FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

14. November 2011

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.


Verizon-Leitfaden soll Umgang mit Informationen zu Sicherheitsvorfällen vereinheitlichen

5. Juni 2010

Verizon, ein Anbieter von IT-System- und Betriebsdienstleistungen für ausgelagerte IT-Services, hat mit den „Verizon Incident Sharing“ (VerIS) den Entwurf für eine neue technische Norm zum standardisierten Austausch von Informationen über Angriffe auf IT-Systeme vorgelegt.

Informationen über technische Details von Exploits, Sicherheitslücken oder Hackerattacken auf IT-Systeme verbreiten sich im Internet-Zeitalter über CERTs, Bugtrack-Listen und andere Medien zwar recht schnell. Aber eben unstrukturiert, was ihre rasche teilautomatisierte Weiterverarbeitung in unternehmensinternen Informationssystemen für das System-Management beeinträchtigt. Ideal wäre daher eine Art einheitliches Formular, das alle relevanten Informationen über einen Exploit sowie getroffene Bewertungen der Sach- und Bedrohungslage qualitätsgesichert enthält und als Datensatz rasch weiterverbreitet und in entsprechenden Systemen analysiert werden kann. Das würde es den zahlreichen an Fragen der IT-Sicherheit arbeitenden Organisationen ermöglichen, global von einer halbwegs einheitlichen Datenbasis auszugehen.

Heute verwenden Unternehmen und Behörden diverse, oftmals nicht zueinander kompatible Systeme, um solche Informationen zu erfassen und weiter zu verarbeiten. Das macht es schwierig, wichtige Trends mit Blick auf Sicherheitsverletzungen zu erkennen und zügig gemeinsame Abwehrmaßnahmen zu ergreifen.

Zur Lösung des Problems könnte ein gemeinsamer technischer Standard beitragen, der allgemeingültige Bewertungskriterien enthält und eine Struktur zur Beschreibung und Analyse von Sicherheitsvorfällen vorgibt. Den hat Verizon nun mit seinem „Verizon Incident Sharing“ -Leitfaden als Entwurf vorgelegt.

Dabei gliedert der VerIS-Standard die Informationen über Sicherheitsereignisse in vier ineinandergreifende Kategorien, die jeweils relevante Fakten für das Risikomanagement liefern: Gefährdung, betroffene Schutzgüter, Auswirkungen des Angriffs und Eindämmungsmaßnahmen (soweit bereits bekannt). Die VerIS-Metriken sind dazu in die vier Bereiche Demografie, Ereignisbeschreibung, Offenlegung sowie Minderung und Beschreibung von Auswirkungen der Sicherheitsverletzung unterteilt. Diese Metriken sollen konkrete Hinweise auf Ursache und Schweregrad eines Angriffs liefern.

Letztlich kann die weltweite Community von IT-Sicherheitsverantwortlichen nur davon profitieren, über Daten zu Sicherheitsereignissen zu verfügen, die miteinander verglichen und analysiert werden können weil sie in der gleichen „Sprache“ und Struktur aufgebaut sind.  Auf diese Weise erhält die Interessengemeinschaft konkrete Hinweise zur Identität ihrer Gegner, ihren Ziele und Strategien. Für die Absicherung der digitalen Welt ist das von entscheidender Bedeutung, so die Sicht von Verizon. Es bleibt also abzuwarten, in wie weit die Community den Verizon-Entwurf annimmt und ob er nach entsprechender fachlicher Diskussion in internationale Normungsgremien wie ISO oder IEEE eingebracht wird.


Die 10 gefährlichsten Schwachstellen in Webanwendungen

24. April 2010

Die Experten des Open Web Application Security Project (OWASP), einer Community die sich mit den Aspekten sicherer Programmierung in Webanwendungen beschäftigt, haben kürzlich ihre alle drei Jahre neu erstellte Top-10-Liste gefährlicher Schwachstellen und qualitativer Mängel in Webapplikationen neu veröffentlicht. Grundlage der Klassifizierung der darin enthaltenen Probleme sind Risikobewertungen, die die OWASP-Experten mittels einer eigenen OWASP Risk Ratig Methodology bewertet haben. Genauere Erläuterungen dieser Schwachstellenklassen sowie Hinweise zu ihrer Eindämmung geben sie in einer 22-seitigen Broschüre „OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks“, die man als PDF (2,5 MB) herunterladen kann.

Die Broschüre enthält eine übersichtliche Darstellung der zehn Problemklassen und stellt Bezüge zu weiteren frei verfügbaren Referenzen her, so z.B. zu den OWASP-Projekten Enterprise Security API (ESAPI) und Application Security Verfication Standard (ASVS). Gegenstand dieser Projekte ist die Entwicklung prüf- und testbarer Standards zur Implementierung von Sicherheitsfunktionen in Webanwendungen.

Bei den zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind, handelt es sich um:

•    Code Injection
•    Cross-Site Scripting (XSS)
•    Broken Authentication and Session Management
•    Insecure Direct Object References
•    Cross-Site Request Forgery (CSRF)
•    Security Misconfiguration
•    Insecure Cryptographic Storage
•    Failure to Restrict URL Access
•    Insufficient Transport Layer Protection
•    Unvalidated Redirects and Forwards

Das Ziel sicherer und qualitativ hochwertiger Software wird inzwischen von mehreren Organisationen mit jeweils eigenen Schwerpunkten verfolgt. So legten die Institute MITRE und SANS im Auftrag mehrerer Unternehmen und Organisationen, darunter auch OWASP, die zweite Auflage ihrer 25 gefährlichsten Programmierfehler erst kürzlich vor.

Dave Wichers, Mitglied des OWASP-Vorstandes betont, die zunehmende Bedeutung der Risiken, die letztlich hinter den einzelnen Schwachstellen stehen. Sicherheitslücken nur zu priorisieren ohne das dazugehörige Anwendungsumfeld zu betrachten, ergäbe keinen Sinn so Wichers.

Diese neue Konzentration auch auf denkbare Risiken soll Organisationen helfen zu einem reiferen Verständnis von Anwendungssicherheit zu kommen sowie ihre Prozesse bzgl. sicherer Programmierung, Testmanagement und Softwarequalität entsprechend weiterzuenwickeln.


Die 25 häufigsten Programmierfehler

1. März 2010

Jährlich untersucht eine Gruppe von 30 international auftretenden Sicherheitsunternehmen und -organisationen welche Arten von Programmierfehlern in Softwareprodukten vorkommen. So entstand eine jährlich aktualisierte Liste der 25 gefährlichsten Programmierfehler, durch die es zu groben Sicherheitslücken in Softwareprodukten kommt und die spektakuläre Exploits erst möglich machen.

Damit wird seitens der Organisationen das Ziel verfolgt, Programmierern das Wissen zu vermitteln, wie man Code schreibt, der frei von diesen Top-25-Programmierfehlern ist.

Die Ursachen für gefährliche Software-Schwachstellen sind unter Sicherheitsexperten hinreichend bekannt. Vielen Softwareentwicklern ist jedoch bis heute nicht bewusst, welche Gefahren durch unsichere Programmierung drohen. Hauptziel der Veröffentlichung der Sammlung ist es daher, Softwareentwickler auf häufig gemachte Programmierfehler hinzuweisen und somit durch sichere Programmierung Schwachstellen gar nicht erst aufkommen zu lassen – so Alexander Neumann auf Heise Developer.

Die gefundenen Schwachstellen wurden grob in drei Kategorien gegliedert:

  1. Angriffspunkte beim Datenaustausch zwischen Systemen.
  2. Schwachstellen beim Umgang mit wichtigen Ressourcen.
  3. Fehlerhaft implementierte Sicherheitsmaßnahmen.

Angriffe wie Cross-Site-Scripting und Code-Injection zielen i.d.R. auf Schwachstellen der ersten Kategorie, Buffer-Overflow-Attacken oder DoS-Angriffe auf solche der zweiten. Und in jedem geknackten Kopierschutz, jedem umgangenen Passwort und jeder gebrochenen Kryptomethode wurden Fehler der dritten Art gefunden und ausgenutzt.

Auf Common Weakness Enumeration – Community-Developed Dictionary of Software Weakness Types wird die aktuelle Liste sowie weiterführende Informationen für Entwickler und Security-Experten bereitgestellt. Dazu zählen auch generische Empfehlungen zur Qualitätssicherung und Risikobegrenzung im Entwicklungsprozess.

Gegen ein Sicherheitsproblem der speziellen Art sind jedoch auch solche Listen machtlos: Den Versuch von Entscheidern, Software-Entwicklungsprojekte durch unrealistisch gesetzte Termine und schlampig berechnete Budgets zunächst unter Druck zu setzen und dies später durch Einsparungen bei der Qualitätssicherung korrigieren zu wollen.

Hier wird es wohl noch den ein oder anderen großen Datenskandal sowie die schonungslose Aufklärung und Aufdeckung seines Zustandekommens einschließlich Nennung aller Namen von verantwortlichen Entscheidern brauchen.


Können Sicherheitsexperten zum Sicherheitsrisiko werden?

27. Januar 2010

Diese Frage warf vor ein paar Tagen der Newsletter des Fachinformationsdienstes „Datenschutz-Praxis“ auf. Denn gerade in Unternehmen ist es keineswegs immer so, dass der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte stets an einem Strang ziehen. Zwar werden diese beiden Funktionen der Einfachheit halber und wegen der inhaltlichen Schnittpunkte gerne in einer Person zusammengelegt. Das aber kann Interessenskonflikte mit sich bringen, da der Datenschutzbeauftragte die Arbeit des IT-Sicherheitsbeauftragten bzgl. des Datenschutzes zu bewerten hätte. Und sich als „Doppelbeauftragter“ dann selbst zu kontrollieren hätte.

Zumal es z.B. Sachverhalte geben kann, bei denen z.B. aus Sicht der IT-Sicherheit manche Auswertungen, Datenzugriffe und Überwachungsfunktionen unerlässlich scheinen, während der Datenschutzbeauftragte vor einem anlasslosen, massenhaften Screening von Mitarbeiteraktivitäten warnt.

Doch zum eigentlichen Sicherheitsproblem kann der IT-Sicherheitsbeauftragte vor allem dann werden, wenn er sich bei der „internen Vermarktung“ berechtigter Anliegen der IT-Sicherheit vor Entscheidungsträgern im Unternehmen schwertut. Gerne verfallen IT-Sicherheitsbeauftrage dabei in Verhaltensmuster wie diese:

  • Sie geben viel zu detaillierte technische Informationen, deren Aufnahme viel Zeit in Anspruch nimmt und die Entscheidungsträger eher verwirren oder abschrecken.
  • Dagegen können sie für Entscheidungsträger wichtige technische Zusammenhänge nur unzureichend oder gar nicht erläutern.
  • Sie verbreiten Horrorbotschaften über die neuesten Gefahren für die interne IT, ohne einen echten Bezug zur konkreten Situation im Unternehmen herzustellen.
  • Sie liefern rein problemorientierte Sicherheitsberichte ab, denen weder realistische Bewertungen noch Lösungsvorschläge für bestehende Probleme entnommen werden können.
  • Sie verfassen Sicherheitsrichtlinien, die unverständlich und umständlich in der Umsetzung sind, deren Ausführung eher den Betrieb lahmlegen würde als die Sicherheit zu verbessern, mit denen sie Betriebsräte und Beschäftigte gegen sich aufbringen und an die sich dann letztlich keiner hält.

So bekommen Datensicherheit und IT-Sicherheit letztlich doch nicht den erforderlichen Stellenwert und das Thema IT-Sicherheit wird in den Augen der Geschäftsleitung zum unverständlichen, lästigen und produktivitätshemmenden Sitzungsballast, der mit einer fadenscheinigen Begründung aufgeschoben oder weggekürzt wird. Bis es dann zu einem echten Problem kommt und Datenschutzlöcher oder ausgespähte Firmengeheimnisse eingestanden werden müssen (und Schuldige gesucht und gefunden werden sollen).

Der Fachinformationsdienst Datenschutz-Praxis rät daher Datenschutzbeauftragten das kollegiale Gespräch zu den Sicherheitsbeauftragen zu suchen, sie für Belange des Datenschutzes zu sensibilisieren und ihnen bei der Darstellung und Vermittlung der berechtigten Anliegen von IT-Sicherheit und Datenschutz im Unternehmen zu helfen.


Das neue Bundesdatenschutzgesetz

14. September 2009

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

  1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).


Gutes Lizenzmanagement wird für Unternehmen zunehmend wichtiger

25. August 2009

Immer mehr Unternehmen schaffen neue Positionen für Lizenzmanager. Deren Aufgabe ist es, den allgemeinen Wildwuchs an Software-Lizenzen im Unternehmen einzudämmen und sicherzustellen, Dass ein Unternehmen weder über- noch unterlizenziert ist. D.h. dass zu jedem benutzten Softwareprodukt die richtige Lizenz und der benötigten Menge erworben wird.

Überlizenzierung bedeutet, dass mehr Lizenzen gekauft wurden, als Software eingesetzt wird. Das ist z.B. bei falsch dimensionierten Volumenslizenzprogrammen oft der Fall und kann rasch teuer werden.

Ebenso kritisch ist Unterlizenzierung zu sehen. Das kann ebenfalls teuer werden, wenn ein Softwarehersteller zu unpassendsten Zeit Überprüfungen im Unternehmen durchführt (das Recht dazu behalten sich Anbieter oft im Kleingedruckten ihrer Lizenzverträge vor) oder schlicht Druck ausübt bzw. hart an Betrug und Schutzgelderpressung grenzende Geschäftsmodelle verfolgt.

Hinzu kommt die, durch das recht verwerterfreundlich gestaltete Urheberrecht ermöglichte enorme Vielfalt an Lizenzmodellen. Da lizenziert ein Hersteller nach Nutzern, der nächste nach Installationen, ein anderer nach Prozessoren im Rechner und wieder einer anderer nach Berechtigungsgruppen. Standardisierte, einheitliche Lizenzen haben sich nur im Open-Source-Bereich mit der GPL und Creative Commons durchgesetzt.

Auch können Schäden, die einem Unternehmen durch Falschlizenzierung entstehen, zur persönlichen Haftung der Geschäftsführer und Vorstände aufgrund verletzter kaufmännischer Sorgfaltspflichten führen – wenn dem nicht durch ein funktionierendes Lizenzmanagement vorgebeugt wird.

Das Thema Dokumentation des Lizenzbestandes ist zudem revisionsrelevant und wird zudem durch allesamt erst in den letzten Jahren neu erwachsene Pflichten wie SOX-Compliance oder Bewertungsvorschriften immaterieller Wirtschaftsgüter (zu denen die Lizenzen zählen) mit tangiert.

Hilfsmittel der Lizenzverwaltung ist ein funktionierendes Software Asset Management (SAM), also eine möglichst tagesaktuelle Bestandsverwaltung von Softwareprodukten und dazugehörigen Lizenzen, so dass ein Soll/Ist- Abgleich durchgeführt werden kann.  Dieses Monitoring erfordert aber im Prinzip eine dauerhafte und automatisierte Überwachungs- und Inventarisierungsmöglichkeit aller auf einen beliebigen Firmenrechner installierten Programme sowie ggf. eine Verknüpfung mit Personen. So wünschenswert das aus der Sicht der IT-Sicherheit sein mag, so problematisch ist es aus Sicht des Datenschutzes. Auch kann die dabei bewegte Datenmenge beträchtlich sein und entsprechend ausgestattete Datenbankserver erforderlich machen.

Mit dem Einsatz einer SAM-Software ist es jedoch noch nicht getan. Lizenzmanagement ist eine Funktion, die sowohl bei der Produktauswahl und der Softwarebeschaffung, als auch beim Vertragsmanagement (nicht jedes Lizenzmodell kann in jeder Lizenzmanagementsoftware abgebildet werden) sowie auch im Systembetrieb (Anbindung des Lizenzmanagements an die zentrale CMDB und die Inventarisierungssysteme) mit zu beteiligen und zu berücksichtigen ist.

Insgesamt ist das Handling der betrieblichen Lizenzvielfalt ein nicht zu unterschätzender Komplexitäts- und Kostentreiber. Das erfordert kluges Lizenzmanagement, um die damit verbundenen Kosten in Grenzen zu halten.


Safety – Der Weg zur sicheren Software

13. August 2009

Wann  ist Software bzgl. der  Eigenschaften Zuverlässigkeit, Verfügbarkeit, Gebrauchstauglichkeit, Wartbarkeit und  Sicherheit als sicher zu bezeichnen? Und wie kann man das messen und prüfen?

Mit diesen Fragen beschäftigt sich Software Safety, ein Themenfeld, welches sich inhaltlich zwischen Softwarequalität und IR-Sicherheit ansiedeln lässt.

Insbesondere Bereiche, in denen Software umfangreiche sicherheitsrelevante Aufgaben erfüllen soll, in denen hohe sicherheitstechnische Auflagen bestehen (Luftfahrt, Medizintechnik) oder in denen es um Menschenleben geht, erfordern Software mit deutlich höherem funktionalem Zuverlässigkeitsniveau (Reliability, Availability, Maintainability, Safety – RAMS) als normal üblich. Oft ist auch gefordert, Software für solche Einsatzfelder fail-safe zu entwickeln, d.h. dass  im Fehlerfall möglichst geringer Schaden entsteht (auch: Fehlertoleranz, Ausfallsicherheit). Dies geschieht neben dem gezielten Einbau von Redundanz durch das möglichst vollständige Vorhersehen und Testen aller denkbaren Fehler durch entsprechend anspruchsvoll und aufwendig konzipierte Testprojekte. Dazu werden systematisch Fehler unterstellt und danach versucht, deren Auswirkungen so ungefährlich wie möglich zu gestalten. Auch dem Benutzer wird zunächst Fehlverhalten unterstellt, mit dem das System klarkommen muss (z.B. durch Filterung und Plausibilitätsprüfung von Eingaben).

Zum Thema Safety-Eigenschaften und funktionaler Sicherheit haben sich bereits nationale und internationale Standards und Normen (IEC 61508, IEC 61511 und weitere) entwickelt, hauptsächlich aus dem Maschinen- und Anlagenbau, deren Umsetzung als Teil der Entwicklungs- und Qualitätssicherungsprozesse Sicherheit, Qualität und Zuverlässigkeit der Softwareprodukte gewährleisten soll.

Was aber in der produzierenden Industrie schon seit langem Standard ist, wird in die Entwicklung und Qualitätssicherung bei Software vielerorts erst noch Eingang finden müssen. Wobei bei der Adaption und Integration entsprechender Prozesse die bereits bestehenden Industriestandards Orientierung geben können.

Die Beurteilung sicherheitsrelevanter Software spielt auch bei der Prüfung der funktionalen Sicherheit entsprechender Produkte eine ständig wachsende Rolle und hat daher Prüfgesellschaften ein weiteres Geschäftsfeld eröffnet.

Die Safety-Anforderungen an Softwarekomponenten als Teil von sicherheitsgerichteten Steuerungssystemen sind durch die zunehmende Verlagerung der Sicherheitsfunktionalität in die Software drastisch gestiegen. Die Struktur der Software sowie Maßnahmen und Techniken in der Software, die zur Vermeidung und Beherrschung von Fehlern und Ausfällen führen, sind ein fester Bestandteil entsprechender Prüfungen, z.B. nach IEC 61511-1 (funktionale Sicherheit –  u.a. Anforderungen an Systeme, Software und Hardware) geworden.

Software Safety und funktionale Sicherheit dürfte daher als Thema sowohl für Softwaretester, Qualitätsmanager als auch für IT-Sicherheitsbeauftragte zunehmend an Bedeutung gewinnen. Und auch in IT-Sicherheitsmanagement (ITSM) und bei Thema Risikomanagement in der IT werden Safety-Kriterien ihren Platz finden.


Nepper, Schlepper und Bauernfänger in der Softwareindustrie

17. Juli 2009

Das verworrene deutsche Urheberrecht bietet Abzockern und Gaunern immer wieder neue Geschäftsmodelle. Das gilt nicht nur für die Rotlichtviertel von Abmahnbetrügern sondern zeigt sich zunehmend auch in den gläsernen Bürotürmen großer Softwarehersteller, wie die Wirtschaftswoche berichtet.

Denn die Wirtschaftskrise macht sich auch in den Umsätzen der Softwarehersteller bemerkbar. IT-Projekte werden verschoben oder gekürzt, so manches an sich unnötige Programm abgeschafft, die Notwendigkeit hoher laufender Supportgebühren bei oft mäßiger Gegenleistung zunehmend kritisch hinterfragt.

Aus anderen Lebensbereichen sind wir es zudem gewöhnt, dass Produkte grundsätzlich zu funktionieren haben. Der „Support“ heißt dort Nachbesserung und ist keine extra abrechenbare Dienstleistung sondern eine Ausbesserung von Mängeln auf Kosten des Händlers oder Herstellers.

Zunehmend lassen die Softwarehäuser – insbesondere die „Big Names“ wie Micosoft, Oracle, Citrix oder SAP – durch Wirtschaftsprüfer und IT-Revisoren prüfen, ob die Unternehmen auch genügend Lizenzen haben. Dagegen wäre an sich nichts zu sagen. Allerdings gibt es keine typisierten Lizenzverträge. Während in ganz Deutschland einheitlich geregelt ist, was z.B. ein Mietvertrag ist, kann jeder Softwarehersteller nach Lust und Laune lizenzieren was und wie er will. Da zählt der eine Nutzer, der nächste Rechner, der übernächste Prozessoren und noch einer Sitzungen als Grundlage für den zu erwerbenden Lizenzbedarf. Hinzu kommen Softwarelizenzverträge, die den Umfang von Fachbüchern erreichen und ohne juristische Risikoanalyse auch von versierten IT-Leitern nicht mehr verstanden werden. Und in die bewusst „Fallen“ eingebaut wurden.

Das dahinterstehende Geschäftsmodell beschreibt Thomas Stölzel von der Wirtschaftswoche so:

In jüngster Zeit nehmen jedoch Brancheninsidern zufolge Fälle rasant zu, in denen die Softwareanbieter weit darüber hinausgehen. Dax-Konzerne und große Mittelständler klagen, dass Programmlieferanten wie Oracle und Microsoft sie teilweise zu Unrecht unter Druck setzen. Der Vorwurf: Manche Anbieter bezichtigen ihre Kunden auf Basis schwammig formulierter Verträge dramatischer Lizenzverstöße, fordern Entschädigung in Millionenhöhe, drohen gar, die Nutzung der für die Kunden oft lebenswichtigen Programme zu untersagen. Dann bieten sie ihnen einen harmloseren, aber teuren Ausweg an: mehr Lizenzen oder Wartungsverträge kaufen – auch wenn die zum Teil gar nicht benötigt werden.

Vor allem Hersteller, deren Neugeschäft in der Krise schwächelt, wollen sich zum Ausgleich an ihren Bestandskunden schadlos halten. Viele verdanken der Verkaufstaktik mittlerweile erhebliche Teile ihrer Einnahmen.

Die Softwareverkäufer werfen den Kunden Urheberrechtsverstöße vor und konstruieren ein so wirkungsvolles Bedrohungsszenario, dass die Unternehmen zwangsläufig einknicken: Im schlimmsten Fall könnten die Fließbänder Monate lang stillstehen. Oder eine Bank stünde ohne funktionierendes Handelssystem da.

Die Softwareanbieter bauen gefährliche Klauseln in ihre oft romandicken Verträge ein. So heißt es in den Wälzern des US-Anbieters Attachmate: Wenn der Kunde gegen eine Vertragsbedingung verstoße, könne der Lizenzgeber verlangen, dass er „alle Kopien der Software zerstört“. Um IT-Chefs zum Schwitzen zu bringen, reicht mitunter eine unbegründete Forderung: Allein die Möglichkeit, dass der Anbieter eine einstweilige Verfügung erwirkt, die die Nutzung verbietet, bedroht den Betrieb. Der Richter muss dafür die Gegenseite nicht anhören.

Das Modell basiert also auf einer Kombination aus Erpressung, juristischer Repression sowie Kriminalisierung und zieht darauf ab, aus den betroffenen Unternehmen Zahlungen herauszuholen, die sie unter normalen Umständen nicht leisten würden. „In der jetzigen gesamtwirtschaftlichen Lage kommt uns das alles sehr ungelegen“, so der Lizenzmanager eines süddeutschen Konzerns.

Insbesondere monopolisisch auftretende Anbieter, deren Produkte den Branchenstandard bilden, sind da in einer komfortablen Situation. Sowie solche, deren beim Kunden eingeführte Produkte nicht kurzfristig ersetzt oder ausgetauscht werden können.

Doch der Machtmissbrauch durch die großen Hersteller und Lizenzraubritter hat auch Folgen. Zunehmend schlagen die CIOs zurück, indem sie Produkte von Lizenzraubrittern austauschen, Knebel-Suppportverträge nicht mehr verlängern, verstärkt auf Anbieterunabhängigkeit achten und zunehmend quelloffene sowie lizenzkostenfreie Software einsetzen.

Vorbild ist da die bayerische Landeshauptstadt München. Sie stellt im Rahmen ihres LiMux-Projektes über einen längeren Zeitraum hinweg ca. 14.000 Arbeitsplatzrechner sowie ihre Server-Infrastruktur auf Linux um. Die Zahl an kommerziellen Anwendungen, von denen jede eine eigene Lizenzbürokratie samt juristischer Risikoeinschätzung und Folgeaufwänden für das Lizenzmanagement mit ins Unternehmen einschleppt, wurde so bereits drastisch reduziert.


Datenschutz und Outsourcing – ein ewiges Konfliktfeld

5. Juli 2009

Die Auslagerung von Teilbereichen eines Unternehmens, der Einsatz von Leiharbeitskräften oder auch die Zusammenarbeit mit externen Beratern auf Dienst- und Werkvertragsbasis zählen mittlerweile zu den etablierten Instrumenten im Geschäftsleben, um flexibel zusätzliche Personalkapazität zukaufen zu können, ohne selbst verbindliche Verpflichtungen eingehen zu müssen.

So flexible die Beschäftigten in den Randbelegschaften des Unternehmens zirkulieren und fluktuieren, so flexibel können allerdings auch sensible interne Daten durch die Unternehmensgrenze hindurchdiffundieren.

Diese Erfahrung musste kürzlich auch die Sparkasse Köln/Bonn machen. Sie hatte sensible Vertriebsdaten an einen externen Berater weitergegeben, mit dem sie schon länger zusammenarbeitete. An sich nichts Ungewöhnliches –sowas geschieht täglich in Deutschland. Wenn man gemeinsam unternehmensübergreifend an Projekten arbeitet, geht das oft nicht anders. Daher werden für solche Fälle Vertraulichkeitsvereinbarungen, Datenschutzregeln etc. Gegenstand der Verträge aller Beteiligten und es wird sich auf gemeinsame Möglichkeiten zum sicheren Austausch von Informationen geeinigt. Und nach Abschluss der Projekte bzw. Beendigung der Zusammenarbeit werden alle projektbezogenen Informationen, Dokumente und Berechtigungen an den Auftraggeber zurückgegeben oder – ebenfalls zu vereinbaren – sicher vernichtet.

Genau da wurde aber anscheinend seitens der Sparkasse etwas geschludert. Und als es zwischen der Bank und einem ihrer externen Berater zu Streitigkeiten bzgl. finanzieller Fragen kam, behielt der wohl 25 Festplatten mit vertraulichen Mitarbeiter- und Kundendaten ein. Und erklärte dem Fernsehsender WDR gegenüber, die Daten ohne Abgabe einer sonst üblichen Vertraulichkeitserklärung und ohne Anonymisierung erhalten zu haben. Die Staatsanwaltschaft Köln schaltete sich daraufhin ein, um die Vorwürfe zu prüfen. Und auch die Landesdatenschutzbeauftragte von Nordrhein-Westfalen eröffnete ein datenschutzrechtliches Ermittlungsverfahren.

Und als die Bank eine den Vorfall relativierende Pressemitteilung herausgab, wurde diese vom Spiegel-Autor Felix Knoke prompt „aufgespießt“:

Ein klares Dementi sieht anders aus. Fasst man die Pressemitteilung in drei Sätzen zusammen, steht da: Es wurden Daten weitergebeben. Es sollten nur anonymisierte Daten weitergegeben werden. Wir wissen noch nicht zu 100 Prozent, was in welcher Form weitergegeben wurde.

Inzwischen wird dem Berater die Sache wohl zu heikel. Er habe im Laufe seiner Tätigkeit Vertriebsdaten von der Sparkasse erhalten, darunter aber nur vereinzelt Kundendaten, die er auf Papier bekommen und inzwischen vernichtet habe, erklärte er der dpa.

Er war demnach mehrere Jahre als freier Mitarbeiter bei der Sparkasse tätig und hat dort unter anderem Schulungsvideos und Lehrbücher erstellt. In dem Zusammenhang hat der Berater nach eigenen Angaben „alle möglichen Daten“ auf Papier oder als E-Mail von verschiedenen Sparkassen-Mitarbeitern bekommen.  Doch während die Sparkasse die Ansicht vertritt, dem Mann bereits 2005 schriftlich zur Verschwiegenheit verpflichtet zu haben, kann oder will dieser sich nicht daran erinnern: „Ich habe in meinen Unterlagen keinen Vertrag gefunden“ Es habe seiner Ansicht nach nur mündliche Absprachen gegeben.

Daher versucht die Sparkasse ihre Daten auf dem Rechtsweg von ihrem früheren Mitarbeiter zurückzuerlangen.

Zusammenfassend lässt sich feststellen, dass die unternehmensübergreifende Zusammenarbeit mit Externen immer ein zusätzliches Risiko darstellt und daher besonderer vertraglicher, organisatorischer und technischer Maßnahmen bedarf, um diese Risiken beherrschbar zu machen.

Dazu gehören die bereits erwähnten Vertraulichkeitsvereinbarungen ebenso wie der nachvollziehbare Umgang mit Informationen und Datenträgern sowie Vorgehensweise in Konfliktfällen.

Dabei sollte stets bedacht werden: Ein Unternehmen das externe Kräfte flexibel einsetzen will, demonstriert (auch) dass es auf dauerhafte Bindungen nicht allzu viel Wert legt. Ein solches Unternehmen sollte daher auch keine nennenswerte Loyalität dieser Mitarbeiter erwarten. Sondern vertraglich vereinbaren und dokumentieren, was für die korrekte Erledigung des jeweiligen Jobs oder Projektes nötig ist. Und sich über die „Restrisiken“ bei deren Eintritt nicht beschweren.

Und Kunden werden sich zunehmend fragen, wie weit sie einer Firma vertrauen können, wenn sie kaum etwas über deren Führung, Strategie und internen Abläufe hinsichtlich Personal und Organisation wissen.

WDR.de: Kundendaten der Sparkasse Köln/Bonn wurden ausgelagert. Ermittlungen gegen Ex-Sparkassen-Berater

Spiegel.de: Ärger mit Ex-Mitarbeiter. Honorarstreit könnte Sparkassen-Datenproblem ausgelöst haben


Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 127 Followern an