Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.

Buchrezension: Web-Sicherheit – Wie Sie Ihre Anwendungen sicher vor Angriffen schützen

Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen  sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.

Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.

Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.

Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.

Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.

Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.

Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.

Alles in allem ein  sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.

Spielerisch Bewusstsein für IT-Sicherheit schaffen

In Unternehmen führen Maßnahmen zur Verbesserung der IT-Sicherheit häufig dazu, dass Arbeitsabläufe komplizierter, aufwendiger und damit auch teurer werden. Oft nimmt auch die Benutzerfreundlichkeit von Anwendungen ab, weil umständlichere Abläufe implementiert werden müssen. Das bewirkt oftmals Widerstände in der Belegschaft, sorgt für eine eher nachlässige und unvollständige Umsetzung der Sicherheitsmaßnahmen, erzeugt Angriffspunkte für Social-Engineering-Attacken und führt letztlich dazu, dass das Informationssicherheitskonzept der Firma in etwa so wirksam bleibt wie so manches prosaische Unternehmensleitbild.

Üblicherweise versuchen Unternehmen und IT-Sicherheitsbeauftragte dieses Problem durch Awareness-Kampagnen zur Sensibilisierung der Beschäftigten für Fragen der betrieblichen Informationssicherheit anzugehen. Hierfür ließ sich Lafarge Asia (ein Baustoffhersteller) in Zusammenarbeit mit e-Learning-Beratungsfirma IMC etwas Neues einfallen: Rund 8.000 Mitarbeiter erhielten im Rahmen einer Awareness-Trainingsmaßnahme und als besonderes Bonbon ein eigens entworfenes Brettspiel namens „Jungle Game“. Mit dem auf Karten und Würfeln basierenden und völlig analog und offline spielbaren Brettspiel sollen die Spieler Fragen zur Informationssicherheit beantworten und Punkte sammeln können.

Während chinesische Mitarbeiter dabei großen Wert auf schriftliches Informationsmaterial legten, schätzten indische und philippinische Vertreter eher den verbalen Austausch in Gruppendiskussionen während des Spiels. Andere Nationen wiederum akzeptieren beide Unterrichtsformen, müssen aber meistens im Rahmen begleitender Schulungen motiviert werden, ihre Erfahrungen mit anderen zu teilen.

„Wir haben ein mehrstufiges Konzept ausgearbeitet, um alle Beteiligte abzuholen“, erklärt Dr. Kathrin Bergenthal, Director Content Services bei der IMC, dem e-Learning-Anbieter. „In einem halbtägigen Präsenztraining wurde den Lafarge Mitarbeitern der Hintergrund der Kampagne vermittelt, konnten sie das Spiel testen, in einer Gruppenarbeit ausgewählte Sicherheitsaspekte erörtern und die Ergebnisse dann abschließend diskutieren. Auf diese Weise erhielten alle einen Zugang zum Lernziel“.

Besonderes Interesse weckte in diesen Schulungen das bereits erwähnte, im Format DIN A2 gehaltene Brettspiel „Jungle Game“, das zwei bis sechs Personen mit einem Würfel spielen können. Insgesamt 100 Fragen zur IT-Sicherheit sind auf den rund 50 Spielkarten formuliert. Bei richtiger Beantwortung gibt es einen bis fünf Punkte. Sieger ist, wer als erster 20 Punkte gesammelt hat.

Beim Design des Spiels ließen sich die Entwickler der IMC vom für die fernöstliche Region typischen tropischen Dschungel inspirieren: Moskitos und Blutegel stehen für Computerviren und Würmer, Regenwolken stellen den Bezug zum Cloud Computing her, Spinnennetze verdeutlichen Schwächen in IT-Netzwerken und ein Bustrip in den Dschungel thematisiert das „Shoulder Surfing“, das Ausspähen von Bildschirminhalten über die Schulter des Anwenders hinweg.

Analoge Brettspiele stellen dabei einen originellen neuen Zugangsweg zu Inhalten der IT-Sicherheit für Endanwender in den Unternehmen dar. Diesem Instrument dürfte daher künftig bei der Gestaltung von Awareness-Kampagnen zur Informationssicherheit in Organisationen sicherlich noch einige Aufmerksamkeit zukommen.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

IT-Recht 2010 – was demnächst auf Unternehmen zukommt

Die diesjährige CeBit brachte neben Trendthemen wie Green IT, Cloud Computing oder neue mobile Endgeräte auch zahlreiche IT-rechtliche Dinge zutage, die auf die Unternehmen zurollen bzw. diese schon seit einiger Zeit beschäftigen.

Bei rechtlichen Themen geht es im Grunde fast immer darum Interessensgegensätze neu auszutarieren und die Verteilung von Risiken zu regeln. Und genau diese Dinge stehen als Folge treibender Technologie sowie ökonomischer Exzesse der Vergangenheit (Beispiel: die zahlreichen Datenskandale der letzten Jahre in der Wirtschaft) aktuell mal wieder zur Klärung an. Die wichtigsten zehn IT-rechtlichen Baustellen des Jahres dürften sich bei folgenden Fragestellungen finden lassen:

Richtlinien für private Nutzung von Internet und E-Mail
Als Folge neuer Konzepte der Unternehmensführung lösen sich die Grenzen zwischen Arbeit und Freizeit zunehmend auf. Viele Arbeitgeber streben die Entgrenzung zwischen Dienst und Privat bewusst an, um sich zusätzliche Arbeitszeit und Leistungsbereitschaft ihrer Beschäftigten ohne  entsprechende Zeiterfassung und Entgeltpflicht aneignen zu können (Beispiel: indirekte Steuerung mit Vertrauensarbeitszeit). Als Folge dieser Entwicklung wird aber die Erledigung privater Angelegenheiten in der Arbeitszeit immer natürlicher (Fachleute sprechen von sozialaqädatem Verhalten). Zudem werden immer größere Bereiche des Lebens online organisiert (z.B. über soziale Netzwerke). Arbeitnehmer nutzen daher immer selbstverständlicher die betriebliche IT-Infrastruktur auch für private Angelegenheiten.

Dabei stecken in Themen wie der privaten Internet- und E-Mail-Nutzung zahlreiche rechtlich alles andere als triviale Detailfragen. Einerseits kann man vom Arbeitgeber nicht verlangen, dass er sein Eigentum den Beschäftigten zur privaten Nutzung überlässt (umgekehrt geht das schon – z.B. als Dienstfahrten mit dem Privat-PKW und unbezahlte Überstunden). Andererseits darf er auch nicht so ohne weiteres an private Daten heran (und sei es nur zur Systemüberwachung), wenn er die Privatnutzung nicht explizit ausschließt.

Ein Problem ganz eigener Art sind mögliche Imageschäden für die Firma, wenn ein Beschäftigter z.B. bei Hantieren mit Pornografie im Dienst erwischt wird. Zwar ist das Image der meisten Unternehmen in Deutschland längst nicht so prächtig, als dass es ein einzelner Beschäftigter nennenswert beeinträchtigen könnte. Aber z.B. für eine Stadtverwaltung kann es mehr als unangenehme politische Folgen haben, wenn Bürger und Stadträte wissen wollen, warum sowas überhaupt möglich war.

Auslagerung der Verarbeitung personenbezogener Daten (Auftragsdatenverarbeitung)
Die Datenschutzverschärfungen 2009 brachten auch deutliche Nachbesserungen bei der Regulierung der Auftragsdatenverarbeitung mit sich. Unternehmen müssen nun ihre entsprechenden Verträge mit Dienstleistern auf Konformität mit den aktuellen Regelungen des BDSG (insbes. § 11) prüfen. Zudem sind sie verpflichtet, ihre Dienstleister auch regelmäßig zu prüfen, anstatt sich nur auf die Aktenlage zu verlassen.

Datenlecks vermeiden, Publizitätspflicht im Datenschutzgesetz
Geht trotzdem etwas schief und sickern personenbezogene Daten durch Datenlecks, gestohlene Datenträger und Geräte oder gezielte Hackerangriffe nach draußen, wird es unangenehm und teuer für die Unternehmen. Denn sie müssen den Vorfall nicht nur der datenschutzrechtlichen Aufsichtsbehörde melden. Sondern im Falle der schwerwiegenden Beeinträchtigung der Rechte und Interessen der Betroffenen auch publik machen. Notfalls in Form halbseitiger Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen.

Datenschutz nachschärfen, personenbezogene Daten sichern
Das hat zur Folge, dass sämtliche Konzepte und Maßnahmen im Bereich der IT-Sicherheit und des Datenschutzes zu prüfen und ggf. dem aktuellen Stand der Technik anzupassen sind. So ist z.B. sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass zu unterschiedlichen Zwecken erhobene Daten getrennt und ausschließlich zweckbezogen verarbeitet werden können. In der Vergangenheit allzu laxe Handhabung solcher Fragen verbunden mit allgemeiner Investitionsunwilligkeit in der IT führen daher nun zu teilweise beträchtlichem Aufholbedarf in den Unternehmen.

Systematisches Archivieren und Löschen von Dokumenten
Die revisionssichere Langzeitarchivierung ist spätestens mit der GdPdU und der elektronischen Steuerprüfung sowie der stärkeren rechtlichen Überwachung des Einhaltens von handelsrechtlichen Aufbewahrungsfristen in den Unternehmen angekommen. Neu hinzugekommen ist allerdings das Thema e-Discovery, also die Pflicht unternehmensinterne Informationen im Zuge staatsanwaltlicher Ermittlungen im Rahmen von IT-forensischen Beweissicherungspflichten innerhalb kurzer Fristen herausgeben zu müssen. Insbesondere die weit reichenden und oftmals sehr kurzfristig geltend gemachten Offenlegungspflichten gegenüber der US-Justiz konfligieren dabei mit den Datenschutzauflagen der EU oder dem deutschen Datenschutzgesetz. Umgekehrt fordern inzwischen zunehmend Gesetze oder Verfahrensvorschriften auch eine zeitnahe Löschung von nicht mehr erforderlichen Daten. Daher sollten Unternehmen neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Datenbeständen aufstellen und umsetzen.

SLAs und Outsourcing-Verträge an neue Technologieentwicklungen anpassen
Der allfällige technologische Wandel im IT-Bereich sowie sich ausbreitende neue Managementkonzepte machen eine regelmäßige Überprüfung von Outsourcing-Verträgen und SLAs notwendig. Leistungsbeschreibungen, Metriken und Kennzahlen sollten den technischen Besonderheiten neuer Technologien Rechnung tragen. Dabei werden Unterschiede über den Leistungsinhalt von den Beteiligten allerdings oftmals erst nach Vertragsschluss im Tagesgeschäft bemerkt und werden dann zum Konfliktherd. Vertragsinhalte und deren technische Umsetzung müssen daher einerseits detailliert und vollständig, andererseits aber auch mit genügend Flexibilität zur Handhabung beschrieben werden, um Missverständnisse und rechtliche Auseinandersetzungen zu vermeiden.

Risikoverlagerung in IT-Verträgen prüfen
Dabei wird von größeren „Partnern“ gerne mal versucht, den kleineren Partner vertraglich über den Tisch zu ziehen, in dem Risiken unangemessen verteilt und Margen abgeschöpft werden. Im Automobilbau ist dieser Umgang mit Lieferanten seit langem Standard seitens der Konzerne und hat im Krisenjahr 2009 bereits zu zahlreichen Insolvenzen geführt. Umgekehrt zeigen Abmahnbetrug und Abzockerklauseln in Lizenzverträgen, dass das Gaunertum auch in IT-Firmen heimisch ist. Und man daher speziell bei Verträgen zum Cloud Computing oder für Mietsoftware (Software as a Service) sehr genau und mit juristischen Sachverstand ins Kleingedruckte der Outsourcing-Dienstleister sehen sollte.

Lizenzrechtliche Lage, Pflege und Support bei Virtualisierung von Softwareprodukten prüfen
Wer im Unternehmen Applikationen virtualisieren will, stößt rasch auf zwei Probleme. Einerseits den ungeregelten Wildwuchs bei Lizenzbedingungen, in dem Aussagen zur Virtualisierung jedoch meist fehlen und daher nachverhandelt werden müssen, bevor man die Software virtualisiert (davon kann es abhängen, ob sich das Virtualisierungsprojekt wirtschaftlich überhaupt lohnt). Und andererseits die Frage nach Herstellersupport bei Problemen. Viele Softwareanbieter schließen Support für den Betrieb ihrer Produkte in einer virtuellen Umgebung explizit aus, da es ihnen noch an einschlägigen Erfahrungen mangelt oder dem technische Probleme in der Software entgegenstehen. Zumal zielen Virtualisierungsprojekte meist darauf ab, Einsparungen bei Software- und Lizenzkosten durch Mehrfachnutzung und bessere Ressourcenauslastung im Serverpark zu erzeugen. Daran haben Softwarehersteller naturgemäß kaum Interesse.

Cloud-Computing I: Vertragliche Regelungen zu Verfügbarkeitsrisiken prüfen
Insbesondere Mittelständler und neu gegründete Firmen können durch den Einsatz von Cloud Computing rasch skalierbare IT-Infrastruktur beshaffen, ohne größere Investitionen tätigen zu müssen. Allerdings birgt die Anwendung von Cloud Computing rechtliche Risiken ganz eigener Art, da es hier noch keine allgemeinen Leistungsstandards gibt.

Daher ist es entscheidend, dass die Vertragsgrundlagen sorgfältige Beschreibungen aller relevanten Leistungen enthält. Zudem bedeutet der Einsatz von Cloud Computing zur Unterstützung kritische Geschäftsprozesse auch kritische Abhängigkeiten vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung.

Cloud-Computing II: Compliancefragen regeln
Unternehmen können vieles auf Zuarbeiter, Dienstleister und Lieferanten delegieren. Und in vielen Fällen macht das auch Sinn, da erfahrene Experten ihr Geschäft i.A. besser, schneller und fehlerfreier abwickeln können, als ein Unternehmen, das sich nur nebenbei damit befasst, aber eigentlich ganz andere Kernkompetenzen hat. Nicht jeder gute Fliesenleger ist auch ein guter Personaler, Informatiker, Rechtsanwalt und Bilanzexperte.

Allerdings lässt sich die Letztverantwortung nicht wegdelegieren. Bauen die Zulieferer Mist, ist der Auftraggeber geschädigten Dritten gegenüber dafür verantwortlich. Die gesetzliche Verantwortung (Organisationspflicht) bleibt im Rahmen von Sorgfaltspflichten bei der Unternehmensführung (§ 91 II, 93 AktG, § 43 GmbHG), die den Lieferanten ausgewählt, geprüft und für tauglich befunden hat. Nur stur nach dem Preis zu schielen, kann daher übel ausgehen.

Speziell beim Cloud Computing wird man sich bei der Vertragsgestaltung daher auch Gedanken über kundenseitige Prüf- und Überwachungsrechte (Auftragsdatenverarbeitung – s.o.) sowie Geheimhaltungspflichten und die Einhaltung rechtlicher Auflagen (Compliance) machen müssen. Sowie über Haftungsfragen und Schadensersatz im Falle von Problemen bei diesen Themen.

Es gibt also mehr als genug zu tun für die verantwortlichen Entscheider und ihre Stäbe in den Unternehmen. Zumal die meisten genannten Problemfelder Unternehmen jeglicher Größe betreffen. Sich also Mittelständler und Kleinunternehmer nicht zurücklehnen können, in der Annahme, das wäre nur was für Konzerne. Diese Annahme kann in ungünstigen Fälle rasch für Ärger und Kosten in beträchtlichem Umfang sorgen.

Zudem werden bei vielen der genannten Themen auch die Mitbestimmungsrechte von Betriebsräten tangiert, was es ratsam erscheinen lässt, sie frühzeitig in die anstehenden Entscheidungsfindungsprozesse einzubinden.

Sicherheit und Qualität bei wiederverwendbaren Software-Komponenten

Sowohl die Sicherheit als auch die generelle Qualität eines Softwareproduktes können profitieren, wenn bei dessen Entwicklung bereits standardisierte externe Komponenten wieder- und weiterverwendet werden. Und das idealerweise bereits bei der Erstellung der konzeptionellen Architektur des Systems berücksichtigt wird.

Das ist keine wirklich neue Erkenntnis, gewinnt jedoch im Zeitalter von Software as a Service (SaaS), Cloud Computing und serviceorientierten Architekturen (SOA) zunehmend an Bedeutung.

Zu dieser Ansicht kam auch Martin Kuppinger in einem Artikel auf Heise Developer, indem er fünf wesentliche Vorteile für „ausgelagerte“, d.h. letztlich aus standardisierten Bibliotheken oder als Service fremdbezogenen Sicherheitsfunktionen in Softwareprodukten aufzählt.

Zunächst wäre da der Aspekt, dass ausgereifter, bereits vielfach getesteter, wiederholt verwendeter und von zahlreichen Entwicklern peer-reviewter Code für sicherheitsrelevante Funktionen in der Regel auch fehlerärmer ist als selbst entwickelter Code. Was das Risiko von Sicherheitslücken deutlich reduziert. Insbesondere dürfte das für allgemein offengelegten Open-Source-Code reifer OSS-Produkte gelten.

Natürlich reduziert der Einsatz von fertigen Code-Bausteinen auch generell die Gesamtkosten der Entwicklung, was z.B. auch ein intensiveres Qualitätsmanagement (z.B. durch ausführlicheres Testen) eigenentwickelter Produktbestandteile ohne Mehrkosten ermöglichen kann.

Auch die späteren Aufwendungen für Wartung und Betrieb solcher Anwendungen können deutlich niedriger ausfallen, wenn für immer wieder auftauchende Anforderungen wie z.B. das Rechte- und Rollenmanagement oder die Benutzerverwaltung auf allgemeine Standards wie z.B. übergreifende Verzeichnisdienste setzt, anstatt sie für jede Anwendung erneut zu implementieren. Großkunden aus Wirtschaft und Verwaltung fordern das meist ohnehin bereits von vorneherein für ausgeschriebene Entwicklungsaufträge.

Daher lassen sich so oftmals auch zeitliche Aufwände für die Produktabnahme deutlich senken, da standardisierte und externalisierte Sicherheit oftmals leichter und schneller basierend auf bereits vorhandenen Abläufen zu testen ist. Es wird lediglich die korrekte Nutzung der Sicherheit geprüft, nicht aber die (bereits geprüften) externen Sicherheitsdienste an sich.

Letztlich gewinnen auch Compliance-Aspekte und dokumentiertes Risikomanagement als Ausdruck der Erfüllung von kaufmännischen Sorgfaltspflichten zunehmend an Bedeutung. Anwendungen, deren Sicherheit nicht wirklich nachvollziehbar ist, befinden sich mit Blick auf gesetzliche Vorschriften und andere Auflagen zunehmend in einer Grauzone. Selbst codierte und nicht auf etablierten Standards beruhende Sicherheitsfunktionen können ein nicht kalkulierbares Sicherheitsrisiko darstellen.

Dem lässt sich allenfalls entgegnen, dass die konsequente Wieder- und Weiterverwendung sicherheitsrelevanter Produktbestandteile selbst ein Sicherheitsrisiko darstellen kann. Denn darin enthaltene Fehler pflanzen sich über die Weiterverwendung teilweise über Jahre und in viele Produkte und Releases hinweg fort („single point of failure“). Wie man z.B. an etlichen bis heute unbehobenen konzeptionellen Mängeln der TCP/IP-Protokollarchitektur sehen kann.

Es gilt also gerade bei der Entwicklung von Code-Komponenten, die für die Wieder- und Weiterverwendung, als Bibliotheksbestandteil, Plattformkomponente oder als Service-Modul vorgesehen sind, bzgl. des Qualitätsmanagements die strengsten Maßstäbe des aktuellen Standes der Technik anzulegen. Und dies für Kunden und Abnehmer deutlich herauszustellen und prüfbar zu dokumentieren.

IT-Sicherheit in Unternehmen durch Cloud-Computing verbessern

Cloud Computing, also das Auslagern von IT-Dienstleistungen auf Provider und Rechenzentren, kann aus der Perspektive des Datenschutzes eine recht heikle Angelegenheit werden. Denn die rechtliche Verantwortlichkeit für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken können nicht mit in die Cloud wegdelegiert werden.

Andererseits kann Cloud Computing gerade kleineren und mittelständischen Unternehmen dabei helfen, professionelle Abläufe im IT-Betrieb sowie hohe Standards bei IT-Sicherheit und Datenschutz einzukaufen anstatt sie selbst erst aufbauen zu müssen.

Zu diesem Schluss kommt eine Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die kürzlich veröffentlicht wurde (PDF, 2 MB). „Die Weitergabe der eigenen Daten in fremde Hände bedeutet für Unternehmen natürlich ein Risiko. Neben offensichtlichen Gefahren wie Datenschutz-Intransparenz, Datenverlust und unvollständiger Datenlöschung kann die fehlende Kompatibilität von Lösungen zu Problemen bei der Migration zu einem anderen Anbieter führen“, erläutert ENISA-Researcher Daniele Catteddu. Daher rät man den am Cloud Computing interessierten Unternehmen, sich in Frage kommende Anbieter genau anzusehen. Dafür sollte im Unternehmen eine geschäftsspezifische Risikoanalyse gemacht werden, wozu die ENISA in ihrer Untersuchung konkrete Handlungsanleitungen gibt.

Besonders attraktiv ist Cloud Computing dabei für neu gegründete Unternehmen, deren Alternative ansonsten darin bestünde, ihre IT auf der grünen Wiese komplett neu aufzubauen. Schließlich lassen sich viele Cloud-Leistungen modular buchen, kurzfristig erweitern und nutzungsabhängig abrechnen.

Auch der Netzwerksicherheitsdienstleister RSA kam zu der Erkenntnis, dass Cloud Computing das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in KMU deutlich steigern kann. In der November-Ausgabe des „RSA Security Brief“ ist ein Leitfaden enthalten, worauf ein Unternehmen technisch, rechtlich und organisatorisch bei der Auswahl eines Cloud-Dienstleisters sowie der Einführung von Cloud Computing achten sollte. Und mit welchen technischen Ansätzen sich wertvolle Unternehmensdaten schützen und rechtliche Datenschutzanforderungen erfüllen lassen.

Wohin verschwinden gelöschte Dateien?

Viele PC-Nutzer glauben, dass Dateien, die sie löschen dadurch tatsächlich vernichtet werden. Dem ist nicht so. Zum einen haben die meisten Betriebssysteme eine Sicherung gegen unabsichtliches Löschen eingebaut: Das Papierkorb-Verzeichnis, in das gelöschte  Dateien hinein verschoben werden. Und aus dem man sie – wie bei einem echten Mülleimer – wieder herausziehen kann. Aber auch das „Leeren“ des Papierkorbes führt nicht zur tatsächlichen Löschung der Dateien. Der Rechner markiert die durch die Dateien belegten Speicherbereiche seiner Festplatte lediglich als „frei verfügbar“. Früher oder später werden darauf neue Daten gespeichert, so dass dadurch die zuvor dort gespeicherten Daten überschrieben werden. Erst dann sind sie tatsächlich weg. Je nach Nutzungsintensität der Festplatte und der dort noch vorhandenen Speicherkapazität kann das Sekunden oder Monate bis Jahre dauern.

Wer wissen will, was sich auf seinem Rechner noch an bereits gelöschten aber wiederherstellbaren Daten befindet, kann mit Tools wie Piriform‘s kostenlosem Recuva nachschauen. Und die Datenreste auf Wunsch auch gleich endgültig beseitigen oder aber wiederherstellen lassen.

Zumindest für Dateien gibt es durchaus ein „Leben nach dem Tod“. Es sei denn, sie werden gleich „sicher gelöscht“, d.h. der von ihnen belegte Plattenplatz wird erst mit anderen Daten überschrieben und anschließend als „frei“ gekennzeichnet. Auch dafür gibt es Tools, wie z.B. das Programm Crap Cleaner. Es ist eine Art “Datenmüllabfuhr”, die den Rechner auf dem es installiert ist, von datentechnischen Gebrauchsspuren säubert und in der man auch sichere Löschverfahren einstellen kann.

Heute haben viele Nutzer aber Daten nicht nur auf ihrem eigenen Rechner sondern auch „in der Cloud“, d.h. bei Internetdiensten wie Facebook, XING oder Twitter. Und hier werden die Dinge jetzt kompliziert. Denn das Internet vergisst grundsätzlich erst mal nichts. Fast alles wird irgendwo gespiegelt, zwischengespeichert oder in Archiven und Backup-Systemen vorgehalten. Je länger es im Netz steht, desto wahrscheinlicher ist das. So werden z.B. meine Artikel in diesem Blog oftmals bereits nach wenigen Stunden von Suchmaschinen erfasst, wodurch sie meist auch in deren Cache landen.

In den meisten sozialen Netzwerken kann man eigene Daten zwar löschen. Aber es ist dadurch nicht sichergestellt, dass sie tatsächlich weg sind. Hochverfügbar laufende IT-Systeme haben meist mehrere Backups und identisch konfigurierte und mit aktuellen Datenbeständen versehene Ersatzsysteme, um bei Sabotage oder Plattencrash zügig darauf umschalten und weiterlaufen zu können. Und oft genug enthält das Kleingedruckte in den Nutzungsverträgen mit den Plattformbetreibern Klauseln, wonach man ihnen Verwertungsrechte an den persönlichen Daten einräumt. Was sie dazu veranlassen kann, diese dafür vor endgültiger Löschung zu sichern.

So warf kürzlich der Security-Newsletter von TrendMicro die durchaus berechtigte Frage auf:  „When You Delete Your Social Media and Smartphone Files — Are They Really Deleted?“ Um im Weiteren auf die grundsätzliche Problematik der Kontrolle und Verfügung über Daten auf ausgelagerten IT-Systemen zu verweisen. Ein Thema, dass nicht nur Rechenzentren in Konzernen sondern zunehmend auch Privatnutzer mit ihren Mobilgeräten und Web 2.0-Accounts betrifft. So sieht z.B. der Prototyp von Googles Netbook-Betriebssystem Chrome OS ein fast ausschließlich webbasiertes Arbeiten mit dem Rechner vor, so das praktische alles – Programme, Daten, Dienste – aus dem Internet bezogen wird.

As more consumer data moves onto cloud computing platforms like Gmail and Facebook, and closed platforms like Kindle and iPhone, deleting your data—whether old email messages, college photos on Flickr or personal posts on Facebook—becomes more complicated. In fact, you have to trust that these companies will delete your data when you ask them to. Unfortunately, many of these sites are more likely to make your data inaccessible than actually delete it. And even if you do manage to delete your files, copies are almost certain to remain in the companies’ backup systems.

Als Lösung dafür wird auf die Idee von Dateien mit zeitlich begrenzter Lebensdauer und anschließender Selbstzerstörung hingewiesen. Eine Idee, die im Zuge des Vanish-Projektes an der University of Washington entstand und bereits als quelloffene Referenzimplementierung vorliegt. Allerdings haben auch Konzepte wie „Vanish“ ihre Nachteile, so dass eine endgültige Lösung für das Problem noch aussteht.

Während man das Dasein von gelöschten Dateien auf dem meisten Rechner also durchaus selbst endgültig beenden kann, erlangen ins Internet verlagerte Daten gewissermaßen eine Art „ewiges Leben“.

Konfliktfeld Datenschutz und Cloud Computing

Cloud Computing ist nicht nur ein neuer IT-Trend. Sondern eine für viele Firmen sehr interessante Sache. Denn mit Hilfe der bedarfsgerecht ausgelagerten und zugekaufen Rechenkapazitäten oder Softwareprodukte lassen sich rasch IT-Kapazitäten aufbauen, ohne eigene Infrastrukturen betreiben und eigenes Personal beschäftigen müssen.

Dummerweise lassen sich die Verantwortung für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken nicht mit in die Cloud wegdelegieren. Schon eine – an sich harmlose – datenschutzrechtliche Auskunftsanfrage kann ein Unternehmen ins Schleudern bringen, wenn es nicht weiß, was genau von wem und wo in der Cloud mit den Daten gemacht wird. Verträge und Vereinbarungen sind da nur begrenzt hilfreich. Sie müssen auch eingehalten und die Einhaltung geprüft und dokumentiert werden. Beispielsweise durch das Monitoring von Kennzahlen und SLA’s mit Hilfe von eigenen Servicemanagern.

Gernot Keckeis, Director Identity & Security Management bei Novell gab hierzu kürzlich dem Compliance-Magazin ein Interview:

„Wenn die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU stattfindet, ist dies laut dem deutschen Datenschutzrecht nicht zulässig. Das geht aus dem aktuellen Jahresbericht des Berliner Datenschutzbeauftragten Alexander Dix hervor. Diese Feststellung ist erschreckend. Im Grunde bedeutet das nämlich, dass sich über kurz oder lang länderspezifische Datenmonopole bilden werden. Das ist nicht nur politisch gefährlich. Vor allem vergrößert sich dadurch die Angriffsfläche von professionellen Hackern, die dann gezielt einzelne Länder anvisieren können.“

Er fürchtet demnach eine (datenschutz)rechtliche Territorialisierung der an sich grenzenlosen Cloud (in der es ja gerade nicht wichtig sein soll, wo und durch wen etwas stattfindet), was für die Unternehmen administrativen Mehraufwand bedeuten könnte. Die Alternative des globalen „race to the bottom“, also eines Wettlaufs um die weltweit niedrigsten Datenschutzstandards ist allerdings mehr als abzulehnen.

„Natürlich haben viele Unternehmen Sicherheitsbedenken, wenn es um Cloud Computing geht. Diese Sorgen sind berechtigt, wenn in Unternehmen keine zusätzlichen Sicherheitsmaßnahmen ergriffen werden. Besonders wenn es um den Schutz von sensiblen Daten geht, ist es unumgänglich zu wissen, wo diese gespeichert werden und wer darauf zugreifen kann. Obwohl dies natürlich keine unbekannten Herausforderungen für IT-Manager sind, rückt die Cloud sie doch noch stärker ins Bewusstsein. Die Verantwortlichen erkennen, dass ihre IT nur als Einheit funktioniert und deshalb auch einheitliche Sicherheits-Policies erfordert“.

Das bedeutet allerdings beträchtliche Investitionen in das IT-Themenfeld Governance, Risk & Compliance (GRC) sowie in Fragen der IT-Sicherheit, des Datenschutzes und der Softwarequalität.

Dazu führt Keckeis weiter aus:

„Bevor IT-Manager sich auf das Erlebnis Cloud Computing einlassen, sollten sie ein detailliertes Risk Assessment durchführen, um sämtliche Probleme und Risiken, die mit der Sicherheit ihrer Daten einhergehen, zu verstehen. Wichtig sind hier vor allem Identitäts- und Access-Management-Lösungen. Wir haben beispielsweise eine Technologie entwickelt, mit der Unternehmen einen Teil der Cloud temporär annektieren und diesen unter Einhaltung der gleichen Sicherheitskontrollen wie denen im eigenen Rechenzentrum nutzen können“.

„Lösungen wie diese sind notwendig. Einerseits, um Datenschützer zu überzeugen und andererseits, um eine länderspezifische Diskriminierung vorzubeugen, die ansonsten in einer geballte Ansiedlung von Cloud-Providern in einzelnen, wenigen Ländern mündet. Sowohl die Anbieter als auch die Nutzer der Wolke müssen verantwortungsvoll handeln, um das Prinzip der freien Cloud nicht schon im Keim zu ersticken“.

Es geht also letztlich darum, das Gleichgewicht zwischen Globalisierung der Unternehmen sowie lokalen Bedürfnissen nach Schutz und Sicherheit vor Datenklau und Wirtschaftswillkür zu finden. Keine einfache Angelegenheit.