flaggschiff Windows 7 eingesetzt werden.

Seit der letzten, vor etwa einem Jahr veröffentlichten, Version wurden etwa 180 bekannte Fehler korrigiert, so das Sicherheitsforscher H.D. Moore darin eine der am intensivsten getesteten Versionen des bekannten Tools sieht. Moore hatte das Metasploit-Projekt 2003 ins Leben gerufen und seine Firma Rapid7 hatte kürzlich die Betreuung des Open-Source–Projektes (BSD-Lizenz) übernommen.

Auf Bugtraq wurde dazu von H.D.Moore eine Mail veröffentlicht, in der er die verschiedenen systemspezifischen Erweiterungen und Verbesserungen der Metasploit-Plattform ausführlich erläutert.

Metasploit Framework ist ein Werkzeug für Penetrationstester, die im Auftrag von Unternehmen oder Prüfgesellschaften die Sicherheit von Netzwerken oder Anwendungen prüfen. Es enthält eine umfangreiche Sammlung von Exploits in Form geskripteter Module, die bekannte Sicherheitslücken in Programmen und Rechnersystemen ausnutzen. So kann ein Penetrationstester fehlende Sicherheitspatches und unzureichende Schutzvorkehrungen finden sowie die Angreifbarkeit von Systemen dokumentieren.

Die offene Verfügbarkeit macht die Exploit-Sammlung auch für privat am Thema Exploits und Security Interessierte sowie für Admins und IT-Experten in Unternehmen interessant. Schon um sich mit dem Stand der Technik beim Thema Pen-Testing und Exploits zu befassen.

Nützlich ist Metasploit vor allem, wenn man einen Rechner „härten“ und das auch austesten will. Metasploit ist auch nützlich, um die Güte eines heuristischen Malware-Scanners zu prüfen. Ein guter Scanner sollte zumindest einige Teile des Pakets als „potentiell gefährlichen Code“ identifizieren können. Erfahrungsgemäß gibt es bei Viren- und sonstigen Scannern große Qualitätsunterschiede bei der heuristischen Schadcode-Erkennung.

Wohin verschwinden gelöschte Dateien?

Viele PC-Nutzer glauben, dass Dateien, die sie löschen dadurch tatsächlich vernichtet werden. Dem ist nicht so. Zum einen haben die meisten Betriebssysteme eine Sicherung gegen unabsichtliches Löschen eingebaut: Das Papierkorb-Verzeichnis, in das gelöschte  Dateien hinein verschoben werden. Und aus dem man sie – wie bei einem echten Mülleimer – wieder herausziehen kann. Aber auch das „Leeren“ des Papierkorbes führt nicht zur tatsächlichen Löschung der Dateien. Der Rechner markiert die durch die Dateien belegten Speicherbereiche seiner Festplatte lediglich als „frei verfügbar“. Früher oder später werden darauf neue Daten gespeichert, so dass dadurch die zuvor dort gespeicherten Daten überschrieben werden. Erst dann sind sie tatsächlich weg. Je nach Nutzungsintensität der Festplatte und der dort noch vorhandenen Speicherkapazität kann das Sekunden oder Monate bis Jahre dauern.

Wer wissen will, was sich auf seinem Rechner noch an bereits gelöschten aber wiederherstellbaren Daten befindet, kann mit Tools wie Piriform‘s kostenlosem Recuva nachschauen. Und die Datenreste auf Wunsch auch gleich endgültig beseitigen oder aber wiederherstellen lassen.

Zumindest für Dateien gibt es durchaus ein „Leben nach dem Tod“. Es sei denn, sie werden gleich „sicher gelöscht“, d.h. der von ihnen belegte Plattenplatz wird erst mit anderen Daten überschrieben und anschließend als „frei“ gekennzeichnet. Auch dafür gibt es Tools, wie z.B. das Programm Crap Cleaner. Es ist eine Art „Datenmüllabfuhr“, die den Rechner auf dem es installiert ist, von datentechnischen Gebrauchsspuren säubert und in der man auch sichere Löschverfahren einstellen kann.

Heute haben viele Nutzer aber Daten nicht nur auf ihrem eigenen Rechner sondern auch „in der Cloud“, d.h. bei Internetdiensten wie Facebook, XING oder Twitter. Und hier werden die Dinge jetzt kompliziert. Denn das Internet vergisst grundsätzlich erst mal nichts. Fast alles wird irgendwo gespiegelt, zwischengespeichert oder in Archiven und Backup-Systemen vorgehalten. Je länger es im Netz steht, desto wahrscheinlicher ist das. So werden z.B. meine Artikel in diesem Blog oftmals bereits nach wenigen Stunden von Suchmaschinen erfasst, wodurch sie meist auch in deren Cache landen.

In den meisten sozialen Netzwerken kann man eigene Daten zwar löschen. Aber es ist dadurch nicht sichergestellt, dass sie tatsächlich weg sind. Hochverfügbar laufende IT-Systeme haben meist mehrere Backups und identisch konfigurierte und mit aktuellen Datenbeständen versehene Ersatzsysteme, um bei Sabotage oder Plattencrash zügig darauf umschalten und weiterlaufen zu können. Und oft genug enthält das Kleingedruckte in den Nutzungsverträgen mit den Plattformbetreibern Klauseln, wonach man ihnen Verwertungsrechte an den persönlichen Daten einräumt. Was sie dazu veranlassen kann, diese dafür vor endgültiger Löschung zu sichern.

So warf kürzlich der Security-Newsletter von TrendMicro die durchaus berechtigte Frage auf:  „When You Delete Your Social Media and Smartphone Files — Are They Really Deleted?“ Um im Weiteren auf die grundsätzliche Problematik der Kontrolle und Verfügung über Daten auf ausgelagerten IT-Systemen zu verweisen. Ein Thema, dass nicht nur Rechenzentren in Konzernen sondern zunehmend auch Privatnutzer mit ihren Mobilgeräten und Web 2.0-Accounts betrifft. So sieht z.B. der Prototyp von Googles Netbook-Betriebssystem Chrome OS ein fast ausschließlich webbasiertes Arbeiten mit dem Rechner vor, so das praktische alles – Programme, Daten, Dienste – aus dem Internet bezogen wird.

As more consumer data moves onto cloud computing platforms like Gmail and Facebook, and closed platforms like Kindle and iPhone, deleting your data—whether old email messages, college photos on Flickr or personal posts on Facebook—becomes more complicated. In fact, you have to trust that these companies will delete your data when you ask them to. Unfortunately, many of these sites are more likely to make your data inaccessible than actually delete it. And even if you do manage to delete your files, copies are almost certain to remain in the companies’ backup systems.

Als Lösung dafür wird auf die Idee von Dateien mit zeitlich begrenzter Lebensdauer und anschließender Selbstzerstörung hingewiesen. Eine Idee, die im Zuge des Vanish-Projektes an der University of Washington entstand und bereits als quelloffene Referenzimplementierung vorliegt. Allerdings haben auch Konzepte wie „Vanish“ ihre Nachteile, so dass eine endgültige Lösung für das Problem noch aussteht.

Während man das Dasein von gelöschten Dateien auf dem meisten Rechner also durchaus selbst endgültig beenden kann, erlangen ins Internet verlagerte Daten gewissermaßen eine Art „ewiges Leben“.

Großer Kreditkartenrückruf nach Datenleck im Rechenzentrum

Mal wieder rauscht ein größerer Datenskandal durch den Blätterwald. Banken lassen Zehntausende Kreditkarten ihrer Kunden einziehen und austauschen, weil die Kartendaten in die Hände von professionellen Gaunern gefallen waren. „Die Austauschaktion betrifft alle Banken in Deutschland gleichermaßen“, so ein Sprecher des Zentralen Kreditausschusses (ZKA), der Dachorganisation der Banken. Doch was ist tatsächlich geschehen?

Ein Großteil der betroffenen Kreditkarten wurde in den letzten Monaten in Spanien benutzt. Dort liefen die Kartentransaktionen über einen sog. „Prozessor“, d.h. einen externen Dienstleister zur Zahlungsabwicklung. Anscheinend gab es dort ein Datenleck, durch das Kartendaten abgezogen wurden. Unklar ist derzeit, um welches Unternehmen es sich handelt und wie die Kartendaten gestohlen wurden. Auf entsprechende Nachfragen der Presse reagieren die Banken nicht oder verweisen auf noch offene Verfahren.

Es können aber auch Kreditkarten betroffen sein, die in Deutschland benutzt wurden, wenn der Handelspartner seinen Zahlungsverkehr über spanischen Dienstleister abgewickelt hat. Insbesondere bei Großunternehmen gibt es den Trend, Dienstleistungen wie den Zahlungsverkehr zu zentralisieren, um bei Zahlungsabwicklern Volumennachlässe zu erhalten.

Obwohl es bereits in den letzten Monaten mehrmals Probleme und Rückrufaktionen mit Kartendaten gab (z.B. im Oktober als die KarstadtQuelle Bank 15.000 Karten austauschen lies), scheinen die Banken vom Ausmaß des Angriffs überrascht zu sein. Tatsächlich agieren Cyber-Kriminelle bereits seit Jahren immer professioneller und trickreicher. Sie machen sich die Hauptschwäche moderner Geschäftsprozesse zunutze: Die Komplexität, die durch das Zusammenwirken zahlreicher Dienstleister, Subunternehmer und Outsourcing-Partner entsteht. Da große Unternehmen seit Jahren danach streben, ihre Fertigungstiefe durch Auslagerungen und Fremdvergabe an Dritte zu verringern, sind komplexe Wertschöpfungsnetzwerke und Prozess entstanden, die – im Gegensatz zu komplexen Maschinen und Anlagen – oftmals kaum einer einheitlichen Qualitätssicherung unterliegen. Und oftmals auch kein einheitlich hohes Sicherheitsniveau über die ganze Prozesskette und alle beteiligten Firmen hinweg gewährleisten können.

Mit Hilfe der entwendeten Daten könnten die Datendiebe Karten fälschen und mit ihnen einkaufen oder die Datensätze weiterverkaufen. Die Kreditinstitute halten dagegen, indem sie Kartenkonten zum Teil verhaltensbasiert überwachen (ungewöhnliche Transaktionen an ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten) und eine Karte auch schon mal vorbeugend sperren, bis der Kunde anruft.

Den Kartennutzern entsteht zwar meist kein konkreter Schaden, da sie jede über ihre Karte laufende Transaktion nachträglich rückgängig machen können. Der Reputationsschaden der Kreditinstitute durch Vertrauensverluste in das Zahlungssystem Kreditkarte sowie in die dahinterstehende Arbeitsteilung dürfte aber beträchtlich ausfallen.

Gleichzeitig zeigt dies, dass sich IT-Sicherheit zwar durch Auslagerung (z.B. als Managed Security Services über ein externes Security Operations Center) stärken lässt. Das dies aber kein Ersatz für eine interne Beherrschung aller Geschäftsprozesse einschließlich deren Absicherung und Qualitätssicherung ist. Zudem rückt so beim Thema Kreditkarten die konkrete Abwicklung der Kartenzahlungen ins Licht der Öffentlichkeit. Denn während die Banken Kreditkarten offensiv bewerben, haben sie große Teile der Zahlungsabwicklung an Dritte vergeben, ohne dass dies den Kunden wirklich klar ist. Die vertrauen so ihrer Bank, leiten ihre Daten aber bei jedem Bezahlen mit der Kreditkarte über ein ihnen unbekanntes anonymes Rechenzentrum irgendwo auf der Welt. Globalisierung eben.

Ein Kaffee von Microsoft

Microsoft unterstützt Ermittlungsbehörden bei der Bekämpfung von Computerkriminalität. Beispielsweise durch die Entwicklung von Analysewerkzeugen für forensische Untersuchungen an beschlagnahmten Rechnern. Im Idealfall soll ein Ermittler nur noch einen USB-Stick mit vorinstallierter Software an einen zu untersuchenden PC anstecken und automatisch werden wichtige Systemdaten zusammengesucht, aufbereitet und auf dem Stick gespeichert – Bundestrojaner zum Mitnehmen für den Einsatz vor Ort gewissermaßen.

Genau das leistet ein Produkt von Microsoft, das offiziell nur an Strafverfolgungsbehörden abgegeben wird und für diese kostenlos ist: Der „Computer Online Forensic Evidence Extractor“ (COFEE).

Damit soll die Lücke zwischen den Kenntnissen krimineller Anwender und denen ermittelnder Beamter vor Ort geschlossen werden. Wenn Computer beschlagnahmt werden, müssen sie dazu meistens ausgeschaltet, abgebaut und zur forensischen Laboruntersuchung mitgenommen werden. Dadurch geht aber bereits wertvolles Beweismaterial verloren, wenn Speicherstände verschwinden, temporäre Dateien geschlossen und Verbindungen zurückgesetzt werden. Cofee soll es Ermittlern ohne IT-Fachwissen ermöglichen, diese Beweise direkt vor Ort am laufenden Rechner zu sichern.

Naturgemäß hatte die weltweite Hacker-Community ein großes  Interesse an dem Tool, schon um seine tatsächliche Leistung experimentell ausloten zu können. Daher war es auch nur eine Frage der Zeit, bis es durch undichte Stellen in eine Tauschbörse hineinleakte.

Dort fischten es die stets neugierigen Tester von Heise Security heraus und untersuchten es gründlich. Das Ergebnis war eher ernüchternd, zumal Cofee auch nur mit Windows-Versionen bis XP läuft und aus Linux-Rechnern gar nichts herausbekommt:

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten.

Tatsächlich ist die Software in erster Linie eine besonders bequeme Möglichkeit, etliche zum Teil betriebssystemeigene Analyse-Werkzeuge direkt hintereinander ablaufen zu lassen und ihre Ergebnisse gesammelt in eine Datei auf dem USB-Stick zu schreiben. Allerdings könnte die Toolsammlung jederzeit erweitert und verbessert werden. So wie es die Heise-Autoren ja regelmäßig mit ihrer frei verfügbaren Version des ct‘-Helpers tun, mit dem jeder interessierte PC-Nutzer ganz ähnliche Dinge tun kann, wie es den Forensikern mit Cofee versprochen wird.

Und darin steckt auch das größte Risiko von Cofee. Wer es sich der Neugier halber aus einer Tauschbörse zieht und ausprobiert, kann nicht wissen, was die Verbreiter daran verändert und an Schadcode eingebaut haben. Jederzeit könnten ein paar zusätzliche Dinge eingebaut, Hintertüren geöffnet und Rootkits reingeschmuggelt worden sein, die tatsächlich Daten vom Rechner saugen. Allerdings nicht für die Polizei sondern für kriminelle Datendiebe im Internet. Und da Microsoft dieses Tool für Privatnutzer offiziell gar nicht anbietet, sind von dort auch weder Hilfen noch Sicherheitspatches zu erwarten.

Von diesem „Käffchen“ sollte man daher besser die Finger lassen.

Zur Befriedigung von experimenteller Neugier sind freie Toolsammlungen wie der ct-Helper allemal besser geeignet.

Was Einwilligungen wert sind

Der Begriff der „Einwilligung“ spielt im Datenschutzrecht eine besondere Rolle. Denn das Bundesdatenschutzgesetz sieht für das Nutzen personenbezogener Daten anderer ein Verbot mit Erlaubnisvorbehalt vor. D.h. das Nutzen solcher Informationen ist grundsätzlich unzulässig, kann aber im Einzelfall und zu festgelegten Zwecken erlaubt sein. Erlaubt ist eine Nutzung personenbezogener Daten nur, wenn es dafür eine gesetzliche Grundlage gibt (z.B. eine Erfassungs- und Dokumentationspflicht) oder die Betroffenen der Nutzung zugestimmt haben; wenn sie also eine Einwilligung i.S.d. Datenschutzes abgegeben haben.

Hintergrund dafür ist das Recht auf informationelle Selbstbestimmung. Jeder soll über Speicherung und Nutzung seiner Daten frei entscheiden können.

Diese Einwilligung  hat daher auf einer freien Entscheidung des Betroffenen zu beruhen und muss im Regelfall schriftlich sowie bezogen auf einen bestimmten Zweck abgegeben werden (§4a BDSG).  Auch die Folgen einer Nicht-Einwilligung (z.B. das Nichtzustandekommens eines Geschäftes oder Vertrages) müssen aufgezeigt werden. Und hier beginnen die Dinge heikel zu werden. Denn wenn etwas Wichtiges wie z.B. ein Mietvertrag, eine neue Stelle usw. von dieser Einwilligung abhängt, kann ihre „Freiwilligkeit“ rechtlich durchaus bezweifelt werden.

Und so hat die Rechtsprechung auch im Laufe der Zeit den Standpunkt entwickelt, dass es z.B. Einwilligungen von Arbeitnehmern regelmäßig an der Freiwilligkeit mangelt, da sie in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Hier ist der Arbeitgeber auf der sicheren Seite, wenn er sich auf die Daten beschränkt, deren Erhebung und Nutzung für den Beginn, die Fortführung oder die Beendigung der Beschäftigung erforderlich sind (§ 32 BDSG). Dazu dürften Kontonummern, Adress- und Sozialversicherungsdaten mit Bestimmtheit zählen. Weniger jedoch umfängliche Persönlichkeitsprofile oder die Ergebnisse mal mehr, mal weniger seriöser psychologischer Tests. Ebenso kritisch ist der Umgang mit Bewerberdaten zu sehen, da auch hier (vorvertragliche) Abhängigkeitsverhältnisse und Machtungleichgewichte vorliegen. Der Bewerber will den Job – notfalls auch mit Abgabe umfangreicher medizinischer Testdaten und sachfremder Analysen ohne Bezug zur konkreten Tätigkeit. Ein Umstand der auch nicht kollektivrechtlich, z.B. durch Abschluss von Betriebsvereinbarungen umgangen werden kann, da Betriebsvereinbarungen kein Ersatz für fehlende Rechtsgrundlagen oder individuelle Einwilligungen sind.

Die Sache wird nicht unbedingt einfacher dadurch, dass es die Einwilligung auch an anderer Stelle in anderen Gesetzen gibt. So z.B. im § 13 des Telemediengesetzes (TMG), wo es allerdings um den speziellen Fall der Nutzung von elektronischen Informations- und Kommunikationsdiensten geht. Hier greift die Gesetzesrangfolge: Das Datenschutzgesetz regelt für Datenfragen das, was nicht in anderen spezielleren Normen geregelt ist. Es ist ein „Gesetz der letzten Instanz“.

Datenschutzrechtliche Einwilligungen kommen im Geschäftsverkehr häufig durch schlüssiges (konkludentes) Handeln zustande. Da wird z.B. etwas in einem Online-Shop bestellt und dazu die Bestelladresse sowie Bankdaten zum Zweck der Bestellabwicklung und Bezahlung angegeben. Das sieht an sich bereits wie eine datenschutzrechtliche Einwilligung aus. Sie würde allerdings wegen der fehlenden Schriftlichkeit im Falle rechtlicher Probleme nicht als solche akzeptiert werden, auch wenn so tagtäglich Hunderttausende Geschäfte getätigt werden. Rechtliche Probleme – das können auch Abmahnungen und Unterlassungsklagen von Wettbewerbern oder Abmahnvereinen sein.

Worin besteht nun eigentlich das Problem mit diesen Einwilligungen? Nun, wenn die Einwilligung unwirksam weil nicht ordentlich zustande gekommen ist, ist auch die Verarbeitung und Nutzung der entsprechenden Daten illegal. Die zahlreichen Datenschutzverstöße der letzten eineinhalb Jahre sowie die Verschärfungen des gesetzlichen Datenschutzes zeigen, dass diesem Problem langsam aber zunehmend mehr öffentliche Aufmerksamkeit zukommen wird.

Dabei muss man sich bei der Planung entsprechender Geschäftsabläufe lediglich Folgendes vergegenwärtigen und es richtig umsetzen:

1. Die Einwilligung wird vom Betroffenen freiwillig abgegeben.
2. Er wurde klar auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten sowie die Folgen der Nichterteilung der Einwilligung hingewiesen.
3. Er gibt seiner Einwilligung dazu schriftlich ab.
4. Die Einwilligung zur Nutzung personenbezogener Daten ist in den Vertragsdokumenten oder geschäftlichen Unterlagen besonders hervorgehoben.

Diese Einwilligung kann vom Betroffenen natürlich später widerrufen werden. Um damit verbundene organisatorische Probleme zu vermeiden, sollten Geschäftsabläufe grundsätzlich datenarm organisiert werden (Prinzip der Datensparsamkeit und Datenvermeidung).

Für denjenigen, der eine solche Einwilligung abgibt, sollten sich aus den begleitenden Informationen die „6 W-Fragen der datenschutzrechtlichen Einwilligung“ beantworten lassen:

1. Willige ich in etwas ein?
2. Warum mache ich das?
3. Welche Daten werden dafür erhoben?
4. Wozu werden diese erhoben?
5. Was geschieht, wenn ich ablehne?
6. Wer erhält die Daten und wozu?

Ein datenschutztechnisches Qualitätsmerkmal im Geschäftsleben besteht darin, dass Kunden, die Einwilligungen abgeben sollen, diese Fragen ohne weiteres Nachfragen aus den ihnen zur Verfügung gestellten Begleitinformationen beantworten können.

Ein Kundenstamm mit solchen Einwilligungen stellt einen nicht zu unterschätzenden immateriellen Wert im Unternehmen dar.

Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

Was tatsächlich dran ist am IT-Fachkräftemangel

Egal wie sich die Konjunktur entwickelt oder wie viele Arbeitslose es hat – Firmen klagen immer wieder über Fachkräftemangel. Wenn man pro zu besetzender Stelle nicht aus Dutzenden von Bewerbern auswählen kann oder diese es gar noch wagen Forderungen nach anständiger Bezahlung und humanen Arbeitsbedingungen zu stellen dann ist Holland in Not.

Tatsächlich dürfte der Fachkräftemangel zu großen Teilen ein inszenierter Fake der Industrieverbände wie BITKOM & co. gewesen sein. Zumindest in den letzten Jahren.

Doch inzwischen scheint sich diese selbsterfüllende Prophezeiung ganz allmählich zu bewahrheiten. Kürzlich las ich in der Zeitung dass Deutschland erstmals seit Anfang der 90er wieder weniger als 82 Millionen Einwohner hat. Bereits seit mehreren Jahren verringert sich die Anzahl Menschen im erwerbsfähigen Alter jährlich um einige Hunderttausend. Und jedes Jahr gibt es in Summe weniger Schulabgänger als im Jahr zuvor. Auch wandert inzwischen jährlich eine sechsstellige Zahl gut qualifizierter Menschen in andere Länder mit attraktiveren Arbeitsbedingungen und niedrigeren Steuern ab.

Allerdings haben wir auch jedes Jahr einen Produktivitätsanstieg durch Rationalisierung, so dass dieser zahlenmäßige Rückgang lange Zeit nur ein paar Statistiker und Demographen beunruhigte. Und die Abwanderung der Hochqualifizierten wurde zumindest zahlenmäßig durch Zuwanderung Geringqualifizierter in die Sozialsysteme kompensiert, wie Hans-Olaf Henkel kürzlich im Cicero bemängelte.

Doch Firmen sparten und sparen auch an der Aus- und Weiterbildung ihrer Beschäftigten, so dass aus willigen Arbeitnehmern kaum gefragte Fachkräfte werden konnten. Oder sie erwarten, dass ihnen die Fachkräfte vom Staat gratis geliefert werden. Doch der hat als Folge der Finanz- und Wirtschaftskrise anderes zu tun, als den Personalabteilungen in den Unternehmen Kosten und Arbeit abzunehmen. Selbst wenn die Arbeitsagenturen Milliardenbeträge für Kurzarbeit, Sozialbeitragssubventionierung und Fortbildung von Kurzarbeitern ausgeben (und damit ihre über Jahre aufgebauten Reserven innerhalb von nur neun Monaten aufbrauchten). Dieser in den letzten Jahren aufgelaufene Qualifizierungsstau wird die Verfügbarkeit von Experten aller Art in den kommenden Jahren zusätzlich drosseln.

In vielen Firmen scheitet die Fachkräfteaquise trotz krisenbedingt ergiebigem Arbeitsmarkt auch an unseriösem Auftreten oder schlichter Dummheit. So rät der Betreiber von „Code ist War“ Firmen bei der Suche nach Webentwicklern u.a. auf Personalvermittler zu verzichten, Anforderungsprofile mit Hilfe interner Fachleute statt durch Personaler zu erarbeiten, mögliche Kandidaten zur Bearbeitung einer Probeaufgabe oder für einen Probetag einzuladen und eher zwei statt einen Bewerber einzustellen. Entweder hat man so „auf Vorrat“ rekrutiert und nun Expansionspotential. Oder man kann sich innerhalb der Probezeit problemlos wieder trennen.

Aber auch in Internet-Foren artikuliert sich eine zunehmende Kritik an Personalern in Unternehmen sowie der Personalpolitik generell. Es scheint wohl etwas Grundsätzliches zwischen Unternehmen und Beschäftigten nicht mehr zu stimmen. Die bonigetriebene manageriale Quartalswirtschaft im Namen des Shareholder Value scheint durch zusätzliche Fehlsteuerung den Fachkräftemangel gerade erst herbeizuführen, den Industrieverbände bei jeder unpassenden Gelegenheit bejammern.

Das wird man in den kommenden Jahren auch im Bereich der IT-Sicherheit oder der Softwarequalität in den Unternehmen zu spüren bekommen. Denn auch dafür benötigt man erfahrene Experten. Sowie Leute, die bereits sind, solche Experten zu werden.

Für diejenigen, die jedoch bereits Experten in gefragten Sachgebieten sind oder die Mittel hatten, selbst in ihre Weiterbildung zu investieren, könnten bald goldene Zeiten kommen…