Kernpunkte:
- Verschlüsselung mit TLS 1.3
- Tracking mit Ultraschall
- Gelbe Punkte vom Farbdrucker: Zwangscodierung
10 Aus dem IT-Labor
10.1 TLS 1.3 ist da – jetzt aktualisieren!
In den letzten Jahren hat sich die Situation verschlüsselter Kommunikation im Internet erfreulich verbessert. So hat sich im Bereich der Webseiten das verschlüsselnde HTTPS als Standardprotokoll etabliert. Einige Browser warnen schon, wenn noch das unsichere HTTP (ohne „S“) zum Einsatz kommt. Auch Suchmaschinen strafen Webseiten ab, die in puncto Sicherheit hier der Zeit noch hinterherhängen.
Im März 2018 wurde von der Internet Engineering Task Force (IETF) nach langer Diskussion endlich der aktuelle Versionsstand 1.3 des Protokolls TLS („Transport Layer Security“) zur verschlüsselten Übertragung von Daten verabschiedet. Wie der Vorgänger SSL wird TLS eingesetzt, um eine Transportverschlüsselung beim Aufruf von Webseiten, bei der Übertragung von E-Mails, bei der Kommunikation per Instant Messaging sowie bei vielen weiteren Anwendungsfällen zu etablieren.
TLS 1.3 bietet dabei weitgehende Vorteile gegenüber den vorherigen Versionen. So wird insbesondere das im schon zehn Jahre alten Vorgänger TLS 1.2 noch optionale „Forward Secrecy“-Prinzip jetzt durch TLS 1.3 durchgehend umgesetzt. „Forward Secrecy“ gewährleistet, dass ausgespähte und aufgezeichnete Verbindungen auch dann nicht nachträglich entschlüsselt werden können, wenn das Kryptozertifikat in falsche Hände gerät. Dabei wird für jede Verbindung ein eigener Schlüssel generiert, der mithilfe des Zertifikats lediglich ausgetauscht und danach verworfen wird.
Das neue TLS v1.3 bietet zudem auch einen besseren Schutz vor Schad-Proxies, die die Verbindungen aufbrechen und Inhalte ausspähen, unterdrücken oder verändern wollen. Dafür wurden u. a. veraltete und inzwischen als nicht hinreichend sicher erkannte Algorithmen und Verfahren entfernt, andere Bereiche des Standards wurden neu gefasst und gestrafft, um auch das Ausspähen von Kommunikationsbeziehungen besser zu verhindern.
Vorsicht bei der Einführung von TLS 1.3 ist allerdings angesagt, denn mit TLS 1.3e bzw. eTLS oder (nach Intervention der IETF ob des Namens) nun ETS wurde an der IETF vorbei unter einer sehr ähnlichen Bezeichnung eine künstlich kompromittierte Variante von TLS 1.3 publiziert, die einige der neuen Sicherheitsfeatures wieder untergräbt und damit deutlich hinter den Stand der Technik zurückfällt: Unter anderem kommen statische Schlüssel zum Einsatz, sodass das Konzept von „Forward Secrecy“ nicht wirkt. Vorgeblich dient diese Schwächung des Standards dem Zweck, innerhalb von Rechenzentren auch verschlüsselten Datenverkehr überwachen zu können; in der Außenkommunikation soll TLS 1.3 verwendet werden. Aber ob ETS an Rechenzentrumsgrenzen haltmacht, oder auch bei Providern zum Einsatz kommt, bleibt unklar. Im Ergebnis bedeutet dies, dass sich Clients nicht auf eine ununterbrochene Verschlüsselungskette zwischen Client und Server verlassen können. Für die Absicherung personenbezogener Daten ist ein Einsatz von ETS daher nicht geeignet.
Trotz der grundsätzlich erfreulichen Entwicklung, dass immer mehr Kommunikation nach dem neuesten Stand der Technik verschlüsselt wird, verbleiben aber auch noch einige Herausforderungen: Große Schwachstellen bei der Sicherheit der Kommunikation gibt es nach wie vor bei E-Mail und Telefonie. Während bei E‑Mails mit dem Update auf TLS 1.3 zumindest die Transportsicherung auf den aktuellen Stand gebracht werden kann, bietet diese allein jedoch nicht immer das erforderliche Schutzniveau für die Übermittlung sensibler Kommunikationsinhalte. Ein handhabbares Verfahren für eine Ende-zu-Ende-Verschlüsselung der Kommunikationsinhalte, wie Messenger sie zunehmend bieten, ist bei E-Mails nicht in Sicht. Dies ist auch ein Grund, warum Messenger in der Alltagskommunikation der Menschen inzwischen einen höheren Anteil als E-Mails verzeichnen.
Bei der Telefonie ist darüber hinaus oft noch nicht einmal eine Transportverschlüsselung gegeben, sondern es wird allein auf die Abschottung der Netze gesetzt. Wie spätestens aus den Snowden-Enthüllungen bekannt ist, ist dies ein unzureichender Ansatz. Hier besteht daher noch großer Entwicklungs- und Handlungsbedarf, um auch für Sprachtelefonie endlich sichere Ende-zu-Ende-Verschlüsselung allgemein zu etablieren. Derzeit ist man dafür zumeist noch auf Softwarelösungen wie die Sprachfunktionalitäten von Messengern angewiesen.
Was ist zu tun?
Servicebetreiber sollten ihre
Technik spätestens bis Ende 2019 auf TLS 1.3 aktualisieren. TLS ohne Forward
Secrecy sollte gar nicht mehr eingesetzt und die Unterstützung von TLS 1.2 bis Ende
2020 eingestellt werden. ETS (TLS 1.3e/eTLS) sollte nicht eingesetzt werden.
10.2 Messenger
WhatsApp
als Platzhirsch der Instant Messenger bekommt
2019 eine aus Sicht der Facebook-Betreiber lang ersehnte Funktion: Mit Werbung
soll der Dienst nun monetarisiert werden. Neben den bisherigen Kritikpunkten
Adressbuchabgleich und Metadatenanalyse (siehe 36. TB, Tz. 7.3) kommt nun
der Aspekt der zugeschnittenen Werbung hinzu. Vorausgesetzt, Facebook
möchte in seiner teuer erkauften Messaging-App
nicht nur generische Banner anbieten, muss das Verhalten der Nutzenden
analysiert werden, um auf sie angepasste Anzeigen auszuspielen. Bei
Redaktionsschluss war noch nicht bekannt, wie genau die Werbung beschaffen
sein wird – lediglich die Darstellung im Statusbereich der App ist bislang
bestätigt. Sicher ist hingegen, dass ein solches Angebot die App nicht
datenschutzfreundlicher machen wird. Immerhin bewahrt uns momentan die Ende-zu-Ende-Verschlüsselung
vor der Auswertung der Chatverläufe. Was die Medieninhalte angeht, existiert
allerdings nach wie vor ein fragwürdiger Passus in der Datenschutzerklärung
von WhatsApp: „Um die Leistung zu verbessern und Mediennachrichten effizienter
zuzustellen, beispielsweise wenn viele Personen ein beliebtes Foto oder Video
teilen, können wir solche Inhalte länger auf unseren Servern behalten. Wir
bieten außerdem eine Ende-zu-Ende-Verschlüsselung für unsere Dienste an, die
standardmäßig aktiviert ist [...]“
https://www.whatsapp.com/legal/?lang=de
(Abruf 01.02.2019)
Man könnte aus dieser Passage herauslesen, dass die
Verschlüsselung nicht für Medieninhalte gilt. Das widerspricht allerdings den
Aussagen des Entwicklers der Verschlüsselung, Moxie Marlinspike, dessen für
den Messenger „Signal“ entwickeltes Verfahren auch
bei WhatsApp zum Einsatz kommt: „[...] Signal Protocol support for all
WhatsApp communication across all WhatsApp clients [...] includes chats,
group chats, attachments, voice notes, and voice calls.“
https://signal.org/blog/whatsapp-complete/
(Abruf 04.02.2019)
Auch die für 2020 geplante Zusammenlegung von Facebook Messenger, Instagram und WhatsApp dürfte den Datenschutz nicht weiter nach vorn bringen: Zum einen könnte dies die Bereitschaft von Nutzenden weiter senken, datenschutzgerechtere Messenger zu verwenden, zum anderen steigt die Menge der für Facebook auswertbaren Metainformationen nochmals an. Daneben wird zunehmend deutlich, welche Macht von Facebook ausgeht, das schon jetzt den weitaus größten Teil der Kurznachrichtenkommunikation weltweit kontrolliert. Durch die Gestaltung der Dienste als Silo, in dem Kommunikation nur mit Nutzenden des eigenen Dienstes möglich ist, werden alternative Anbieter zunehmend unattraktiv, je mehr Nutzende Facebook für die eigenen Kundinnen und Kunden erreichbar macht. Bei Telefon, Briefpost oder E-Mail gilt es als selbstverständlich, mit Menschen unabhängig von ihrem Diensteanbieter zu kommunizieren. Auf dem Markt der Instant Messenger hingegen ist jeder Anbieter sein eigener Monopolist, der keine Konkurrenz im eigenen Netz fürchten muss. Alternative Messenger, die auf einen föderierten Ansatz ähnlich der Struktur von E-Mail setzen, existieren zwar, sind allerdings in Sachen Nutzerzahl den als Silo konzipierten Diensten weit unterlegen.
Gestaltung
als Silo
In IT-Anwendungen, die als Silo
gestaltet werden, werden die Daten in der Regel zentral von Anbietern
verwaltet. Es handelt sich um eine Insellösung, abgeschottet von anderen
Anwendungen. Bei Messengern bedeutet dies, dass die Nutzenden bei einem
Anbieter nicht mit den Personen bei anderen
Anbietern kommunizieren können – anders, als dies im Telefonnetz der
Fall ist.
Dass die Suche nach Alternativen zu WhatsApp mitunter Fallstricke bergen kann, zeigt der Messenger Telegram. Er bietet zwar ebenfalls eine Ende-zu-Ende-Verschlüsselung, diese muss aber manuell und für jeden Chat einzeln aktiviert werden. Wer die Aktivierung dieser Funktion vergisst, chattet lediglich transportverschlüsselt. Die Unterhaltung ist dann sogar weniger sicher, als dies bei WhatsApp der Fall gewesen wäre: Telegram speichert diese unverschlüsselten Chats auf seinen Servern und ist damit in etwa so sicher wie ein herkömmlicher Webmailer: Wer Zugriff auf das Konto erlangt, kann die Nachrichten auch aus der Ferne einsehen. Gruppenchats lassen sich in Telegram generell nicht verschlüsseln, hier werden stets alle Mitteilungen zentral gespeichert. Auf der Suche nach einem Messenger, der auch vor dem Diensteanbieter selbst schützt, ist Telegram also keine gute Wahl.
Was ist zu tun?
Nach wie vor lohnt sich ein Blick in
die Messenger-Übersicht bei Wikipedia: Viele Mitteilungsdienste unterstützen
standardmäßige Ende-zu-Ende-Verschlüsselung und verwenden etablierte Algorithmen
zur Verschlüsselung, einige sind sogar unter einer freien Softwarelizenz
erhältlich.
https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern [Extern]
10.3 Nutzerverfolgung durch Ultraschall
Nutzerverfolgung ist im Internet allgegenwärtig. Durch die Möglichkeiten, die Smartphones bieten, gewinnt das Thema allerdings erheblich an Brisanz.
Das liegt vor allem an der enormen Informationsdichte, die auf einem Smartphone vorliegt: Personenbezogene Daten werden hier nicht nur in Form von Fotos oder Kontakten gespeichert, sondern vor allem in Echtzeit erzeugt, wie z. B. Nutzungsverhalten oder die Daten der diversen Sensoren der Geräte. So kann ein Smartphone nicht nur seine GPS-Position bestimmen, sondern auch den Luftdruck, Beschleunigung, Erschütterungen oder Geräteausrichtung messen – man denke an „Wasserwaagen-Apps“.
Durch sogenannte Seitenkanalattacken lassen sich auf dem Smartphone vorliegende Informationen zweckentfremdet nutzen. So ist es beispielsweise gelungen, durch das Messen der Erschütterungen des Gerätes die auf dem Touchdisplay eingegebenen Kennworte zu rekonstruieren.
Nutzung von Ultraschall
auf Mobilgeräten
Unter Ultraschall versteht man
Frequenzen jenseits des menschlichen Hörvermögens, also höher als 20 kHz. Die
bekannteste Anwendung dieser Frequenzen ist die Sonografie in der Medizin.
Ultraschallsignale können von gewöhnlichen Lautsprechern erzeugt und von
ebenso gewöhnlichen Mikrofonen aufgezeichnet werden. Für das menschliche Ohr
sind sie nicht wahrnehmbar, können also auch unbemerkbar eingesetzt werden.
Auf Mobilgeräten lassen sich so kleinste Datenpakete per Tonübermittlung
übertragen – ähnlich dem Akustikkoppler aus den Anfangstagen der Vernetzung.
Durch Aussenden und Empfangen von Ultraschallsignalen können Geräte in räumlicher Nähe Informationen austauschen, ohne dass eine Datenverbindung im klassischen Sinn bestehen muss. Nutzen lässt sich so ein Verfahren z. B. in Schulungen, um den Austausch von Zugangsdaten zu erleichtern, indem Teilnehmende eine gemeinsame App starten, die dann alle umliegenden Geräte miteinander bekannt macht. Aber auch zum unbemerkten Verfolgen und Überwachen ist die Technik nutzbar. So gibt es Anwendungen, bei denen Ultraschallsignale in Fernsehsendungen eingebunden sind. Smartphone-Apps der Zuschauenden empfangen diese Signale und melden den Empfang weiter. Auf diese Weise kann der Medienkonsum der Nutzenden analysiert werden. Auch Kundenbewegungen in Supermärkten sind auf diese Weise erfassbar, wenn das Geschäft mit entsprechenden Ultraschallsendern ausgestattet ist und Apps der Nutzenden den Empfang melden. Dies wurde unter dem Stichwort „Ultrasound Cross-Device Tracking“ (uXDT, geräteübergreifende Nachverfolgung per Ultraschall) bekannt. Problematisch an solchen Varianten des Ausspähens ist vor allem, dass die zugrunde liegenden Aufzeichnungsverfahren vom Berechtigungskonzept der Smartphone-Betriebssysteme nur unzureichend erfasst werden. So brauchen Apps im Allgemeinen keine (technische) Berechtigung, um Erschütterungen, Kompassdaten oder den Lautsprecher zu verwenden. Die Verwendung des Mikrofons muss zwar genehmigt werden, wird aber von Nutzenden für gewöhnlich nicht mit der Verfolgung ihrer Position und Gewohnheiten assoziiert.
Was ist zu tun?
Smartphone-Nutzende sollten einmal
mehr auf Berechtigungen der installierten Apps achten. Insbesondere der
Zugriff auf das Mikrofon muss skeptisch betrachtet werden. Entwickler sollten
möglichst umfassende Transparenz in Bezug auf die Hardwarezugriffe ihrer Apps
herstellen.
10.4 Gelbe Punkte im Farbdruck
Multifunktionsgeräte (Netzgeräte mit Druck-, Kopier-, Scan-, Mail- und Fax-Funktionalitäten) sind heutzutage nahezu in jedem Behörden- oder Unternehmensnetz vertreten. Auch in Privathaushalten werden immer mehr dieser multifunktionalen Geräte eingesetzt. Damit diese Geräte unterschiedlichen Systemumgebungen und Anforderungen gerecht werden, sind sie mit umfangreichen Diensten ausgestattet, die einen angepassten Einsatz erlauben. Schon 2009 hat das ULD an seinem eigenen Multifunktionsgerät einen professionellen Penetrationstest vornehmen lassen. Die Ergebnisse wurden im 31. Tätigkeitsbericht des ULD (2009) sowie in einer technischen Handreichung (Beschreibung von Sicherheitsmaßnahmen beim Einsatz von Multifunktionsgeräten) dargestellt, die die Wichtigkeit der „Härtung“ von Multifunktionsgeräten unterstreicht.
https://www.datenschutzzentrum.de/tb/tb31/kap10.html#103
Doch Verantwortliche müssen nicht nur die Risiken aus netztechnischer Sicht beim Einsatz von Multifunktionsgeräten berücksichtigen. Auch die Kopien und Ausdrucke von Multifunktionsgeräten und Farblaserdruckern selbst können ein Risiko darstellen. Der Grund dafür liegt im üblicherweise nicht sichtbaren Bereich, bei den Yellow Dots.
Yellow Dots
„Yellow
Dots“, „Tracking Dots“ oder „Machine Identification Code“: Diese
Begriffe bezeichnen mikroskopisch kleine, für das bloße Auge nicht sichtbare
und in einem Raster angeordnete gelbe Punkte, die einen Ausdruck so eindeutig
kennzeichnen, dass er bis zum Drucker zurückverfolgbar ist.
Das Problem ist nicht neu, schon 2004 hat die Firma Canon für die Einbettung einer unsicht-baren eindeutigen Gerätekennung den Big Brother Award in der Kategorie Technik erhalten. Bis zum Jahr 2017 hat die Electronic Frontier Foundation (EFF – https://www.eff.org/) eine Liste der Farblaserdrucker geführt und regelmäßig aktualisiert, die Yellow Dots in ihre Farbdrucke integriert haben. Danach wurde diese Liste nicht weiter aktualisiert, da davon ausgegangen wird, dass heute jeder Farblaserdrucker einen individuellen Machine Identification Code in Form von Yellow Dots auf Farbausdrucke integriert.
Das ULD hat im Rahmen einer Neubeschaffung eines Multifunktionsgeräts den Planungs- und Beschaffungsprozess sowie den praktischen Einsatz des neuen Multifunktionsgerätes unter die Lupe genommen. Dabei standen besonders die Fragen zur Verwendung von Yellow Dots im Vordergrund, u. a.:
- Werden bei dem Multifunktionsgerät Yellow Dots verwendet?
- Wenn ja, ist die Verwendung von Yellow Dots dokumentiert?
- Wenn ja, welche Informationen sind in den Machine Identification Code hineincodiert?
- Wenn ja, gibt es eine Möglichkeit, das Aufdrucken der Yellow Dots zu unterbinden?
Im Ergebnis lässt sich festhalten, dass sich während der Entscheidungsfindung für ein entsprechendes Multifunktionsgerät weder vom Lieferanten noch vom Hersteller ausreichende Informationen darüber einholen ließen, ob die Funktionalität der Yellow Dots bei ihrem Gerät eingesetzt wird. Somit konnte die Geräteauswahl nur anhand der technischen Systemspezifikationen vorgenommen werden.
Während der Einführungsphase des neuen Multifunktionsgeräts in den Räumen des ULD wurden sowohl die definierten Funktionalitäten und Sicherheitsfunktionen implementiert und getestet als auch zusätzlich intensiv überprüft, ob Yellow Dots auf Farbkopien ausgebracht werden bzw. ein Machine Identification Code verwendet wird.
Die Grundlage der Untersuchungen zum Machine Identification Code ist eine farbige Vorlage, die mit den standardmäßig vorgegebenen Farbprofilen kopiert wurde. Technisch gesehen besteht „Kopieren“ aus dem Einscannen der Vorlage und dem anschließenden Ausdruck. Daher ist jede Kopie auch ein Ausdruck. Auf allen Kopien, die mit einem Farbprofil erstellt wurden, konnten die Yellow Dots mit einem Mikroskop (siehe Abbildung) eindeutig nachgewiesen werden. Auf Ausdrucken, die mit dem Druckprofil „Schwarz“ erstellt wurden, konnten keine Yellow Dots nachgewiesen werden.
Abbildung: Vergrößerte Darstellung der Yellow Dots
Eine zusätzliche Untersuchung der Kopien mit Schwarzlicht zeigte neben dem Nachweis, dass Yellow Dots vorhanden sind, auch eine systematische Anordnung der Punkte. Dazu wurde ein Bereich der Farbkopie vergrößert und mit Schwarzlicht angestrahlt (siehe Abbildung). Das Ergebnis zeigt, dass der komplette Ausdruck mit einem punktförmig angeordneten Code überzogen ist.
Abbildung: Sichtbare Yellow Dots unter Schwarzlicht
Mithilfe von Kontrast, Farb- und Stilisierungsfiltern wurde das Bild so bearbeitet, dass es für die Augen einfacher ist, ein eventuelles Muster zu identifizieren. In der folgenden Abbildung sind zur besseren Erkennbarkeit einige markante Punkte zusätzlich rot eingefärbt. Es ist deutlich nachweisbar, dass es sich hier um ein wiederkehrendes Muster handelt.
Abbildung: Wiederkehrendes Muster (zur besseren Erkennbarkeit nachträglich rot eingefärbt)
In Anlehnung an die Entschlüsselung des Machine Identification Code des Multifunktionsgeräts Xerox DocuColor 12 durch die EFF (2005), die im Code eines 8 x 15-Punktrasters die Seriennummer und den Zeitstempel des Drucks decodieren konnte, ist davon auszugehen, dass in der Anordnung der Punkte die Seriennummer des Gerätes sowie Datum und Uhrzeit des Druckes codiert sind.
Über die Verwendung der Yellow Dots, die sich auf den Farbkopien des Multifunktionsgeräts befinden, wird weder auf der Webseite des Herstellers, in der Systemspezifikation noch in der Bedienungsanleitung des Gerätes hingewiesen. Der Hersteller reagierte auf Anfrage zur Yellow-Dot-Problematik mit einem allgemeinen Hinweis auf das Kennzeichnungs- und Banknotenerkennungssystem und einen Verweis auf die Webseite Banknotes & Counterfeit Deterrence der Central Bank Counterfeit Deterrence Group.
Eine ausführliche Handreichung über diese Untersuchung zu den Yellow Dots kann auf der ULD-Webseite heruntergeladen werden:
https://www.datenschutzzentrum.de/artikel/1274-Yellow-Dots.html
Was bedeutet das Ergebnis für die praktische Arbeit mit diesen Geräten in Behörden und Unternehmen? Jede Farbkopie, die mit einem Multifunktionsgerät erzeugt wird, enthält eine zurückverfolgbare Spur zu diesem Gerät. Der Code kann auf den Farbkopien eindeutig nachwiesen werden; unklar ist allerdings, welche Informationen in dem Code gespeichert sind. Die notwendige Transparenz liefern weder die Handbücher, Dokumentationen und Systemspezifikationen noch eine Anfrage beim Hersteller. Somit ist eine Farbkopie nicht mehr für eine (vermeintliche) vertrauliche Kommunikation zu verwenden, denn es werden auf einer zusätzlichen (nicht mit dem bloßen Auge sichtbaren) Ebene zusätzliche Daten auf der Farbkopie gespeichert, die nicht den Transparenzanforderungen entsprechen.
Setzt das ULD das Multifunktionsgerät ein? Ja, aber mit stark eingeschränkten Funktionalitäten, einer restriktiven Konfiguration und einer starken Sensibilisierung und organisatorischen Anweisungen an die Mitarbeitenden. Alle Nutzerinnen und Nutzer sind darüber informiert, dass jede Farbkopie so gekennzeichnet ist, dass sie bis zum erzeugenden Gerät zurückverfolgbar ist. Somit muss jede Mitarbeiterin und jeder Mitarbeiter bei der Nutzung des Gerätes entscheiden, inwieweit eine Zurückverfolgbarkeit des Dokuments oder der Datei in ihrem oder in seinem Verantwortungsbereich vertretbar ist. Im Zweifelsfalle ist es besser, auf eine Farbkopie zu verzichten und auf eine Schwarz-Weiß-Kopie auszuweichen.
Was ist zu tun?
Dieses Beispiel zeigt eindrucksvoll
auf, dass beim Einsatz technischer Geräte zur Datenverarbeitung das Risiko von
Datenspuren besteht. Das Wissen um diese Tatsache sollte bei allen
Mitarbeitenden in die Arbeitsabläufe und Prozesse mit einfließen, um eine Weitergabe
von personenbezogenen oder anderweitig vertraulichen Daten zu verhindern und um
eine unbeabsichtigte Nachverfolgbarkeit von selbst erzeugten Dateien (auf
Papier oder elektronisch) zu unterbinden oder zumindest zu erschweren.
10.5 Test mit Echtdaten
Das LDSG-neu enthält zum Thema Testen eine Regelung in § 7 Abs. 1 (und parallel in § 40 Abs. 4 zur Umsetzung der EU-Richtlinie 2016/680) sowie Verweise auf die Datenschutzverordnung (§ 7 Abs. 2 und § 40 Abs. 5 LDSG-neu), die aber nach dem Außerkrafttreten der Datenschutzverordnung am 31.12.2018 leerlaufen. Dennoch ist es hilfreich, sich an diesen Regelungen zu orientieren.
Die dort genannten Regelungen beziehen sich auf den Test von technisch-organisatorischen Datensicherheitsmaßnahmen, die vor der Freigabe zu erfolgen haben. Hintergrund ist, dass vor der Aufnahme der Produktion Gewissheit über die Zuverlässigkeit und Wirksamkeit der Datensicherheitsmaßnahmen herrschen soll.
Werden Echtdaten für Entwicklungszwecke verarbeitet, besteht die Gefahr, dass solche Daten unbefugt verbreitet werden. Sie werden dann in einer Weise verarbeitet, bei der die Wirksamkeit der Datensicherheitsmaßnahmen (noch) unklar ist. Ebenso wäre dies eine Zweckdurchbrechung, denn die Daten sind üblicherweise nicht für Entwicklungszwecke erhoben worden. Eine Nutzung durch Dritte (Entwickler) wäre zudem als Auftragsverarbeitung abzubilden und dürfte durch den Entwickler nicht für eigene Zwecke verwendet werden – kein realistisches Szenario. Daher dürfen Echtdaten nicht für Entwicklungszwecke eingesetzt werden; eine Nutzung könnte aber mit anonymisierten Daten erfolgen.
Davon unabhängig sind fachliche Tests in der Bereitstellungsphase der Software, insbesondere bei Softwareupdates. Zwar ist die Integrität der Datenverarbeitung eines der laut Art. 5 Abs. 1 Buchst. f DSGVO zu erreichenden Ziele, doch erstrecken sich diese Regelungen der DSGVO nicht primär auf die fachliche Korrektheit von Entscheidungen oder Berechnungen, sondern auf den Schutz von Daten vor unbefugter Manipulation und Schädigung. Allerdings kann man in Art. 5 Abs. 1 Buchst. e DSGVO im Begriff „Richtigkeit der Daten“ durchaus den Anspruch der DSGVO sehen, dass eine Datenverarbeitung korrekte Ergebnisse zu liefern hat.
Eine solche Sicht gebieten die fachlichen Tests in der Bereitstellungsphase mit Systemen, die möglichst nahe an die Echtsysteme herankommen (sowohl im Hinblick auf die Daten als auch die Software). Sofern es sich bei dem „Test“ um Abnahmetests handelt, kann man dies unter „Wartung“ subsumieren; insofern präzisiert hier § 3 LDSG-neu die Regelungen von Art. 5 Abs. 1 Buchst. e DSGVO durch eine Präzisierung der Zwecke, die mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar sind. Dies steht aber unter dem Vorbehalt, dass schutzwürdige Interessen der betroffenen Personen nicht entgegenstehen.
Für Abnahmetests im Rahmen einer Wartung bedeutet dies, dass unter Umständen Kopien eines Echtdatenbestandes eingesetzt werden können. Voraussetzungen sind:
- Eine Durchsicht der Dokumentation, insbesondere des „Changelogs“, zeigt keine Gefährdungen der Datensicherheit und des Datenschutzes durch neue Funktionalitäten oder Schnittstellen („jetzt mit Cloud-Anbindung“). Sollte dies allerdings der Fall sein, müssen eventuell notwendige Sicherungsmaßnahmen vor dem Test implementiert werden.
- Die Verwendung anonymisierter Daten ist unverhältnismäßig.
- Die Verarbeitung (hier: fachliche Tests) erfolgt durch Personen, die zur Nutzung der Daten im Echtbetrieb befugt sind (d. h. keine Durchbrechung von Zugriffsbefugnissen).
- Die Tests erfolgen in einer isolierten Umgebung, die den gleichen Datenschutz- und Sicherheitsmaßnahmen unterliegen wie die Echtsysteme.
- Die Tests haben keinen Einfluss/keine Rückkopplung auf die Echtdaten (isolierte Umgebung); es darf auch keine Verwechslungsgefahr bestehen oder Bescheide/Ausgaben aus Testsystemen als Echtbescheide versandt werden. Daher ist hier eine besondere Aufmerksamkeit geboten.
- Die Datenkopien auf den Testsystemen werden nach den Tests umgehend gelöscht.
Wenn stattdessen anonymisierte Daten zum Einsatz kommen, können sie auf den Testsystemen verbleiben – dies spricht ebenfalls für den Einsatz anonymisierter Testdaten. Ebenso lassen sich die Testergebnisse mit anonymisierten Daten besser dokumentieren, denn ein Test darf nicht dazu führen, dass personenbezogene Daten über die fachliche Erforderlichkeit hinaus gespeichert werden, nur weil sie als Testfall verwendet und daher in die Dokumentation aufgenommen wurden.
Details sind in Abschnitt 2.2 der Orientierungshilfe „Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb“ zu finden:
https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Projekt-Produktivbetrieb.pdf [Extern]
Was ist zu tun?
Der Einsatz von Echtdaten zu
Testzwecken ist nur unter engen Voraussetzungen und unter Wahrung der
Zugriffsberechtigungen und Sicherheitsanforderungen im Rahmen einer Wartung
zulässig.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |