Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Steht die Internet-Zensur vor dem Aus?

In den letzten Jahren häuften sich Gesetze mit dem Ziel Bürgerrechte und Freiheiten einzuschränken, um der politischen Klasse unangemessene Vorteile zu verschaffen oder zur angeblichen Verbesserung der Sicherheitslage in Deutschland. Sie alle atmeten den Ungeist der Angst der Politiker vor dem Volk. Viele dieser Vorhaben scheiterten später ganz oder teilweise vor dem Bundesverfassungsgericht. Gegen andere laufen derzeit Prozesse.

Einen Überblick über den Stand solcher, zum Teil verfassungsfeindlicher Gesetzesvorhaben liefert u.a. die Chronik des Grundrechteabbaus der Piratenpartei Deutschland.

Derzeit erleben wir erneut das hilflose Herumgeeiere der Politik, wenn ihr ein solches Vorhaben rechtlich zwischen den Fingern zerbröselt. Das umstrittene Internetzensur-Gesetz von Ex-Familienministerin Ursula von der Leyen brachte im Bundestagswahlkampf vor allem der FDP, der Linkspartei und der Piratenpartei Stimmenzuwächse, nicht aber den Christdemokraten. So war es auch nicht verwunderlich, dass die FDP im Koalitionsvertrag eine Vereinbarung durchsetzen konnte, wonach diese Form des politischen Kindsmissbrauchs (immerhin wurde das Gesetz mit der Notwendigkeit des Schutzes von Kindern begründet) ausgesetzt werden sollte. Man wollte wohl Zeit gewinnen, so dass auch die Konservativen, dieses Gesetz ohne Gesichtsverlust still und leise endgültig verabschieden können.

Dazu sollte dem BKA per Verordnung die Aussetzung der Anwendung des „Zugangserschwernisgesetzes“ befohlen werden. Dumm nur, dass das Gesetz bereits am 18.06.2009 vom Bundestag und am 10.07.2009 vom Bundesrat verabschiedet wurde und Behörden ein rechtmäßig zustande gekommenes Gesetz nicht einfach auf Befehl hin ignorieren können.

In einem Rechtsstaat hat die Regierung ein missliebiges Gesetz auf demselben Wege zu ändern oder abzuschaffen, auf dem sie es in die Welt gesetzt hat: Durch parlamentarische Beschlussmehrheit.

Da könnte es der Regierung jedoch zupass kommen, dass das potentiell grundgesetzwidrige Gesetz derzeit beim Bundespräsidenten Köhler „hängt“, der es erst ausfertigen will, sobald ihm dazu „ergänzende Informationen“ von der Bundesregierung gegeben werden, die er dazu eingefordert hatte.

Möglicherweise nutzt man jetzt diese Chance, um die peinliche Angelegenheit durch Zeitablauf und Fristverfall bald schon als erledigt abhaken zu können, ohne dass sich die Politiker nochmals damit befassen müssen.

IT-Sicherheit in Unternehmen durch Cloud-Computing verbessern

Cloud Computing, also das Auslagern von IT-Dienstleistungen auf Provider und Rechenzentren, kann aus der Perspektive des Datenschutzes eine recht heikle Angelegenheit werden. Denn die rechtliche Verantwortlichkeit für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken können nicht mit in die Cloud wegdelegiert werden.

Andererseits kann Cloud Computing gerade kleineren und mittelständischen Unternehmen dabei helfen, professionelle Abläufe im IT-Betrieb sowie hohe Standards bei IT-Sicherheit und Datenschutz einzukaufen anstatt sie selbst erst aufbauen zu müssen.

Zu diesem Schluss kommt eine Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die kürzlich veröffentlicht wurde (PDF, 2 MB). „Die Weitergabe der eigenen Daten in fremde Hände bedeutet für Unternehmen natürlich ein Risiko. Neben offensichtlichen Gefahren wie Datenschutz-Intransparenz, Datenverlust und unvollständiger Datenlöschung kann die fehlende Kompatibilität von Lösungen zu Problemen bei der Migration zu einem anderen Anbieter führen“, erläutert ENISA-Researcher Daniele Catteddu. Daher rät man den am Cloud Computing interessierten Unternehmen, sich in Frage kommende Anbieter genau anzusehen. Dafür sollte im Unternehmen eine geschäftsspezifische Risikoanalyse gemacht werden, wozu die ENISA in ihrer Untersuchung konkrete Handlungsanleitungen gibt.

Besonders attraktiv ist Cloud Computing dabei für neu gegründete Unternehmen, deren Alternative ansonsten darin bestünde, ihre IT auf der grünen Wiese komplett neu aufzubauen. Schließlich lassen sich viele Cloud-Leistungen modular buchen, kurzfristig erweitern und nutzungsabhängig abrechnen.

Auch der Netzwerksicherheitsdienstleister RSA kam zu der Erkenntnis, dass Cloud Computing das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in KMU deutlich steigern kann. In der November-Ausgabe des „RSA Security Brief“ ist ein Leitfaden enthalten, worauf ein Unternehmen technisch, rechtlich und organisatorisch bei der Auswahl eines Cloud-Dienstleisters sowie der Einführung von Cloud Computing achten sollte. Und mit welchen technischen Ansätzen sich wertvolle Unternehmensdaten schützen und rechtliche Datenschutzanforderungen erfüllen lassen.

Wohin verschwinden gelöschte Dateien?

Viele PC-Nutzer glauben, dass Dateien, die sie löschen dadurch tatsächlich vernichtet werden. Dem ist nicht so. Zum einen haben die meisten Betriebssysteme eine Sicherung gegen unabsichtliches Löschen eingebaut: Das Papierkorb-Verzeichnis, in das gelöschte  Dateien hinein verschoben werden. Und aus dem man sie – wie bei einem echten Mülleimer – wieder herausziehen kann. Aber auch das „Leeren“ des Papierkorbes führt nicht zur tatsächlichen Löschung der Dateien. Der Rechner markiert die durch die Dateien belegten Speicherbereiche seiner Festplatte lediglich als „frei verfügbar“. Früher oder später werden darauf neue Daten gespeichert, so dass dadurch die zuvor dort gespeicherten Daten überschrieben werden. Erst dann sind sie tatsächlich weg. Je nach Nutzungsintensität der Festplatte und der dort noch vorhandenen Speicherkapazität kann das Sekunden oder Monate bis Jahre dauern.

Wer wissen will, was sich auf seinem Rechner noch an bereits gelöschten aber wiederherstellbaren Daten befindet, kann mit Tools wie Piriform‘s kostenlosem Recuva nachschauen. Und die Datenreste auf Wunsch auch gleich endgültig beseitigen oder aber wiederherstellen lassen.

Zumindest für Dateien gibt es durchaus ein „Leben nach dem Tod“. Es sei denn, sie werden gleich „sicher gelöscht“, d.h. der von ihnen belegte Plattenplatz wird erst mit anderen Daten überschrieben und anschließend als „frei“ gekennzeichnet. Auch dafür gibt es Tools, wie z.B. das Programm Crap Cleaner. Es ist eine Art „Datenmüllabfuhr“, die den Rechner auf dem es installiert ist, von datentechnischen Gebrauchsspuren säubert und in der man auch sichere Löschverfahren einstellen kann.

Heute haben viele Nutzer aber Daten nicht nur auf ihrem eigenen Rechner sondern auch „in der Cloud“, d.h. bei Internetdiensten wie Facebook, XING oder Twitter. Und hier werden die Dinge jetzt kompliziert. Denn das Internet vergisst grundsätzlich erst mal nichts. Fast alles wird irgendwo gespiegelt, zwischengespeichert oder in Archiven und Backup-Systemen vorgehalten. Je länger es im Netz steht, desto wahrscheinlicher ist das. So werden z.B. meine Artikel in diesem Blog oftmals bereits nach wenigen Stunden von Suchmaschinen erfasst, wodurch sie meist auch in deren Cache landen.

In den meisten sozialen Netzwerken kann man eigene Daten zwar löschen. Aber es ist dadurch nicht sichergestellt, dass sie tatsächlich weg sind. Hochverfügbar laufende IT-Systeme haben meist mehrere Backups und identisch konfigurierte und mit aktuellen Datenbeständen versehene Ersatzsysteme, um bei Sabotage oder Plattencrash zügig darauf umschalten und weiterlaufen zu können. Und oft genug enthält das Kleingedruckte in den Nutzungsverträgen mit den Plattformbetreibern Klauseln, wonach man ihnen Verwertungsrechte an den persönlichen Daten einräumt. Was sie dazu veranlassen kann, diese dafür vor endgültiger Löschung zu sichern.

So warf kürzlich der Security-Newsletter von TrendMicro die durchaus berechtigte Frage auf:  „When You Delete Your Social Media and Smartphone Files — Are They Really Deleted?“ Um im Weiteren auf die grundsätzliche Problematik der Kontrolle und Verfügung über Daten auf ausgelagerten IT-Systemen zu verweisen. Ein Thema, dass nicht nur Rechenzentren in Konzernen sondern zunehmend auch Privatnutzer mit ihren Mobilgeräten und Web 2.0-Accounts betrifft. So sieht z.B. der Prototyp von Googles Netbook-Betriebssystem Chrome OS ein fast ausschließlich webbasiertes Arbeiten mit dem Rechner vor, so das praktische alles – Programme, Daten, Dienste – aus dem Internet bezogen wird.

As more consumer data moves onto cloud computing platforms like Gmail and Facebook, and closed platforms like Kindle and iPhone, deleting your data—whether old email messages, college photos on Flickr or personal posts on Facebook—becomes more complicated. In fact, you have to trust that these companies will delete your data when you ask them to. Unfortunately, many of these sites are more likely to make your data inaccessible than actually delete it. And even if you do manage to delete your files, copies are almost certain to remain in the companies’ backup systems.

Als Lösung dafür wird auf die Idee von Dateien mit zeitlich begrenzter Lebensdauer und anschließender Selbstzerstörung hingewiesen. Eine Idee, die im Zuge des Vanish-Projektes an der University of Washington entstand und bereits als quelloffene Referenzimplementierung vorliegt. Allerdings haben auch Konzepte wie „Vanish“ ihre Nachteile, so dass eine endgültige Lösung für das Problem noch aussteht.

Während man das Dasein von gelöschten Dateien auf dem meisten Rechner also durchaus selbst endgültig beenden kann, erlangen ins Internet verlagerte Daten gewissermaßen eine Art „ewiges Leben“.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Kopiergeschützte Produkte verkaufen kann teuer werden

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.

Neues Hoeren-Skript zum Internetrecht

Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münsterund Richter am Oberlandesgericht Düsseldorf, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,2 MB) bereit.

Obwohl „Skript“ für dieses umfassende, gut 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.

Thomas Hoeren gab kürzlich der ZEIT ein Interview, in dem er die überkommenen Strukturen des deutschen Urheberrechts sowie die fragwürdige Praxis des sogenannten „fliegenden Gerichtsstands“ kritisierte und sich zu Ideen wie der Kulturflatrate äußerte.

Konfliktfeld Datenschutz und Cloud Computing

Cloud Computing ist nicht nur ein neuer IT-Trend. Sondern eine für viele Firmen sehr interessante Sache. Denn mit Hilfe der bedarfsgerecht ausgelagerten und zugekaufen Rechenkapazitäten oder Softwareprodukte lassen sich rasch IT-Kapazitäten aufbauen, ohne eigene Infrastrukturen betreiben und eigenes Personal beschäftigen müssen.

Dummerweise lassen sich die Verantwortung für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken nicht mit in die Cloud wegdelegieren. Schon eine – an sich harmlose – datenschutzrechtliche Auskunftsanfrage kann ein Unternehmen ins Schleudern bringen, wenn es nicht weiß, was genau von wem und wo in der Cloud mit den Daten gemacht wird. Verträge und Vereinbarungen sind da nur begrenzt hilfreich. Sie müssen auch eingehalten und die Einhaltung geprüft und dokumentiert werden. Beispielsweise durch das Monitoring von Kennzahlen und SLA’s mit Hilfe von eigenen Servicemanagern.

Gernot Keckeis, Director Identity & Security Management bei Novell gab hierzu kürzlich dem Compliance-Magazin ein Interview:

„Wenn die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU stattfindet, ist dies laut dem deutschen Datenschutzrecht nicht zulässig. Das geht aus dem aktuellen Jahresbericht des Berliner Datenschutzbeauftragten Alexander Dix hervor. Diese Feststellung ist erschreckend. Im Grunde bedeutet das nämlich, dass sich über kurz oder lang länderspezifische Datenmonopole bilden werden. Das ist nicht nur politisch gefährlich. Vor allem vergrößert sich dadurch die Angriffsfläche von professionellen Hackern, die dann gezielt einzelne Länder anvisieren können.“

Er fürchtet demnach eine (datenschutz)rechtliche Territorialisierung der an sich grenzenlosen Cloud (in der es ja gerade nicht wichtig sein soll, wo und durch wen etwas stattfindet), was für die Unternehmen administrativen Mehraufwand bedeuten könnte. Die Alternative des globalen „race to the bottom“, also eines Wettlaufs um die weltweit niedrigsten Datenschutzstandards ist allerdings mehr als abzulehnen.

„Natürlich haben viele Unternehmen Sicherheitsbedenken, wenn es um Cloud Computing geht. Diese Sorgen sind berechtigt, wenn in Unternehmen keine zusätzlichen Sicherheitsmaßnahmen ergriffen werden. Besonders wenn es um den Schutz von sensiblen Daten geht, ist es unumgänglich zu wissen, wo diese gespeichert werden und wer darauf zugreifen kann. Obwohl dies natürlich keine unbekannten Herausforderungen für IT-Manager sind, rückt die Cloud sie doch noch stärker ins Bewusstsein. Die Verantwortlichen erkennen, dass ihre IT nur als Einheit funktioniert und deshalb auch einheitliche Sicherheits-Policies erfordert“.

Das bedeutet allerdings beträchtliche Investitionen in das IT-Themenfeld Governance, Risk & Compliance (GRC) sowie in Fragen der IT-Sicherheit, des Datenschutzes und der Softwarequalität.

Dazu führt Keckeis weiter aus:

„Bevor IT-Manager sich auf das Erlebnis Cloud Computing einlassen, sollten sie ein detailliertes Risk Assessment durchführen, um sämtliche Probleme und Risiken, die mit der Sicherheit ihrer Daten einhergehen, zu verstehen. Wichtig sind hier vor allem Identitäts- und Access-Management-Lösungen. Wir haben beispielsweise eine Technologie entwickelt, mit der Unternehmen einen Teil der Cloud temporär annektieren und diesen unter Einhaltung der gleichen Sicherheitskontrollen wie denen im eigenen Rechenzentrum nutzen können“.

„Lösungen wie diese sind notwendig. Einerseits, um Datenschützer zu überzeugen und andererseits, um eine länderspezifische Diskriminierung vorzubeugen, die ansonsten in einer geballte Ansiedlung von Cloud-Providern in einzelnen, wenigen Ländern mündet. Sowohl die Anbieter als auch die Nutzer der Wolke müssen verantwortungsvoll handeln, um das Prinzip der freien Cloud nicht schon im Keim zu ersticken“.

Es geht also letztlich darum, das Gleichgewicht zwischen Globalisierung der Unternehmen sowie lokalen Bedürfnissen nach Schutz und Sicherheit vor Datenklau und Wirtschaftswillkür zu finden. Keine einfache Angelegenheit.

Krise erhöht Datendiebstahlsrisiken in Unternehmen

Kürzlich veröffentlichte Cyber-Ark, ein Hersteller von Produkten für Identity-Management und sichere Datenaustausch, eine Studie mit brisanten Zahlen. Zwar sind Herstellerstudien immer etwas kritisch zu bewerten, interessante Informationen finden sich in ihnen aber fast immer.

Nicht zuletzt aufgrund der Wirtschaftskrise sinkt die Loyalität der ITler rapide und hat sich die Bereitschaft von IT-Beschäftigen, wichtige Firmeninterna ihres Arbeitgebers zu stehlen beträchtlich erhöht. Etwa bei Fusionsplänen von 7% (2008) auf 47% (2009), bei Forschungs- und Entwicklungsdaten von 13% auf 46% und bei privilegierten Passwörtern von 11% auf 46%.

Zwar basiert die Studie „Trust, Security & Passwords“ mit ihren zentralen Fragen nach Datendiebstahl und dafür in Frage kommenden Informationsarten lediglich auf der Befragung von etwa 400 IT-Mittelmanagern.

Aber es klingt durchaus plausibel, dass Firmen die einerseits zweistellige Renditen und 7-8-stellige Vorstandsgehälter anstreben und andererseits Beschäftigte entlassen oder kurz und kleinsparen, sich nicht mehr auf die Loyalität ihrer Leute verlassen können. Insbesondere wenn sich dort auch externe Mitarbeiter (Consultants, Leihkräfte etc.) mit entsprechender „Söldnermentalität“ sowie Praktikanten und befristet Beschäftigte in Größenordnungen die Klinke in die Hand geben.

Datenklau und Betriebsgeheimnisverrat als Form der „autonomen Lohnerhöhung“? Das dürfte die ohnehin von Datenschutzskandalen gebeutelten Firmen nun wirklich im unpassendsten Moment treffen.

20% der befragten Firmen gaben in der Studie an, bereits Opfer von Insider-Sabotage geworden zu sein, wie auch der Fachinformationsdienst IT-Grundschutz kürzlich berichtete.

Und viele der Firmen rüsten sich sicherheitstechnisch auf. Überwachte Admin-Accounts, verbessertes Rechte- und Rollenmanagement, Zutrittskontrollen und Videoüberwachung hochsensibler Firmenbereiche. Sowie der Einsatz von speziellen Produkten wie z.B. virtuelle sichere Datenräume oder Enterprise Rights Management (eine Art firmeninternes DRM), um nur noch sicheren, überwachten und (für sie Firma) transparenten Datenaustausch zuzulassen.

Das eigentliche Problem scheint aber nicht im Bereich der Technik sondern im Umgang mit den Mitarbeitern und der generellen Unternehmenspolitik zu liegen. Und dort ist es allein mit sicherheitstechnischen Maßnahmen auch nicht zu lösen. Verdorbenes Fleisch wird bekanntlich durch Zugabe von Likör auch nicht besser.

Dumm nur, dass sich die „Schadwetware“ in den Flanelletagen der Unternehmen mit Virenscannern und Pen-Tests nicht wirkungsvoll bekämpfen lässt. Obwohl hier z.B. Betriebsräte bei der Mitbestimung im Rahmen der Inbetriebnahme technischer Schutzmaßnahmen durchaus in der Lage wären, auch eine entsprechende Anpassung unternehmenspolitischer Rahmenbedingungen zu fordern und auch durchhzusetzen.

Eine Zusammenfassung der Studienergebnisse kann man sich bei Cyber-Ark kostenlos herunterladen.

Database Attack Detection – Das Kondom für die Unternehmensdatenbank

Datenbanken in Unternehmen sind attraktive Angriffsziele für professionelle Datenräuber. Die in ihnen enthaltenen Informationen lassen sich nicht nur an Wettbewerber verkaufen. Sie sind auch für Phishing und Pharming von Interesse, da man mit genauerer Kenntnis über Unternehmensinterna stark personalisierte Phishing-Mails generieren kann.

Mit konventionellen Schutzansätzen wie Zugriffs- und Rechtekonzepten oder Datenverschlüsselung auf Feldebene kommt man rasch an Grenzen, wenn  z.B. die (relativ hochprivilegiert auf die Daten zugreifende) webbasierte Client-Applikation per SQL-Injection oder Cross-Site-Scripting angegriffen wird. Oder ein Innentäter mit entsprechenden Berechtigungen tätig wird. Klassische Möglichkeiten, eine Datenbank mit systemeigenen Mitteln zu schützen, können vor allem durch Schwachstellen in den Applikationen umgangen werden, welche die Datenbank nutzen.

Auf dieses Problem wies Oliver Karow kürzlich in der Fachzeitschrift „IT-Sicherheit“ (2/2009) sowie bereits 2007 auf Computerworld.ch hin.

Mit Database Attack Detection wird seit einiger Zeit ein neuer und zusätzlicher Schutz für die Unternehmensdatenbanken empfohlen. Oft greifen nur wenige, meist größere Systeme auf die Datenbank zu. Etwa ein CRM-System, das ERP-System und ein SAP-HR-Modul sowie eine Onlineshop-Bestellabwicklung. Die von diesen Applikationen verwendeten SQL-Zugriffe bilden meist nur einen kleinen Teil der Möglichkeiten von SQL ab und sind leicht typisierbar, da sie nur eine begrenzte Anzahl von verschiedenen SQL-Befehlen verwenden.

Jede SQL-Anfrage, die außerhalb dieser Grenzen legitimer und üblicher Anfragen liegt, kann als verdächtig angesehen und weiter geprüft werden. Bei der Database Attack Detection wird daher jeder einzelne SQL-Befehl, der an eine Datenbank geschickt wird, auf potentiell gefährlichen Code hin untersucht. Im Prinzip also ein zusätzlicher unabhängiger SQL-Interpreter, der im SQL-Code nach ungewöhnlichen Codefragmenten sucht. Beispielsweise wenn der Onlineshop als Folge einer SQL-Injection nach Personalstammdaten fragt, was im Verlauf einer regulären Bestellabwicklung nicht vorgesehen ist.

Damit diese Untersuchung in Echtzeit oder Quasi-Echtzeit erfolgen kann, wird eine Kopie sämtlicher Datenanfragen an das Database Attack Detection-System weitergegeben. Dieses nimmt die Unterscheidung zwischen legitimen und bösartigen Anfragen durch Formen des maschinellen Lernens wie Real-World-Training vor und laufende Konditionierung während des Einsatzes vor. Ähnlich wie es z.B. auch Bayes-Filter bei der Spambekämpfung tun.

Tritt ein Alarmfall ein, können dann vorgesehene Gegenmaßnahmen ergriffen werden. Beispielweise eine verzögerte Bearbeitung nachdem ein Systemadministrator die Anfrage geprüft hat. Oder ein Transaktionsabbruch mit oder ohne Fehlermeldung.

So erhalten neben Rechnern (Virenschutz), Netzen (Intrusion Detection / Prevention Systeme), Mailserver (Spamfilter) und Internet-Gateways (Content Filter) jetzt auch Datenbanken ihr spezielles „Datenschutz- und Sicherheitskondom“.