Zwei neue Hoeren-Skripte zum IT-Vertrags- und Internetrecht

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat sein bekanntes Skript (mit  gut 520 Seiten eher ein dickes Buch) in neuer Fassung vorgelegt. Das Hoeren-Skript gilt inzwischen als ein einführendes Standardwerk zum deutschen Internet-Recht, das den Leser in Themen wie Domainrecht, Urheberrecht, Online-Marketing, Datenschutz, Haftungsfragen im Internet oder internationales Online-Recht einführt.

Und Prof. Hoeren hat nachgelegt! Denn jetzt gibt es zusätzlich auch noch ein Skript zum IT-Recht, das u.a. Themen wie Rechtsschutz für EDV-Produkte, IT-Vertragsrecht, Softwareentwicklung und -überlassung, -vermietung oder -leasing, Softwarewartungs- und Pflegeverträge sowie etliche weitere, meist vertrags- und lizenzrechtliche Fragen rund um die IT behandelt.

Zusammen sind das in etwa 1.000 Seiten IT-rechtliches Know-how zum Nulltarif!

Hoeren-Skript Internet-Recht (PDF, 3,1 MB)

Hoeren-Skript IT-Recht (PDF, 2,2 MB)

Linux-Infotag 2010 in Augsburg

Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 9. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zu Basteleien für Leute, die eher hardwareorientiert mit dem Lötkolben an die Informatik herangehen.  Ich konzentrierte mich daher auf solche Vortragsangebote, die etwas mit IT-Sicherheit zu tun hatten.

Der Linux-Infotag begann mit einer Keynote von Martin Haase vom Chaos Computer Club zum Thema freies Wissen. Er stellte darin u.a. dar, wie man Wissen befreien kann (z.B. durch Gesetze zur Informationsfreiheit und Open Access für Ergebnisse von mit Steuergeldern finanzierten Forschungsprojekten), nannte Beispiele für Community-Projekte zum Thema freies Wissen wie Wikibooks oder Open Streetmap und ging auch auf das Thema Urheberrecht und Creative-Commons-Lizenzen ein.

Als Nächstes stelle Richard Albrecht von der LUG Ottobrunn vor, wie man mit Hilfe von Linux-Systemen ein sicheres privates Netzwerk aus per Internet miteinander verbundenen Rechnern aufbauen kann (sicherer Fernzugriff, verschlüsselter Datenaustausch, Festplattenverschlüsselung, Entfernung überflüssiger root-Accounts, angemessene Benutzerrechte usw.). Der sichere Umgang mit Linux sowie das wartungsarme Betreiben von Linuxrechnern ist relativ einfach im täglichen Umgang, wenn man mit etwas Vorüberlegung und Verstand einmal die Rechner installiert und konfiguriert hat. Doch es bedeutet auch, sich auf die Philosophie des Systems einzulassen („to go the ubuntu way“) und ein gewisses informationstechnisches Grundverständnis mitzubringen oder bereit zu sein, es sich anzueignen, um Aufgaben und Probleme im Falle ihres Auftretens nachvollziehen und lösen zu können. Gleichzeitig sorgt dieses Vorgehen aber auch dafür, dass mündige Nutzer heranwachsen, die kaum noch abhängig sind von „PC-Gurus“ in ihrem Umfeld und „Windows Vista – geheime Tipps und Tricks“-Hefte vom Zeitschriftenstand.

Zu einem zentralen Anlaufpunkt für Linux/Ubuntu-Informationen im deutschsprachigen Raum scheint sich inzwischen das von mehreren Referenten erwähnte Ubuntuusers-Portal entwickelt zu haben.

So gab Albrecht einen Kurzüberblick über zahlreiche, allesamt frei verfügbare Tools zur Umsetzung solcher sicheren Netze im privaten Umfeld sowie über die Möglichkeit, selbst „gewachsene“ Windows-Altsysteme mit nicht ersetzbaren Altanwendungen über den Weg der Virtualisierung in ein neues linuxbasiertes Familiennetzwerk mitzunehmen.

Er berichtete von Systemen, die er für Rentner und Pensionäre eingerichtet hatte und die seit langem weitgehend störungsfrei laufen. Sowie über einen interessanten politischen Aspekt: Die allmähliche Zunahme solcher mündigen Nutzer, die ihre PCs ähnlich betrachten wie ihre Wohnung, sorgt auch für eine ebenso allmählich zunehmende politische Relevanz von informationstechnischer Regulierung. Probleme wie fehlender Datenschutz, Vorratsdatenspeicherung, Jugendschutz auch für Erwachsene, Internet-Zensur oder Urheberrechtsprobleme werden heute von viel mehr Leuten wahrgenommen und kritisiert als noch vor fünf Jahren. Der entsprechende Druck auf die Politik wird also weiter zunehmen. Gleichzeitig aber auch das grundsätzliche Unverständnis von Netzbewohnern gegenüber Politikern, die ihrer Mentalität nach noch einer anderen Welt entstammen.

Oftmals fragen sich Neulinge, welche Linux-Distribution sie nehmen sollen. Generell gilt: In allen aktuellen Distributionen steckt dieselbe technische Basis. Die Unterschiede bestehen i.W. in der Art und Zusammenstellung bereits vorkonfigurierter Benutzeroberflächen, Anwendungen und mitgelieferter Treiber sowie in der 32/64bit-Version. Von daher ist die Entscheidung eher von persönlichen Vorlieben abhängig und wird zudem durch die Verfügbarkeit entsprechender Live-CDs zum Ausprobieren erleichtert. Zumal fehlende Komponenten stets auch nachträglich noch über Paketverwaltungen eingespielt werden können.

Allerdings sollte man ab einem Speicherausbau von mehr als 2 GB auf die 64bit-Variante der jeweiligen Distribution setzen. Sie ermöglicht eine effektivere Speicher- und Prozessornutzung. Zudem können 32bit-Programme i.d.R. problemlos weiter genutzt werden.

Zuletzt erwähnte Albrecht etwas sicherheitstechnisch Bemerkenswertes: Ein Ubuntu ist nach der Installation von Haus aus „gehärtet“. Es muss eigentlich nichts mehr nachträglich konfiguriert, stillgelegt oder entfernt werden, um ein sicheres System zu erhalten.

Der Folgevortrag von Bernd Müller beschäftigte sich mit den Möglichkeiten seine Daten durch Verschlüsselung zu schützen. Neben proprietären Lösungen in Hardware oder Software gibt es inzwischen zahlreiche freie Produkte, deren Verfahren und Quellcodes offengelegt sind. Das bringt zwei große Vorteile mit sich: Sowohl die Kryptoalgorithmen als auch deren Implementierung können von Fachleuten weltweit geprüft werden, was die Qualität dieser freien Softwareprodukte rasch und beträchtlich steigert.

Denkt man über Datenschutz durch Verschlüsselung nach, so geht es meist um die Themenfelder:
•    Sichere Kommunikation durch Mailverschlüsselung
•    Verschlüsselung von Dateien und Verzeichnissen
•    Verschlüsselte Containerdateien als „Datentresore“
•    Verschlüsselung ganzer Festplattenpartitionen
•    Verschlüsselung mobiler Endgeräte

Zu jedem dieser Einsatzfelder gibt es mehrere Produkte. Manche decken auch mehrere dieser Einsatzfelder ab. Allerdings gilt auch hier, dass grundsätzliche informationstechnische Kenntnisse erforderlich sind, um die Produkte richtig einsetzen zu können.

Ein echtes Spezialistenthema griff schließlich Steffen Wendzel in seinem Vortrag über Covert Channels (verdeckte Kanäle) auf. Dabei geht es um eine auf Steganografie basierende Methode zur unbemerkten Informationsübermittlung über Kanäle, die an sich nicht für Kommunikation ausgelegt sind. Richtig angelegt lasen sich mit Covert Channels sogar bestimmte Formen von Rot-Schwarz-Übergängen in entsprechenden Sicherheits-Gateways umgehen (Tunneln bzw. Unterlaufen entsprechender Sicherheitsprotokolle).

So lassen sich z.B. in Protokollheadern oder HTML-Tags durch Wechsel von Groß- und Kleinschreibung zusätzliche Informationen verstecken. Oder man macht sich das gezielte Wechseln von Dateiattributen durch Prozesse zunutze, um zwischen ihnen einen Informationstransfer zu ermöglichen. Covert Channels sind aufgrund ihrer steganografischen Natur kaum maschinell zu entdecken. Ein Experte der gezielt danach sucht, entdeckt sie aber oft recht schnell (auch wenn er dann noch nicht im Besitz der damit transportierten Informationen ist). Wie bei anderen Formen der Steganografie auch, können mit Covert Channels nur kleine Mengen an Information (im Verhältnis zur Menge an Trägerdaten) transportiert werden.

Zwar gibt es zu Covert Channels noch kaum deutschsprachige Fachliteratur. Aber bereits zahlreiche quelloffene Tools zum Experimentieren mit dieser Methode.

Wer jetzt auf die bereits mehrmals genannten Tools oder auch die Vorträge selbst neugierig geworden ist, findet die meisten Folien als PDF bei LUGA in der Programmübersicht zum Download.

Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat. Viele dieser Besucher brachten zudem Linux-Laptops, -Netbooks und anderes Gerät mit sich, auf dem unterschiedlichste Linuxe in teilweise recht bunter Optik liefen.

Elena – Datenkrake mit 800 Armen?

Unter diesem Motto stand ein Abendvortrag, an dem ich gestern im DGB-Haus in München teilnahm. Und der auch mehr als hundert weitere Leute mobilisiert hatte, so dass sich der große Vortragssaal im Gewerkschaftshaus rasch füllte. Als Referenten angekündigt waren immerhin Dr. Thomas Petri, bayerischer Landesbeauftragter für den Datenschutz sowie Evi Kraft-Smuda, Betriebsratsvorsitzende aus der Sozialwirtschaft und Elena-Aktivistin bei Ver.di.

Zunächst erläuterte Dr. Petri die (offiziellen) Hintergründe des Gesetzes zum elektronischen Entgeltnachweis (Elena). Beginnend mit Arbeitslosengeld, Wohngeld und Elterngeld sollen bald alle Sozialleistungsanträge, bei denen das Einkommen eine Rolle spielt und bisher entsprechende Bescheinigungen vom Arbeitgeber vorzulegen sind, auf elektronische Verfahrensabwicklung umgestellt werden. Kleiner Datenschutzvorteil: Der (Ex-)Arbeitgeber bekommt es nicht mehr mit, wenn jemand solche Leistungen beantragt. Die erforderlichen Daten liefert dann Elena.

Dazu haben Firmen monatlich eine Vielzahl an Daten über ihre sozialversicherungspflichtig Beschäftigten in einem standardisierten verschlüsselten Datensatz an die sog. „zentrale speichernde Stelle, ein Rechenzentrum in Würzburg zu übermitteln. Kleiner Datenschutzvorteil: Sobald der Arbeitgeber diese Daten abgeliefert hat, besteht für ihn kein Grund mehr diese Daten weiter selbst zu speichern (es sei denn, sie werden für andere Personalabrechnungszwecke noch benötigt). Er hat sie also aufgrund ihrer Zweckbindung zu löschen, sobald sich der Zweck erledigt hat oder entfallen ist. Arbeitgeber können zudem aus Elena ihrerseits keine Daten abrufen.

Das ist derzeit den Sozialbehörden vorbehalten, bei denen ab 2012 die entsprechenden Leistungen beantragt werden. Der Antragsteller hat dazu mit Hilfe einer Chipkarte der Behörde den Datenzugriff fallweise zu genehmigen, damit sei Antrag bearbeitet werden kann. Das ist auch vom Grundgedanken her der einzige Punkt an dem jemand die verschlüsselten Elena-Daten zu sehen bekommt (und so ggf. auf Korrektheit prüfen kann). Der einzelne Arbeitnehmer kann also trotz bestehendem Recht auf Selbstauskunft nicht prüfen, was über ihn gespeichert wurde. Und auch die Fachbehörden bekommen – logischerweise – mit der Chipkarten-Autorisierung durch den Antragsteller nur den Teil der Daten zu sehen, der für den Antrag relevant ist.

Allerdings nimmt nur ein Bruchteil der etwa 40 Millionen sozialversicherungspflichtig Beschäftigten je eine der genannten Sozialleistungen in Anspruch. Die Daten werden aber von allen erhoben und für etwa 2-5 Jahre (abhängig von ihrer sozialrechtlichen Relevanz) gespeichert. Es findet also eine „überschießende Datenspeicherung“ statt, wie es Juristen ausdrücken und gleichzeitig besteht ein Vollzugsdefizit, da der Einzelne seine Daten nicht selbst prüfen kann, obwohl er das Recht dazu hätte (§§ 103 SGB IV, 83 SGB X, 34 BDSG). Denn die ZSS kann sie derzeit noch nicht für ihn entschlüsseln.

Der Hauptkritikpunkt an Elena ist aber die maßlose und intransparente Vorratsdatenspeicherung besonders sensibler Sozialdaten von in etwa der halben Bevölkerung.  Das ist auch der Kerngegenstand der aktuell anlaufenden Verfassungsbeschwerde. Teilnehmen können alle von Elena Betroffenen, also sozialversicherungspflichtig Beschäftigte deren Daten „elenalisiert“ wurden.

Wie aber kam es, das so ein Ding wie Elena im April letzten Jahres ordnungsgemäß im Bundestag beschlossen werden konnte, ohne dass die Zivilgesellschaft davon  Notiz nahm und dagegen mobilisierte? Nun – seit Jahren werden Bürgerrechte nicht einzeln zurückgeschnitten sondern mit dem Kampfpanzer geplättet. Im letzten Jahr dominierten daher politische Sauereien wie die Vorratsdatenspeicherung, die Pläne zur Internetzensur, der Vorlauf zu SWIFT und ACTA sowie die Einschränkungen der Versammlungsfreiheit und des Demonstrationsrechts das politische Geschehen. Hinzu kamen Bildungsstreiks, Sozialdemos und Aktionen gegen die Wirtschaftskrise. Da ist Elena wohl schlicht „unterm Radar durchgeflogen“. Obwohl Herr Dr. Petri darauf hinwies, dass Datenschützer bereits seit Jahren auf die Gefahren solcher Massendatensammelverfahren hinweisen. Allerdings oftmals nur in der Fachpresse und vor Fachpublikum.

Evi Kraft-Smuda warf einen Blick zurück ins Jahr 2002, als die Schröder-Regierung im Rahmen der Hartz-Reformen u.a. die JobCard-Initiative plante. Ein Vorhaben, das bereits in etwa Elena entsprach, dann aber wegen politischer Prioritätenänderung zurückgestellt und in Fachausschüssen weiter bearbeitet wurde. Die Merkel-Regierung fand also ein mehr oder weniger fertiges Gesetz vor, das nur noch etwas nachbearbeitet werden musste. Aus Sicht von Betriebsräten, Vertrauensleuten und Gewerkschaften geht es bei Elena aber um nichts weniger als die elektronische Vollerfassung der arbeitenden Bevölkerung. Zu noch unklaren aber bestimmt nicht dem sozialen Allgemeinwohl dienenden Zwecken der politischen Eliten. Denn mit Elena entsteht eine zentrale Informations- und Kontrollstruktur, die sich rasch verselbstständigen kann. Zumal der Staat die Möglichkeit besitzt, die Zweckbindung der erhobenen Daten jederzeit einseitig durch Parlamentsbeschluss zu ändern oder ganz aufzuheben.

Doch was kann der Einzelne dagegen tun, dass seine Daten „elenalisiert“ werden? Erst mal recht wenig – das Gesetz ist ordnungsgemäß zustande gekommen und damit erst mal rechtsgültig und umzusetzen. Wer zu spät kommt, den bestraft das Leben …

Aber auf betrieblicher Ebene kann gehandelt werden. Betriebsräte können Elena zum Thema auf Betriebsversammlungen machen. Viele Elena-Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfelder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen und Betriebsvereinbarungen abschließen, welche den Umfang der abzuliefernden Daten auf das Notwendigste begrenzen.

Ein Vorschlag, den ein anwesender Personalrat der Landeshauptstadt München, der derzeit selbst Gespräche zum Thema Elena mit dem Arbeitgeber führt, bekräftigte. Zumal vor kurzem die Münchner Stadtratsfraktion der Grünen einen Antrag stellte, den Vollzug des Elena-Verfahrens innerhalb der Stadtverwaltung auszusetzen, bis unter Beteiligung der Datenschutzbeauftragten eine verfassungskonforme und mit den Grundsätzen des Datenschutzes vereinbare Regelung geschaffen wird.

Zumal Organisationen wie die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V., ein vom Bundesministerium für Wirtschaft finanzierter arbeitgebernaher Thinktank zum Thema Verwaltungsreform, bereits Arbeitgeberhandbücher herausgeben, die eine recht großzügige und umfängliche Ablieferung von Beschäftigtendaten durch die Unternehmen propagieren.

Natürlich kann man auch an der Elena-Verfassungsbeschwerde teilnehmen. Allerdings ist am 1.4. aus rechtlichen Gründen (Fristablauf) Schluss mit der Eintragung von Teilnehmern.

Und man kann selbstverständlich datenschutzrechtliche Auskunftsanfragen an den eigenen Arbeitgeber stellen, was der so an Elena abliefert. Dies ist zudem aktuell die einzige Möglichkeit zeitnah kontrollieren zu können, ob die abgelieferten Daten der Wahrheit entsprechen.

Dazu hat der DGB München Mustervorlagen als PDF zum Download bereitgestellt:
•    Vorschlag einer Betriebsvereinbarung
•    Musterschreiben für eine individuelle Geltendmachung eines monatlichen Ausdruckes der übermittelten Daten
•    Resolution von der ELENA-Veranstaltung

Google Street View – Bayerischer Städtetag rät zur Regulierung statt Verboten

Inzwischen trifft man die Kamerawagen des Google-Dienstes Street View in immer mehr Kommunen an, wenn sie Stück für Stück Deutschland erfassen. Das sowie entsprechende Anfragen von Bürgern bei ihren Kommunen sorgt dafür, dass sich zunehmend auch Stadt- und Gemeinderäte mit dem Google-Dienst befassen. Kürzlich äußerte sich daher auch der bayerische Städtetag zum Thema Google Street View in einer Pressemeldung, die ich an dieser Stelle dokumentiere:

Der Internetdienst „Google Street View“ polarisiert derzeit die Meinungen. Sie reichen von „verbieten“ bis „unproblematisch“. Es werden Rechtsgutachten für beide Positionen vorgelegt. Entscheidend sind klare Regeln, was Google zu beachten hat und eine ausreichende Information der Bürger über ihre Rechte.

Mit Spezialkameras, die auf Autos montiert sind, erfasst Google fotografisch Straßenzüge und stellt die Bilder unter „Google Street View“ im Internet zur Verfügung. Es handelt sich nicht um Livebilder wie bei Webcams, sondern um Fotoaufnahmen. Der Internetnutzer kann am Bildschirm durch die Straßen „wandern“. Der Dienst ist derzeit für 19 Länder online verfügbar, u.a. Frankreich, Italien, Spanien, England und Schweiz. In Deutschland wurden bereits zahlreiche Aufnahmen gefertigt, die Bilder sind allerdings noch nicht im Internet verfügbar.

Bei der Diskussion um Google Street View geht es in erster Linie um Datenschutz. Personenbezogene Daten sind ein wichtiges Gut. Allerdings kann Google Street View auch Vorteile z.B. für Tourismus bieten. Letztlich ist Datenschutz eine Abwägung verschiedener Interessen. Unbestritten ist: Personen dürfen auf den Googlebildern nicht zu erkennen sein. Sie müssen so unkenntlich gemacht werden, dass kein Rückschluss auf die Person möglich ist.

Schwieriger gestaltet sich die Frage bei Sachen, die einen Rückschluss auf Personen zulassen. Kfz-Kennzeichen müssen unkenntlich gemacht werden. Strittig bleibt die Darstellung von Häusern, vor allem mit lesbarer Hausnummer. Allerdings stehen solche Informationen mittlerweile in vielen öffentlichen Verzeichnissen (z.B. Telefonbuch) zur Verfügung.

Google hat sich in einer Selbstverpflichtung mit den deutschen Datenschutzbehörden verständigt. Eigentümer eines Gebäudes, aber auch Mieter, können bereits im Vorfeld der Aufnahmen einen Widerspruch bei Google einreichen. Die Kommune kann dies jedoch nicht pauschal für alle Gebäude in ihrem Gebiet erledigen.

Zuweilen wird das Argument vorgebracht, dass Google eine Sondernutzungserlaubnis nach dem Straßenrecht bräuchte und die Kommunen damit einen Schlüssel zum Verbieten der Aufnahmen hätten. Nach bisherigen Erkenntnissen bewegen sich die Aufnahmefahrzeuge im üblichen Rahmen des Straßenverkehrs. Damit ist von Gemeingebrauch auszugehen.

Fazit: Die Vorgaben für Google sind noch zu konkretisieren: Was genau muss verpixelt werden? Die Bürger müssen noch besser über ihre Datenschutzrechte informiert werden. Ein grundsätzliches Verbot von Google Street View oder Vorgaben, die dem gleichkommen, scheint nicht praktikabel.

Und tatsächlich ist es unter Experten durchaus umstritten, ob die von Google aufgenommenen Bilder von Straßenzügen und Gebäudefronten überhaupt personenbezogene Daten i.S.d. Datenschutzgesetzes sind. Die Sache bleibt also spannend. Insbesondere Städte wie z.B. München, die eigene Geodateninformationsdienste betreiben und diese zum Teil auch Bürgern zur Verfügung stellen, könnten ihre Produkte und Systeme durch Mashups mit Google-Diensten funktionell erweitern und so attraktiver gestalten.

Ebendiese Mashups bilden aber auch das größte Risiko des Google-Dienstes. Denn  die Verbindung seiner Daten mit anderen Datenquellen kann ganz neue, so nicht vorausgesehene Nutzen aber auch Risiken entstehen lassen – wie z.B. die experimentelle Seite pleaserobme.com bis vor kurzem demonstrierte. Sie ermöglichte es, durch das Vernetzten von Daten verschiedener sozialer Netzwerke mit hinreichender Wahrscheinlichkeit herauszufinden, ob eine Person gerade zu Hause war oder nicht und wo sie wohnte (nützlich für Einbrecher und Diebe). Die Seite war zur Sensibilisierung der Öffentlichkeit gedacht und ihre Suchfunktion mittlerweile deaktiviert. Es ist aber nur eine Frage der Zeit, bis etwas Vergleichbares erneut entwickelt wird.

Aufstehen gegen Elena – Jetzt!

Rechtanwalt Meinhard Starostik hatte am 02. März dieses Jahres Gelegenheit Rechtsgeschichte zu schreiben. Den an diesem Tag verwarf das Bundesverfassungsgericht als Folge von etwa 34.000 größtenteils von Starostik eingereichten Verfassungsbeschwerden das Gesetz zur Vorratsdatenspeicherung und ordnete die umgehende Löschung der auf dessen Basis gesammelten Datenbestände an. Nun erhält Starostik die nächste Gelegenheit, im Namen der informationellen Selbstbestimmung einen juristischen Schlag gegen die Datengier der Regierung zu führen.

Denn inzwischen hat sich eine Koalition aus Gewerkschaften, der Piratenpartei Deutschland und bürgerrechtsorientierten NGOs formiert, die die „zweite Vorratsdatenspeicherung“, das Elena-Gesetz auf demselben Weg zu Fall bringen will. Initiiert wurde das Vorhaben durch den Arbeitskreis Vorratsdatenspeicherung. Der FoeBud e.V. hat inzwischen die Führung unternommen und sammelt noch bis zum 01.04. Teilnehmer für eine erneute Massen-Verfassungsbeschwerde, die von Starostik zusammen mit seinem Kölner Kollegen Dominik Boecker pro Bono durchgeführt wird.

Link zum Formular: https://petition.foebud.org/ELENA

Elena verpflichtet seit dem 1. Januar 2010 alle Arbeitgeber deutschlandweit dazu, ein umfangreiches Paket einkommensrelevanter Daten aller bei ihnen beschäftigten Arbeitnehmer monatlich an die sogenannte Zentrale Speicherstelle in Würzburg zu übermitteln. Die maßlose Umsetzung dieses Verfahrens wird von Datenschützern stark kritisiert. Die Speicherung widerspricht dem Grundsatz der Datensparsamkeit des Bundesdatenschutzgesetzes, denn die Daten werden ohne Einzelfallprüfung anlasslos auf Vorrat gespeichert und mehrere Jahre vorgehalten. Es bestehen erhebliche Risiken hinsichtlich der Datensicherheit, insbesondere durch die intransparente Einbindung eines privatwirtschaftlichen Unternehmens für die gesamte Verschlüsselung. Die angekündigten Bürokratieeinsparungen sind zudem zweifelhaft. Der vorgesehene Zwang zur Nutzung der elektronischen Signatur sowie zur Kostenübernahme der Anmeldekosten durch die Bürger ist nicht nur aus sozialen Gesichtspunkten fragwürdig.

Eine Einschätzung, die ich mit der Piratenpartei Deutschland teile, die dies in einer Pressemeldung dokumentierte.

Die Elena-Datensammlung stellt einen massiven Eingriff in das Persönlichkeitsrecht und ein Verstoß gegen die informationelle Selbstbestimmung dar. Arbeitgeber sind damit verpflichtet, einen riesigen Datensatz über seine Beschäftigten zu liefern: Fehlzeiten, Anzahl der Kinder, Kündigungsgrund, Abmahnungen und vertragswidriges Verhalten sowie etliches mehr (die offizielle Elena-Datensatzbeschreibung umfasst mehrere Dutzend Seiten). Zusätzlich darf der Arbeitgeber in Freitextfeldern seine Einschätzung über die Beschäftigten eintragen – ohne deren Wissen und ohne eine Kontrollmöglichkeit, denn frühestens ab 2012 können bei der Zentralen Speicherstelle Auskünfte eingeholt werden. Führen solche Eintragungen im späteren Verlauf zu rechtlichen Problemen, kann es u.U. Jahre dauern, sie auf dem Widerspruchs-und Klageweg zu korrigieren.

Hinzu kommt das eigentliche Risiko solcher Datensammlungen: Alle zentral gespeicherten Daten laden zum Missbrauch ein. Dass solche Daten missbraucht werden, zeigt zum Beispiel die illegale Überwachung der Aufsichtsräte der Arbeitnehmervertreter bei der Telekom. Alle Daten, die zentralisiert in IT-Systemen erfasst werden, werden – je nach finanzieller und sozialer Wertigkeit – ihren Weg in die Öffentlichkeit bzw. in unbefugte Hände finden. Und, zentrale Datenbanken wecken Begehrlichkeiten: Gesetze und Zweckbestimmungen können geändert, Datensätze und Zugriffsberechtigungen erweitert werden.

Bei der ELENA-Datenbank handelt es sich um klassische Vorratsdatenspeicherung. Mehr als 90 Prozent der Daten werden nie gesetzeskonform gebraucht werden; die Speicherung erfolgt auf den vagen Verdacht hin, dass die Arbeitnehmerinnen und Arbeitnehmer auf der Basis dieser Daten einmal eine Sozialleistung beantragen könnten (Quelle: Gewerkschaft Verdi).

Wichtig: Verfassungsbeschwerden gegen ein Gesetz müssen binnen Jahresfrist nach Inkrafttreten des Gesetzes erfolgen. Und das Elena-Gesetz trat am 01.04.2009 in Kraft, auch wenn die Datensammlung erst zu Beginn 2010 anlief. Es gilt also schnell zu handeln, um den FoeBud, den Arbeitskreis Vorratsdatenspeicherung, Verdi und all die anderen Beteiligten zu unterstützen.-

Aufstehen gegen Elena – Jetzt!

Die „schmutzigen“ Geschäftsgeheimnisse mancher IT-Sicherheitsfirmen

Vor einiger Zeit berichtete das Manager-Magazin über „die geheimen Tricks der Security-Anbieter“ und nahm dabei die Geschäftspraktiken der etablierten Anbieter von IT-Sicherheitsprodukten kritisch unter die Lupe. Denn gerade Unternehmen, die die steigenden Kosten der reinen Aufrechterhaltung eines definierten Sicherheitsniveaus ihrer IT-Infrastruktur im Auge behalten, fragen sich zunehmend „Wofür bezahlen wir da eigentlich – Warum muss es überhaupt Schadsoftware geben, für deren Abwehr wir da Schutzgeld löhnen?“.

Ein Stück weit ist diese Frage naiv. Schließlich kosten uns als Steuerzahler auch Polizei und Rechtspflege nur deshalb Geld, weil es Menschen gibt, welche einen eher lockeren Umgang mit Recht und Gesetz pflegen. Oder weil rechtliche Probleme so verwickelt sein können, dass die daraus resultierenden Konflikte vor einem Gericht landen. Aber es steckt auch ein wahres Element darin. Viele IT-Sicherheitsrisiken müssten eigentlich gar nicht sein. Und dann würden sich auch die Kosten ihrer Abwehr erübrigen.

Joshua Corman, Chefstratege für IT-Sicherheit bei IBM, hat acht „schmutzige“ Geheimnisse der IT-Sicherheitsdienstleister identifiziert und in einem Interview mit der US-Fachblatt CSO thematisiert. Die acht Kritikpunkte lassen sich wie folgt zusammenfassen:

These 1: Anbieter wollen nur Geld verdienen
Aus Sicht eines Softwarehauses, das z.B. Antivirenprogramme entwickelt, ist es nicht erforderlich, der Bedrohung einen Schritt voraus zu sein. Es reicht, wenn man dem Kunden eine Nasenlänge voraus ist. Würden Anbieter nämlich Software-Produkte entwickeln und anbieten, die wirklich schützen, wäre ihr Geschäftsmodell in Gefahr. Genau hier liegt nach Ansicht von Corman die Ursache aller weiteren Übel. Er rät dazu, die Studien, Expertisen und Marketing-Aussagen der Anbieter mit einer gehörigen Portion Skepsis zu lesen.

These 2: Antiviren-Tools nicht zertifiziert
Antiviren-Produkte sind inzwischen recht gut darin, Viren, Trojaner und andere Formen von sich selbst replizierenden Programmcode zu entdecken und unschädlich zu machen. Doch die Formen von Bedrohungen – Rootkits, Bots, Dropper etc. – werden vielfältiger. Und zahlreiche Angriffsarten, wie etwa Social Engineering, Code-Injection oder Phishing zielen auf ganz andere Art und Weise auf die wertvollen Datenschätze der Unternehmen ab. Gegen sie sind viele Antivirenprodukte kaum oder gar nicht wirksam. Zudem gibt es bis heute keinen Standard, gegen den man ein Antivirenprodukt zertifizieren könnte, um generische Aussagen über seine Qualität machen zu können. Entweder man glaubt der Marketing-Abteilung des Herstellers oder nicht.

These 3: Es gibt keine Netzwerksicherheit
Absolute Netzwerksicherheit gibt es nicht. Aber auch bei der relativen Sicherheit eines Firmennetzwerkes hängt sehr viel davon ab, wie es zu Beginn konzeptionell geplant und strukturiert wird. Gerade bei Netzwerken, die zur Realisierung einer mehrstufigen Sicherheitsstrategie eine demilitarisierte Zone (DMZ) enthalten, wird gerne einiges falsch gemacht, so dass deren Perimetersicherheit deutlich schwächer ausfällt als geplant.

Corman rät Unternehmen deshalb, Basis-Perimeter zu definieren und daran die Sicherheitsstrategie auszurichten sowie die passenden Produkte zu kaufen. Ein Schelm, wer dabei an die umfangreiche Netzwerk-Produktpalette von IBM denkt…

These 4: Risiko-Management bedroht Anbieter
Viele Risiken lassen sich durch ein ganzheitliches Risikomanagement im Unternehmen in den Griff bekommen. Risiken  kann man dabei grundsätzlich mit Hilfe von sechs Vorgehensweisen begegnen: Vermeidung, Verminderung, Abwälzung auf andere, Eigenfinanzierung, Notfallpläne und Nichtstun. Diese systematische Herangehensweise an Risiken im Bereich der IT-Sicherheit ist dabei jedoch nicht unbedingt im Interesse der Anbieter. Denn sie bieten oft nur ein bestimmtes Produkt (Virenschild, Firewall, Spamfilter …) für ein bestimmtes Problemfeld an. Eine Integration solcher Produkte in eine übergeordnete Strategie erfordert jedoch Know-how, über das viele Unternehmen nicht verfügen und das sie bei den Produkteanbietern auch nicht extern einkaufen können.

These 5: Nur so stark wie das schwächste Glied
Ist die IT-Sicherheit im Unternehmen jedoch eher fragmentarisch und unsystematisch aus diversen Kaufprodukten zusammengesetzt (IT-Fachleute sprechen gerne auch von „historisch gewachsen“), so nimmt die Wahrscheinlichkeit von ausnutzbaren Lücken darin rapide zu. Was den fachlichen Rat nahelegt, die Sicherheit der eigenen IT-Infrastruktur regelmäßig, z.B. durch dynamische Sicherheitstests prüfen zu lassen und die Verbesserungsvorschläge in den Prüfergebnissen zeitnah umzusetzen.

Eine oftmals größere und zudem gern unterschätzte Gefahr geht zudem von unzureichenden Systemkonfigurationen, etwa bei Zugriffsberechtigungen, sowie von Beschäftigten aus. Beispiel: Das beste Passwort zum Schutz des Geheimarchivs ist sinnlos, wenn es als Post-it-Notiz unter der Tastatur klebt. Doch genau in diesen Bereichen versagen die meisten Anbieter. Schließlich verkaufen sie Produkte und bieten keine umfänglichen Beratungsleistungen an.

These 6: Die Compliance-Lüge
Von Land zu Land unterschiedliche regulatorische Vorgaben führen oftmals dazu, dass Unternehmen mehr Geld für Sicherheit ausgeben müssen als sie es normalerweise tun würden. Dazu zählen in Deutschland das Bundesdatenschutzgesetz, das Telekommunikationsgesetz, Auflagen der Sozialversicherungsträger aber auch Auswirkungen von Branchenregulierungen wie EuroSOX oder als Folge von Wirtschaftsskandalen verschärfte Sorgfalts- und Kontrollpflichten des Gesellschaftsrechts.

Oft machen Hersteller von IT-Sicherheitsprodukten es sich einfach und bieten Out-of-the-Box-Lösungen an, die angeblich alle Bereiche und Risiken abdecken und dem Kunden das Nachdenken über komplizierte juristische Zusammenhänge abnehmen sollen. Fragt man dann aber etwas detaillierter nach, gehen den (oft nur oberflächlich geschulten und in juristischen Feinheiten ungeübten) Produktberatern rasch die Argumente aus.

In Wirklichkeit versagen die Lösungen oft, wenn es darum geht, spezifische Anforderungen des Gesetzgebers abzudecken. Die Probleme hat dann der Kunde. Für Softwareprodukte gibt es keine „Straßenverkehrszulassung“ wie für Autos, welche diese erfüllen müssen, bevor sie in den Handel kommen.

These 7: Botnetze werden ausgeblendet
Eine nicht mehr ganz neue aber nichtsdestotrotz bedeutende Gefahr für Unternehmen sind Botnetze. IN ihnen werden große Zahlen (meist privater) PCs zu einer Art Superrechner zusammengeschaltet und von einem zentralen Rechner („Command & Control-Server) aus gesteuert. Botnetze lassen sich in der Internet-Schattenwirtschaft mieten wie Autos und man kann mit ihnen z.B. Werbemails (Spam), Mailbetrugsversuche (Phishing), schadsoftwareverseuchte Mailanhänge in Millionenstückzahl verschicken oder auch Überlastungsangriffe auf kommerzielle Websites der Konkurrenz (DDos-Attacken) starten.

Dagegen helfen Fertigprodukte der Softwareanbieter für sich betrachtet praktisch gar nicht, überlegte, fachlich fundierte und ordentlich umgesetzte Sicherheitsstrategien in den Unternehmen jedoch durchaus.

These 8: Do it yourself ist keine Lösung
Der Einsatz von Sicherheitstechnologie ohne Überlegung und Strategie bedeutet oftmals teures Chaos. Masse und Vielfalt der derzeit verfügbaren Sicherheitsprodukte übersteigen die Möglichkeiten von Firmen, sich umfassend darüber zu informieren und deren sinnvolle Verwendbarkeit einordnen zu können. Und Produkteanbieter können vielleicht ihr Produkt vor Ort installieren, konfigurieren und den lokalen EDV-Beauftragten einweisen. Sie können jedoch keine produktübergreifende Beratung zur richtigen generellen Vorgehensweise bei der IT-Sicherheit im Unternehmen bieten (und wollen das auch gar nicht).

Weil man sich aber irgendwie gegen Angriffe schützen muss, wird dann im Do-it-Yourself-Verfahren irgendeine Lösung aufgespielt und diese anschließend sich selbst überlassen.

Es ist ein Stück weit ähnlich wie bei der (kostenlosen) Produktberatung in einer Bank. Da erfährt man auch nur was die Bank anbietet und welche Eigenschaften die Finanzprodukte haben. Eine vernünftige, produktübergreifende Vermögensberatung kann  der Bankangestellte nicht bieten. Das ist Job eines Vermögensberaters, der statt Verkaufsprovisionen Beraterhonorare abrechnet.

Und so macht sich ein weiterer Teilnehmer des IT-Sicherheitsmarktes zunehmend bemerkbar: Der kompetente, in IT-Sicherheits-, Datenschutz- und Compliancefragen bewanderte, unternehmensstrategisch denkende IT-Sicherheitsberater. Wahlweise als Angestellter oder als externer Berater.

Mit CobiT Sicherheit und Softwarequalität verbessern

Heute kam ich von einem zweitägigen Fortbildungsseminar zum Thema CobiT zurück. CobiT (Control Objectives for Information and Related Technology) ist ein internationaler Standard zur Organisation von Prozessen in der Unternehmens-IT und damit zur Umsetzung von IT-Governance im Unternehmen. CobiT gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben) und ermöglicht es IT-Prozesse bausteinartig aus Good-Practice-Komponenten zusammenzustellen. Dabei können auch andere Organisationsmodelle wie z.B. ITIL oder ISO 20.000, Standards zur IT-Sicherheit wie ISO 27.000 und IT-Grundschutz sowie Qualitätsmanagementsysteme nach ISO 9.000 angebunden oder integriert werden.

CobiT ermöglicht es demnach Aspekte der Sicherheit und der Qualität direkt in IT-Organisationen zu integrieren und somit das Professionalitätsniveau (nicht nur aber auch) bei diesen Themen im Unternehmen anzuheben.

Dafür spricht auch, dass der CobiT-Standard auf die ISACA, ein internationaler Berufsverband von IT-Prüfern und IT-Sicherheitsmanagern zurückgeht und von einer Tochterorganisation dieses Verbandes, dem IT-Governance Institut weiterentwickelt wird.

CobiT enthält auch ein vereinfachtes, an CMMI angelehntes Reifegradmodell, um die Prozessreife vorhandener oder neu implementierter Abläufe messen und beurteilen zu können („Health Check“). Überhaupt spielt die Herstellung von Messbarkeit und Transparenz eine tragende Rolle im CobiT-Standard. Und so wird auch häufiger empfohlen CobiT im Zusammenhang mit einem Balanced Scorecard-basiertem Managementsystem (BSC) einzusetzen, um so CobiT-Kennzahlen direkt aus den Unternehmenszielen der vier BSC-Perspektiven  herleiten und zum Bestandteil der Zielvereinbarungen von verantwortlichen Führungskräften machen zu können.

Letztlich lassen sich so Abläufe etablieren, die hinsichtlich ihrer Reife und ihrer Ergebnisse direkt Gegenstand von Prüfungen durch IT-Revisoren und Wirtschaftsprüfer werden können (Handreichungen wie der IT-Assurance Guide befassen sich damit schwerpunktmäßig). Und mit denen sich die Professionalität des Unternehmens dokumentieren und vermarkten  lässt.

Somit ist CobiT nicht nur ein Thema für das Management beim Nachdenken über die IT-Governance sondern auch für die Sicherheitsbeauftragten und Qualitätsexperten in der betrieblichen IT. Denn gute IT-Governance lebt (auch) von der Bereitstellung sicherer und einwandfrei funktionierender Produkte und Services. Aber auch die „informationstechnischen Tugendwächter“ (vulgo: Compliance-Experten) sollten sich mit CobiT beschäftigen, da die rechtskonforme und ordnungsgemäße Erbringung von IT-Leistungen ebenfalls eine Basisanforderung für das IT-Servicemanagement darstellt.

Einen ersten Einblick in die Gesamtsystematik der CobiT-Prozesse liefert der Prozessleitfaden „CobiT 4.0 deutsch“, den man auf der Homepage des ISACA German Chapter e.V. findet. Wobei der aktuellste Stand von CobiT inzwischen bei Version 4.1 steht und auf der ISACA-Homepage in englischer Fassung zu finden ist.

IT-Recht 2010 – was demnächst auf Unternehmen zukommt

Die diesjährige CeBit brachte neben Trendthemen wie Green IT, Cloud Computing oder neue mobile Endgeräte auch zahlreiche IT-rechtliche Dinge zutage, die auf die Unternehmen zurollen bzw. diese schon seit einiger Zeit beschäftigen.

Bei rechtlichen Themen geht es im Grunde fast immer darum Interessensgegensätze neu auszutarieren und die Verteilung von Risiken zu regeln. Und genau diese Dinge stehen als Folge treibender Technologie sowie ökonomischer Exzesse der Vergangenheit (Beispiel: die zahlreichen Datenskandale der letzten Jahre in der Wirtschaft) aktuell mal wieder zur Klärung an. Die wichtigsten zehn IT-rechtlichen Baustellen des Jahres dürften sich bei folgenden Fragestellungen finden lassen:

Richtlinien für private Nutzung von Internet und E-Mail
Als Folge neuer Konzepte der Unternehmensführung lösen sich die Grenzen zwischen Arbeit und Freizeit zunehmend auf. Viele Arbeitgeber streben die Entgrenzung zwischen Dienst und Privat bewusst an, um sich zusätzliche Arbeitszeit und Leistungsbereitschaft ihrer Beschäftigten ohne  entsprechende Zeiterfassung und Entgeltpflicht aneignen zu können (Beispiel: indirekte Steuerung mit Vertrauensarbeitszeit). Als Folge dieser Entwicklung wird aber die Erledigung privater Angelegenheiten in der Arbeitszeit immer natürlicher (Fachleute sprechen von sozialaqädatem Verhalten). Zudem werden immer größere Bereiche des Lebens online organisiert (z.B. über soziale Netzwerke). Arbeitnehmer nutzen daher immer selbstverständlicher die betriebliche IT-Infrastruktur auch für private Angelegenheiten.

Dabei stecken in Themen wie der privaten Internet- und E-Mail-Nutzung zahlreiche rechtlich alles andere als triviale Detailfragen. Einerseits kann man vom Arbeitgeber nicht verlangen, dass er sein Eigentum den Beschäftigten zur privaten Nutzung überlässt (umgekehrt geht das schon – z.B. als Dienstfahrten mit dem Privat-PKW und unbezahlte Überstunden). Andererseits darf er auch nicht so ohne weiteres an private Daten heran (und sei es nur zur Systemüberwachung), wenn er die Privatnutzung nicht explizit ausschließt.

Ein Problem ganz eigener Art sind mögliche Imageschäden für die Firma, wenn ein Beschäftigter z.B. bei Hantieren mit Pornografie im Dienst erwischt wird. Zwar ist das Image der meisten Unternehmen in Deutschland längst nicht so prächtig, als dass es ein einzelner Beschäftigter nennenswert beeinträchtigen könnte. Aber z.B. für eine Stadtverwaltung kann es mehr als unangenehme politische Folgen haben, wenn Bürger und Stadträte wissen wollen, warum sowas überhaupt möglich war.

Auslagerung der Verarbeitung personenbezogener Daten (Auftragsdatenverarbeitung)
Die Datenschutzverschärfungen 2009 brachten auch deutliche Nachbesserungen bei der Regulierung der Auftragsdatenverarbeitung mit sich. Unternehmen müssen nun ihre entsprechenden Verträge mit Dienstleistern auf Konformität mit den aktuellen Regelungen des BDSG (insbes. § 11) prüfen. Zudem sind sie verpflichtet, ihre Dienstleister auch regelmäßig zu prüfen, anstatt sich nur auf die Aktenlage zu verlassen.

Datenlecks vermeiden, Publizitätspflicht im Datenschutzgesetz
Geht trotzdem etwas schief und sickern personenbezogene Daten durch Datenlecks, gestohlene Datenträger und Geräte oder gezielte Hackerangriffe nach draußen, wird es unangenehm und teuer für die Unternehmen. Denn sie müssen den Vorfall nicht nur der datenschutzrechtlichen Aufsichtsbehörde melden. Sondern im Falle der schwerwiegenden Beeinträchtigung der Rechte und Interessen der Betroffenen auch publik machen. Notfalls in Form halbseitiger Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen.

Datenschutz nachschärfen, personenbezogene Daten sichern
Das hat zur Folge, dass sämtliche Konzepte und Maßnahmen im Bereich der IT-Sicherheit und des Datenschutzes zu prüfen und ggf. dem aktuellen Stand der Technik anzupassen sind. So ist z.B. sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass zu unterschiedlichen Zwecken erhobene Daten getrennt und ausschließlich zweckbezogen verarbeitet werden können. In der Vergangenheit allzu laxe Handhabung solcher Fragen verbunden mit allgemeiner Investitionsunwilligkeit in der IT führen daher nun zu teilweise beträchtlichem Aufholbedarf in den Unternehmen.

Systematisches Archivieren und Löschen von Dokumenten
Die revisionssichere Langzeitarchivierung ist spätestens mit der GdPdU und der elektronischen Steuerprüfung sowie der stärkeren rechtlichen Überwachung des Einhaltens von handelsrechtlichen Aufbewahrungsfristen in den Unternehmen angekommen. Neu hinzugekommen ist allerdings das Thema e-Discovery, also die Pflicht unternehmensinterne Informationen im Zuge staatsanwaltlicher Ermittlungen im Rahmen von IT-forensischen Beweissicherungspflichten innerhalb kurzer Fristen herausgeben zu müssen. Insbesondere die weit reichenden und oftmals sehr kurzfristig geltend gemachten Offenlegungspflichten gegenüber der US-Justiz konfligieren dabei mit den Datenschutzauflagen der EU oder dem deutschen Datenschutzgesetz. Umgekehrt fordern inzwischen zunehmend Gesetze oder Verfahrensvorschriften auch eine zeitnahe Löschung von nicht mehr erforderlichen Daten. Daher sollten Unternehmen neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Datenbeständen aufstellen und umsetzen.

SLAs und Outsourcing-Verträge an neue Technologieentwicklungen anpassen
Der allfällige technologische Wandel im IT-Bereich sowie sich ausbreitende neue Managementkonzepte machen eine regelmäßige Überprüfung von Outsourcing-Verträgen und SLAs notwendig. Leistungsbeschreibungen, Metriken und Kennzahlen sollten den technischen Besonderheiten neuer Technologien Rechnung tragen. Dabei werden Unterschiede über den Leistungsinhalt von den Beteiligten allerdings oftmals erst nach Vertragsschluss im Tagesgeschäft bemerkt und werden dann zum Konfliktherd. Vertragsinhalte und deren technische Umsetzung müssen daher einerseits detailliert und vollständig, andererseits aber auch mit genügend Flexibilität zur Handhabung beschrieben werden, um Missverständnisse und rechtliche Auseinandersetzungen zu vermeiden.

Risikoverlagerung in IT-Verträgen prüfen
Dabei wird von größeren „Partnern“ gerne mal versucht, den kleineren Partner vertraglich über den Tisch zu ziehen, in dem Risiken unangemessen verteilt und Margen abgeschöpft werden. Im Automobilbau ist dieser Umgang mit Lieferanten seit langem Standard seitens der Konzerne und hat im Krisenjahr 2009 bereits zu zahlreichen Insolvenzen geführt. Umgekehrt zeigen Abmahnbetrug und Abzockerklauseln in Lizenzverträgen, dass das Gaunertum auch in IT-Firmen heimisch ist. Und man daher speziell bei Verträgen zum Cloud Computing oder für Mietsoftware (Software as a Service) sehr genau und mit juristischen Sachverstand ins Kleingedruckte der Outsourcing-Dienstleister sehen sollte.

Lizenzrechtliche Lage, Pflege und Support bei Virtualisierung von Softwareprodukten prüfen
Wer im Unternehmen Applikationen virtualisieren will, stößt rasch auf zwei Probleme. Einerseits den ungeregelten Wildwuchs bei Lizenzbedingungen, in dem Aussagen zur Virtualisierung jedoch meist fehlen und daher nachverhandelt werden müssen, bevor man die Software virtualisiert (davon kann es abhängen, ob sich das Virtualisierungsprojekt wirtschaftlich überhaupt lohnt). Und andererseits die Frage nach Herstellersupport bei Problemen. Viele Softwareanbieter schließen Support für den Betrieb ihrer Produkte in einer virtuellen Umgebung explizit aus, da es ihnen noch an einschlägigen Erfahrungen mangelt oder dem technische Probleme in der Software entgegenstehen. Zumal zielen Virtualisierungsprojekte meist darauf ab, Einsparungen bei Software- und Lizenzkosten durch Mehrfachnutzung und bessere Ressourcenauslastung im Serverpark zu erzeugen. Daran haben Softwarehersteller naturgemäß kaum Interesse.

Cloud-Computing I: Vertragliche Regelungen zu Verfügbarkeitsrisiken prüfen
Insbesondere Mittelständler und neu gegründete Firmen können durch den Einsatz von Cloud Computing rasch skalierbare IT-Infrastruktur beshaffen, ohne größere Investitionen tätigen zu müssen. Allerdings birgt die Anwendung von Cloud Computing rechtliche Risiken ganz eigener Art, da es hier noch keine allgemeinen Leistungsstandards gibt.

Daher ist es entscheidend, dass die Vertragsgrundlagen sorgfältige Beschreibungen aller relevanten Leistungen enthält. Zudem bedeutet der Einsatz von Cloud Computing zur Unterstützung kritische Geschäftsprozesse auch kritische Abhängigkeiten vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung.

Cloud-Computing II: Compliancefragen regeln
Unternehmen können vieles auf Zuarbeiter, Dienstleister und Lieferanten delegieren. Und in vielen Fällen macht das auch Sinn, da erfahrene Experten ihr Geschäft i.A. besser, schneller und fehlerfreier abwickeln können, als ein Unternehmen, das sich nur nebenbei damit befasst, aber eigentlich ganz andere Kernkompetenzen hat. Nicht jeder gute Fliesenleger ist auch ein guter Personaler, Informatiker, Rechtsanwalt und Bilanzexperte.

Allerdings lässt sich die Letztverantwortung nicht wegdelegieren. Bauen die Zulieferer Mist, ist der Auftraggeber geschädigten Dritten gegenüber dafür verantwortlich. Die gesetzliche Verantwortung (Organisationspflicht) bleibt im Rahmen von Sorgfaltspflichten bei der Unternehmensführung (§ 91 II, 93 AktG, § 43 GmbHG), die den Lieferanten ausgewählt, geprüft und für tauglich befunden hat. Nur stur nach dem Preis zu schielen, kann daher übel ausgehen.

Speziell beim Cloud Computing wird man sich bei der Vertragsgestaltung daher auch Gedanken über kundenseitige Prüf- und Überwachungsrechte (Auftragsdatenverarbeitung – s.o.) sowie Geheimhaltungspflichten und die Einhaltung rechtlicher Auflagen (Compliance) machen müssen. Sowie über Haftungsfragen und Schadensersatz im Falle von Problemen bei diesen Themen.

Es gibt also mehr als genug zu tun für die verantwortlichen Entscheider und ihre Stäbe in den Unternehmen. Zumal die meisten genannten Problemfelder Unternehmen jeglicher Größe betreffen. Sich also Mittelständler und Kleinunternehmer nicht zurücklehnen können, in der Annahme, das wäre nur was für Konzerne. Diese Annahme kann in ungünstigen Fälle rasch für Ärger und Kosten in beträchtlichem Umfang sorgen.

Zudem werden bei vielen der genannten Themen auch die Mitbestimmungsrechte von Betriebsräten tangiert, was es ratsam erscheinen lässt, sie frühzeitig in die anstehenden Entscheidungsfindungsprozesse einzubinden.

Bundesverfassungsgericht stoppt Vorratsdatenspeicherung

Etwa 36.000 Klagen (darunter auch eine von mir) brachten heute das umstrittene Gesetz zur Vorratsdatenspeicherung – eine Altlast aus Schäubles Zeiten – vor dem Bundesverfassungsgericht zu Fall. Die Richter kassierten das Gesetz und ordneten an, die damit erhobenen Daten unverzüglich zu löschen. Allerdungs enthielt ihr Urteil keine generelle Absage an die Idee der staatlichen Vorratsdatenspeicherung sondern verwarf lediglich deren Umsetzung in Form des Gesetzes als null und nichtig.

Der Gesetzgeber sei seiner Verantwortung für die Begrenzung und Verwendungszwecke der Speicherung nicht gerecht geworden, so Gerichtspräsident Hans-Jürgen Papier in der Begründung des Urteils. Über die europarechtliche Zielsetzung der Datenspeicherung sei man mit dem deutschen Gesetz (zu) weit hinausgegangen. In der Urteilsbegründung heißt es weiter, die anlasslose Speicherung von Telekommunikationsverkehrsdaten sei geeignet, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.

Eine Ansicht die zahlreiche Bürgerrechtler teilen dürften.

Das Karlsruher Urteil war lange erwartet worden. Hatten doch die BVerG-Richter bereits 2008 in einer einstweiligen Anordnung das Abrufen der Daten durch staatliche Stellen erschwert. Bis zur Entscheidung in der Hauptsache durften die Behörden nur noch bei schweren Straftaten wie Mord und Totschlag, aber auch Kinderpornografie, Urkundenfälschung oder Bestechung auf die Vorratsdaten zurückgreifen.

Das Bundesverfassungsgericht formulierte auch Anforderungen, die an ein überarbeitetes Gesetz zur Vorratsdatenspeicherung zu stellen seien. Dazu zählen anspruchsvolle und normenklare Regelungen was Datenschutz, Datensicherheit, Transparenz und Zugriffsrechte angeht sowie eine anspruchsvolle Verschlüsselung und getrennte Speicherung der so erhobenen Verkehrsdaten. Es müsse zudem eine transparente Kontrolle darüber geben, was mit den Daten geschehe, wobei auch der Bundesdatenschutzbeauftragte einbezogen werden müsse.

Mit gemischten Gefühlen sehen die Provider die ganze Sache. Mussten sie doch gesetzlich gezwungen in teure Speicher- und Überwachungshardware investieren. Gut möglich, das ein neues Gesetz auch neue Investitionszwänge enthält. Seltsam nur, dass der Staat sich zwar die Vorratsdatenspeicherung von den Providern (und deren Kunden) bezahlen lässt, es aber bis heute nicht hinbekommen hat, sie über eine neue Universaldiensteverordnung zu einem Breitbandausbau in der Fläche zu zwingen.

An sich geht die Idee der Vorratsdatenspeicherung auf die EU-Richtlinie 2006/24/EG zurück. Um das Problem endgültig vom Tisch zu bekommen wäre es demnach auch erforderlich, auch diese EU-Richtlinie zu Fall zu bringen.

„Das Urteil ist eine schallende Ohrfeige für die bürgerrechtsfeindliche Gesetzgebung der letzten Jahre“, so Jens Seipenbusch, Vorstandsvorsitzender der Piratenpartei. „Unser Etappenziel ist gemeinsam mit unseren Verbündeten erreicht. Jetzt gilt es, den Schwung auf europäischer Ebene zu nutzen, um die zugrundeliegende EU-Richtlinie für unrechtmäßig zu erklären, damit die Vorratsdatenspeicherung nicht über diesen Umweg eingeführt werden kann.“

Netzpolitik.org beschreibt die veränderte politische Lage so:

Der Kampf gegen die Vorratsdatenspeicherung geht also weiter in die Verlängerung. Wir müssen Druck auf die Bundesregierung und vor allem auf die FDP aufbauen, dass diese unsere digitalen Bürgerrechte Ernst nehmen. Im Vergleich zum Beschluss der Vorratsdatenspeicherung durch die Große Koalition ist das gesellschaftliche Klima ein wenig anders. Die Medienberichterstattung ist größer und kritischer geworden. Und mehr Bürger sind sensibilisiert. Das Klima müssen wir nutzen, um auch zukünftig die Vorratsdatenspeicherung national und auf europäischer Ebene zu bekämpfen und endgültig zu kippen.

Heute ist ein guter Tag für die Datenschutz- und Bürgerrechtsbewegungen Europas.

Gleichwohl bleibt noch viel zu tun, um alleine die zahlreichen Altlasten vergangener Regierungen zu entsorgen. Auch dem Bundesverfassungsgericht wird die Arbeit so schnell nicht ausgehen. Produzieren doch die Abgeordneten im Bundestag mehr grundgesetzwidrige Ideen als alle vom Verfassungsschutz wegen potentieller Gefährdung der freiheitlich-demokratischen Grundordnung beobachteten Organisationen zusammengenommen.

Die 25 häufigsten Programmierfehler

Jährlich untersucht eine Gruppe von 30 international auftretenden Sicherheitsunternehmen und -organisationen welche Arten von Programmierfehlern in Softwareprodukten vorkommen. So entstand eine jährlich aktualisierte Liste der 25 gefährlichsten Programmierfehler, durch die es zu groben Sicherheitslücken in Softwareprodukten kommt und die spektakuläre Exploits erst möglich machen.

Damit wird seitens der Organisationen das Ziel verfolgt, Programmierern das Wissen zu vermitteln, wie man Code schreibt, der frei von diesen Top-25-Programmierfehlern ist.

Die Ursachen für gefährliche Software-Schwachstellen sind unter Sicherheitsexperten hinreichend bekannt. Vielen Softwareentwicklern ist jedoch bis heute nicht bewusst, welche Gefahren durch unsichere Programmierung drohen. Hauptziel der Veröffentlichung der Sammlung ist es daher, Softwareentwickler auf häufig gemachte Programmierfehler hinzuweisen und somit durch sichere Programmierung Schwachstellen gar nicht erst aufkommen zu lassen – so Alexander Neumann auf Heise Developer.

Die gefundenen Schwachstellen wurden grob in drei Kategorien gegliedert:

1. Angriffspunkte beim Datenaustausch zwischen Systemen.
2. Schwachstellen beim Umgang mit wichtigen Ressourcen.
3. Fehlerhaft implementierte Sicherheitsmaßnahmen.

Angriffe wie Cross-Site-Scripting und Code-Injection zielen i.d.R. auf Schwachstellen der ersten Kategorie, Buffer-Overflow-Attacken oder DoS-Angriffe auf solche der zweiten. Und in jedem geknackten Kopierschutz, jedem umgangenen Passwort und jeder gebrochenen Kryptomethode wurden Fehler der dritten Art gefunden und ausgenutzt.

Auf Common Weakness Enumeration – Community-Developed Dictionary of Software Weakness Types wird die aktuelle Liste sowie weiterführende Informationen für Entwickler und Security-Experten bereitgestellt. Dazu zählen auch generische Empfehlungen zur Qualitätssicherung und Risikobegrenzung im Entwicklungsprozess.

Gegen ein Sicherheitsproblem der speziellen Art sind jedoch auch solche Listen machtlos: Den Versuch von Entscheidern, Software-Entwicklungsprojekte durch unrealistisch gesetzte Termine und schlampig berechnete Budgets zunächst unter Druck zu setzen und dies später durch Einsparungen bei der Qualitätssicherung korrigieren zu wollen.

Hier wird es wohl noch den ein oder anderen großen Datenskandal sowie die schonungslose Aufklärung und Aufdeckung seines Zustandekommens einschließlich Nennung aller Namen von verantwortlichen Entscheidern brauchen.