DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Helm­pflicht für das Internet?

Vor kurzem hat der Bun­des­ge­richtshof ent­schieden, dass Rad­fahrer bei unver­schul­deten Unfällen auch dann einen vollen Anspruch auf Scha­den­ersatz haben, wenn sie ohne Helm unterwegs waren. Die Dis­kussion über die Ein­führung einer Helm­pflicht für Fahr­rad­fahrer ist damit zunächst vom Tisch. Dafür wird derzeit über den Vor­schlag dis­ku­tiert, eine Ver­schlüs­se­lungs­pflicht im Internet ein­zu­führen. In einem Interview plä­dieren die für den Ver­brau­cher­schutz zustän­digen Staats­se­kretäre im Bun­des­mi­nis­terium der Justiz und für Ver­brau­cher­schutz, Ulrich Kelber und Gerd Billen, dafür:

“iRights.info: Sollte man über­legen, ob man E‑Mail-Anbieter dazu ver­pflichtet, als Stan­dard­ein­stellung eine Ende-zu-Ende-Ver­­­schlüs­­selung anzu­bieten? Oder greift das zu sehr in die Auto­nomie der Unter­nehmen ein?

Ulrich Kelber: Das ist einer unserer Vor­schläge für die euro­päische Daten­­schutz-Grun­d­­ver­­­ordnung. Das läuft unter dem Stichwort Daten­schutz oder privacy by design. Der Anbieter muss als Vor­ein­stellung eine nach dem Stand der Technik sichere Variante anbieten – die der wis­sende Kunde, wenn er möchte, für sich unsi­cherer machen kann. Das hat bei WLAN-Routern funk­tio­niert: Alle Router, die ver­kauft werden, müssen ein vor­ein­ge­stelltes sicheres Passwort und Ver­schlüs­selung haben. Das kann ein zusätz­liches Geschäftsfeld für Anbieter sein, das durchaus lukrativ ist und mit dem sie werben könnten.

Gerd Billen: Der Sicher­heitsgurt bei Autos ist auch einmal vor­ge­schrieben worden. Das hat wun­derbar gewirkt, die Zahl der Toten und Ver­letzten ist zurück­ge­gangen. Bei ele­men­taren Fragen von Sicherheit muss man schauen, was schreibt man vor. Wenn wir vor­schreiben, dass wir in neuen Woh­nungen überall Feu­er­melder haben müssen, dann kann man auch mit gutem Recht recht­fer­tigen, dass bei einem all­täglich genutzten Dienst wie E‑Mail eine Ver­schlüs­selung grund­legend ist.”

http://irights.info/artikel/wir-muessen-bei-jeder-regelung-mit-bedenken-ob-sie-auch-im-digitalen-raum-passt/23367

Die Initiative aus dem Justiz- und Ver­brau­cher­schutz­mi­nis­terium stößt auf Wider­spruch, etwa bei dem Bun­des­mi­nister des Inneren Thomas de Mai­zière, der unter Bezug­nahme auf die geringe Bereit­schaft von Betrof­fenen, ihre Daten zu ver­schlüsseln, in einer Rede am 23. Juni in Berlin aus­führt: “Hier muss sich etwas ändern! Aber das können und wollen wir nicht staatlich ver­ordnen. Hier setzen wir — nicht zuletzt auch aus grund­sätz­lichen ord­nungs­po­li­ti­schen Erwä­gungen heraus — auf die Selbst­or­ga­ni­sation von Wirt­schaft und Gesell­schaft im Sinne einer Hilfe zur Selbsthilfe.”

http://www.bmi.bund.de/SharedDocs/Reden/DE/2014/06/dud.html

Offenbar besteht auch in der Frage der Daten­ver­schlüs­selung die aus anderen Bereichen bekannte Gefechts­linie zwi­schen den Befür­wortern einer Regu­lierung und dem Ansatz der frei­wil­ligen Selbst­re­gu­lierung. Aller­dings ist in den letzten Jahren über­deutlich geworden, dass die Erwartung, allein durch Selbst­or­ga­ni­sation und Selbst­re­gu­lierung der Wirt­schaft gesetz­liche Rege­lungen zum Daten­schutz und zur Daten­si­cherheit ent­behrlich zu machen, eine Illusion ist: Der Daten­schutz­kodex für Geo­da­ten­dienste, der im Anschluss an die Dis­kussion über Google Street View nach meh­reren Jahren endlich ins Werk gesetzt wurde, bleibt hinter den Zusagen zurück, die Google der zustän­digen Ham­burger Daten­schutz­be­hörde gegeben hatte — und seine prak­tische Bedeutung ist gering. Der Ansatz zur Selbst­re­gu­lierung sozialer Netz­werke ist völlig gescheitert. Warum sollte es bei der Daten­ver­schlüs­selung anders laufen? Schon jetzt zeigt sich etwa, dass Unter­nehmen, deren Geschäfts­mo­delle auf der Aus­wertung der Meta- und Inhalts­daten der Nutzer basiert, an einer umfas­senden Ver­schlüs­selung nicht inter­es­siert sind.

Bei dem aus dem Justiz- und Ver­brau­cher­schutz­mi­nis­terium ange­kün­digten Vor­schlag geht es – anders als bei der Helm­pflicht – nicht um eine Bevor­mundung des Nutzers, sondern um eine Gewähr­leis­tungs­pflicht der Anbieter von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­diensten. Eine zen­trale Erkenntnis aus den Snowden-Ver­­­öf­­f­en­t­­li­chungen darf nicht in Ver­ges­senheit geraten: Nur öffentlich doku­men­tierte, sauber imple­men­tierte und sorg­fältig ein­ge­setzte Ver­schlüs­se­lungs­ver­fahren machen es Lau­schern und Über­wa­chern schwer bis unmöglich, die über­tra­genen Daten mit­zu­lesen. Ver­schlüs­selung bleibt also das Mittel der Wahl, um ver­trau­liche Daten zu schützen — wenn der Rahmen stimmt.

Wer heut­zutage E‑Mail- und sonstige Tele­kom­mu­ni­ka­ti­ons­dienste anbietet, muss den aktu­ellen und abseh­baren Gefahren für die Ver­trau­lichkeit und Inte­grität der Infor­ma­tionen Rechnung tragen. Auf die exzes­siven Prak­tiken zur umfas­senden Regis­trierung und Aus­wertung der Kom­mu­ni­kation – sowohl der Inhalte als auch der Meta­daten  – muss mit ver­bes­sertem Schutz geant­wortet werden. Für dessen Gewähr­leistung sind in erster Linie die­je­nigen ver­ant­wortlich, die ent­spre­chende Dienste anbieten. Der Rahmen für der­artige Angebote muss aller­dings für sämt­liche Anbieter gleich sein (“level playing field”) und die Nutzer müssen sich darauf ver­lassen können, dass Ihre Daten nicht abgehört, kopiert oder zu Pro­filen zusam­men­ge­fasst werden.

Die Ende-zu-Ende Ver­schlüs­selung muss dabei flan­kiert werden durch eine sichere Ver­bin­dungs­ver­schlüs­selung. Während die Ver­bin­dungs­ver­schlüs­selung das Aus­lesen der Meta­daten  (ins­be­sondere wer mit wem kom­mu­ni­ziert) durch Dritte ver­hindert, sichert die Ende-zu-Ende Ver­si­cherung die Kom­mu­ni­ka­ti­ons­in­halte. Nur wenn beides gewähr­leistet ist, kann man von einem zeit­ge­mäßen Schutz der elek­tro­ni­schen Kom­mu­ni­kation reden. Der Staat hat – darauf  hat das Bun­des­ver­fas­sungs­ge­richt wie­derholt hin­ge­wiesen – einen Schutz­auftrag gegenüber den Bür­ge­rinnen und Bürgern. Diesem Schutz­auftrag ent­spricht es, die gesetz­lichen Rah­men­be­din­gungen  an den Stand der Technik anzu­passen. Vor­gaben zur Daten­ver­schlüs­selung sind deshalb dringend erfor­derlich — mög­lichst auch auf euro­päi­scher Ebene.

 Aller­dings kann eine solche gesetz­liche Regelung nicht jedes Detail fest­legen. Vieles spricht dafür, die kon­kreten Vor­gaben und Stan­dards mittels Selbst­re­gu­lierung fest­zu­legen. Regu­lierung und Selbst­re­gu­lierung könnten sich auf diese Weise sinnvoll ergänzen. Unab­hängig von Rege­lungen — welcher Art auch immer — , sollten Unter­nehmen und Nutzer nicht untätig bleiben: Die bestehenden Ansätze für einen ver­bes­serten Schutz der Kom­mu­ni­kation müssen genutzt und aus­gebaut werden.

Bild: © Hof­schläger / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.