10 Aus dem IT-Labor
10.1 Mobile Geräte – ob Spielzeug oder Werkzeug: jedenfalls absichern!
Mobile Geräte sind fester Bestandteil in der IT-Umgebung vieler Organisationen. Zu einem hohen Anteil werden hierauf personenbezogene Daten verarbeitet. Hersteller bieten Managementlösungen an, um IT-Sicherheit und Datenschutz zentral zu definieren und dezentral umzusetzen.
Unabhängig davon, aus welchem Grund ein mobiles Gerät angeschafft wird: Sein Einsatz geht fast immer mit der Verarbeitung personenbezogener Daten einher. Häufig sind die verwendeten Geräte mit vielen Funktionen ausgestattet, die zur Aufgabenerfüllung nicht benötigt werden und ein zusätzliches Sicherheitsrisiko darstellen. Den Risiken des Verlustes oder des Diebstahls, des Abhörens oder Manipulierens der Geräte muss mit wirksamen Sicherheitsmaßnahmen begegnet werden.
Der hohe Beratungsbedarf beim Einsatz von BlackBerry-Geräten besteht unvermindert fort (31. TB, Tz. 10.1). Stark angestiegen sind im kommunalen Bereich Nachfragen zum Einsatz des iPhones der Firma Apple.
Wir empfehlen, mobile Geräte nicht einzeln über die jeweils dezentrale Konfiguration zu verwalten, sondern eine zentrale Managementlösung einzuführen. Alle großen Hersteller bieten hierzu Mittel und Wege an. Zu nennen sind hier vor allem der BlackBerry Enterprise Server, das iPhone Enterprise Kit und der Windows Mobile Management Server. Diese Lösungen ermöglichen eine profilbasierte Vorkonfiguration der Geräte, durch die dann viele der sicherheitskritischen Funktionen abgeschaltet und zugleich alle notwendigen Sicherheitsmaßnahmen aktiviert werden können. Zusätzlich bieten die zentralen Managementsysteme Funktionen, die bei Verlust des Gerätes ausgeführt werden können, z. B. ein „Remote Wipe“, bei dem die Datenbestände auf den Geräten über einen zentral abgesetzten Befehl sicher gelöscht werden können.
Beim Einsatz mobiler Geräte sollten zumindest die folgenden Sicherheitsmaßnahmen geplant, umgesetzt und regelmäßig kontrolliert werden:
Sicherung der personenbezogenen Daten auf dem Gerät durch Passwortschutz,
bei Daten mit erhöhtem Schutzbedarf: Verschlüsselung der Daten auf dem Gerät,
Deaktivieren nicht benötigter oder sicherheitskritischer Funktionen (Tethering, Bluetooth, WiFi),
Verschlüsselung des Datentransfers in und aus den organisationsinternen Systemen sowie
Authentisierung der Nutzer und der Geräte beim Aufbau einer Verbindung zu organisationsinternen Systemen.
Weiterhin gilt: Ein ungeplanter und unbedachter Einsatz mobiler Geräte ist mit dem LDSG und der DSVO nicht vereinbar. Analysiert man jedoch die Risiken, trifft geeignete Sicherheitsmaßnahmen und setzt diese über eine zentrale Lösung um, so ist ein datenschutzkonformer Einsatz mobiler Endgeräte möglich.
Was ist zu tun?
Daten verarbeitende Stellen müssen die zur Verfügung stehenden Enterprise-Funktionen aktueller Gerätegenerationen für eine zentrale Verwaltung nutzen, um das notwendige Niveau an Datenschutz und Datensicherheit zu gewährleisten.
10.2 Instant Messaging
Instant Messaging hat sich neben E-Mails als schnelle Kommunikationsform im privaten Bereich etabliert. Die Chats sind vor allem bei jüngeren Internetnutzern beliebt, aber auch viele Firmen nutzen inzwischen Online-Chats – beispielsweise für die Kundenberatung. Der Einsatz von Instant-Messaging-Diensten im Behördenumfeld wirft aber grundlegende Fragen auf.
Die technische Struktur von Instant-Messaging-Diensten basiert auf einem zentralen Vermittlungsserver, an dem sich alle Nutzer des jeweiligen Dienstes anmelden. So kann der Server dann anderen Nutzern anzeigen, wer gerade online ist. Nachrichten, die Nutzer einander schreiben, werden über den zentralen Server vom Absender zum Empfänger geleitet. Dienste wie MSN, ICQ oder Google Talk haben daher vollständige Kontrolle der über sie gesendeten Nachrichten. Es gibt keinen Weg für die Nutzer, zuverlässig die Identität des Gegenübers zu prüfen. Für den Versand vertraulicher Informationen sind solche Dienste daher ungeeignet. Zwar existiert für einige Dienste die Möglichkeit, Verbindungen per SSL zu verschlüsseln. Da es sich hierbei jedoch um eine Ende-zu-Server-Verschlüsselung handelt, erhält der zentrale Server nach wie vor Einblick in die Daten. Auch damit ist eine Authentisierung zwischen Nutzern nicht gegeben.
Zwei Wege sind denkbar, um Instant Messaging in Behörden im Zusammenhang mit vertraulichen Informationen zu nutzen:
Eine Behörde kann einen eigenen XMPP-Server (XMPP steht für „Extensible Messaging and Presence Protocol“) betreiben. Nutzer müssen sich dort ein Konto anlegen und an diesem Server anmelden. Zusammen mit einer SSL-verschlüsselten Verbindung ergibt sich so eine Ende-zu-Ende-Verschlüsselung zwischen Nutzer und Behörde, da sich der Server im Hoheitsbereich der Behörde befindet. Nachteil dieser Lösung ist, dass der Betrieb des Servers gewährleistet werden muss und die Nutzer im Regelfall nicht mit ihren gewohnten Chat-Diensten arbeiten können, sondern sich ein neues Nutzerkonto auf dem Behördenserver anlegen müssen. Eventuell müssen sie auch zusätzliche Software installieren, wenn die von ihnen bisher genutzte Chat-Anwendung das XMPP-Protokoll nicht beherrscht. Ebenfalls ungelöst bleibt hier das Problem der Authentisierung der Nutzer.
Behörde und Nutzer, die miteinander kommunizieren wollen, könnten echte Ende-zu-Ende-Verschlüsselungen einsetzen. Hier sind verschiedene Verfahren denkbar, die jedoch in den meisten Fällen eine Installation von Zusatzsoftware auf Nutzerseite sowie ein gewissenhaftes Schlüsselmanagement erfordern. Auch ist die Authentisierung – z. B. beim klassischen PGP/GPG – aufwendig, da sie über einen zweiten Kanal erfolgen muss.
?Abstreitbarkeit
Gespräche unter vier Augen sind der klassische Fall einer „abstreitbaren Kommunikation“. Es gibt keine Beweise für den Inhalt des Gesprächs. Im Nachhinein können beide Teilnehmer Gegenteiliges behaupten, beweisen kann es niemand. Gerade dieser Umstand hebt persönliche Gespräche von schriftlicher Kommunikation ab: Sie sind vertraulich, ohne jedoch den Grad der Verbindlichkeit eines Briefes zu erreichen.
Die konsequente Adaption dieses Umstands auf digitale Kommunikation wären abstreitbare Chats. Unterhaltungen ohne Brief und Siegel sind schnell geführt und bieten den Kommunikationspartnern Freiheiten, die eine schriftliche Kommunikation nicht bieten kann. Ebenso wie Telefonate für verbindliches Verwaltungshandeln ungeeignet sind, ist allerdings auch der Chat kein Medium für gerichtsfeste Kommunikation.
Eine einfache Möglichkeit bietet das Verschlüsselungsverfahren OTR (Off-the-Record Messaging). Um eine OTR-gesicherte Verbindung aufzubauen, müssen beide Kommunikationspartner Software verwenden, die OTR unterstützt. Einige gängige Chat-Programme bringen diese Fähigkeit von Haus aus mit, andere lassen sich nachrüsten. Zu Beginn einer OTR-gesicherten Kommunikation müssen beide Teilnehmer ein gemeinsames Passwort eintippen. Ist dieses Geheimnis bei beiden identisch, wird die Verbindung verschlüsselt und gilt als authentisiert. OTR ist so konzipiert, dass es die Bedingungen eines Vieraugengesprächs nachbildet. Dieses ist vertraulich und authentisch; nach dem Gespräch kann jedoch keiner der Gesprächspartner Inhalte der Unterhaltung beweisen. Diese letzte Eigenschaft eines persönlichen Gesprächs, nämlich die nachträgliche Abstreitbarkeit des Gesagten, erreicht OTR, indem jedes Datenpaket so gestaltet ist, dass im Nachhinein kein Beleg für die Kommunikation entsteht. Mit diesem Verfahren lassen sich Grundprobleme bei Instant Messaging lösen: Verbindungen sind leicht Ende-zu-Ende zu verschlüsseln. Die Authentisierung über ein gemeinsames Geheimnis kann aus bereits bekannten Informationen bestehen, wie z. B. einem Aktenzeichen oder einer Personalnummer. Ein umständliches Schlüsselmanagement entfällt. Gleichzeitig wird klar, dass die Abstreitbarkeit der Kommunikation Instant Messaging auch faktisch zu einem Ersatz für Telefonate machen kann – ohne verwertbare Gesprächsprotokolle. OTR-gestützte Chats können also die Schriftform nicht ersetzen.
Was ist zu tun?
Instant Messaging ist im „Auslieferungszustand“ für den Behördeneinsatz nicht geeignet. Mangelnde Sicherheit und fehlende Authentisierung sind absolute Ausschlusskriterien. Mithilfe geeigneter technischer Maßnahmen ist ein Behördeneinsatz jedoch denkbar. Der Betrieb eines eigenen Chat-Servers ist die sauberste – und gleichzeitig aufwendigste – Lösung. Verfahren wie OTR können Chatten auf ein ähnliches Sicherheitsniveau wie das Telefonieren heben. Der Austausch sensibler Informationen kommt jedoch auch dann nicht in Betracht.
10.3 E-Mail-Archivierung
Anbieter von Produkten zur E-Mail-Archivierung betonen, dass Organisationen bereits seit 2002 dazu verpflichtet sind, sämtliche steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen zu können.
Mit Verweis auf die Verwaltungsanweisung „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) sowie das Handelsgesetzbuch und die Abgabenordnung werden seit geraumer Zeit etliche Produkte zur E-Mail-Archivierung auf den Markt geworfen. Deutsche Betriebe sind hiernach verpflichtet, sämtliche geschäftsrelevanten Daten für zehn Jahre vorzuhalten. Da liegt es natürlich nahe, den gesamten E-Mail-Verkehr zu archivieren und ihn vor ungewolltem Löschen zu schützen. Als Lösung bieten die Hersteller häufig eine „Black Box“ ohne Eingriffs- oder Kontrollmöglichkeit für den Kunden an, die an zentraler Stelle in dessen Netz eingebunden wird und jeglichen ein- und ausgehenden E-Mail-Verkehr aufzeichnet.
Diese Archivierungslösungen werben mit einer einfachen Installation, einem hohen Grad an Verfügbarkeit aller E-Mails und garantiertem Schutz vor unbeabsichtigtem Löschen. Unabhängig von der Frage, ob private E-Mail-Nutzung erlaubt ist oder nicht: Nicht jede E-Mail ist geschäftsrelevant. Die Betriebsleitung und die IT-Verantwortlichen müssen sich also Gedanken darüber machen, wie das E-Mail-Archiv datenschutzgerecht aufgesetzt wird. Der oder die betriebliche Datenschutzbeauftragte und der Betriebsrat sind mit einzubeziehen, da hier Entscheidungen über Mitarbeiterdaten getroffen werden.
Die erste Frage betrifft die private E-Mail-Nutzung. Ist diese erlaubt, müssen technische und organisatorische Maßnahmen getroffen werden, um sie vom geschäftlichen E-Mail-Verkehr zu trennen. Zwei separierte E-Mail-Konten für jeden Beschäftigten sorgen für Klarheit. Natürlich muss jeder im Betrieb per Arbeitsanweisung auf diese Trennung der Nutzung hingewiesen werden. Das E‑Mail-Archiv darf dann nur den Verkehr an die und von den geschäftlichen Konten archivieren. Auf diese Weise kann jedoch nicht vollständig verhindert werden, dass personenbezogene Daten von Kunden oder auch von Arbeitnehmern auf dem geschäftlichen Account anfallen.
Es bedarf somit technischer Möglichkeiten, einzelne E-Mails aus dem Archiv zu löschen. Fälschlicherweise können private Daten im Geschäftskonto gesendet oder empfangen worden sein. Ein Kunde hat z. B. nach einer Anfrage oder Kontaktaufnahme das Recht, seine Daten vollständig löschen zu lassen. Diese Löschoption widerspricht aber der Zielsetzung eines vollständigen E-Mail-Archivs. Die IT‑Verantwortlichen müssen sich daher die Frage beantworten, ob und wenn ja welcher Einsatz einer Archivierungslösung vertretbar ist.
Häufig werden die Black-Box-Lösungen ins Netz der Organisation integriert, wobei aus dem bestehenden Verzeichnisdienst sämtliche Nutzerkonten in das Archiv übernommen werden. Neben den eventuell existierenden privaten Konten sind auf jeden Fall die E-Mail-Konten des Betriebsrats oder der Gleichstellungsbeauftragten vom Archiv auszunehmen.
Als zusätzliche Funktion bei der Erstinstallation wird oftmals der automatisierte Import aller Inhalte sämtlicher E-Mail-Konten angeboten. Dabei besteht die Gefahr, dass zu viele Daten in das Archiv übernommen und für Jahre gespeichert werden – womöglich ohne dass die dazugehörigen Nutzer darüber informiert wurden. Diese müssen aber vor der Einführung eines E-Mail-Archivs davon in Kenntnis gesetzt werden, um eine Entscheidung treffen zu können, welche Daten ihrer E-Mail-Konten nicht in das Archiv übertragen werden sollen.
Ein Problempunkt von Black-Box-Lösungen ist zudem der Zugriff Dritter, z. B. durch Hersteller und Dienstleister. Selbst wenn das E-Mail-Archiv verschlüsselt wird, können noch Daten im Klartext vorliegen: Häufig befinden sich unverschlüsselte Daten in Zwischenspeichern, die eventuell vom Dienstleister direkt abrufbar sind.
Was ist zu tun?
Daten verarbeitende Stellen sollten sich vor der Beschaffung und Einführung eines Systems zur E-Mail-Archivierung mit dem ULD und den zuständigen Wirtschaftsprüfern in Verbindung setzen.
10.4 Bunte Keksmischung
Der Begriff „Cookies“ dürfte inzwischen fast jedem Internetnutzer bekannt sein. Es handelt sich ursprünglich um kleine „Datenkrümel“, die eine Webseite im Browser des Besuchers hinterlegen kann, um den Besucher bei Bedarf zuverlässig wiederzuerkennen.
Sinnvoll ist solch eine Wiedererkennung beim Online-Einkauf, wo der Webserver den Warenkorb des Nutzers über diverse Unterseiten hinweg korrekt zuordnen muss. Weniger im Interesse des Nutzers sind Cookies, die ihn über die Dauer einer Sitzung hinweg und über die Grenzen eines einzelnen Angebots quer durchs Web markieren. Wer ohne Argwohn und ohne manuelle Nachbesserung in der eigenen Browserkonfiguration im Internet unterwegs ist, bleibt womöglich über viele Jahre für bestimmte Anbieter wiedererkennbar. Das Nutzerprofil, das in dieser Zeit gebildet werden kann, lässt leicht Rückschlüsse auf die reale Person dahinter zu.
Der Spuk solcher Langzeit-Cookies ist einfach zu beenden. Moderne Browser, mit Ausnahme von Google Chrome, lassen sich so einstellen, dass alle Cookies beim Schließen des Browsers verschwinden. Eine längerfristige Protokollierung des Surfverhaltens über diese Cookies ist dann nicht möglich.
Problematisch sind allerdings neuere Entwicklungen, die sich nicht unmittelbar über die Browserkonfiguration steuern lassen: Neben den konventionellen Cookies haben sich inzwischen sogenannte Flash-Cookies etabliert. Der Browserzusatz Flash der Firma Adobe ist nach Angaben des Herstellers auf über 90 % aller PCs installiert und sorgt für die Darstellung von Animationen und Videosequenzen. Zum Speichern von Parametern dient dem Flash-Plugin ein eigenes Speichersystem, die Local Shared Objects (LSO). Diese Dateien können vom Flash-Plugin auf dem Nutzerrechner abgelegt werden. Über den Browser hat der Nutzer darauf jedoch keinen Zugriff, sodass auf vielen Rechnern diese Flash-Cookies unentdeckt bleiben. Hinzu kommt, dass dasselbe Flash-Cookie für alle auf dem System befindlichen Browser gilt, sodass Surfsitzungen mit verschiedenen Browsern miteinander verkettet werden können. Wie normale Cookies können Flash-Cookies durchaus sinnvollen Dingen dienen. Verbreitet ist z. B. das Speichern von Spielständen bei Flash-basierten Online-Spielen. Aber auch banale Dinge wie die Lautstärkeeinstellungen von YouTube-Videos werden mithilfe der Local Shared Objects gespeichert. Löschen lassen sich diese Flash-basierten Cookies nur über Adobes Webseiten. Die wenig intuitive Internetadresse lautet:
www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager07.html
Ähnliche Speichermodelle wie Adobe Flash bieten „Microsoft Silverlight“ und „Java“ von Sun. Auch hier sind die Einstellungen zum Deaktivieren von Cookie-ähnlichen Objekten nicht leicht auffindbar. Microsoft versteckt sein Konfigurationstool „Silverlight.Configuration.exe“ bei Windows-Rechnern im Verzeichnis C:\Programme\Microsoft Silverlight\[Versionsnummer]\. Die Java-Konfiguration javacpl.exe liegt bei solchen Rechnern standardmäßig im Verzeichnis C:\Programme\Java\[Version]\bin\.
Eine dritte Inkarnation der herkömmlichen Cookie-Idee stellt der sogenannte DOM-Storage-Mechanismus (DOM: Document Object Model) dar, der seit Firefox 2 in aktuellen Browsern zu finden ist. DOM Storage erweitert die klassische Cookie-Idee im Kern um eine flexiblere Adressbehandlung und vergrößert den verfügbaren Speicherplatz. Können klassische Cookies gerade mal 4 KB fassen, kann ein DOM Storage Cookie deutlich mehr an Daten speichern, nämlich bis zu 5 MB beim Firefox-Browser und sogar bis zu 10 MB beim Internet Explorer. Der dahinterstehende Gedanke ist ironischerweise sogar datenschutzfördernd: Dienste wie Online-Textverarbeitungen können in solchen Mega-Cookies ihre Dokumente ablegen, sodass der Nutzer nicht mehr gezwungen ist, diese auf dem Server des Anbieters zu speichern. Trotzdem bleiben auch hier sämtliche Implikationen konventioneller Cookies in Bezug auf langfristige Verkettbarkeit bestehen. Zudem mangelt es bislang an Transparenz für den Nutzer: Obwohl solche Mega-Cookies vom Browser erzeugt werden und nicht von externen Programmen wie Flash, tauchen sie nicht in der browserinternen Übersicht der gespeicherten Cookies auf.
Das ULD berät Bürgerinnen und Bürger in Fragen des Selbstdatenschutzes und bezüglich Maßnahmen gegen unerwünschte Cookies.
Was ist zu tun?
Solange die Hersteller der diversen Browserzusatzprogramme und Laufzeitumgebungen kein einheitliches Steuermodell für lokale Objekte bieten, müssen Nutzer sich jede Technik separat ansehen und entscheiden, ob und welche Daten auf der Festplatte abgelegt werden dürfen. Nutzerverfolgung über Flash-Cookies ist inzwischen keine Ausnahme mehr, sodass zumindest die Flash-Einstellungen durch den Nutzer überprüft werden sollten.
10.5 Reputationssysteme für Webseiten – fragwürdiges Vertrauen
Mitte des Jahres wurde das ULD darauf hingewiesen, dass der Webreputationsdienst Web of Trust vor dem Internetangebot des Datenschutzzentrums warne.
Der Dienst Web of Trust (WOT) bietet Nutzern die Möglichkeit, Webseiten nach verschiedenen Kriterien zu bewerten und so zu einem „Scorewert“ einzelner Webseiten beizutragen. Nach Installation einer entsprechenden Browsererweiterung wird der Nutzer bei dem Zugriff auf eine Webseite über deren Scorewert informiert. Bei extrem schlechter Bewertung sperrt das Programm den Zugriff auf die fragliche Seite sogar und lässt den Nutzer nur nach einem Bestätigungsklick weitersurfen. Besucher von www.datenschutzzentrum.de, die das WOT-Tool einsetzten, bekamen solche Warnhinweise zu sehen.
Bei genauerem Hinsehen entpuppte sich die negative Bewertung als Fehlinterpretation zweier WOT-Nutzer – einer hatte dem ULD fälschlicherweise Spam-Mails zugerechnet, der andere hatte dessen Eintrag anscheinend ohne weitere Prüfung kopiert. Da diese beiden die einzigen Bewerter waren, sank der Scorewert der ULD-Seiten in den kritischen Bereich. Zu kritisieren ist das Beschwerdemanagement des finnischen Dienstleisters WOT: Auf E-Mails des ULD wurde nicht geantwortet. Die FAQ der Webseite legen nahe, direkt an die betreffenden Bewerter heranzutreten und selbst positive Eigenbewertungen abzugeben. Das wirft die Frage auf, wie verlässlich WOT-Scorewerte eigentlich sind.
WOT ist nicht der einzige Dienst, der sich im Bereich der Webseitenbewertung versucht. Auch Antivirenhersteller wie McAfee und nicht zuletzt Google versuchen, Webseiten nach Gut und Böse zu kategorisieren. Dabei verfolgen die Dienste verschiedene Ansätze. WOT setzt auf die berühmt-berüchtigte Weisheit der Massen und erstellt ein reines Aggregat von Nutzermeinungen. Andere Dienste versuchen, Webseiten mit Suchrobotern zu analysieren und so schädliche Inhalte zu finden.
Alle Systeme kranken an der Schwierigkeit für den Nutzer, sich ein Bild über die Gründe einer bestimmten Bewertung einer Webseite zu machen. Letztlich sind die genauen Kriterien, nach denen Webseiten klassifiziert werden, eine Art Betriebsgeheimnis oder, wie bei WOT, willkürlich von den jeweiligen Bewertenden abhängig. Das führt zu dem kuriosen Umstand, dass ein und dieselbe Webseite vom einen Dienst als ungefährlich, vom anderen als Bedrohung für den eigenen Computer klassifiziert wird. Dem Nutzer bleibt kaum mehr, als einem Dienst blind zu vertrauen – und sich dessen Unzulänglichkeiten bewusst zu werden. Die ULD-Webseite ist bei WOT übrigens wieder im grünen Bereich, nachdem mehrere Nutzer gute Bewertungen abgegeben haben.
Was ist zu tun?
Dienste zur Darstellung einer Webseitenreputation könnten hilfreich sein. In der Praxis schaffen es die Dienste jedoch nicht, die notwendige Transparenz herzustellen. Bewertungstools können daher im Surfalltag kaum mehr als einen vagen Hinweis geben.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |