Das Datenschutz-Blog

Wie es aussieht, wenn man als Politiker an der Realität vorbei entscheidet, hat Anfang der Woche die Niederländische Regierung erfahren müssen, wie zu lesen ist:

Die niederländische Regierung schlägt Alarm: Zwei deutsche Forscher und ein Professor aus Nijmegen haben den Verschlüsselungs-Algorithmus der Mifare RFID-Chipkartentechnik von Halbleiterhersteller NXP unabhängig voneinander geknackt. Eine Milliarde Chipkarten, die die Funktechnik einsetzen, sind nun nicht mehr sicher.

Das ist hart. Dabei ist die Technik doch so sicher und auch in Deutschland will man auf Regierungsseite warten, bis was passiert. Was für Folgen das haben kann, kann man auch im kleinen schon jetzt nachlesen:

Ein Programmierer hat unter dem Pseudonym Bla auf Google Code den Algorithmus veröffentlicht, mit dem es möglich ist, die Verschlüsselung von MiFare-Chips zu knacken. [...] Mit Hilfe von Crapto1 und einem handelsüblichen RFID-Leser können sich Nutzer also Freifahrten im Nahverkehr sowie unbefugten Zutritt zu Gebäuden verschaffen.

Ist doch ein Traum: Zuerst führt man über die Politik flächendeckend eine Technik ein die man nicht versteht – und im Nachhinein knackt sie jemand um dann in kürzester Zeit die Technik via Internet zu verbreiten.

Unsere “Die Daten sind sicher”-Bundesregierung konnte sich wieder im Bundestag blossstellen. Ich zitiere aus einer Bundestags-Meldung:

Die Deutsche Angestellten Krankenkasse (DAK) hat nach Angaben der Bundesregierung Daten von rund 200.000 Patienten zur Rekrutierung von Teilnehmern für ein Gesundheitsförderungsprogramm an eine private Firma weitergegeben. In ihrer Antwort (16/10314) auf eine Kleine Anfrage der Fraktion Bündnis 90/Die Grünen (16/10204) bezieht sich die Regierung auf eine Stellungnahme der DAK an das Bundesversicherungsamt (BVA).

Die Regierung schreibt, in dem Programm des Gesundheitsdienstleisters “Healthways” seien zirka 40.000 Versicherte eingeschrieben. Die DAK habe dem BVA versichert, dass nur noch Daten von im Programm eingeschriebenen Versicherten bei “Healthways” vorgehalten würden und alle übrigen Daten gelöscht seien.

Nach der Mitteilung des BVA sei davon auszugehen, dass in der Vergangenheit neben Identifizierungsdaten der Versicherten auch Leistungsdaten übermittelt worden seien. “Dieses auch aus Sicht der Bundesregierung problematische Vorgehen wurde von der DAK zwischenzeitlich abgestellt”, heißt es. Weiter unterstreicht die Regierung, sie könne noch keine abschließende Bewertung zu dem Fall abgeben. Die aufsichtsrechtliche Prüfung des Sachverhaltes durch das BVA laufe.

Wenn man sich das aktuelle Telekom-Debakel ansieht, gibt es bei den großen Konzernen (meine wenigen Erfahrungen bei anderen grösseren Unternehmen mit Endanwender-Bezug sind mitunter erschreckend) kein Grund sich zurückzulehnen.

Dennoch stelle ich schon fest, dass mit wachsender Größe die Problematik Datenschutz/Datensicherheit zumindest irgendwo präsenter wird – während gerade kleine mittelständische “Unternehmen” (ich denke besonders an Rechtsanwälte und Ärzte, wo sich auch sehr sensible Daten befinden) das Thema vor sich herschieben. Nicht nur aufgrund des zunehmenden öffentlichen Interesse sehe ich da im Jahr 2009 einen grösseren Anspruch auf solche Unternehmen zurollen. Gerade bei Rechtsanwälten wird der Elektronische Rechtsverkehr zu einem Umdenken schrittweise zwingen, ausserdem wird es in der evt. abflauenden Wirtschaftsphase ein zunehmender Wirtschaftsfaktor werden.

Es geht aber noch weiter: Zum einen lese ich gerade bei Heise, dass ein gewerbliches WLAN mitunter schlechter geschützt ist als ein Privates. Auch wenn sich hier auf das AUsland bezogen wird: Ein kurzer Gang mit einem PDA durch eine deutsche Stadt lässt da Böses ahnen.

Beitrag weiterlesen »

Eine Mitteilung des Bundesverbraucherministeriums:

Die Übermittlung von Standortdaten an Dritte und somit die Ortung von Mobiltelefonen soll künftig nur noch dann möglich sein, wenn der Betroffene “ausdrücklich, gesondert und schriftlich” zugestimmt hat. Dies hat das Bundeskabinett im Rahmen der Gegenäußerung zur Stellungnahme des Bundesrats zur ersten Änderung des Telekommunikationsgesetzes beschlossen. [...]

Eine Mitteilung, wo sich jemand befindet, betrifft jedoch die Persönlichkeit erheblich. Daher hat sich das Bundesverbraucherministerium für die Regelung eingesetzt, nach der Ortungen nur zulässig sind, wenn der Handyinhaber bewusst eingewilligt hat. Zusätzlich soll über die Zahl der erfolgten Ortungen spätestens bei der fünften Standortfeststellung informiert werden.

Dazu auch Heise.

Ich berichte hier auf Schwarz-Surfen.de von einem weiteren Fall des Schwarz-Surfens, der sich gemeldet hat. Interessante Fallkonstellation.

Die Verhandlung vor dem BVerfG zu den Wahlmaschinen hat begonnen. Dazu nur aus dem Heise Artikel dieser Absatz:

“Habe ich das richtig verstanden?”, fragte daraufhin Berichterstatter Mellinghoff ungläubig zurück: “Die Programmierungssoftware ist nicht Gegenstand der Prüfung?”

Ich lehne mich mal ganz weit aus dem Fenster und prophezeie bei dieser Geschichte die letzte grosse Schlappe (in einer Reihe von vielen) für unsere aktuelle Regierung vor dem Wahlkampf. Ansonsten verweise ich auf meinen gestrigen Kommentar und bin über die Naivität unserer Politiker zunehmend entgeistert.

1) Ausblick in die Zukunft?

Jedenfalls was die aktuellen Umfragen angeht, könnte ein Blick nach Bayern zugleich ein Blick in die Zukunft sein: Dort einigten sich CDU/FDP heute, wie es Sicherheitspolitisch weitergehen soll. Die Infos dazu gibt es bei Heise gut zusammengefasst.

2) Manipulierte Mäuse-Erinnerungen

Lesenswert ist ein Artikel bei TechnologyReview in dem dargestellt wird, dass die Erinnerungen von Mäusen zielgerichtet gelöscht wurden. Man munkelt schon, wie das beim Menschen eingesetzt werden kann. Ohne jetzt philosophisch zu werden hier nur der Hinweis, dass dies als Zeichen gesehen werden sollte, endlich Begriffe wie “Datenschutz” weit auszulegen. Schon seit längerem plädieren Forscher dafür, bei dem Thema auch an Gedanken zu denken – momentan vor allem was die unerwünschte Auswertung (Lesevorgang) angeht, zu denken ist an Polygraphen (Lügendetektoren). Langfristig muss man aber auch über den Eingriff nachdenken, speziell durch Medikamente.

Der CCC hat seinen Bericht zur Wahlbeobachtung Ende September 2008 nun im Volltext veröffentlich, hier zu finden.

Links dazu: Heise, DerWesten und Bundestag. Es ist wiedermal erheiternd, wie auf Bundestag.de ein Jurist und Politiker (Lebenslauf zu dem bei Bundestag.de zitierten Dr. Carl-Christian Dressel hier einsehen), dem CCC (!) erklärt dass er keine Ahnung hat. Schmerzbefreit, was anderes kann man dazu nicht mehr sagen. Das traurige ist, wie man es von unseren Entscheidern kennt, dass wieder das alte Motto durchklingt mit dem auch schon “Datenschutz” betrieben wird:

Da zudem auch die Einspruchsführer keinen einzigen Fall einer Unregelmäßigkeit, einer Manipulation oder einer sonstigen Auffälligkeit bei der Bundestagswahl 2005 geschildert haben, [...]

Vorher ist es nie vorhersehbar und es ist ja nix passiert. Erst wenn was passiert ist, sind dann Überraschung und Geschreih gross.

Eine alte Idee oder besser ein altes Schreckgespenst, taucht plötzlich wieder auf: Das “mithören” von Eingaben auf kabelgebundenen Tastaturen. Bereits in den 90ern mal thematisiert gibt es nun eine neue Studie, die zeigt, dass man mit sehr geringem Aufwand selbst aus 20 Meter Entfernung noch mithören kann.

Erste Infos gibt es hier, es ist abzuwarten was daraus wird.

Nur Kurz: Die Big Brother Awards 2008 wurden verliehen. Und ja, ich war schon wieder nicht da – von den dortigen Aktivisten wird mich aber auch keiner vermissen

Zu den Preisen: Freuen über eine Auszeichnung können sich Bundestag, Telekom, BWM GLos, Yello mit seinem Stromsparzähler und (alle zusammen ein Preis ) die vier Verbände: Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute, die Arbeitsgemeinschaft Sozialwissenschaftliche Institute, den Berufsverband Deutscher Markt- und Sozialforscher und an die Deutsche Gesellschaft für Online-Forschung.

Na dann: Herlichen Glückwunsch.

Bei Chip gibt es ein ebook kostenlos zum Download mit über 300 Seiten zum Thema Sicherheit im Internet – zu finden hier. Es ist auf Endanwender ausgelegt und ordentlich geschrieben, auf jeden Fall lohnt es sich, mal reinzusehen.

Nur kurz der Hinweis: Es wird stärker forciert (vor allem von der französischen Regierung), Fluggastdaten zu sammeln und auszuwerten – auch bei innereuropäischen Flügen.

Für mich ist das Anlaß, nochmals auf meine Erklärung zu verlinken, was “PNR” (“Passenger Name Records”) sind und was da eigentlich gespeichert wird – zu finden hier. Es ist komisch das zu sagen, aber auch dieses Wissen ist heute Standard für reisende Bürger in der EU.

Dazu ORF Futurezone und Heise.

Eine Pressemeldung vom Bundesdtaenschutzbeauftragten – die besprochene Webseite ist zur Zeit im Aufbau, ich bin kritisch und gespannt:

Das vom Jugendserver Saar, einem Internetportal für Jugendliche im Saarland, und dem Landesdatenschutzbeauftragten des Saarlands ins Leben gerufene Projekt wird am 27.10.2008 im Illtalgymnasium im Beisein von Peter Schaar, dem Bundesdatenschutzbeauftragten, vorgestellt. Im Anschluss daran wird Schaar mit den Schülerinnen und Schülern über die Gefahren im Umgang mit persönlichen Daten diskutieren. Dazu Heike Weber, Vorstand Landesjugendring-Saar: “Mit diesem Portal wollen wir Jugendliche sensibilisieren, z.B. mit privaten Fotos und Kontaktdaten vorsichtiger umzugehen.”

Ob in sozialen Netzwerken wie schülervz, auf Seiten wie spickmich.de oder der eigenen Homepage: gerade im Internet scheinen Kinder und Jugendliche ihre persönlichen Daten sorglos preis zu geben. Doch fehlt es bisher auch an Angeboten für Kinder und Jugendliche, sich über die Gefahren zu informieren. Hier will www.datenparty.de helfen.

“Es ist wie beim Autofahren,” erklärt Schaar, “Jugendliche können zwar schon an die Pedale kommen und ordentlich Gas geben, sie kennen aber die Gefahren noch nicht und landen so leicht im Graben. Der Datenschutz will kein Kindermädchen sein und etwa soziale Netzwerke verbieten. Doch jeder Mensch muss wissen, was er tut und welche Risiken er dabei eingeht.”

Das Illtalgymnasium wurde ausgewählt, da der Jugendserver Saar dort ein Modellprojekt mit 13-jährigen Schülerinnen und Schülern sowie deren Eltern zu Medien- und Sozialkompetenz in sozialen Netzwerken durchgeführt hat.

Endlich gibt es wieder eine Studie zum Thema Datesnchutz und Technik, diesmal in Form einer Umfrage – die herzlich wertlos ist und bestenfalls tief blicken lässt. So wurde “Experten” befragt, vornehmlich aus Wissenschaft und Wirtschaft. Da wundert es nicht, dass bei der Frage

Informationen werden zum Sicherheitsrisiko – wer soll personenbezogene Daten schützen?

An erster Stelle (mit 86%) “Jeder einzelne selbst” steht, gefolgt von Staat (81%) und erst dann Wirtschaft (66%). Zustimmen kann man sicherlich der Einschätzung auf Seite 15, dass der Trend dahin geht, dass “digitale Spuren” im Netz “besser nachverfolgbar” sind.
Ich denke, wir werden in den nächsten Jahren den Sprung von der faktischen De-Anonymisierung zur eindeutigen Identifizierung schaffen. Weiterhin bleibe ich bei meiner These, dass nach endgültiger Umstellung auf IPV6 jeder Bürger bei der Bundesnetzagentur eine IP-Adresse beantragen muss, mit der er dann erst bei einem Provider einen Internetzugang freischalten kann. Düsterer Ausblick? Es ist ja nur eine Prognose von mir…

Zuzustimmen ist jedenfalls kurzfristig den vorhergesagten Trends zu mehr Freizügigkeit und einer steigenden Bedeutung der “digitalen Identität”, wobei ich wiederum glaube, dass der Trend sein wird, digitale und reale Identität zu verschmelzen. Beeindruckend ist, dass immerhin 10% meinen, mehr Privatsphäre wäre ein Trend.

Interessant ist am Rande (Seite 20) dass man sich wohl nicht einig ist, wie die Zukunft der Öff-Rechtlichen ist. Ebenfalls interessant ist der zunehmende Einschlag des Umweltschutzes (Seiten 23, 32, 33) der neben dem Datenschutz als zu lange unteschätzter Wirtschaftsfaktor angesehen werden muss.
Wie viel Geld Unternehmen und Politik in diesen Bereich dank schlechter Förderung verschenkt haben steht wohl in den Sternen. Die IKT selbst hat es nicht begriffen, wenn man das Fazit liest: Trotz der eindeutigen Stellungnahmen vorher, findet man im Fazit dann nur noch den Hinweis “Kann einen Beitrag zum Umweltschutz leisten” – wenn man ein paar Seiten vorher festgestellt hat, dass Umweltschutz (oder anders: Weniger Energieverbrauch) ein Wettbewerbsvorteil ist, sollte man das Fazit anders zusammen fassen können.

Die Studie ist hier (PDF) zu finden.

Spätestens mit dem elektronischen Mahnverfahren wird das Thema endlich für jeden Rechtsanwalt Pflicht: Die digitale Signatur. Ich habe mich schon einige Zeit mit dem Thema beschäfitgt, zuletzt auf dem EDV-Gerichtstag, und muss feststellen, dass man (a) als halbwegs kundiger Nutzer eigentlich keine echten technischen Infos von den Anbietern erhält und (b) die Preise doch recht fantastisch sind.

Momentan glaube ich einen recht guten Überblick zu haben über die juristischen Anbieter und bin auch sehr frustriert. Bevor ich eine Entscheidung treffe, was zum Einsatz kommt, und auch was dazu schreibe, möchte ich die hier mitlesenden Anwälte bitten, mir kurz ihre Erfahrungen per Mail (keine Kommentare) zu schicken an jf@ferner-law.com. Ich bin dankbar für Hinweise zu Anbietern, Produkten, Erfahrungen und getroffenen Entscheidungen zum Thema digitale Signaturkarte (im Mahnverfahren) bei Rechtsanwälten.

Die gesammelten Erfahrungen kommen am Ende allen zu Gute da sie in den abschliessenden Artikel einfliessen. Eines am Rande, auch an die Anbieter: Es häufen sich (scheinbar zu Recht) bei mir Bechwerden, dass Seminare zum Thema zunehmend zu Werbeveranstaltungen verkommen. Muss nicht sein, es geht auch dezenter.