Sicherheit in der Informationstechnologie „LÜKEX 2011“

2. Dezember 2011

Das Bundesministerium des Inneren hat vom 30.11.2011 bis zum 01.12.2011 eine länderübergreifende Krisenmanagement-Übung LÜKEX („Länderübergreifende Krisenmanagement-Übung/EXercise“) zu Cyber-Attacken durchgeführt. Trainiert wurde das Zusammenwirken von mehreren betroffenen Ressorts auf Bundesebene mit den Krisenstäben der Länder sowie ausgewählten Unternehmen. Der Übung, an der 2.500 Beteiligte aus 12 Bundesländern teilgenommen haben, lag eine fiktive Übungslage zugrunde, die die Krisenstäbe in Bund und Ländern mit einer ganzen Reihe von Schadensereignissen – u.a. massiven Spam-Angriffen, Schadpro- grammen sowie einer mutwillig herbeigeführten Überlastung von Systemen – in den Verwaltungen sowie beteiligten Wirtschaftsunternehmen konfrontiert hat.

Bundesinnenminister Friedrich hat am Ende des zweiten Übungstages eine positive Zwischenbilanz gezogen. Die LÜKEX-Übung habe „das Bewusstsein für IT-Abhängigkeiten und Bedrohungen sowie die Notwendigkeit kontinuierlicher Übungstätigkeit weiter geschärft“. „Mit der von der Bundesregierung im Februar dieses Jahres beschlossenen Cyber-Sicherheitsstrategie für Deutschland wollen wir eine nachhaltige Cyber-Sicherheit in Deutschland gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.“, teilte er mit. Gemeinsam mit allen Beteiligten sollen die Ergebnisse der Übung in den kommenden Monaten detailliert ausgewertet werden. (sa)

UK: Verlust von Notebooks seitens des Verteidigungsministeriums

Das britische Verteidigungsministerium hat in einem Blogeintrag bekannt gegeben, dass binnen der letzten 18 Monate über 150 Notebooks von Mitarbeitern verloren gegangen oder sonst abhanden gekommen sind, wobei lediglich 20 Geräte nachträglich lokalisiert und zurückerhalten wurden. Dies sei auf die Größe und organisatorische Komplexität des Verteidigungsministeriums zurückzuführen, die den Verlust von Geräten „unvermeidbar“ machen würden. Das Ministerium beteuerte indes, dass wenn Verschlüsselungsmaßnahmen keine Option seien, stets alternative Sicherheitsvorkehrungen getroffen würden. „Prozesse, Regeln und technische Hilfsmittel unterliegen einer konstanten Überprüfung, um die Auswirkungen menschlicher Fehler abzuschwächen und das Bewusstsein des Einzelnen für seine Verantwortung zu erhöhen. Die Genauigkeit, mit der wir solche Fälle von Verlust und Diebstahl aufzeichnen, zeigt schon, wie wichtig wir sie nehmen.“, teilte es mit. Weiteren Medienberichten zufolge kamen im gleichen Zeitraum zudem 18 Mobiltelefone, 10 Blackberry-Smartphones und 194 CDs oder DVDs abhanden. Welche Daten auf diesen Datenträgern gespeichert waren bzw. ob diese verschlüsselt wurden, sei nicht bekannt. Es soll lediglich kommuniziert worden sein, dann man solche Verluste ernst nehme und versuche, den Verlust an Informationen zu minimieren. (sa)

Düsseldorfer Kreis: Anonymes und pseudonymes Bezahlen von Internetangeboten

1. Dezember 2011
Der Düsseldorfer Kreis – eine Vereinigung der deutschen Aufsichtsbehörden, die die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen –  hat einen jüngst veröffentlichten Beschluss zum anonymen und pseudonymen elektronischen Bezahlen von Internetangeboten gefasst. Anbieter von Telemedien sind danach explizit aufgefordert, ihren gesetzlichen Verpflichtungen aus § 13 Abs. 6 Telemediengesetz bei der Einführung von kostenpflichtigen Inhalten nachzu- kommen. Es müsse stets ein Bezahlungsverfahren angeboten werden, das „auf der ganzen Linie“ anonym oder mindestens pseudonym ausgestaltet ist. Eine Zahlung über pseudonyme Guthabenkarten würde die datenschutzrechtlichen Anforder- ungen erfüllen. Es reiche dagegen nicht aus, wenn sich z. B. der Inhalteanbieter für die Abwicklung der Zahlverfahren eines Dritten bedient und dieser eine Identifizierung der Betroffnen verlangt.

Besorgt äußerten sich die Mitglieder des Düsseldorfer Kreises überdies zu dem aktuellen Gesetzentwurf der Bundesregierung zum Geldwäschegesetz. Dieser könnte zur Folge haben, dass das anonyme elektronische Bezahlen gesetzlich unterbunden wird. Damit würde die Intention des Telemediengesetzes, die pseudonyme bzw. anonyme Nutzung von Telemedien zu ermöglichen,  zunichte gemacht. Daher werde die Forderung der 82. Konferenz der Datenschutz- beauftragten des Bundes und der Länder am 28./29. September 2011 in München unterstützt, die Möglichkeit zum elektronischen anonymen Bezahlen, insbesondere für Kleinbeträge (sog. „Micropayment“), zu erhalten. (sa)

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

IFK: Aufnahme der Informationsfreiheit in das Grundgesetz und die Landesverfassungen

29. November 2011

Die 23. Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) verabschiedete unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Schaar am gestrigen Tage eine Entschließung zur Informationsfreiheit, die darauf abzielt, die Transparenz staatlichen Handelns auf Bundes- und Landesebene zu verstärken. Demokratie und Rechtsstaat könnten sich nur dort wirklich entfalten, wo auch die Entscheidungsgrundlagen staatlichen Handelns offen gelegt würden. Eine verfassungsrechtliche Verankerung der Informationsfreiheit sei insofern geboten. Daneben sei auch die Implementierung eines Anspruches auf freien Zugang zu amtlichen Informationen in das Grundgesetz und – sofern noch nicht erfolgt – in die Landesverfassungen von Nöten. Auf diese Weise würden öffentliche Stellen verpflichtet, vorliegende Informationen grundsätzlich öffentlich zugänglich zu machen. (sa)

Bundesrat: Einspruch gegen Gesetz zur Änderung des TKG

28. November 2011

Der Bundesrat hat bezüglich der Ende Oktober vom Bundestag beschlossenen Novelle des Telekommunikationsgesetzes (TKG) Änderungswünsche angemeldet und den Vermittlungsausschuss angerufen, so dass sich die Verabschiedung wohl verzögern wird. Er möchte eigenen Angaben zufolge hierdurch zahlreiche medienpolitische Verbesserungen erreichen und sicherstellen, dass künftige Verordnungen der Bundesregierung zur Förderung der Transparenz und Kostenkontrolle auf dem Telekommunikationsmarkt mit seiner Zustimmung erfolgen. Die Änderungswünsche betreffen u.a. die Beteiligung der Länder an den möglichen zukünftigen Erlösen des Bundes aus Frequenzversteigerungen, weil sich diese zweckgebunden für den Breitbandausbau verwenden ließen. Des weiteren sei die Implementierung einer Regelung von Nöten, die der Erleichterung des Zugangs zu alternativen Infrastrukturen wie öffentlichen Wasserleitungen oder Abwasserkanälen zum Zweck des Telekommunikationsnetzausbaus zu dienen bestimmt ist. Die Nutzung von Frequenzen solle effizienter und flexibler gestaltet werden. (sa)

BfDI: Forderung nach gesetzlicher Weichenstellung für Datenschutz im Internet

25. November 2011

Im Rahmen der von der Google Deutschland GmbH am gestrigen Tage initiierten Veranstaltung „DatenDialog“, die der Diskussion über Privatsphäre und Daten- schutz im Internet diente, kritisierte der Bundesbeauftragte für den Datenschutz und die Informations- freiheit (BfDI) Schaar Medienberichten zufolge die gesetz- geberische Inaktivität der Bundesregierung in Sachen Datenschutz im Internet. Sie verpasse dahingehend wichtige Weichenstellungen und berufe sich lediglich auf Selbstregulierungen der Industrie, die generell nicht hinreichend seien. „Die Unternehmen schaffen eine Realität, mit der sich der Gesetzgeber immer schwerer tut. Der Markt allein werde Probleme nicht lösen.“, so Schaar. (sa)

Kategorien: Allgemein
Schlagwörter: ,

Landesregierung NRW: Versand von „stillen SMS“

24. November 2011

Die nordrhein-westfälische Landesregierung hat aufgrund einer Kleinen Anfrage der Landtagsfraktion der Linken mitgeteilt, dass im Jahr 2010 nach polizeilichen Erhebungen in Nordrhein-Westfalen in insgesamt 778 Ermittlungsverfahren 255.784 Ortungsimpulse (sog. stille SMS) an 2644 Mobilfunkteilnehmer zur Aufenthaltsbestimmung versendet wurden. Wie viele Ortungsimpulse hiervon ein Endgerät tatsächlich erreicht haben, könne jedoch nicht beziffert werden, da keine Zustellung an Endgeräte, die z.B. wegen Ausschaltung nicht betriebsbereit sind oder im Ausland betrieben werden, erfolgt. Eine nachträgliche „Zustellung“ solcher Ortungsimpulse finde nicht statt, ein Verkehrsdatum würde insoweit nicht erzeugt.

Mittels des richterlich angeordneten Versands von stillen SMS wird ein Mobiltelefon technisch veranlasst, mit dem Mobilfunknetz Kontakt aufzunehmen, ohne dass bei dem empfangenden Endgerät eine Aktivität erkennbar wird. Der Ortungsimpuls verfügt nicht über kommunikative Inhalte, sondern ist ein rein technischer Impuls zur Ortung des Endgerätes. Da lediglich ein Kommunikationsvorgang simuliert wird, greift Art. 10 Grundgesetz, der das Brief-, Post- und Fernmeldegeheimnis regelt, nicht ein. Werden mehrere Ortungsimpulse kurz nacheinander gesendet, besteht die Möglichkeit, Bewegungen (z.B. Fluchtwege) in Echtzeit zu bestimmen. Stille SMS werden zur Aufklärung von Straftaten von erheblicher Bedeutung, z.B. Verfolgung von schwerer oder organisierter Kriminalität eingesetzt. (sa)
Kategorien: Allgemein
Schlagwörter: ,

Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

„Drücken“ und „Ziehen“ – Kritik am geplanten Fluggastdaten-Abkommen zwischen der EU und den USA

Wie bereits berichtet, hat sich die EU-Kommission mit den USA auf ein neues Fluggastdaten-Abkommen (PNR-Abkommen) geeinigt, das die Erhebung von 19 Daten legitimieren soll. Zu diesen Daten gehören Name, Anschrift, Kreditkartennummer, Telefonnummer, Reiseverlauf, Gepäckinformationen, Sitzplatz und auch das im im Flugzeug bestellte Essen. Diese Daten werden nicht ausschließlich von Personen erhoben, die in die USA einreisen, sondern auch von solchen Passagieren, die im Laufe ihrer Reise über die USA fliegen.

Nach dem Bekanntwerden der Pläne ist umgehend Kritik an den neuen Plänen laut geworden. Stein des Anstoßes ist insbesondere folgende Regelung: Obwohl die Fluggesellschaften im Regelfall die Daten an die US-Behörden übermitteln sollen (Push-Methode), können die US-Behörden die Daten doch eigenmächtig aus dem Buchungssystem der Airlines entnehmen (Pull-Methode), wenn eine Übermittlung durch die Gesellschaften technisch nicht möglich ist, oder eine „dringende und ernste Gefahr“ besteht, die es abzuwehren gelte.

Peter Schaar drückte gegenüber der Berliner Zeitung seinen Unmut über diese Regelung aus, weil sie es den US-Behörden doch ermögliche direkt auf den gesamten Datensatz, welcher auch sensible Daten enthalte, zuzugreifen. Der Bundesdatenschutzbeauftrage störte sich weiterhin daran, dass die Daten ohne Anfangsverdacht und Erforderlichkeitsnachweis jahrelang von den US-Behörden gespeichert werden dürften.

Auch Jan Philipp Albrecht, der für die Grünen im EU-Parlament sitzt, sprach von einer „Mogelpackung“, die keine substanziellen datenschutzrechtlichen Verbesserungen im Vergleich zur Vorversion brächte und aus verfassungsrechtlichen Gründen abzulehnen sei. Als „nicht zustimmungsfähig“ erachtet der liberale EU-Parlamentarier Alexander Navaro den Entwurf und moniert insbesondere, dass den USA weitergehendere Befugnisse zugestanden würden, als dies für Kanada und Australien der Fall sei.
Der unabhängige österreichische EU-Abgeordnete Martin Ehrenhauser wirft der Kommission gar vor, dass diese gezielt die Unwahrheit verbreite und mit Hilfe eines „Datenwäsche-Tricks“ Bürgerrecht umgehe.

Zum Inkrafttreten des Abkommens ist neben der Zustimmung der Mitgliedsstaaten auch die Zustimmung des EU-Parlaments notwendig. Einem PNR-Abkommen mit Australien stimmte das EU-Parlament kürzlich zu. Im Gegensatz zum geplanten Abkommen mit den USA bleibt den australischen Sicherheitsbehörden jedoch der eigenmächtig Pull-Zugriff auf die Daten verwehrt. Nichtsdestotrotz darf bezweifelt werden, dass die weitergehenden Zugriffsrechte der US-Behörden dazu führen, dass das EU-Parlament seine Zustimmung verweigert. (se)

1 153 154 155 156 157 171