FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.

Der Streit um die Facebook-Buttons

Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.

Wie genau funktioniert das?

Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.

Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.

Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.

Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.

Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.

Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.

Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.

Zensus 2011 – gehen der Volkszählung die Volkszähler aus?

Die Planungen für die erste große Volkszählung in Deutschland seit dem Jahrtausendwechsel laufen in den damit befassten Kommunen auf Hochtouren. Zunehmend wird jedoch ein Problem immer deutlicher: Der Mangel an Volkszählern, die im Zensusgesetz auch „Erhebungsbeauftragte“ genannt werden. Die Planungen gehen von etwa 100 Befragungen aus, die ein solcher Erhebungsbeauftragte durchführen soll. Bei einer geplanten Erhebungsquote von 10% benötigt man bundesweit somit etwa 82.000 Freiwillige. Allein in der Landeshauptstadt München mit ihren etwa 1,4 Millionen Einwohnern hätte die Stadtverwaltung etwa 1.400 Volkszähler aufzutreiben. Da sich bislang nur etwa 150 Freiwillige dazu bereitfanden, beschloss der Stadtrat kürzlich vermehrt Beschäftigte der Stadtverwaltung dafür zu verpflichten und ihnen einen Teil der erforderlichen Zeit als Arbeitszeit anzurechnen, wie man dem öffentlichen Ratsinformationssystem des Münchner Stadtrats entnehmen kann.

Sollten die Deutschen den Zensus etwa ebenso wegboykottieren wollen, wie derzeit die E10-Einführung?

Das Zensusgesetz stellt in § 11 einige Anforderungen an die Erhebungsbeauftragten. Ebenso das Bundesstatistikgesetz in § 14. Sie müssen eine Verpflichtung auf das Daten- und Statistikgeheimnis unterschreiben, dürfen ggf. gewonnene Informationen nicht für andere Zwecke als den Zensus verwenden und dürfen aus Datenschutzgründen nicht in der unmittelbaren Nähe ihrer Wohnung eingesetzt werden. Menschen deren (neben)berufliche Tätigkeit Interessenskonflikte vermuten lässt (z.B. GEZ-Beauftragte, Struktur- und Finanzvertriebler aber auch Beschäftigte der Leistungsabteilungen diverser Sozialbehörden), dürfen nicht als Volkszähler eingesetzt werden.

Was also werden die Verwaltungen tun, wenn sie nicht genügend Volkszähler finden? Grundsätzlich könnten sie Personen auch gegen deren Willen zwangsweise zum Zählen verpflichten. Das Zensusgesetz sieht im bereits erwähnten § 11 eine Möglichkeit der Verpflichtung weiterer Bürger und Bürgerinnen zur Übernahme der Tätigkeit als Erhebungsbeauftragte durch Landesrecht vor. Doch können Zwangsdienstverpflichtete tatsächlich den Anforderungen hinsichtlich Zuverlässigkeit und Verschwiegenheit genügen? Und was wenn sie sich schlicht weigern, die erforderlichen Datenschutzverpflichtungen zu unterschreiben? Werden diese dann durch (grundsätzlich rechtsmittelfähige) Verwaltungsverfügungen ersetzt analog zu den sog. „Eingliederungsvereinbarungen“ der Arbeitsagenturen?

Und was wenn zwangsverpflichtete, dem Zensus eher kritisch gegenüberstehende Zeitgenossen ihr Dasein als Volkszähler dazu nutzen, die Befragten in politische Gespräche über Sinn und Unsinn von Vorratsdatenspeicherung, Schnüffelstaat, Elena, Bürgerrechtsabbau zu verwickeln? Sowie Tipps geben, was dagegen getan werden kann. Oder ihr Zählpensum schlicht nicht schaffen sondern nach genau so vielen Interviews abbrechen, wie sie mit ihrer Freistellung eben hinbekommen? Falls sie nicht vorher krankheitsbedingt ausfallen und ihr Zählpensum vom jemand anders übernommen werden muss, um termingerecht zu einem Ergebnis kommen zu können.

Vielleicht sollte man in der Öffentlichkeitsarbeit zum Zensus auch die Aufwandsentschädigungen (einige Euro pro Interview) deutlicher herausstellen und gezielt Langzeitarbeitslose und Leute in Beschäftigungsmaßnahmen ansprechen.

Interessante Fragestellungen – zumal die Probleme ja oft in den rechtlichen Details stecken und der Teufel oftmals ein Eichhörnchen ist …

Zensus 2011 – die nächste große Volkszählung rollt an

In den kommenden Wochen wird etwas geschehen, dass es in Deutschland seit 1987 nicht mehr gab: Volkszählungsbeauftragte werden mit Fragebögen ausschwärmen, um im Rahmen einer „Zensus 2011“ genannten Volkszählung per Fragebogen und Interview Daten zu sammeln.

Mit dem der Volkszählung zugrunde liegenden Zensusgesetz wird die EG-Verordnung 763/2008 in deutsches Recht umgesetzt. In ihr verpflichteten sich die EU-Mitgliedsstaaten, in regelmäßigen Abständen Volkszählungen durchzuführen und dabei bestimmte Daten an das Statistische Amt der Europäischen Union (EuroStat) zu übermitteln.

Die letzte große Volkszählung (geplant für 1983, verzögert durch Verfassungsklagen letztlich bis 1987) führte zu enormen zivilgesellschaftlichem Protest und endete letztlich von dem Bundesverfassungsgericht, dass den Staat in seine Schranken wies und das Recht auf informationelle Selbstbestimmung als Ausprägung des Art 2 GG ausformulierte.

Grundsätzlich sind Volkszählungen eine gute und in gewissen Abständen auch notwendige Angelegenheit. Sie dienen dazu Entscheidungen in Politik und Verwaltung mit Daten und Fakten zu untermauern. So sind z.B. gerade im kommunalen Bereich Entscheidungen über den Ausbau von Infrastrukturen, die Priorisierung knapper Mittel oder die Gestaltung von Bebauungsplänen davon abhängig, über relativ aktuelle Zahlen bzgl. Größe und demografischer Verteilung der Bevölkerung zu verfügen.

Aus diesem Grund wird auch seit 1957 jährlich eine „kleine Volkszählung“, der sog. Mikrozensus durchgeführt, bei der etwa 1% der Bevölkerung nach dem Zufallsprinzip ausgewählt und befragt wird.

Allerdings verfügte der Staat zu keiner Zeit über so viele und so genaue Informationen (sowie die Möglichkeiten zu deren Verarbeitung) wie heute. Die Qualität politischer Entscheidungsfindung wurde dadurch jedoch gerade nicht verbessert. Auch weiterhin sind politische Entscheidungsprozesse oftmals von Beratungsresistenz, dem Ignorieren gegebener Fakten, der Fehlinterpretation bzw. dem parteipolitisch / ideologisch motivierten Hinbiegen von Sachverhalten sowie ganz allgemein von Dummheit, Faulheit und Ignoranz den Betroffenen gegenüber geprägt. Ein Mehr an Informationen führt bei gleichbleibenden politischen Strukturen und Personalien also nicht zu Verbesserungen. Politische Problemherde wie das Zugangserschwernisgesetz, Stuttgart 21 oder das E10-Desaster belegen das in erschreckender Regelmäßigkeit.

Umgekehrt können Volkszählungen, die zu sehr umfangreichen Datenbeständen führen, auch Tür und Tor für Missbräuche aller Art führen. Denn nur solche Datenbestände, die überhaupt entstanden sind, können abhandenkommen oder gegen die Interessen der Betroffenen verwendet werden. Insbesondere Daten, das persönliche Leben der Gezählten, deren ethnische / sexuelle / politische / gesundheitliche / finanzielle / religiöse / weltanschauliche Orientierung betreffend, sind da als heikel zu betrachten. Nicht umsonst sieht das Bundesdatenschutzgesetz dafür im § 3a die Prinzipien der Datensparsamkeit und der Datenvermeidung vor. Und deklariert im § 3 Abs. 9 Informationen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ von Menschen als besonders schützenswert.

Es darf durchaus bezweifelt werden, dass die so zusammengetragenen Datenbestände vor Hacker-Angriffen, Diebstahl, Missbrauch und Datenverarbeitungsfehlern hinreichend geschützt werden können. Insbesondere da ja z.B. gerade die deutsche Regierung mit Plänen wie Elena, dem Beschäftigtendatenschutzgesetz oder den Plänen zur Vorratsdatenspeicherung eine fast schon kriminell zu nennende Leichtsinnigkeit bei solchen Fragen an den Tag legt.

Als die Nationalsozialisten mit gezielten Deportationen jüdischer Mitbürger begannen, profitierten sie davon, dass sie aufgrund ihrer gründlichen Volkszählungen und einer gut funktionierenden Verwaltung über ein für damalige Verhältnisse sehr gut gepflegtes Personenstandsregister und zahlreiche andere (damals noch analoge) Vorratsdatenspeichertöpfe wie z.B. das Arbeitsbuch, das Gesundheitsstammbuch, eine Meldepflicht, die Volkskartei sowie Personenkennziffern verfügten.

Im Gegensatz zur Volkszählung 1987 hat der Zensus 2011 bisher kaum mediale Beachtung gefunden. Was auch daran liegt, dass er relativ aufwandsarm organisiert wurde. Nur ca. 10% der Bevölkerung werden tatsächlich einen „Erhebungsbeauftragten“ zu sehen bekommen. Allerdings ist für bestimmte Personengruppen, an denen der Staat ein besonderes Interesse hat, eine Vollerhebung geplant. Dazu zählen u.a. Immobilieneigentümer sowie Bewohner sog. „sensibler Sonderbereiche“ wie Notunterkünfte, Flüchtlingslager, psychiatrischer Kliniken sowie Gefängnisse. In diesen Sonderbereichen sollen die Daten jedoch nicht von deren Bewohnern sondern stellvertretend von der Anstalts- bzw. Lagerleitung erhoben werden.

Wer vorab einen Blick in die Fragebögen werfen will, kann dies hier tun.

Sehr viele Informationen werden statt durch Direkterhebung aus diversen, bei Behörden geführten Datenquellen, wie etwa dem Einwohnermelderegister, dem Anschriften- und Gebäuderegister oder den Daten der Arbeitsagenturen abgezogen. Das ist streng genommen illegal, da diese Daten zum Zeitpunkt ihrer Erfassung ja mit einem datenschutzrechtlichen Zweckbezug belegt wurden. Daher hat sich der Gesetzgeber in Form des Zensusvorbereitungsgesetztes (ZensVorbG) eine Rechtsgrundlage als Erlaubnis geschaffen, die es ihm ermöglicht, diese Daten zweckzuentfremden.

Dies ist auch einer der Hauptkritikpunkte der Zensusgegner wie z.B. dem Arbeitskreis Vorratsdatenspeicherung. Denn wenn sich der Staat einmal einen Persilschein für den Datenzugriff ausstellt, kann er es jederzeit wieder tun. Daneben sehen sie etliche Detailfragen als ungeklärt bzw. kritikwürdig an.

Zumal auch Gruppen am Zensus 2011 ein Interesse haben, an welche die statistischen Ämter überhaupt nicht gedacht hatten. So empfahlen z.B. einige NPD-Landesverbände engagierten Mitgliedern, sich als Freiwillige für das Volkszählen zu melden. Denn dabei könnte man im Rahmen der Interviews so einiges über die Mitmenschen erfahren, was sich auch für die Parteiarbeit vor Ort verwenden lässt. Auch für andere Gruppierungen wie z.B. Scientology, Strukturvertriebe oder Trickbetrüger ist der Zugang zum Bürger per Zensus eine überlegenswerte Sache – Social Engineering von Staats wegen sozusagen. Zumal die Kommunen, welche die Volksbefragung durchführen, den persönlichen Hintergrund der Freiwilligen nicht näher hinterfragen oder prüfen.

Während die Befragten zwar verpflichtet sind, am Zensus teilzunehmen, müssen sie den Interviewern keine Fragen beantworten und diese auch nicht in ihre Wohnung lassen. Man kann sich stattdessen auch die Fragebögen aushändigen lassen und den Interviewer weiterziehen lassen.

Allerdings können die Erhebungsbeauftragten schon von sich aus den Wert der erhobenen Daten deutlich schmälern. Den sie dürfen beim Nichtantreffen der zu Befragenden auch Familienangehörige, Minderjährige und Nachbarn befragen. Von den Volkszählern dürfen auch Informationen erfasst werden, die z.B. über die Wohnung von außerhalb aus in Erfahrung zu bringen sind. Da können schon mal Dichtung und Wahrheit durcheinanderkommen.

Trotz der grundsätzlichen Sinns, den ich in Volkszählungen erkennen kann, verbleibt eine gute Portion Skepsis, da ich der Politik fast jeden Unsinn zutraue und sie bereits etliche Male grundsätzlich sinnvolle Dinge nach allen Regeln der Kunst gegen die Wand gefahren hat.

Das scheint auch dem Gesetzgeber bewusst gewesen zu sein, weswegen er auch einen Auskunftszwang sowie ein Bußgeld von bis zu 5.000 € (§ 23 BStatG) bei dessen Verweigerung vorgesehen hat. Er traut dem Volke anscheinend ebenso wenig wie umgekehrt.

Sicherheit in sozialen Netzwerken fördern – Das Social Network Security Portal

Soziale Netzwerke haben sich in den letzten Jahren zunehmend zu einem Massenphänomen entwickelt. Ihre Nutzerzahl sowie das in ihnen gelagerte und täglich neu hinzukommende Datenvolumen wachsen nahezu exponentiell. Menschen nutzen solche Dienste zunehmend, um damit ihr Leben zu organisieren, sich zu unterhalten, sich mit anderen auszutauschen oder gemeinsame Projekte zu planen.

Die so entstehenden Datenbestände sind nicht nur für die Betreiber dieser Systeme von  Interesse sondern auch für Dritte. Firmeninterna lassen sich so zusammenrecherchieren, die Abwerbung von Schlüsselpersonal vorbereiten, die Hobbys von Bewerbern und Geschäftspartnern ausspähen. Fälle von Cyberstalking, Cybermobbing oder sexueller Belästigung sind nicht nur aktenkundig sondern füllen bereits etliche Regalmeter in den Lagern der Ermittlungsbehörden.

Es „menschelt“ eben überall, wo Menschen einander begegnen.

Kürzlich riefen daher einige IT-Sicherheitsexperten die Seite socialnetworksecurity.org ins Leben. Sie wollen damit auf Sicherheitslücken in sozialen Netzwerken hinweisen und so Druck auf deren Betreiber ausüben. Bislang listen sie bereits 46 entdeckte Schwachstellen in 28 Netzwerkplattformen auf und weisen auch darauf hin, was bereits behoben wurde und was noch nicht.

Zudem gibt es Sicherheitstipps für Nutzer und Betreiber sozialer Netzwerke.

Es sind meist diese Sicherheitslücken und Schwachstellen, durch die Daten abfließen können. Dabei sind grundsätzlich zwei Arten von Lücken möglich.

Unzureichend, unüberlegt oder falsch gesetzte Einstellungen der Benutzer zum Schutz ihrer Daten.
Dagegen anzugehen erfordert entsprechende Handhabungskenntnisse der Nutzer sowie deren wohlüberlegte Nutzung auf den jeweiligen Plattformen. Aber auch Einstellmöglichkeiten, die sowohl übersichtlich und selbsterklärend als auch ausreichend und sicher sind. So hat z.B. Facebook mit seinen über den ganzen Account verteilten Einstelloptionen hat da noch viel Verbesserungspotential.

Schwachstellen, technische Defekte und Qualitätsmängel der Systemplattformen.
Soziale Netzwerke sind im Grunde genommen nichts anderes als webbasierte Server-Applikationen, die ihre Daten in Datenbanken ablegen. Sie lassen sich mit den gleichen Methoden angreifen wie Webanwendungen und Webserver generell. Beliebte Angriffsformen sind dabei immer wieder Code-Injection, Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF).

Nutzer und Hacker können entdeckte Schwachstellen an die Betreiber von socialnetworksecurity.org (anonym wenn gewünscht) melden. Diese nehmen aber nur solche Schwachstellen an, für die ihnen
präzise Beschreibungen oder andere Nachweisformen des tatsächlichen und reproduzierbaren Bestehens mitgeschickt werden.

Allerdings haben sich Schwachstellen mittlerweile zu einem Wirtschaftsfaktor entwickelt, wie z.B. die ct‘ zuletzt in der Ausgabe 5/2011 unter dem Titel „Das Geschäft mit den Bugs“ berichtete. Man kann sie legal an Firmen wie Zero Day Initiative (ZDI) oder iDefense Security Intelligence Services verkaufen. Diese betreiben kostenpflichtige Informationsdienste für Softwareanbieter, in denen sie diese Schwachstellen z.T. mit ausführlichen Hinweisen zur Eindämmung darstellen. Andererseits werden gerade für „frische“ Schwachstellen (Zero Day Exploits) in verbreiteten Softwareprodukten und Systemen durchaus 5-6stellige Beträge auf Hackerschwarzmärkten im Cyber-Untergrund bezahlt.

Es bleibt abzuwarten, in wie weit Projekte wie socialnetworksecurity.org für mehr Sicherheitsbewusstsein bei den Entwicklern und Betreibern sozialer Netzwerke zu sorgen vermögen. Bzw. wo dies der Schwarzmarkthandel mit Exploits tun wird.

Das Arbeitnehmerdatennutzgesetz

Vor zwei Tagen nahm ich an einer Vortragsveranstaltung zum Thema Arbeitnehmerdatenschutz im DGB-Haus in München teil. Unter dem Motto „ArbeitnehmerDATENSCHUTZ – geht anders!“ stellte Rechtsanwalt Rüdiger Helm die rechtlichen Details des aktuellen Gesetzesentwurfs der Regierung zum Arbeitnehmerdatenschutz vor. Bereits in den letzten Monaten war dieser Entwurf Gegenstand zahlreicher Artikel in der informationstechnischen und rechtlichen Fachpresse und wurde mal mehr, mal weniger kritisch interpretiert. Auch der DGB ließ seine Rechtsabteilung in einer Form Stellung nehmen, die sich am ehesten als juristisch fundierter Totalverriss des Vorhabens zusammenfassen lässt.

Die wohl positivste Aussage, die man über den Gesetzesentwurf machen kann, besteht darin, dass aktuell datenschutzrelevante Themen wie Biometrie, Geoinformations- und Ortungsdienste, soziale Netzwerke, Videoüberwachung oder medizinische Tests an Arbeitnehmern überhaupt mal zum Gegenstand gesetzlicher Regelungen werden. Statt wie bisher in einer datenschutzrechtlichen Grauzone betrieben zu werden.

Bereits seit mehreren Legislaturperioden beinhaltete jeder Koalitionsvertrag auch eine Absichtserklärung zum Thema Arbeitnehmerdatenschutz. Und so findet man auch im Koalitionsvertrag der aktuellen CDU/CDSU/FDP-Regierung auf S. 106 diesen Absatz:

Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.

Inhaltlich ist das geplante Arbeitnehmerdatenschutzgesetz jedoch zum wirtschaftsliberalen Arbeitnehmerdatennutzgesetz geworden, dass deshalb auch bezeichnenderweise mit „Der Arbeitgeber darf …“ eingeleitet wird. Es ersetzt den bisherigen § 32 im BDSG durch eine neue Formulierung mit zwölf Unterabschnitten sowie Einzelanpassungen in einigen anderen Gesetzen.

Das grundlegende Problem mit dem jede Form von Regelung zum Thema Daten im Arbeitsverhältnis umzugehen hat, ist das potentielle Misstrauen der Arbeitnehmer und Arbeitgeber einander gegenüber zu Beginn des potentiellen Arbeitsverhältnisses. Fehlendes Vertrauen soll durch Offenlegung bestimmter Informationen vor dem Eingehen eines Arbeitsverhältnisses ersetzt werden – das Geschäftsmodell der Wirtschaftsauskunfteien.  Dabei besteht jedoch ein beträchtliches Machtungleichgewicht. Während ein Bewerber bis kurz vor Abschluss des Arbeitsvertrages oft nicht mal über Elementarien wie Gehalt, Zusatzleistungen, Arbeitszeit, Urlaubsanspruch, Tarifbindung, Arbeitsumfeld, Chef und Kollegen, versprochene und tatsächliche Entwicklungschancen verbindlich aufgeklärt wird, hätten Unternehmen und Personaler gerne eine Offenlegung sämtlicher Details des Vorlebens aller Bewerber in einem Umfang, von der sonst Geheimdienste träumen.

Doch beginnen wir mit den fragwürdigen „Highlights“ des Gesetzesentwurfs:

§32c räumt dem Arbeitgeber erstmals ein Recht auf Nutzung von Daten zur Leistungs- und Verhaltenskontrolle ein. Er wird ergänzt durch § 32i, der stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrollen anhand von Telekommunikationsdaten ermöglicht. Damit könnten sämtliche Betriebsvereinbarungen zum Thema betriebliche IT-Systeme, die entsprechende Ausschlussklauseln enthalten, demnächst zur Diskussion gestellt werden. Die Wertigkeit des § 87.6 BetrVG, auf den sich Betriebsräte diesbezüglich meist stützen und mit dem sich eine Leistungs- und Verhaltenskontrolle praktisch ausschließen lässt, dürfte deutlich abnehmen. Damit wird ein Eckpfeiler der betrieblichen Mitbestimmung in Frage gestellt.

§32d räumt den Unternehmen eine Recht zur Massendatenverarbeitung zum Zwecke der „Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen“ ein. Mit ihm werden die diversen Datenskandale der letzten Jahre künftig legalisiert.  Gleichzeitig erhalten private Unternehmen so Befugnisse, die derzeit Ermittlungsbehörden und Staatsanwaltschaften vorbehalten sind. Ein besonderes Augenmerk hat dabei der Begriff der „schwerwiegenden Pflichtverletzung“ verdient. Er taucht häufiger im Gesetzestext auf und bedeutet mangels Inhalt das, was Arbeitgeber und Rechtsprechung im Laufe der Zeit daraus machen werden. Der Rechtsprechung zu Bagatellkündigungen kann man entnehmen, dass bereits der Verzehr von zum Wegwerfen bestimmten Nahrungsmitteln des Arbeitgebers eine solche „schwerwiegenden Pflichtverletzung“ darstellen kann.

Überhaupt ist der ganze Text gespickt mit unbestimmten Rechtsbegriffen wie „berechtigten“ oder „schutzwürdigen“ Interessen, „zulässigen“, „erforderlichen“, „geeigneten“ oder „verhältnismäßigen“ Dingen, „betrieblichen Gründen“, „tatsächlichen Anhaltspunkten“ sowie den bereits erwähnten „schwerwiegenden Pflichtverletzungen“. Das liest sich fluffig und sagt so gut wie nichts aus. Im Zweifel ist es somit den Entscheidern in den Unternehmen, ihren Rechtsabteilungen und Anwälten sowie den Gerichten überlassen, konkretere Bedeutungen in den Text hineinzulesen und herauszuurteilen. Eine Sprache, die an die Auswirkungen ausgiebigen THC-Konsums erinnert.

Auch in den weiteren Paragraphen lassen sich ähnliche Dinge finden, so z.B. die Pflicht für Beschäftigte an ärztlichen Untersuchungen und Eignungstests teilzunehmen (§ 32c) oder der erlaubte Einsatz von Ortungssystemen zur Koordinierung des Einsatzes der Beschäftigten (§ 32g).

Regierungen hatten in der Vergangenheit im Bereich des öffentlichen Rechts, welches die Beziehungen zwischen Staat und Bürger regelt, bereits häufiger versucht, ihre gesetzlichen Zugriffsmöglichkeiten auf Informationen über die Bevölkerung immer weiter auszudehnen. In Folge kam es auch etliche Male zu Urteilen des Bundesverfassungsgerichtes, dass ihnen dann Grenzen hinsichtlich der Zweckbindung, der Verhältnismäßigkeit, der Transparenz sowie der Sicherheit staatlicher Datensammelei setzte und dabei stets auch Normenklarheit forderte. So manches bewusst unklar formulierte Gesetz wanderte dann in den Shredder oder musste nachgebessert werden. Doch Bundestagsabgeordnete besitzen anscheinend leider oftmals den Intellekt und das Lernvermögen von Stubenfliegen, so dass es immer wieder zu solchen Gesetzen kommt.

Zumal dem Verfassen verfassungswidriger Gesetze seitens des Verfassungsschutzes weniger Aufmerksamkeit zufließt als dem Publizieren grundgesetzlich fragwürdiger Parteiprogramme. Zumindest fehlen in den jährlichen Verfassungsschutzberichten regelmäßig die Seiten über beobachtete Aktivitäten von Regierungsparteien, deren Abgeordnete häufiger grundgesetzwidrige Gesetze verfassen und beschließen.

In wie weit jedenfalls an Gesetze die das Verhältnis von Bürgern  und Unternehmen ähnliche Qualitätsansprüche anzulegen sind, wie an das Verhältnis zwischen Bürgern und Staat, wäre sicherlich eine interessante Rechtsfrage. Daher sehen Juristen wie z.B. Referent Helm durchaus Ansatzpunkte für Verfassungsklagen, sollte dieses Gesetz so in Kraft treten.

Zumal man auch ohne juristischen Sachverstand rasch erkennen kann, dass der Anspruch auf Verwirklichung der eigenen Persönlichkeit (Art 2 GG) mit einer solchen Rahmensetzung für betriebliches Datensammeln zur Hohlphrase verkommt.

Welche Formen des Widerstandes gegen das wirtschaftsliberale Arbeitnehmerdatennutzgesetz wären auf welcher Ebene denkbar?
•    Betrieblich Ebene: Abschluss entsprechend restriktiver Betriebsvereinbarungen sowie Information und Aufklärung der Beschäftigten im Rahmen von Betriebsversammlungen und Betriebsratspublikationen.
•    Arbeitsrechtliche Ebene: Klagen, die auf die Auslegung der zahlreichen unbestimmten Rechtsbegriffe abzielen.
•    Politische Ebene: Die bereits erwähnten Verfassungsklagen. Sowie Unterstützung von Organisationen sowie Mitarbeit bei Initiativen, die sich gegen Gesetze dieser Art einsetzen (Piratenpartei, Arbeitskreis Vorratsdatenspeicherung, Chaos Computer Club, Deutsche Vereinigung für Datenschutz, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, AK Elena beim DGB München …).

Bezüglich des Arbeitnehmerdatennutzgesetzes halte ich es mit Sarah Palin: „Don’t retreat – reload!“ (nicht zurückziehen – nachladen!)