Wem gehören die Daten der World-of-Warcraft-Spieler?

World-of-Warcraft-Spieler waren bereits häufiger Ziel cyberkrimineller Aktivitäten, was einige unter ihnen inzwischen datenschutztechnisch sensibilisiert hat. Als daher der Betreiber des Spiels Blizzard Entertainment vor einiger Zeit dem Spiel mit der sog. „Armory“ eine Funktion hinzufügte, die es um Social-Network-Funktionen erweiterte, wurden sie so allmählich wach. Die Armory ist eine allgemein, d.h. nicht nur für Spielteilnehmer erreichbare Suchfunktion, die neben zahlreichen Informationen zu Spieldetails auch Profile der teilnehmenden Charaktere liefert. Wer also wissen will, was ein bestimmter Avatar so erlebt hat, bekommt es mit dieser Suchfunktion heraus. Und kann damit sogar nachvollziehen, wann und wie häufig jemand im Spiel aktiv ist. Zwar liefert die Funktion keine Zuordnung von Spielern zu Avataren. Aber wenn ein Spieler zu einem früheren Zeitpunkt die Namen seiner Avatare preisgegeben hat, lassen sich mit der Armory leicht Rückschlüsse auf sein Spielverhalten ziehen.

Was z.B. Arbeitgeber bzgl. krankgemeldeter Arbeitnehmer und Auszubildende durchaus interessieren könnte (vgl. Beispielfall einer wegen privater Facebook-Nutzung gekündigten Arbeitnehmerin). Datenhungrigen Unternehmen ist ja inzwischen praktisch alles zuzutrauen. Und mit Recht und Gesetz wird es da oft ebenso wenig genau genommen wie mit Ethik und Moral (vgl. die zunehmenden Fälle von inszenierten Bagatellkündigungen zur Umgehung des Kündigungsschutzgesetzes)

Netzsherriff.de zum Thema Armory im WoW:

Jetzt koennen Eltern ihre Kinder, Freunde ihre Freunde, Arbeitgeber ihre Azubis oder Arbeitnehmer noch einfacher ueberwachen. Sobald ich weiss wer welchen Charakter spielt kann ich ab sofort und je nach Aktivitaet auch noch auf Jahre zurueck nachvollziehen was wann gemacht wurde. Nicht jeder Login und jede verspielte Minute aber immer noch genug fuer ein interessantes Profil. Vermutlich wird es nicht mehr lange dauern bis Blizzard die /played Information integriert – die insgesamt aufaddierte Spielzeit in Stunden/Tagen/Monaten pro Charakter.

Zudem ist nicht vorgesehen, dass WoW-Spieler die Veröffentlichung ihrer Spieldaten deaktivieren können. Was sie inzwischen zunehmend auf die Palme bringt und zu Protesten in Spielerforen veranlasst.

Zumal anzunehmen ist, dass diese eigenmächtige und mit niemandem abgestimmte Aktion von Blizzard rechtlich durchaus angreifbar ist, wie z.B. Florian Kretzer in einer lesenswerten Kommentierung im IT-Sicherheitsblog datenschutzrechtlich und vertragsrechtlich erläutert.

(die in seinem Artikel erwähnte EU-Datenschutzrichtlinie 95/46/E, das Fundament des europäischen Datenschutzrechts, gibt es hier im Volltext)

Es bleibt also abzuwarten, ob Blizzard die Armory freiwillig entschärft. Oder ob Spieler Beschwerden bei Datenschutzbeauftragten gegen Blizzard einreichen und diese Überprüfungen veranlassen, Bußgelder verhängen und Gewinne abschöpfen.

Einmal mehr zeigt sich ein Phänomen, das man „digitale Konvergenz“ nennen könnte. Reale und virtuelle Welt kommen einander immer näher. Was  in der einen Welt geschieht, hat zunehmend Auswirkungen auf das Geschehen in der anderen. Sich in eine virtuelle Welt zurückzuziehen, um sich der Misslichkeiten der Realität zu entledigen, klappt immer weniger.

Andererseits soll es ja tatsächlich engagierte WoW-Spieler geben, die ihr so generiertes Spielerprofil als gutes Mittel zum Beleg ihrer Kompetenzen als Raidleiter für ihre Bewerbung auf dem Arbeitsmarkt sowie als Bestandteil ihrer generellen Online-Reputation ansehen. Allerdings ist die Anzahl der zu besetzende Positionen in Wirtschaft und Verwaltung, in denen es auf nachweisbare WoW-Handlungskompetenz ankommt, noch recht überschaubar.

Können Sicherheitsexperten zum Sicherheitsrisiko werden?

Diese Frage warf vor ein paar Tagen der Newsletter des Fachinformationsdienstes „Datenschutz-Praxis“ auf. Denn gerade in Unternehmen ist es keineswegs immer so, dass der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte stets an einem Strang ziehen. Zwar werden diese beiden Funktionen der Einfachheit halber und wegen der inhaltlichen Schnittpunkte gerne in einer Person zusammengelegt. Das aber kann Interessenskonflikte mit sich bringen, da der Datenschutzbeauftragte die Arbeit des IT-Sicherheitsbeauftragten bzgl. des Datenschutzes zu bewerten hätte. Und sich als „Doppelbeauftragter“ dann selbst zu kontrollieren hätte.

Zumal es z.B. Sachverhalte geben kann, bei denen z.B. aus Sicht der IT-Sicherheit manche Auswertungen, Datenzugriffe und Überwachungsfunktionen unerlässlich scheinen, während der Datenschutzbeauftragte vor einem anlasslosen, massenhaften Screening von Mitarbeiteraktivitäten warnt.

Doch zum eigentlichen Sicherheitsproblem kann der IT-Sicherheitsbeauftragte vor allem dann werden, wenn er sich bei der „internen Vermarktung“ berechtigter Anliegen der IT-Sicherheit vor Entscheidungsträgern im Unternehmen schwertut. Gerne verfallen IT-Sicherheitsbeauftrage dabei in Verhaltensmuster wie diese:

• Sie geben viel zu detaillierte technische Informationen, deren Aufnahme viel Zeit in Anspruch nimmt und die Entscheidungsträger eher verwirren oder abschrecken.
• Dagegen können sie für Entscheidungsträger wichtige technische Zusammenhänge nur unzureichend oder gar nicht erläutern.
• Sie verbreiten Horrorbotschaften über die neuesten Gefahren für die interne IT, ohne einen echten Bezug zur konkreten Situation im Unternehmen herzustellen.
• Sie liefern rein problemorientierte Sicherheitsberichte ab, denen weder realistische Bewertungen noch Lösungsvorschläge für bestehende Probleme entnommen werden können.
• Sie verfassen Sicherheitsrichtlinien, die unverständlich und umständlich in der Umsetzung sind, deren Ausführung eher den Betrieb lahmlegen würde als die Sicherheit zu verbessern, mit denen sie Betriebsräte und Beschäftigte gegen sich aufbringen und an die sich dann letztlich keiner hält.

So bekommen Datensicherheit und IT-Sicherheit letztlich doch nicht den erforderlichen Stellenwert und das Thema IT-Sicherheit wird in den Augen der Geschäftsleitung zum unverständlichen, lästigen und produktivitätshemmenden Sitzungsballast, der mit einer fadenscheinigen Begründung aufgeschoben oder weggekürzt wird. Bis es dann zu einem echten Problem kommt und Datenschutzlöcher oder ausgespähte Firmengeheimnisse eingestanden werden müssen (und Schuldige gesucht und gefunden werden sollen).

Der Fachinformationsdienst Datenschutz-Praxis rät daher Datenschutzbeauftragten das kollegiale Gespräch zu den Sicherheitsbeauftragen zu suchen, sie für Belange des Datenschutzes zu sensibilisieren und ihnen bei der Darstellung und Vermittlung der berechtigten Anliegen von IT-Sicherheit und Datenschutz im Unternehmen zu helfen.

Die Vision von sicherer, verlässlicher Software

Erst kürzlich wurde zehntausenden Nutzern von EC-Karten mal wieder bewusst gemacht, was es bedeuten kann, wenn Software gravierende Fehler aufweist und nicht richtig funktioniert. Dabei sind die Programme auf den EC-Kartenchips, die zu Jahresbeginn zu massiven Problemen im Zahlungsverkehr führten, noch recht überschaubar, wie Informatiker Prof. Holger Hermanns von der Uni Saarbrücken befindet: „Zu Recht ärgerten sich Millionen Bankkunden über die stümperhafte Software auf ihren Kreditkarten. Offensichtlich ist das passiert, was viele bereits zur Jahrtausendwende 1999 auf 2000 befürchtet hatten: ein Software-Crash!“. Zwar sind Fehler in komplexen Softwaresystemen  leider immer möglich. Jedoch erklärte der Experte für verlässliche Systeme und Software, in einem Interview mit Heute.de: „In dem konkreten Fall der EC-Karten wäre dieser Fehler aber durchaus vermeidbar gewesen. Denn die Programme auf den Kartenchips sind so klein und übersichtlich, da muss das nicht sein.“

Tatsächlich beschäftigen sich Informatiker seit Jahrzehnten damit, formale Methoden zu entwickeln, mit deren Hilfe sich die Korrektheit von Software nicht nur testen und prüfen sondern mathematisch beweisen lässt. Jedoch funktioniert das bislang nur für Programme von überschaubarem Umfang und Komplexität. Daher forscht man an der Uni Saarbrücken im Rahmen des Projekt AVACS (Automatic analysis and verification of complex systems) damit, Methoden zu entwickeln, um insbesondere komplexe softwarebasierte Systeme wie Fahrzeuge und medizinische Großgeräte aber auch kritische Infrastrukturen wie Kraftwerke und Verkehrstechnik ausfallsicherer zu machen. Denn während die streikende EC-Karte nur lästig ist, kann ein Absturz des Bordcomputers im ICE rasch lebensgefährlich werden.

Doch viele Qualitätsprobleme sind hausgemacht und daher mit technischen Lösungen nicht zu beseitigen. Prof Hermanns hierzu: „Leider gibt für Computerprogramme bisher noch kein Qualitätssiegel und Programme werden häufig unter Zeitdruck geschrieben.“

„Damit Denk- oder Schreibfehler in einer Software nicht zu unerwarteten Pannen oder gar Katastrophen führen müssen Unternehmen in die Aus-, Fort und Weiterbildung ihrer Mitarbeiter investieren. Pannen passieren immer wieder, weil unter Zeitdruck gearbeitet wird und zu wenig Qualitätskontrollen durchgeführt werden. Leider werden aus Kostengründen zu viele mäßig ausgebildete Fachinformatiker und Programmierer eingestellt. Die Guten sind oftmals zu teuer oder nicht mehr auf dem Markt.“

Es ist also wie auch in anderen Bereichen der Wirtschaft das alte Problem. Qualität kostet Geld und Kunden sind nicht bereit für Qualität extra zu bezahlen, da sie es aus anderen Lebensbereichen gewohnt sind, dass auch ein preiswertes Produkt einwandfrei zu funktionieren hat. Was allerdings häufig eher hoher Regulierungsdichte (Produkthaftung, Zulassungsbedingungen, verbindlicher qualitativer „Stand der Technik“, kein völlig freier Markzugang für jeden …) zu verdanken ist.

Der Computerbild-Abzockschutz

Neben Viren, Trojanern, Rootkits und anderer Schadsoftware bekommt es der unbedarfte Internetnutzer zunehmend auch mit Trickbetrug zu tun. Eine recht verbreitete Variante besteht darin, zunächst scheinbar kostenlos Leistungen auf einer Webseite anzubieten, für deren Nutzung eine Registrierung mit vollständiger ladungsfähiger Postadresse erforderlich ist (für einen Newsletter reicht an sich eine Mailadresse, für eine geschlossene Benutzergruppe ein Pseudonym).

Später erhält man an diese Adresse dann ein Schreiben geschickt, wonach man ein Abo für irgendwas abgeschlossen hat, dass längere Zeit läuft und für das eine 2-3stellige Gebühr anfällt. Zahlt man nicht, werden die Betreiber rasch pampig und drohen mit Mahnungen, Inkasso, Schufa-Scherereien usw.

Tatsächlich ist man auf eine Form von Betrug hereingefallen und könnte diese Schreiben ignorieren, bis eventuell ein echter Mahnbescheid eingeht. Dem widerspricht man fristgemäß, der Mahnende hätte dann auf eigenes Risiko in ein (rechtlich aussichtsloses) Klageverfahren zu gehen, in dem er die Berechtigung seiner Mahnforderung zu belegen hätte (was er nicht kann und daher auch bleiben lässt) und die Sache ist erledigt. Viele zahlen aber weil sie für den meist überschaubaren Geldbetrag die ständigen Scherereien und Drohungen loswerden wollen. Ähnlich wie Abmahnbetrug sind so auch Abofallen zur Gelddruckmaschine für zwielichtiges Gesindel geworden. Zwar sind Verstöße gegen die Preisangabenverordnung juristisch sanktionierbar. Aber die Seiten werden dann eben geschlossen und unter anderem Namen neu aufgemacht.

Doch seit einigen Monaten gibt es dagegen einen wirksamen Schutz: Ein Browser-Plugin, kostenfrei verfügbar für den Internet Explorer und Firefox, gibt beim Versuch eine Abzock-Seite aufzurufen, eine Warnmeldung aus, in der erklärt wird, warum die Seiten als gefährlich eingestuft wird. Danach kann man entscheiden, ob man sie trotzdem aufrufen oder ihr fernbleiben will.

Das Plugin namens „Computerbild Abzockschutz“ wurde von der Zeitschrift Computerbild in Kooperation mit den Verbraucherzentralen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen Fachanwälten entwickelt. Die Warnliste basiert auf redaktionell geprüften Informationen von Nutzern des Programms.

Man kann es hier herunterladen. Die Inhalte der Warnliste sind online abrufbar. Sie werden bei jedem Start des Browsers automatisch aktualisiert. Ähnlich wie bei signaturbasierten Virenscannern werden neue Abzockseiten so noch nicht erkannt. Allerdings bewirkt der Input durch die Nutzer selbst eine rasche Aktualisierung der Datenbasis des Programms.

Alles in allem eine gute und sinnvolle Sache. Allerdings sollte man es generell angewöhnen auf Gewinnspiele im Internet, Downloadseiten und alles, bei dem ohne ersichtlichen Grund eine volle Adresse anstatt nur einer Mailadresse angegeben werden soll, zu verzichten. Man führt dann ein erheblich ruhigeres Surferleben.

Der Widerstand gegen Elena formiert sich

Obwohl es bereits im April letzten Jahres von der damaligen großen Koalition verabschiedet wurde, blieb das „Elena-Verfahrensgesetz“ in bürgerrechts- und datenschutzsensiblen Kreisen zunächst lange unbemerkt. Die anstehende Bundestagswahl sowie Themen wie Internetzensur oder Vorratsdatenspeicherung absorbierten einen Großteil der politischen Kapazitäten der informationstechnischen Zivilgesellschaft.

Doch als zu Jahresbeginn mit Elena alle Firmen, die Arbeitnehmer im weitesten Sinne beschäftigten, damit begannen, Sozialdaten bis hin zu Abmahnungen, Fehlzeiten und Streikteilnahmen an eine zentrale speichernde Stelle weiterzugeben, wurde doch so manchem mulmig.  Gewerkschaften erkannten, dass sich die hier wieder hemmungslos zutage tretende Datengier des Staates direkt gegen sie wenden könnte und kündigten Verfassungsklagen an. Zivilgesellschaftliche Organisationen diskutieren in ihre Mailinglisten über mögliche Formen des Protestes und des zivilen Ungehorsams. Und Informationsveranstaltungen zum Thema Elena finden (für ein zunächst trocken wie Lohnabrechnung wirkendes Thema) enorme Nachfrage.

So nahm ich gestern an einer Infoveranstaltung im DGB-Haus München teil, welche nur per Mailverteiler einige Wochen vorher angekündigt worden war (aber dann ihren Weg auf eine Mailingliste der Münchner Piraten gefunden hatte). Etwa 80 Leute und damit mehr als doppelt so viele wie sonst auf solchen Gewerkschaftsvorträgen üblich hatten den Weg gefunden. Peter Ellner, ein Anwalt und Steuerberater mit Tätigkeitsschwerpunkt Lohnabrechnung gab einen kurzen Überblick über das Elena-Thema. Doch rasch wandte sich die Aufmerksamkeit und das Fragen der Zuhörer weg von den Grundlagen und hin zu der Frage „Was tun wir dagegen?“. Sollte doch das Treffen nicht nur informatorischen Charakter haben, sondern zur Gründung einer gewerkschaftlichen Arbeitsgruppe führen, die sich politisch gegen diese zweite Vorratsdatenspeicherung einsetzt. Denn so groß Gewerkschaften von außen erscheinen mögen – in ihrem Inneren funktioniert wenig bis nichts ohne engagierte Ehrenamtliche, die dem Apparat inhaltliche Impulse geben und auf allen Ebenen mitarbeiten.

Der erste Schritt ist demnach die inhaltliche Aufklärung und politische Einordnung des Themas, wozu auch ich in meinem Blog bereits einige Artikel eingestellt habe.

Als Nächstes wird der DGB oder eine Einzelgewerkschaft wohl demnächst eine Verfassungsklage gegen Elena auf den Weg bringen, um so politisch Druck aufzubauen. Datensätze wie die Erfassung von Streikteilnahmen können durchaus geeignet sein, die grundgesetzlich verbürgte Koalitionsfreiheit sowie das Streikrecht zu beeinträchtigen, weshalb die Regieung bereits Nachbesserungen versprach (die aber noch nicht Gesetz und damit nicht rechtswirksam sind).

Gewerkschaften sind auch gute Plattformen zur Erstellung und Verbreitung von Informationen. Die Mitgliederzeitschriften „metall“ (IG Metall) und „publik“ (Verdi) erscheinen in Millionenauflage und erreichen jedes Mitglied. Daneben können Gewerkschaften auch als Plattform zur Organisation von Multiplikatorenschulungen (Betriebsräte, Vertrauensleute, hauptamtliche Gewerkschafter und interessierte Mitglieder) dienen.

Eine interessante Frage am Rande war das Verhalten der Gewerkschaften, die ja als Arbeitgeber für ihre Angestellten auch selbst Elena-Daten abliefern müssen, um korrekte Lohnabrechnungen generieren zu können.

Aber auch Betriebsräte können das ihre beitragen, indem sie Elena zum Thema auf Betriebsversammlungen machen. Es betrifft schließlich alle Arbeitnehmer – vom Lehrling bis zum angestellten Geschäftsführer. Viele mit Elena an die speichernde Stelle zu übertragende Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfeder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen. Da solche Dinge oftmals erst arbeitsgerichtlich ausgefochten werden müssen, bis es jeder betroffene Arbeitgeber gelesen und auch verstanden hat, stehen demnächst wohl interessante Urteile an.

Denkbar wären auch regelmäßige datenschutzrechtliche Auskunftsanfragen an die speichernde Stelle, deren personelle Kapazität bei Millionen von auskunftsberechtigten Bürgern rasch an ihre Grenzen käme – falls der Staat da nicht mit einer Ausnahmeregelung zum § 19 BDSG für Elena das Auskunftsrecht der Betroffenen einschränkt oder ganz aushebelt.

Und natürlich gilt es bei gleicher Zielsetzung mit anderen zivilgesellschaftlichen  Organisationen wie dem Chaos Computer Club, dem Arbeitskreis Vorratsdatenspeicherung, dem FoeBud, der humanistischen Union oder der Piratenpartei zusammenzuarbeiten.

Dann kann auch Elena zu Fall gebracht und der Sicherheits- und Datenkrakenstaat in seine Schranken gewiesen werden.

Update vom 28.01.2010:
Die Piratenpartei Deutschland hat unter stopptelena.de eine Aktionsseite ins Netz gestellt, auf der sie Informationen zum Elena-Gesetz, einen Pressespiegel sowie einen Aktionskalender veröffentlicht. Zudem hast sich ein von zahlreichen zivilgesellschaftlichen Organisationen getragenes Aktionsbündnis Wider die Datensammelwut gebildet, das neben Elena auch andere Formen staatlichen Datenhungers wie SWIFT, INDECT, die Vorratsdatenspeicherung oder biometrische Ausweise thematisiert und dazu Gegenaktionen plant.

BSI warnt: Internet Explorer nicht benutzen!

Im Internet Explorer existiert eine bisher unbekannte kritische Sicherheitslücke. Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten. Der in der vergangenen Woche bekannt gewordene Hacker-Angriff auf Google und weitere US-Unternehmen hat vermutlich diese Sicherheitslücke ausgenutzt.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den Windows-Systemen XP, Vista und Windows 7. Microsoft hat ein Security Advisory herausgegeben, in dem es Möglichkeiten der Risikominimierung beschreibt und arbeitet bereits an einem Patch, um die Sicherheitslücke zu schließen. Das BSI erwartet, dass diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird.

Mit dieser klaren Ansage warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz des Internet Explorers von Microsoft. Solche Warnungen werden von Bundesbehörden eher selten veröffentlicht und erreichen noch seltener die Presse, was einmal mehr dafür spricht, sie ernst zu nehmen.

Was aber ist geschehen?

Zunächst mal fügt das BSI in der Pressemeldung noch an, dass das bloße Herunterschalten des Internet Explorers in den „geschützen Modus“ sowie das Abschalten von Active Scripting den Angriff zwar erschwert aber nicht unmöglich macht. Microsoft wird in seiner Security Advisory (979352) etwas konkreter:

The vulnerability exists as an invalid pointer reference within Internet Explorer. It is possible under certain conditions for the invalid pointer to be accessed after an object is deleted. In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution.

Kein konkreter Programmierfehler sondern eine eher generelle Schwäche der Implementierung des Browsers bzw. seiner Speicherverwaltung gab mal wieder die Chance auf einen Exploit her, der durch Schadcode von entsprechend präparierten Websites eingeschleppt werden kann. An einem Patch wird gearbeitet. Es dürfte aber noch etwas dauern, bis er verfügbar ist. Bis dahin sollte man dem Rat der BSI-Experten folgen und den Internet Explorer nicht nutzen. Der gut beratene Internetnutzer hat ohnehin mehrere Browser auf seinem Rechner installiert.

Die BSI-Warnung steht im Kontext der in den letzten Tagen bekanntgewordenen Hack-Attacken gegen US-Unternehmen wie Google, bei denen bislang noch unbekannte Sicherheitslücken (Zero-Day-Exploits) im Microsoft-Browser als Grundlage für Angriffe eingesetzt wurden. Angestellte dieser Firmen hätten dazu E-Mails erhalten, die sie dazu bringen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite, hätte dann für die Infiltration des Rechners genügt – eine typische Drive-By-Attacke. Die Angreifer nutzten den Exploit dazu einen Trojaner-Dropper auf den angegriffenen Rechnern abzusetzen, der dann selbsttätig über eine SSL-Verbindung weitere Module von einem C&C-Server nachlädt – darunter ein Fernzugriffstool, mit dem die Angreifer die Rechner unter ihre Kontrolle bringen können.

Microsoft nimmt an, dass die aktuelle Sicherheitslücke bisher noch nicht gegen Privatrechner eingesetzt worden sei, sondern nur sehr gezielt gegen bestimmte Unternehmen. Egal ob diese Annahme zutrifft oder nicht – bald schon dürfte sie obsolet werden.

Mit der Hackerkarte backstage im Flughafen unterwegs

Spiegel Online berichtet über einen Hack der peinlichen Art, der dem Chaos Computer Club kürzlich gelang. CCC-Hacktivisten führten für die ARD-Sendung „Kontraste“ vor, wie man mit einem programmierbaren RFID-Reader für etwa 200 € beim Umherwandern im Flughafen die Informationen aus RFID-Identkarten der dort Beschäftigten auf Distanz auslesen kann. Mit diesen „aus der Luft gegriffenen“ Identitätsdaten im Gerät (das wahlweise als Karte oder als Leser eingesetzt werden kann) ist es je nach Berechtigungsstufe des Karteninhabers möglich, sich Zugang über Zufahrtstore, Straßen, Terminals und Gates direkt aufs Vorfeld und natürlich auch in ein Flugzeug zu verschaffen, wie es auch ein Mitarbeiter des Flughafens Hamburg den Kontraste-Reportern bestätigte.

Betroffen sind Flughäfen, die das Zugangssystem „Legic Prime“ der Schweizer Firma Legic Identsystems AG einsetzen. Was bei zahlreichen Airports der Fall ist. Dessen bislang geheim gehaltene und daher wohl auch nicht durch Peer Review geprüfte Kryptoalgorithmen entsprechen dem Stand der Technik von 1992 und wurden vom CCC durch Reverse Engineering geknackt, wie Legic inzwischen einräumen musste.

Der CCC machte bereits im 26C3 Ende letzten Jahres auf die Schwäche der Legic-Karten aufmerksam. „Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen“ so ein daran beteiligtes CCC-Mitglied. Das “Security by Obscurity” bei Kryptoverfahren seine Grenzen hat, ist allerdings bereits seit langem Konsens in der Community der damit befassten Experten.

Die Betreiber der Flughäfen sind sich erstaunlicherweise der Löchrigkeit ihrer Sicherheitssysteme sogar bewusst, setzen aber darauf mehrere Sicherheitsverfahren zu koppeln. Die ID-Karten komplett durch ein System zu ersetzen, das zeitgemäßen technischen Standards entspricht, ist ihnen schlicht zu teuer.

Was die Gewerkschaft der Polizei einmal mehr in ihrer Forderung bestärkte, die Flughafensicherheit als originäre staatliche Aufgabe zu werten und durch Polizeibeamte anstatt private Sicherheitsleute wahrnehmen zu lassen. Allerdings beklagt auch die Polizei des öfteren Mängel in ihrer Sachausstattung. So gibt es bis heute keinen halbwegs abhörsicheren digitalen Polizeifunk für Deutschlands Ordnungshüter.

Das Projekt Datenschutz

Seit September letzten Jahres ist unter www.projekt-datenschutz.de eine Website erreichbar, auf der Datenschutzvorfälle in Unternehmen, Organisationen und Behörden und Datenschutz-Aktivitäten der Politik veröffentlicht werden. Betrieben wird sie von der Münchner  PR-Agentur PR-COM. Diese will mit ihrem Projekt eine Übersicht über große und kleine Datenschutzvorfälle ermöglichen, die entweder bereits in der Tagespresse erschienen oder die den Betreibern aus glaubwürdigen Quellen zugetragen werden.

Geordnet nach Datum, Ort, Datenherkunft, Organisation, Zahl der Betroffenen sowie versehen mit einer Kurzbeschreibung werden die gesammelten Datenschutzsünden aus Politik, Wirtschaft und Verwaltung hier veröffentlicht. So soll eine zunehmende Sensibilisierung der datenverarbeitenden Organisationen erreicht werden, da Datenschutzsünden auf diese Weise nicht mehr unter den Tisch gekehrt und verschwiegen werden können. Dies erscheint auch vor dem Hintergrund interessant, dass das Bundesdatenschutzgesetz im neu geschaffenen § 42a eine Publizitätspflicht für Datenschutzverstöße vorsieht, so dass die Anzahl offiziell anzuzeigender und publik werdender Datenschutzverstöße künftig deutlich zunehmen dürfte.

Ähnliche Seiten gibt es im internationalen Umfeld bereits seit längeren, so z.B. die Data Loss DB der Open Security Foundation.

Wenn die Kreditkarte streikt – Softwaredefekt legt Kartenzahlung lahm

Als Anbieter von Softwareprodukten an deren Qualität von zu sparen kann richtig teuer, zum Teil sogar existenzgefährdend werden. Diese Erfahrung macht derzeit die Firma Gemalto, die sich selbst bescheiden als „Weltmarktführer in digitaler Sicherheit“ bezeichnet. Sie hatte für deutsche Banken und Sparkassen Millionen EC- und Kreditkarten produziert, die in den ersten Tagen des neuen Jahres den Dienst einstellten und nicht mehr zum Bezahlen oder Geldabheben benutzt werden konnten.

Doch was war geschehen?

Die mit einem programmierten Chip versehenden Karten hatten ein Datumsproblem. Sie konnten das Jahr 2010 nicht korrekt verarbeiten und blockierten daher bei der Kartennutzung die Auszahlung von Geld.

Die neuen, goldfarbenen EMV-Chips (Europay, MasterCard und VISA) sind gut auf der Vorderseite der Karten zu erkennen. Sie speichern und verarbeiten Daten, die vom Lesegerät an die Karte übergeben werden. Die Chips basieren auf dem noch relativ neuen EMV-Standard, sollen Kartenfälschung und Betrug deutlich erschweren und so bargeldloses Bezahlen sicherer machen, als der zuvor eingesetzte passive Magnetstreifen.

Doch die in ihnen hardcodierte und daher nicht mehr nachträglich änderbare Software hatte wohl (mindestens) einen gravierenden Bug, der erst beim Einsatz durch den Kunden auffiel. Gemalto übernahm bereits nach kurzem die Verantwortung und arbeitet seitdem eng mit den Banken zusammen, um das Problem in den Griff zu bekommen. Als ersten Workaround wurden Bankautomaten umprogrammiert, so dass sie den Kartenchip ignorieren und sich rein an den Daten auf dem Magnetstreifen orientieren. Einzelhändler begannen bei defekten Karten den Chip per Klebestreifen zu überkleben, so dass ihre Kassenterminals stattdessen auch wieder den Magnetstreifen verarbeiten. Was natürlich den Sicherheitsgewinn durch die EMV-Technologie wieder aufgibt.

Doch das sind nur Workarounds, um Zeit für eine grundsätzliche Lösung zu gewinnen. Inzwischen scheint es wohl darauf hinauszulaufen, dass nahezu alle Karten mit Chip ausgetauscht werden müssen. Bei geschätzten 5 – 10 € Transaktionskosten pro Kartentausch und einer zweistelligen Millionenzahl an betroffenen Karten eine teure und zeitaufwendige Angelegenheit. Zumal die Geldinstitute zunehmend unter öffentlichen Druck von Politik, Verbraucherschützern und des Einzelhandels geraten, den die hohen Gebühren für die Zahlungsabwicklung schon länger verärgern.

Für den Fachmann zeigen sich gleich zwei Problemfelder der Softwarequalität in diesem Fall. Offenbar hat man bei Gemalto die Kartensoftware nicht hinreichend genau getestet, bevor sie für den Rollout freigegeben und in die Chips hart eincodiert wurde. Obwohl Software im Finanzbereich aufgrund des höheren Regulierungsniveaus und etlicher Branchenstandards im Allgemeinen umfangreicher getestet wird. Und die Nutzung in Form hardcodierter Bauteile, in die kein Patch und kein neues Release eingespielt werden kann, deutlich höhere Qualitätsanforderungen an die Entwicklungsprozesse stellt.

Was genau und aus welchem Grund bei Gemalto schiefgelaufen ist, dürfte allerdings noch länger im Unklaren bleiben. Im Gegensatz zum Jahrtausendwechsel, der insbesondere älteren Programmen Probleme bereitete, sollte das Jahr 2010 für Computerprogramme jedoch keine besondere Herausforderung sein. Insbesondere, wenn sie neu entwickelt wurden.

Andererseits können gerade bei der Wieder- und Weiterverwendung von Codeteilen sowie bei der Nutzung von Frameworks und Bibliotheken darin enthaltene und bislang unentdeckte Fehler über lange Zeit und in zahlreiche Anwendungen weitergetragen werden, bis sich die Umstände ergeben, unter denen der Fehler zum Problem wird. Daher sollten insbesondere solche wiederverwendeten Codeteile und Bibliotheken mehrfach, gründlich und von verschiedenen Instanzen auf Qualitätsprobleme untersucht werden.

Doch auch die abnehmenden Kreditinstitute haben offenbar bei den Abnahmetests für die neue Kartengeneration entweder komplett auf den Lieferanten vertraut oder zumindest nicht hinreichend genau getestet. Gerade Datumsangaben sind häufig Gegenstand von Fehlern (und daher auch von Testfällen), da es sehr viele mögliche Formate für sie gibt. Und man mit dem Datum auch rechnen, vergleichen, es als Bedingung für Entscheidungen verwenden, es numerisch oder alphanumerisch darstellen und noch vieles mehr machen kann.

So oder so – es zeigt sich einmal mehr, dass eine Art Produkthaftung auch im Softwaresektor unumgänglich ist, um Qualitätskosten als Notwendigkeit der Entwicklung und Produktion anstatt als lästiger, unnötiger und gern mal „wegoptimierter“ Kostenfaktor zu sehen. Wie auch in anderen Bereichen der Wirtschaft, reagieren Unternehmen oftmals leider nur auf Druck, drohende Wettbewerbsnachteile und harte (managerhaftungsrelevante) Regulierung.

ELENA – ein tiefer Einschnitt in die informationelle Selbstbestimmung

Zum Jahresanfang trat ein bereits im April vergangenen Jahres beschlossenes Gesetz in Kraft – das Gesetz über das Verfahren des elektronischen Entgeltnachweises (ELENA Verfahrensgesetz). Dazu übernehme ich an dieser Stelle eine längere Pressemeldung der Piratenpartei Deutschland, welche das Vorhaben nicht nur problematisiert, sondern auch etliche Hintergrundinformationen mit Quellenangaben sowie eine Einordnung von ELENA in Bezug auf weitere staatliche Vorhaben wie z.B. die einheitliche Steuernummer oder zahlreiche andere Datensammelgesetze enthält. Ich halte es für wichtig, dass ein breiterer zivilgesellschaftlicher Diskurs über diese „zweite Vorratsdatenspeicherung“ in Gang kommt und unterstütze daher damit die Piratenpartei.

Am 1. Januar des neuen Jahres tritt deutschlandweit das ELENA (elektronischer Entgeltnachweis) Verfahrensgesetz in Kraft. Es wurde initiiert, um durch digital bereitgestellte personenbezogene Daten die Beantragung von Sozialleistungen zu vereinfachen. Zukünftig sind daher alle Arbeitgeber verpflichtet, monatlich für jeden ihrer Beschäftigten einen ausführlichen Datensatz mit sensiblen persönlichen Informationen an eine zentrale Speicherstelle des Bundes zu übermitteln. Diese Regelung betrifft über 40 Millionen Menschen, unabhängig davon, ob sie jemals Sozialleistungen in Anspruch nehmen. Die Speicherung geschieht damit auf Vorrat. Die Betroffenen haben zudem kein Widerspruchsrecht.

Die Piratenpartei Deutschland kritisiert diese unmäßige Erhebung und Speicherung personenbezogener Daten. Dies ist für den beabsichtigten Zweck des Bürokratieabbaus nicht erforderlich und im geplanten Umfang auch keinesfalls gerechtfertigt. Der Aufbau einer zentralen Datenbank mit derartigen Informationen widerspricht dem Grundrecht auf informationelle Selbstbestimmung.

»ELENA stellt einen weiteren Arm des immer größer werdenden staatlichen Datenkraken dar und ist für die Arbeitnehmerinnen und Arbeitnehmer in Deutschland kein Gewinn«, stellt Thorsten Wirth, Vorstandsmitglied der Piratenpartei, fest. »Wer befürchten muss, dass Informationen über eine längere Krankheit, die Teilnahme an einem Streik oder die Gründe für den Verlust eines Arbeitsplatzes einem zukünftigen Arbeitgeber in die Hände fallen könnten, wird sein Verhalten daran anpassen. Dies war schon bei der Einführung der Vorratsdatenspeicherung von Kommunikationsdaten der Fall und wird sich im Zuge von ELENA noch verstärkt zeigen. Ein derartiger Eingriff in die Freiheitsrechte kann nicht toleriert werden und ist für die Bestimmung eines Anrechts auf Sozialleistungen auch völlig unnötig.«

Die Piratenpartei fordert eine umgehende Rücknahme des ELENA-Verfahrensgesetzes. Unter dem Vorwand des Bürokratieabbaus dürfen so weitreichende personenbezogene Daten ohne Zustimmung der Betroffenen weder erhoben noch gespeichert werden.

Weitere Informationen

ELENA ist künftig nicht mehr nur bekannt als die Tochter von Zeus und Leda, deren Entführung den Trojanischen Krieg ausgelöst hat. Die Bundesregierung hat dem Namen ein neues Gesicht verliehen und im kommenden Jahr werden ca. 40 Millionen Bürger davon betroffen sein.

ELENA steht für den elektronischen Entgeltnachweis und beschreibt ein Gesetz, das vom Bundesministerium für Wirtschaft und Technologie als »wichtiger Meilenstein zum Abbau bestehender Bürokratie« bezeichnet wird. Was sich nach einer sinnvollen Innovation anhört, entpuppt sich bei näherer Betrachtung als eine Vorratsdatenspeicherung in einem neuen Bereich in bisher unerreichten Dimensionen. Außerdem soll durch ELENA die elektronische Signatur etabliert werden, da diese für die Anwendung des Verfahrens unerlässlich ist.

Mit dem Beginn des Jahres 2010 müssen Arbeitgeber in Deutschland monatlich die Einkommensnachweise der bei ihnen angestellten Beschäftigten, Beamten, Richter oder Soldaten zur Speicherung an eine zentrale Sammelstelle übermitteln. Dabei wird zusätzlich eine Vielzahl anderer personenbezogener Daten erhoben, die bei Bedarf verschiedenen Behörden zur Verfügung gestellt werden.

ELENAs Geburt

Ihren Anfang nahmen die Entwicklungen, die letztlich zum ELENA-Verfahrensgesetz geführt haben, bereits im Jahr 1997. Damals schaffte der Bundestag durch das Signaturgesetz die rechtlichen Grundlagen für elektronische Unterschriften. Diese sollten dazu dienen, den Handel im Internet anzukurbeln, da auf Basis einer elektronischen Signatur leichter rechtsgültige Verträge geschlossen werden können. Das System konnte sich aber nicht durchsetzen, da die nötige Authentifizierung für alle Beteiligten die Anschaffung von Lesegeräten erfordert hätte. Ein wirklicher Anreiz dafür fehlte bisher.

Im Jahr 2002 kam von der Hartz-Kommission und verschiedenen Arbeitgeberverbänden der Vorschlag zur Einführung einer sogenannten Job-Card. Bestimmte Arbeitnehmerdaten, wie die Beschäftigungszeiten und die Höhe des Entgelts sollten an einer zentralen Stelle gespeichert werden. Dadurch wäre es den zuständigen Agenturen nach Ermächtigung durch den Antragsteller möglich gewesen, bei Entscheidungen über Ansprüche von Arbeitslosengeld und anderen Leistungen auf die Bescheinigungen der Arbeitgeber zu verzichten. Die damalige Bundesregierung stimmte dem Vorschlag zu und beschloss die Einführung der Job-Card. Die technische Realisierbarkeit sollte im Rahmen eines Pilotprojektes geklärt werden, das noch im selben Jahr startete.

Der Bundesbeauftragte für den Datenschutz meldete im folgenden Jahr datenschutzrechtliche Bedenken und forderte eine ausreichende Prüfung des Job-Card-Verfahrens. Ab Ende 2003 wurde die Job-Card daraufhin mit fiktiven Arbeitnehmerdaten durch mehrere Agenturen für Arbeit und große Unternehmen wie Volkswagen und Lufthansa getestet.

Im Mai 2004 wurde bekannt, dass die Bundesregierung den geplanten Einführungstermin der Job-Card um ein Jahr verschieben wollte. Als neuer Starttermin wurde der 1. Januar 2007 genannt, wobei anfangs nur Arbeitslose und Angestellte des öffentlichen Dienstes mit der Job-Card ausgestattet werden sollten. Der Termin wurde nicht eingehalten, aber die digitale Signatur war nicht mehr zu stoppen.

Im Juni 2008 kündigte das Bundesministerium für Wirtschaft und Technologie (BMWi) an, dass sechs verschiedene Bescheinigungen künftig über ein digital signiertes System erfasst werden sollen. Der Begriff Job-Card fiel in diesem Zusammenhang nicht mehr. Zu den erfassten Bescheinigungen sollten das Bundeselterngeld, Arbeitsbescheinigungen nach Ende des Arbeitsverhältnisses, Bescheinigungen über Nebeneinkommen und geringfügige Beschäftigungen, Bescheinigungen nach dem Wohnraumförderungsgesetz und die Fehlbelegungsabgabe gehören. Später sollte das System auf 45 Bereiche, wie beispielsweise Kindergeld und Arbeitslosengeld II erweitert werden. Als Systemführer wurden die Technische Abteilung der Deutschen Rentenversicherung und die Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung (ITSG) benannt.

Auf Basis dieser Ankündigung entstand schließlich ELENA. Am 22. Januar 2009 stimmte der Deutsche Bundestag in seiner 200. Sitzung dem Entwurf des Gesetzes über das Verfahren des elektronischen Entgeltnachweises (ELENA-Verfahrensgesetz) zu. Im März trat das Gesetz in Kraft. Die Deutsche Rentenversicherung soll demnach in Zukunft die Rolle der zentralen Speicherstelle (ZSS) übernehmen und die Registratur Fachverfahren (RFV) der ITSG wird für die Pseudonymisierung der Identitäten der Verfahrensteilnehmer vor der Speicherung der anfallenden Daten sorgen.

ELENA geht ihren Weg

Ab dem 1. Januar 2010 ist nun jeder Arbeitgeber durch das ELENA-Verfahren gesetzlich verpflichtet, die Entgeltdaten seiner Beschäftigten monatlich an die Zentrale Speicherstelle (ZSS) zu melden. Die übermittelten Datensätze enthalten aber nicht nur Namen, Anschrift, Einkommen und Rentenversicherungsnummer der Beschäftigten. Es wird stattdessen zukünftig noch eine Vielzahl anderer Informationen zentral gespeichert.

So erfasst zum Beispiel der Datenbaustein DBFZ des Verfahrens die Fehlzeiten der Arbeitnehmer. Neben Angaben wie Krankheit und Pflege- oder Elternzeit wird unter diesem Punkt auch unbezahltes Fehlen genau protokolliert. Interessanterweise werden dabei zwischen „Arbeitsbummelei“ und der „Pflege eines kranken Kindes ohne Kranken- oder Verletztengeldbezug“ oder der „kurzzeitigen Arbeitsverhinderung wegen Pflege“ keine Unterschiede gemacht.

Auch die Teilnahme an rechtmäßigen und unrechtmäßigen Streiks oder eine Aussperrung fallen unter diesen Datenbaustein. Somit erhält der Arbeitgeber ohne weitere Kontrolle die Möglichkeit, durch seine Angabe im Rahmen des ELENA-Verfahrens über die Rechtmäßigkeit eines Streiks zu entscheiden.

ELENA enthält auch anlassbezogene Felder. Der Datenbaustein DBKE beschreibt Angaben zu Kündigungen oder Entlassungen. Dort werden unter anderem Abmahnungen und der Grund einer Kündigung erfasst. Auch wird festgehalten, ob der Arbeitnehmer eine Kündigungsschutzklage erhoben hat. Der Arbeitgeber hat außerdem die Möglichkeit, ein vertragswidriges Verhalten, dass der Anlass einer Entlassung war, in einem Freitext genau zu schildern. Auch hierbei ist eine ausreichende Prüfung der Angaben nicht gewährleistet.

Bisher wurden derartige Daten bei einem reibungslosen Wechsel der Arbeitsstelle überhaupt nicht erhoben. Die Arbeitgeber mussten nur Arbeitsbescheinigungen mit detaillierten Angaben ausstellen, wenn die Arbeitnehmer nach der Tätigkeit Sozialleistungen in Anspruch nehmen wollten. Künftig ist nicht auszuschließen, dass es einem Arbeitnehmer zum Verhängnis wird, wenn er mit einem Arbeitgeber persönliche Probleme hatte und dieser ihn dafür durch die Angaben im Rahmen des ELENA-Verfahrens bestraft. Besonders erschreckend ist in diesem Zusammenhang natürlich, dass die Daten zentral gespeichert werden.

ELENAs Nutzen

Den eigentlichen Zweck wird das ELENA-Verfahren erst ab dem Jahr 2012 erfüllen. Ab dann sollen ausgewählte staatliche Stellen Zugang zu den relevanten Datensätzen erhalten und dadurch Leistungen regeln, für die Einkommens- und andere Beschäftigungsnachweise der Arbeitgeber notwendig sind. Zunächst werden auf diese Weise die Bescheinigungen für Arbeitslosengeld, Wohngeld und Elterngeld erstellt. Weitere Aufgaben der Arbeitsagenturen sowie kommunale und sogar zivilrechtliche Verfahren, wie zum Beispiel die Prozesskostenbeihilfe, sollen später eingegliedert werden.

Das ELENA-Verfahren sieht vor, dass die zuständigen Behördenmitarbeiter nur die für die entsprechende Leistung benötigten Daten abrufen können. Auch bisher war es beispielsweise für die verantwortlichen Ämter möglich, eine Auskunft über die Kündigungsgründe eines Arbeitnehmers zu erhalten. Doch zukünftig sind derartige Informationen zentral gespeichert und jederzeit abrufbar. Auch wer keine Anträge auf staatliche Unterstützung stellt, wird durch das neue System erfasst. In Verbindung mit vielen weiteren Daten, die derzeit gespeichert werden, könnten nach wenigen Gesetzesanpassungen ohne großen Aufwand Personenprofile erstellt werden.

Noch ist nicht absehbar, wer in Zukunft den Zugriff auf die Datenbestände erhalten wird und welche Relevanz sie daher haben können. Die bisherigen Regelungen sehen nicht vor, dass Arbeitgeber oder Finanzbehörden Einblick in die gespeicherten Daten erhalten oder dass deren Beschlagnahmung durch eine Staatsanwaltschaft möglich ist. Hier sehen Befürworter des Verfahrens auch einen großen Vorteil, der immer wieder betont wird. Ein Arbeitgeber erfährt in Zukunft nicht mehr, wenn einer seiner Angestellten Sozialleistungen beantragt.

Jedoch ist es vermutlich nur eine Frage der Zeit, bis auch andere Stellen Einsicht in die gesammelten Daten verlangen. So ist auch vorstellbar, dass zum Beispiel Kreditinstitute vor der Vergabe von Krediten den Einblick in die gespeicherten Daten verlangen. Der Kreditnehmer könnte durch eine Vertragsklausel, ähnlich wie bei der jetzigen Schufa-Auskunft, zur Zustimmung genötigt werden.

Gar nicht zu abzuschätzen sind die Auswirkungen, wenn Auszüge aus der Datenbank verloren gehen oder gestohlen werden. Auf dem Schwarzmarkt wären sie sicher ein Vermögen wert.

Der Schutz von ELENA

Die Entwickler von ELENA hoffen, alle Datenschutzbedenken zu entkräften, da die Zugriffsrechte auf die Daten gestreut werden. In der Beschreibung des Verfahrens findet sich dazu folgende Erläuterung: »Die Daten in der Zentralen Speicherstelle werden nach der Übermittlung durch den Arbeitgeber sofort geprüft, zweifach verschlüsselt und danach gespeichert. Eine Entschlüsselung ist nur im Rahmen eines konkreten, durch den Teilnehmer (Bürger) legitimierten Abrufs möglich. Ein direkter Zugriff auf die Datenbank ist weder für interne Mitarbeiter noch für Außenstehende möglich, da die Speicherung der Daten und deren Verschlüsselung in unterschiedlichen Verantwortlichkeiten liegt.«

Der Arbeitnehmer beantragt bei einem von der Bundesnetzagentur anerkannten Zertifizierungsdiensteanbieter (Trust Center) eine Signaturkarte mit einer qualifizierten elektronischen Signatur. Der Anbieter überprüft die Identität des Antragstellers und meldet ihn bei der Registratur Fachverfahren (RFV) an. Der Arbeitnehmer erhält daraufhin die Karte und eine Zertifizierungsidentifizierungsnummer (ZID) bei der RFV.

Auf der Signaturkarte selbst werden außer dem Namen des Arbeitnehmers und einer Kartenidentifizierungsnummer keine weiteren Daten abgespeichert. Sie enthält drei Schlüsselpaare. Diese dienen für die eigentliche Signatur, für die Verschlüsselung von Dokumenten und E-Mails und für eine Authentifizierung.

Der Arbeitgeber überträgt die für ELENA erfassten Daten seines Arbeitnehmers in elektronischer Form an die ZSS und erhält darüber eine Protokollmeldung. Die in den Datensätzen enthaltene Rentenversicherungsnummer wird von der ZSS an die RFV übertragen. Diese verknüpft sie mit der ZID des jeweiligen Arbeitnehmers und sendet diese Nummer zurück an die ZSS. Dort werden die ELENA-Datensätze dann unter der ZID abgespeichert. Somit besitzt nur die RFV die Möglichkeit, Personen mit ihren Datensätzen zu verknüpfen, hat aber selbst keinen Zugriff auf die Daten.

Auch die Agenturen, denen der Zugriff auf die Daten des ELENA-Verfahrens genehmigt wird, müssen bei einem Trust Center eine Signaturkarte für ihre Mitarbeiter beantragen.

Werden nun die Datensätze von einer Agentur benötigt, fordert diese sie bei der ZSS an. Der Sachbearbeiter und der antragstellende Arbeitnehmer müssen sich daraufhin durch Eingabe einer PIN bei der RFV identifizieren. Diese ermöglicht dann die Freigabe und Übermittlung der Daten durch die ZSS an die Agentur.

Eine Verschlüsselung der Daten findet ab deren Eintreffen bei der ZSS statt. Die Behörde erzeugt für jeden Datensatz einen Sitzungsschlüssel (session key) und gibt diesen an den Bundesdatenschutzbeauftragten weiter. Dieser verschlüsselt den Sitzungsschlüssel mit einem Hauptschlüssel (master key) der zurück an die ZSS übertragen wird. Die ZSS speichert dann neben dem verschlüsselten Datensatz auch den zugehörigen verschlüsselten Hauptschlüssel. Ein direkter Zugriff auf die Daten ist somit nur nach einer Genehmigung durch den Bundesdatenschutzbeauftragten möglich.

Dieses System erscheint zunächst sicher, aber die jüngste Vergangenheit hat am Beispiel unzähliger Datenskandale immer wieder gezeigt, dass es keine unüberwindbaren Schutzsysteme gibt. Es ist nur eine Frage der Zeit oder der technischen Möglichkeiten, bis die Schwachstellen des ELENA-Verfahrens entdeckt werden und die Datensätze in falsche Hände gelangen.

ELENAs Auswirkungen

Für die Arbeitnehmer ändert sich durch die Einführung von ELENA zunächst nichts. Sie müssen sich allerdings damit abfinden, dass die im Rahmen des Verfahrens über sie erfassten Daten zukünftig zentral gespeichert werden. Eine Möglichkeit des Widerrufs besteht nicht. Die Teilnehmer haben keinen Rechtsanspruch, um die Übermittlung der vorgesehenen Entgeltdaten an die Zentrale Speicherstelle zu verhindern. Dabei ist irrelevant, ob sie jemals Sozialleistungen in Anspruch nehmen. Es handelt sich somit um eine weitere Form der Vorratsdatenspeicherung, die dem im Bundesdatenschutzgesetz festgelegten Grundsatz der Datensparsamkeit widerspricht.

Möchte ein Bürger ab 2012 Sozialleistungen in Anspruch nehmen, muss er nach Angaben der Herstellerfirmen mit Kosten von zehn Euro für die Signaturkarte mit einem elektronischen Zertifikat rechnen. Diese hat eine Gültigkeit von drei Jahren. Sozialhilfeempfänger sollen die Kosten erstattet bekommen. Wer allerdings zuhause die Möglichkeiten der elektronischen Signatur nutzen will, den erwarten Kosten von bis zu 50 Euro für die Karte, das Lesegerät und die Software. All diese Schätzungen beruhen allerdings auf der Annahme, dass die Stückpreise aufgrund der Verbreitung sinken werden.

Die Arbeitgeber sind verpflichtet, ihre Beschäftigten darauf hinzuweisen, dass ab Januar 2010 Daten aufgrund des ELENA-Verfahrens Daten an die Zentrale Speicherstelle (ZSS) übermittelt werden. Dafür ist ein allgemeiner Hinweis ausreichend, die Form bleibt dem Arbeitgeber überlassen. Die gesetzliche Mindestanforderung wird durch folgenden Text erfüllt: »Wir sind seit dem 1. Januar 2010 gesetzlich verpflichtet, monatlich die in ihrer Entgeltabrechnung enthaltenen Daten im Rahmen des Verfahrens ELENA an die zentrale Speicherstelle zu übermitteln.«

Außerdem wird empfohlen die Arbeitnehmer auf der ersten Gehaltsabrechnung 2010 über de Grundzüge von ELENA aufzuklären: »Das Gesetz über den Elektronischen Entgeltnachweis (kurz: ELENA) regelt, wie Bürger ihre Beschäftigungszeiten und Arbeitsentgelte nachweisen, wenn sie Sozialleistungen beantragen. Alle Arbeitgeber sind ab dem 1. Januar 2010 verpflichtet, die Entgeltdaten ihrer Beschäftigten an die Zentrale Speicherstelle zu übermitteln. Zum 1. Januar 2012 startet dann der Datenabruf des ELENA-Verfahrens.«

Für die Arbeitgeber bedeutet die Einführung des ELENA-Verfahrens außerdem eine Vielzahl zusätzlicher Kosten. Die zuständigen Mitarbeiter müssen sich in das System einarbeiten und der Umfang der zu erfassenden Daten steigt erheblich. Ab 2012 ist vorgesehen, die Daten der Arbeitnehmer von den dann vorhandenen Chipkarten einzulesen. Dadurch entstehen für alle Unternehmen Mehrkosten durch den nötigen Erwerb und die Wartung der Kartenlesegeräte und der Software. Gerade Kleinunternehmen werden durch ELENA somit unverhältnismäßig benachteiligt. Sie stellen allerdings die Hauptabnehmer für die Lesegeräte dar.

Der Bund selbst stellt für den Aufbau und den Betrieb des Systems von 2009 bis 2014 jährlich 11 Millionen Euro zur Verfügung. Dabei wird stolz behauptet, dass die Unternehmen ab dem Jahr 2012 um jährlich 85,6 Millionen Euro entlastet werden. Das hört sich zunächst nach einem hohen Betrag an. Angesichts der Tatsache, dass es laut Statistischem Bundesamt im Jahr 2006 in Deutschland rund 3,5 Millionen Unternehmen gab, macht das im Durchschnitt aber nur 25 Euro pro Unternehmen und Jahr an Entlastung aus. Wenn man nun allein den Zeitaufwand bedenkt, den die Einführung und das Arbeiten mit ELENA für die Arbeitgeber bedeuten, wird eine Entlastung, sofern sie überhaupt kommt, vermutlich erst in mehreren Jahrzehnten erkennbar sein. Auch hier werden wieder die zahlreichen Kleinunternehmen am stärksten benachteiligt.

ELENAs Nebenwirkungen

Seit dem Inkrafttreten des Gesetzes wurde bestmöglich versucht, es totzuschweigen. Offenbar war sich die Bundesregierung der Kritikpunkte des Verfahrens bewusst und wollte eine öffentliche Diskussion vermeiden.

ELENA soll neben der angeblichen Entlastung aller Beteiligten auch dazu dienen, der bisher wenig akzeptierten elektronischen Signatur zum Durchbruch zu verhelfen. Wenn die Signaturkarten und die Lesegeräte erst einmal verbreitet sind, können sie auch zunehmend für den Abschluss rechtsverbindlicher Verträge im Internet genutzt werden. Die Bundesregierung hofft, dadurch eine Führungsrolle bei den elektronischen Sicherheitszertifikaten übernehmen zu können und somit internationale Standards zu etablieren.

In den letzten Jahren wurden in Deutschland immer mehr Möglichkeiten zur Datensammlung geschaffen. Dies geschah unter dem Deckmantel der Terrorismusbekämpfung und des Bürokratieabbaus zur Erhöhung der Effizienz. Der letzte fehlende Schritt wäre es, alle gespeicherten Informationen untereinander zu vernetzen. Dann wäre der nahezu komplett gläserne Bürger Wirklichkeit, die Menschen wären nur noch Objekte des Staates. Niemand könnte mehr kontrollieren, wer was über wen weiß.

Dafür wäre aber vor allem noch ein einheitliches Ordnungsmerkmal aller Bürger notwendig. Aber auch ein solches ist schon vorhanden, denn die Finanzämter haben die Einführung der eindeutigen Steuer-Identifikationsnummer abgeschlossen, die dieses Kriterium erfüllt. Das Bundesinnenministerium unter Wolfgang Schäuble hatte bereits den Vorschlag angebracht, diese Nummer in ein Bundesmelderegister aufzunehmen, welches zur Vernetzung der kommunalen Meldeämter dienen sollte. Bisher wurde diese Idee glücklicherweise noch nicht umgesetzt und die Steuer-Identifikationsnummer darf vorerst nur von den Finanzämtern genutzt werden.

Es bleibt die Frage, wie lange eine anderweitige Nutzung verhindert werden kann. Welche neue Datenvernetzung oder welche neue Datensammelstelle wird den Bürgern wohl als nächstes unter fadenscheinigen Vorwänden untergeschoben? ELENA ist diesbezüglich schon ein sehr schwerer Brocken. Es sollte daher alles Menschenmögliche unternommen werden, um dieses Gesetz zu Fall zu bringen.

»Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen (…) Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren (…) und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.« (Bundesverfassungsgericht 1969)