Kernpunkte:
- Anonymisierung und Schwärzung in Dokumenten
- Die Faxen dicke
- Impfzertifikate: prüfen, fälschen, stehlen
10 Aus dem IT-Labor
10.1 Anonymisierung und Schwärzung in Dokumenten
Die fachgerechte Anonymisierung und Schwärzung von Dokumenten beschäftigt das ULD weiterhin. Schon in vergangenen Tätigkeitsberichten haben wir auf die Tücken bei der Anonymisierung elektronischer Dateien hingewiesen (36. TB., Tz. 10.4 und 39. TB, Tz. 10.3). Mittlerweile zeigen sich die angesprochenen Risiken auch in der Praxis: Uns erreichen Meldungen nach Artikel 33 DSGVO über Datenschutzverletzungen durch ungenügend anonymisierte Unterlagen, bei denen im Zuge einer Offenlegung der Dokumente, beispielsweise durch eine Veröffentlichung, personenbezogene Daten unbefugt offenbart wurden.
Im Rahmen von Transparenzverpflichtungen wird die Offenlegung von Unterlagen, Gutachten, Verträgen usw. zunehmen, besonders im öffentlichen Bereich, der Anforderungen der Informationsfreiheits- und Transparenzgesetze erfüllen muss. Da hierbei Portale und Webseiten zum Einsatz kommen, sind diese Dokumente dann – anders als die frühere Auslage von Papierdokumenten in Amtsräumen z. B. in einem Zeitraum von zwei Wochen zur Einsichtnahme – weltweit und oft dauerhaft verfügbar. Selbst wenn ungenügend anonymisierte Dokumente entdeckt und von den Portalen entfernt werden, bleiben sie häufig dennoch in Suchmaschinenergebnissen und Webarchiven verfügbar. Daher ist eine besondere Sorgfalt bei der Anonymisierung geboten.
Dies kann leichter gelingen, wenn die Anonymisierung nicht erst im fertigen PDF-Dokument vorgenommen wird, sondern vor dessen Erstellung im zugrundeliegenden Textdokument stattfindet. In der Textverarbeitung oder Tabellenkalkulation können Schwärzungen durch schlichtes Löschen erfolgen und müssen nicht, wie im PDF-Format nötig, mit anderen Objekten überlagert und verschmolzen werden. Bereinigt man das Textdokument danach um die enthaltenen Metadaten, ist eine gute Ausgangsbasis für ein wirklich anonymisiertes PDF-Dokument geschaffen.
Bei der Beauftragung Dritter (z. B. zur Erstellung von Gutachten, Vertragsentwürfen o. ä.) kann man die Erstellung von zwei Versionen zum Auftragsgegenstand machen: eine Vollversion und eine zur Veröffentlichung geeignete Version, die um sensible Informationen bereinigt wurde. Zwar muss der Verantwortliche auch in dieser bereinigten Version überprüfen, ob sie tatsächlich zur Veröffentlichung geeignet ist – schließlich können noch Informationen enthalten sein, die aus Sicht des Auftragnehmers unkritisch sind – jedoch nicht vom Verantwortlichen so herausgegeben werden dürfen. Aber zumindest die Entfernung von Adress-, Autoren- und Metadaten aus einem Dokument kann Gegenstand des Auftrags sein. Die fertiggestellten Auftragsdokumente sollten zudem dem Verantwortlichen in einer weiterbearbeitbaren Form übergeben werden, also nicht ausschließlich im PDF-Format, sondern parallel in einem offenen Dateiformat. Da zum Zeitpunkt der Auftragsvergabe mögliche Offenlegungsgründe und „Schwärzungsbedürfnisse“ womöglich nicht vollständig bekannt sind, muss die auftraggebende Stelle die Möglichkeit haben, Anonymisierungen und Schwärzungen hinreichend flexibel anzupassen. Dies geschieht am besten im ursprünglichen Dokument und nicht in der finalen PDF-Version.
10.2 Die Faxen dicke?
Seit der Einführung im Bereich der deutschen Bundespost im Jahr 1979 hatte sich das Fax in geschäftlichen und behördlichen Kommunikationsprozessen einen festen Platz gesichert. Dies nicht zuletzt, weil auch manche Fristwahrung auf den allerletzten Drücker „vorab per Fax“ doch noch eingehalten werden konnte. Rechtlich war eine Übermittlung von Willenserklärungen per Fax seit Längerem akzeptiert. Nun mehren sich Berichte, dass es dabei wohl nicht bleiben wird (siehe auch Tz. 4.5.3).
Für Aufsehen sorgten im letzten Jahr nicht nur die Hinweise mancher Datenschutzaufsichtsbehörden, die zur Abkehr vom Fax mahnten. Auch ein erstes Oberverwaltungsgericht entschied, dass die Übermittlung personenbezogener Daten per Fax ohne gesonderte Sicherheitsvorkehrungen den Anforderungen der DSGVO nicht entspricht (OVG Lüneburg, Beschluss vom 22.07.2020 – 11 LA 104/19, https://openjur.de/u/2263419.html [Extern] ). Nicht nur die Rechtslage hat mit der DSGVO eine Auffrischung erhalten.
Der technische Fortschritt hat nämlich auch den Faxdienst nicht verschont, und damit ist nicht nur der sicherlich bemerkenswerte Umstieg von Thermo- zu Normalpapier gemeint. Relevante Veränderungen für die rechtliche Bewertung von Faxdiensten gab es an mehreren Stellen. So war das Telefonnetz, über das ein Fax übertragen wird, ursprünglich ein Verbund relaisgeschalteter Leitungen, woraus sich vergleichsweise wenige Möglichkeiten für Angreifende ergaben, auf Kommunikationsinhalte zuzugreifen. Inzwischen sind die Telefonnetze allerdings auf IP-Technik umgestellt, sodass sämtliche Herausforderungen der Systemsicherheit, mit denen sich Administrationen von Firmen- oder Behördennetzen heutzutage täglich konfrontiert sehen, auch diese betreffen. Diese Problematik betrifft gleichermaßen die Telefonie ohne Ende-zu-Ende-Verschlüsselung.
Auch auf Empfangsseite stehen nur noch selten Endgeräte, die Faxe tatsächlich auf Papier ausdrucken. Meist werden ankommende Faxe als Grafik in eine PDF-Datei eingebettet und dann per E-Mail weitergeleitet. Während beim Papierfax nicht ohne zusätzliche Maßnahmen sichergestellt werden kann, wer da nun eigentlich alles einen Blick draufwirft, und damit eine Vertraulichkeit nicht gegeben ist, bleiben auch beim E-Mail-Versand Probleme: Zwar gibt es einerseits mehr Möglichkeiten, Faxnachrichten zielgenau zu adressieren (persönliche Faxnachrichten anstelle eines Faxversands an ein Gerät, auf das eine Vielzahl von Personen Zugriff hat), doch durch die Umsetzung als E-Mail besteht in externen und internen Netzen die gleiche Problematik hinsichtlich der IT-Sicherheit wie bei EMails. Dies kann auch den Faxversand betreffen, wenn Mail-to-Fax-Gateways oder Web-dienste zum Einsatz kommen. War ein Fax früher nach dem Ausdruck aus den übertragenden Systemen verschwunden, können nun an vielen Stellen Kopien verbleiben, die bei gezielten Angriffen oder den immer wieder bekannt werdenden Infektionen mit Ransomware (verschlüsselnde Erpressungs-Trojaner) ebenfalls betroffen sind.
Insgesamt betrachtet kann daher die Sicherheit von Fax im Vergleich zum Versand unverschlüsselter E-Mail nicht mehr als höher beurteilt werden.
Dass das Fax trotz der für aktuelle technische Verhältnisse miserablen Übertragungsqualität immer noch eingesetzt wird, liegt neben Gewöhnung auch daran, dass es sich um ein offen standardisiertes System handelt, das mit Endgeräten beliebiger Hersteller genutzt werden kann. Niemand ist gezwungen, ein bestimmtes Gerät oder eine bestimmte Software zu kaufen oder zu verwenden. Das Fax sollte daher durch einen ebenso offen standardisierten und insbesondere herstellerunabhängigen digitalen Übertragungsweg mit sicherer Ende-zu-Ende-Verschlüsselung abgelöst werden.
Was ist zu tun?
Die bisherige rechtliche Einordnung von Faxdiensten ist auf den Prüfstand zu stellen, da sich die technischen Realisierungen maßgeblich verändert haben und für die Kommunikationspartner nicht ersichtlich sind. Pauschal kann das Fax nicht mehr als sicherer als unverschlüsselte E-Mails betrachtet werden.
Personenbezogene Daten sollten ausschließlich so übermittelt werden, dass unbefugte Dritte darauf keinen Zugriff erlangen können. Dazu bietet sich eine Ende-zu-Ende-Verschlüsselung an.
10.3 Digitale Impfzertifikate: prüfen, fälschen, stehlen
Die Vorläufer des Impfpasses waren im 17. Jahrhundert „Bescheinigungen der Pestfreiheit“: Dokumente, deren vorrangiger Zweck es war, die Ein- und Durchreise von Personen in Zeiten großer Infektionsgefahren zu erleichtern. Das gelbe Impfbuch, wie wir es kennen, dient hingegen primär der Dokumentation der eigenen Impfhistorie, um Impflücken oder Doppelimpfungen auszuschließen. Mit der fortschreitenden Coronapandemie wird aus dem gelben Büchlein jedoch wieder das, was schon die „Bescheinigung der Pestfreiheit“ war: ein Garant für den Zugang zu vielen Bereichen des Alltags. Dieser Bedeutungszuwachs bringt jedoch Probleme mit sich. So war das gelbe Impfbuch nie sonderlich manipulationssicher, was in Zeiten von 2G-Beschränkungen (Nachweis, dass eine Person geimpft oder genesen ist) des öffentlichen Lebens für einige Menschen den Anreiz schafft, sich statt um eine Impfung lieber um die Fälschung des Impfstatus zu kümmern.
Gegen das schlichte Umheften der betreffenden Seiten eines Impfpasses ist wenig auszurichten. Abgesehen von der Papierfarbe lassen sich solche Manipulationen höchstens an malträtierten Heftklammern erkennen. Hier rächt sich, dass die Seiten des Impfpasses nicht individualisiert sind, wie es bspw. beim Reisepass der Fall ist, wo die Ausweisnummer in alle Einzelseiten eingestanzt ist. Überhaupt lässt der Impfpass grundlegende Sicherheitsmerkmale vermissen. So kann man gefälschte Impfpässe bei professionellen Fälscherbanden für wenig Geld bestellen, bei denen eine erfolgreiche Corona-Impfung samt gefälschter Chargen-Aufkleber bereits eingetragen ist. Für fachfremde Personen, zu denen man in diesem Fall das Personal für Türkontrollen und in der Gastronomie zählen muss, sind diese Ausweise nicht als Fälschung zu identifizieren. Gewiss fallen geübten Kontrolleuren Inkonsistenzen zwischen dem Ort der Impfung, den Chargennummern und den Datumsangaben auf. Derlei Plausibilitätsprüfungen können allerdings nur mit zusätzlichem Hintergrundwissen und der nötigen Akribie erfolgreich sein.
Corona-Warn-App
App des RKI zur Kontaktverfolgung mittels Bluetooth-Entfernungsmessung. Die App kann seit einiger Zeit auch das Impfzertifikat von mehreren Personen speichern und ermöglicht das „Einchecken“ in bestimmte Orte, die einen QR-Code zur Kontaktverfolgung ausweisen.
CovPass-App
App des RKI zur Speicherung von Impfzertifikaten. Die CovPass-App kann die Zertifikate von mehr als einer Person verwalten, beispielsweise bei Familien.
CovPassCheck-App
App des RKI zur Prüfung der Gültigkeit von vorgezeigten digitalen Impfzertifikaten, z. B. für eine Einlasskontrolle. Die App speichert keine Zertifikate und kann offline verwendet werden. Zur Aktualisierung der Liste gesperrter Zertifikate ist eine periodische Netzverbindung notwendig.
Spätestens, wenn aus einem manipulierten Impfpass ein digitales Impfzertifikat erstellt wurde, ist der Papierbetrug noch besser getarnt. Durch den Umstand, dass die impfenden Ärzte neben dem Impfpass nicht gleich auch ein digitales Zertifikat ausstellen, sind Betroffene in der Regel gezwungen, zu diesem Zweck in Apotheken vorstellig zu werden. Dort muss dann anhand weniger Indizien wie Stempel, Unterschrift und Chargen-Aufkleber die Echtheit des vorgelegten Papierdokuments geprüft werden. Vonnöten sind nicht nur Sorgfalt und Integrität der Apotheken-Mitarbeitenden, sondern auch eine vertrauenswürdige Informationstechnik der Apotheken. Diese setzen zum Verarbeiten der Zertifikatsdaten u. a. das Webportal des Deutschen Apothekerverbands (DAV) ein, das allerdings bis zum Sommer 2021 eklatante Sicherheitslücken aufwies. So gelang es beispielsweise, Fantasie-Apotheken in diesem Portal zu registrieren und technisch betrachtet echte Zertifikate für den längst verstorbenen Robert Koch zu erstellen. Nun sollte es bei hierarchisch aufgebauten digitalen Zertifikaten eigentlich möglich sein, Schwindler unter den Ausstellern zu ermitteln und deren Zertifikate gezielt zu sperren (revozieren). Da anfangs die digitalen Impfzertifikate jedoch keine Angaben über die konkrete Apotheke enthielten, war ein gezieltes Zurückziehen ausgeschlossen. Immerhin wurde zwischenzeitlich an dieser Front nachgebessert, aber es bleibt die Frage, warum solche groben Schnitzer überhaupt möglich waren.
Aber auch beim Einsatz der digitalen Zertifikate gibt es Fallstricke und Hürden. Besorgte Bürgerinnen und Bürger fragten sich, wie ein unbefugtes Kopieren des QR-Codes beim Scannen im Rahmen einer Überprüfung verhindert werden könne. Die unbefriedigende Antwortet lautet: in letzter Konsequenz gar nicht.
Zum Prüfen eines digitalen Impfzertifikats benötigt die Prüfperson die CovPassCheck-App des Robert Koch-Instituts (RKI). Kommt diese zum Einsatz, wird das Zertifikat gescannt, geprüft, aber nicht anderweitig gespeichert.
Ob die prüfende Person jedoch wirklich die korrekte App einsetzt, ist für die Betroffenen im Allgemeinen nicht zu ermitteln. So könnte die prüfende Person anstelle der CovPassCheck-App auch die CovPass-App einsetzen, die jedes gescannte Zertifikat speichert – und dabei optisch der Check-App ähnelt. Was für Familien mit mehreren Kindern praktisch ist, wird beim Gastwirt oder bei der Türsteherin schnell zum Zertifikate-Sammelalbum. Es ist also durchaus denkbar, dass digitale Impfzertifikate in den Händen unbefugter Dritter landen, ohne dass wirksame Gegenmaßnahmen vorstellbar wären.
Umso wichtiger ist es, dass Prüfende wirklich einen Abgleich des im Zertifikat hinterlegten Namens mit einem gültigen Ausweisdokument vornehmen. Der oftmals anzutreffende Blick mit Profi-Augen auf den vorgezeigten QR-Code reicht da nicht. Auf Basis des Status Ende 2021 ist zu fordern, dass die beiden Apps optisch voneinander unterscheidbar gemacht werden, sodass auf den ersten Blick erkennbar ist, ob hier eine Check- oder Speicher-App am Werke ist.
10.4 Filterlisten: Kontrollverlust durch DNS-, Werbe- und Inhaltsfilter
Wie sieht das heutige World Wide Web aus? Auf der einen Seite stehen Software- und Inhaltsschaffende, die zur Monetarisierung ihrer Dienstleistungen personenbezogene Daten sammeln und Werbung ausspielen. Auf der anderen Seite stehen die Nutzenden, unter denen sich viele von diesem Vorgehen unwohl oder belästigt fühlen. Als Konsequenz haben sich diverse Formen der digitalen Gegenwehr durch Software-Tools etabliert, die wiederum regelmäßig von den Werbetreibenden torpediert werden – ein Katz-und-Maus-Spiel. Mitunter geht nicht einmal die Hälfte aller Netzverbindungen eines durchschnittlichen Smartphones auf Aktivitäten der nutzenden Person zurück; der weitaus größte Teil des Datenverkehrs findet im Hintergrund und ohne inhaltlichen Mehrwert statt, wenn Apps mit Werbenetzwerken Informationen austauschen.
Als probates Mittel für die Nutzenden, solche Datenverbindungen wenigstens teilweise zu kontrollieren, haben sich Filterprogramme herausgestellt, die aufzubauende Datenverbindungen analysieren, bewerten und beeinflussen können. Dabei kann die Filterung auf dem jeweiligen Gerät erfolgen oder auf ein extern vorgeschaltetes Gerät ausgelagert werden. Die am weitesten verbreitete Variante stellen Werbeblocker im Browser dar. Als nachladbares Modul (Add-on) kontrollieren sie den Datenfluss und gleichen aufzurufende Webadressen mit Listen ab, auf denen Werbetreibende, Trackingdienste und Malware-Verteiler verzeichnet sind. Externe Geräte, die als Proxy den Datenverkehr filtern, setzen ebenfalls solche Listen ein.
Domain Name System (DNS)
Um den Aufruf von Webressourcen zu vereinfachen, übersetzt das Domain Name System die IP-Adressen, mit denen Computer untereinander kommunizieren, in verständliche Buchstabenkombinationen. Auf diese Weise kann z. B. die ULD-Webseite (www.datenschutzzentrum.de) erreicht werden. Im Hintergrund wird diese Zeichenfolge vom DNS in die IP-Adresse 213.178.69.184 übersetzt.
Technisch betrachtet findet hier zumeist eine DNS-Filterung statt: Wenn eine App Kontakt zu einer Domain aufnehmen möchte, wird eine sogenannte DNS-Abfrage erzeugt, um die passende IP-Adresse der Domain zu ermitteln. Dorthin werden die Datenpakete dann gesendet. Viele Filter setzen an dieser DNS-Abfrage an und ermitteln, nach welchen Domains gefragt wurde. Handelt es sich um eine als unerwünscht klassifizierte Domain, wird die Zieladresse als nicht erreichbar zurückgemeldet. Die anfragende App geht dann davon aus, dass keine Netzverbindung besteht. Legitime bzw. erwünschte Domains hingegen lässt der Filter passieren, sodass hier eine nahtlose DNS-Auflösung erfolgen kann.
Auf der Seite der Inhaltsschaffenden werden solche Bestrebungen natürlich bemerkt und es wird versucht, mit allerlei Maßnahmen das Vorhandensein eines Filters festzustellen. Das Ergebnis solcher Werbeblocker-Blocker sind weitere Filterlisten, die eben diese Maßnahmen erkennen. Werbeblocker-Blocker-Blocker – fast wie beim Wettrüsten.
Dabei ist der zugrundeliegende Konflikt oft nicht deutlich. Wer eine Webseite betreibt und Werbung schaltet, möchte zumeist seine Arbeit monetarisieren. „Webseite gegen Werberezeption“ lautet die vordergründige Formel. Tatsächlich ist der Preis, den die Lesenden zahlen, ein anderer: „Webseite gegen personenbezogene Daten UND Werberezeption“. Die personenbezogenen Daten, die zum Ausspielen der Werbung erhoben werden, machen das oberflächlich betrachtet faire Tauschgeschäft zu einem fragwürdigen Deal: Nutzende kennen den Wert ihrer Daten nicht. Neben Zeit und Aufmerksamkeit „zahlen“ sie also in Form von Nutzungsdaten in einer unbekannten Währung. Will man sich vor dem Abfließen von Nutzungsdaten schützen, kommt dies zumeist einer Blockade jeglicher Werbung gleich.
Aber die Technik eignet sich nicht nur, um sich gegen Werbung und Nutzungsverfolgung zur Wehr zu setzen. Es gibt spaßige Filter, die Webseitentexte mit Einhörnern umformulieren, und ernsthafte, die sogenannte Hate-Speech finden und die Beschimpfungen durch aufmunternde Worte ersetzen können. Ebenso existieren Filter, die geschlechtergerechte Ausdrücke in die Sprachästhetik des vergangenen Jahrhunderts zurückwandeln.
Das Risiko solcher Filter – seien es nun Werbe- oder Formulierungsfilter – liegt in deren Redaktion. Denn praktisch werden Filterlisten einmalig eingerichtet und keiner regelmäßigen nennenswerten Prüfung unterzogen. Oft werden auch schlicht die Standardlisten der eingesetzten Software beibehalten. Was dann genau der Filterung zum Opfer fällt, ist im Alltag nur mit Mühe zu rekonstruieren. De facto übereignen Nutzende mit der Einrichtung von Webfiltern die Darstellung der rezipierten Inhalte einer dritten Instanz. Das ist umso bedenklicher, je mehr die Filter neben dem Blockieren auch eine Ersetzung oder Adaption der Inhalte vornehmen. Niemand wird etwas dagegen haben, Beschimpfungen in freundliche Worte zu verwandeln. Eine Technik, die das kann, wäre jedoch prinzipiell auch in der Lage, jedweden anderen Inhalt zu ersetzen und beliebige Bedeutungsveränderungen vorzunehmen. Die Kontrolle der Filter- und Ersetzungslisten bedeutet somit die Kontrolle über sämtliche dargestellten Inhalte.
Webfilter bestimmen nicht nur darüber, was wir nicht sehen, sondern zunehmend auch über das, was wir sehen, lesen und aufnehmen. So entsteht ein neuer Aspekt der sogenannten Filterblase, in der Nutzende sich befinden. Diesmal sind es jedoch nicht nur multinationale Konzerne, die mit undurchsichtigen Algorithmen Einfluss darauf nehmen, welche Inhalte wir zu Gesicht bekommen. Die oftmals von vielen Beitragenden gemeinsam in Open-Source-Manier erstellten Listen und Programme zum Filtern, die bewusst und aktiv von den Nutzenden eingesetzt werden, prägen fortan deren Sicht auf die Online-Welt entscheidend mit. Dies alles bewirkt nicht nur einen Kontrollverlust für jede und jeden Einzelnen, sondern kann auch über die Beeinflussung von Meinungen oder Verstärkung extremer Positionen unserer demokratischer Gesellschaft Schaden zufügen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |