Safe the Date – 13. Linux-Infotag in Augsburg

18. März 2014

Am kommenden Samstag den 22.03. ist es wieder soweit. Die Open-Source-Enthusiasten Süddeutschlands treffen sich zum 14. jährlichen Linux-Infotag in Augsburg. Die Linux User Group Augsburg (LUGA) e.V. veranstaltet gemeinsam mit der Hochschule Augsburg in der dortigen Fakultät für Informatik ein inhaltlich reichhaltiges Vortragsprogramm sowie eine Begleitausstellung.

Das Programm umfasst in diese Jahr u.a. Themen wie den Einsatz von Open Source in Unternehmen, 3D-Drucken mit offener Hard- und Software, die auf quelloffener Software basierende Bitcoin-Währung sowie Möglichkeiten zur sicheren und unabhängigen Datenverwaltung in der eigenen Cloud. Für Entwickler und Techies gibt es auch Vorträge zu Programmierthemen wie Web Frameworks, Ruby on Rails oder die Nutzung von Wireshark zum Testen selbst gebauter Hardware.

Für ITler, Informatiker, Hacker, Techies und Nerds im süddeutschen Raum fast schon ein Pflichttermin.


Wird hier noch gebloggt?

7. Juni 2013

Hier auf meinem Blog ist schon länger kein neuer Artikel mehr erschienen. Ich habe das Bloggen jedoch nicht aufgegeben sondern nur deutlich eingeschränkt. Denn ich habe mich bereits Ende 2011 dazu entschlossen ein berufsbegleitendes Masterstudium an der FOM Hochschule für Oekonomie und Management aufzunehmen.

Berufsbegleitend zu studieren bringt neben einer vollzeitigen Tätigkeit beträchtlichen Zeitbedarf für Studienaktivitäten aller Art mit sich, wie ich bereits bei meinem ersten Studium erfahren konnte. Daher setze ich Prioritäten und blogge kaum noch. Auch Anfragen zu Produkttests, Artikel für andere Medien, Messekooperationen oder ähnliches kann ich daher zeitlich nicht unterbringen.

Wenn die Dinge plangemäß laufen, werde ich im ersten Quartal 2014 meinen Masterabschluss (M.A.) in IT-Management entgegennehmen und dieses Projekt zu einem erfolgreichen Abschluss gebracht haben. Dann wird es hier voraussichtlich auch wieder mehr zu lesen geben.


FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

14. November 2011

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.


Methodentag Projektmanagement 2011

19. September 2011

Was haben Sicherheitslücken, Schwachstellen und andere Qualitätsmängel in IT-Systemen gemeinsam? Sie entstehen durch Dinge, die im Rahmen von IT-Projekten getan oder unterlassen werden. Projektwirtschaft ist bereits seit Jahren die prägendste Form des Zusammenarbeitens im IT-Bereich. Was hier schief läuft, wird sich auf die in den Projekten erstellten Ergebnisse auswirken. Daher ist es auch für IT-Profis mit Tätigkeitsschwerpunkten in den Bereichen Informationssicherheit oder Softwarequalität wichtig, sich regelmäßig mit Trends und Entwicklungen im Bereich des Projektmanagements zu befassen.

Dazu fand ich letzten Samstag auf dem Methodentag Projektmanagement 2011 am Zentrum für Weiterbildung und Wissenstransfer (ZWW) der Uni Augsburg Gelegenheit. Veranstalter waren das pm-forum Augsburg, eine lokale Community mit Fokus auf die Themen Projektmanagement und regionalen Wissenstransfer, in Kooperation mit der Gesellschaft für Arbeitsmethodik e.V. und der GPM, einem Fachverband für Projektmanagement, die Infostände zu ihren Aktivitäten im Bereich Projektmanagement und PM-Zertifizierungen anboten.

Eröffnet wurde die Veranstaltung mit einer Keynote von Erik Händeler zum Thema „Warum der Wohlstand in Zukunft vom Sozialverhalten abhängt“. Darin erläuterte er die Auswirkungen langer Entwicklungsphasen in der Wirtschaft (Kondratieff-Zyklen) und stellte die These auf, der nächste Kondratieff-Zyklus werde die Notwendigkeit zunehmender Kooperation von Menschen zum Gegenstand haben, da der fähige und wissende Mensch als solcher immer knapper werde. Dadurch werde die Bedeutung des Sozialverhaltens, d.h. die Fähigkeit mit anderen Menschen zusammenarbeiten zu können, an Bedeutung weiter zunehmen.

Ich belegte anschließend gemäß aktueller beruflicher Interessen Vorträge zu den Themen Kommunikation im Projekt, Multiprojektmanagement sowie Projektumfeld- und Stakeholderanalysen. Jeweils gehalten von kompetenten Referenten aus dem Umfeld des pm-forums Augsburg. Aber auch Themen wie das Erstellen von Projektstrukturplänen, webbasierte Projektmanagementtools, Präsentationstechniken, Projektkennzahlsysteme, systemische Organisationsaufstellungen sowie das Nutzbarmachen von Lernerfahrungen für Folgeprojekte waren im Angebot, so dass das mir das Auswählen schwer fiel. Zu Vorträgen, die man nicht besuchen konnte, kann man aber immerhin die Zusammenfassung im Tagungsband nachlesen, den jeder Teilnehmer erhielt.

Eine alles in allem runde und stimmige Veranstaltung, die ich gerne wieder besuche, sobald sie wieder stattfindet.


Sind Polizeicomputer wirklich sicher?

4. September 2011

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.


Das Ende von Elena

24. Juli 2011

Vor einigen Tagen wurde es vom Bundesministerium für Wirtschaft und Technologie und dem Bundesministeriums für Arbeit und Soziales offiziell bekannt gegeben: Das Vorhaben „Elektronischer Einkommensnachweis“, kurz Elena wird eingestellt. Die bislang damit zusammengetragenen Datenbestände sollen in absehbarer Zeit gelöscht werden.

Das von Gewerkschaftern und Bürgerrechtlern zunächst nahezu ignorierte, später jedoch mit immer mehr Vehemenz bekämpfte Vorhaben einer Vorratsdatenspeicherung der Sozialdaten aller Arbeitnehmer Deutschlands ist damit erledigt. Offizielle Begründung: Weil die hierfür erforderliche qualifizierte elektronische Signatur in der Breite nicht verfügbar ist.

„Wir sind froh, dass diese Massendatenspeicherung endlich gestoppt wird“, so Sebastian Nerz, Bundesvorsitzender der Piratenpartei. Nach Ansicht der Piratenpartei hätte ELENA gar nicht erst beschlossen werden dürfen. Die elektronische Massenspeicherung ist ihrer Ansicht nach unverhältnismäßig, risikoreich und unnötig.

Grünen-Bundesvorstandsmitglied Malte Spitz sagte der Neuen Osnabrücker Zeitung: „Elenas Ende ist ein überfälliger Schritt. Zu einer solchen Datenkrake, die massiv in die Privatsphäre aller Arbeitnehmer eingreift, hätte es nie kommen dürfen“. Völlig unverhältnismäßig sei die zentrale Speicherung von Informationen zu Gesundheit oder der Teilnahme an Streiks gewesen. Ein echter Lernerfolg, wenn man bedenkt, dass Elena auf die Hartz-Gesetze des rotgrünen Bundeskanzlers Gerhard Schröder zurückführbar ist.

Auch der Berliner Datenschutzbeauftragte Alexander Dix hat sich in einem Interview mit dem RBB-Inforadio zufrieden mit dem Aus für das Elektronische Entgeltnachweisverfahren (Elena) gezeigt. Bei dem Projekt sei „von Anfang an mit Kanonen auf Spatzen geschossen worden“ Der Nutzen habe in keinem Verhältnis zu den entstehenden Kosten gestanden, so die TAZ.

Es zeigt sich einmal mehr, dass viele staatliche IT-Großprojekte, die als Verwaltungsvereinfachung, Bürokratieabbau und modernes e-Government daherkommen, tatsächlich politisch sehr heikel sind, da sie oft genug nicht nur sehr viel Steuergelder verschlingen sondern auch Bürgerrechte einschränken oder abbauen sollen und die politischen Eliten noch mächtiger und noch schwerer kontrollierbar machen.

Doch wie fing bei Elena eigentlich alles an?

Staatliche IT-Projekte können über Jahre laufen. So auch bei Elena, die 2003 während der rotgrünen Schröder-Regierung im Rahmen der Hartz-Gesetze als „Job-Card“ das Licht der Welt erblickte. Es folgten einige Pilotprojekte und 2009 schließlich das Elena-Verfahrensgesetz.

Auch da blieb erst mal alles relativ ruhig, da Themen wie Internetzensur, Vorratsdatenspeicherung, zunehmender Missbrauch des Urheberrechts sowie ACTA, INDECT und weitere die Aufmerksamkeit der netzpolitisch interessierten Öffentlichkeit auf sich zogen.

Als erste begannen die Gewerkschaften damit, sich gegen Elena zu positionieren, als sie in der knapp 50seitigen Beschreibung der verpflichtend abzuliefernden Datenarten u.a. die Meldung von Streiks (getrennt nach zulässig / unzulässig), Abmahnungen und Kündigungsgründen entdeckten. D.h. in der Praxis sollten Personalsachbearbeiter in den Unternehmen heikle Sachverhalte rechtlich einordnen, womit sie sich im Fehlerfall schadensersatzpflichtig gemacht hätten, falls sich daraus für den betroffenen Arbeitnehmer negative Folgen im Umgang mit Behörden (z.B. eine auf falschen Daten beruhende Sperrung von Sozialleistungen) ergeben hätten und die Geschädigten gerichtlich gegen die Datenschlamperei vorgegangen wären.

Gesammelt wurden die Elena-Datensätze bei der Zentralen Speicherstelle (ZSS), einem Rechenzentrum, das bei der Datenstelle der Träger der Rentenversicherung in Würzburg angesiedelt wurde. Die ZSS sollte die Elena-Daten zentral verschlüsselt über Jahre hinweg speichern. Gerade dieses sehr lange Vorhalten umfangreicher Datensatzhistorien war ein weiterer Kritikpunkt, da er für viele sozialversicherungsrechtlichen Vorgänge gar nicht erforderlich ist. Kritische Bürgerrechtler sahen sich an das sog. „Arbeitsbuch“ erinnert, mit dem die Regierung des dritten Reichs ab 1935 die Erwerbstätigkeit ihrer Untertanen steuern und überwachen wollte.

Nahezu alle zwangsabgefragten Elena-Daten können in irgendeiner sozialrechtlichen Fallkonstellation zur Beurteilung der Umstände des Einzelfalls erforderlich sein, weshalb der Datenkatalog im Laufe der Zeit eher dicker statt dünner wurde. Jedoch besteht diese Erforderlichkeit in keiner Weise für alle Arbeitnehmer. Wer absehbar nie Kindergeld beantragen wird oder über den Einkommensgrenzen für den Wohngeldbezug liegt, für den müssten auch keine entsprechenden Daten abgefragt werden. Daher kritisierten Datenschützer wiederholt den fehlenden konkreten Zweckbezug sowie die Missachtung des Prinzips der Datensparsamkeit.

Auch warum solche Daten umfassend und mit zahlreichen, schwer zu entdeckenden Mängeln in der Datenqualität behaftet, in einer staatlichen Vorratsdatenbank gespeichert werden müssten, wenn man sie doch im Einzelfall bei tatsächlichem Bedarf und aktuell bei denen erheben könnte, die etwas Konkretes von den Leistungsbehörden wollen, erschloss sich den technisch versierteren Kritikern nicht unbedingt. Zumal es den Betroffenen bis zuletzt aufgrund konzeptioneller Mängel im Betriebskonzept der zentralen Stelle nicht möglich war, von ihrem datenschutzrechtlichen Auskunftsrecht Gebrauch zu machen. Denn die Daten wurden zwar verschlüsselt übermittelt und gespeichert. Doch die Karten mit den Schlüsseln zum Auslesen und Entschlüsseln der Datengabe es nicht, geschweige denn einen Onlinezugriff über den der einzelne Beschäftige seinen eigenen Datensatz hätte kontrollieren können. Eine Kontrollmöglichkeit für den Arbeitnehmer war schlicht nicht vorgesehen.

Zuletzt schlossen sich mittelständische Wirtschaft, Medien und Kommunen dem Widerstand gegen Elena an. Der Wirtschaft hatte man Bürokratieabbau und Kostensenkungen versprochen. Heraus kamen beträchtliche Mehraufwände und Kostensteigerungen in der Personalverwaltung sowie bei den umfangreichen Pflichtdatenablieferungen. Sowie oftmals technische Probleme bei der Datenkommunikation mit der ZSS. Und die Kommunalverwaltungen, welche sowohl Arbeitgeber als auch zuständige Behörde für etliche Sozialleistungen sind, klagten bald über die Notwendigkeit, teure Fachverfahren und zusätzliche IT-Projekte stemmen zu müssen, ohne dass vorher geklärt wurde, wer am Ende dafür zahlen soll.

Der zunehmende Druck sorgte im Zusammenhang mit Ministerwechseln und Zuständigkeitsänderungen dafür, dass das Elena-Projekt bereits im Oktober 2010 ins Straucheln kam und schließlich 2011 gestoppt wurde.

Allerdings kündigte das Bundesarbeitsministerium bereits an, sich mit der Frage zu befassen „wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden“ könnte. Das bedeutet allerdings, dass die von den Kritikern thematisierten problematischen Vorstellungen aus den Köpfen der Politiker immer noch nicht verschwunden sind, wie auch Bettina Hammer auf Heise.de kritisiert.

Denkt man an die diversen Ministerrochaden im Merkel-Kabinett, so ist es gut möglich, dass aufmerksame Beobachter des netzpolitischen und e-governmentalen Lebens in Deutschland bald auf ähnliche Vorhaben stoßen werden und dann erneut mit ihrer Argumentation beginnen müssen, weil sich die Verantwortlichen nach dem „Vogel-Strauß“-Prinzip ahnungslos geben werden.

Zumal das Elena zugrundeliegende Gesetz noch nicht vom Bundestag abgeschafft wurde und damit erst mal weiterhin Gültigkeit besitzt. Und daher auf http://www.das-elena-verfahren.de, einer Website der Deutschen Rentenversicherung Bund, die auch die ZSS betreibt, zu lesen ist: „Das Verfahren ELENA wird erst dann eingestellt und die gespeicherten Daten werden erst dann gelöscht werden, wenn es hierfür eine entsprechende gesetzliche Grundlage gibt.“


Erneuter Hackerangriff auf NPD-Websites

1. Juni 2011

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.


Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 130 Followern an