Nach Safe-Harbour ist vor Safe Harbour: Eskalation vermeiden

Das Urteil war inhaltlich überfällig, jedoch kommt es eigentlich zu spät. Die durch Safe-Harbour-Praxis entstandenen Datenströme sind mittlerweile so mächtig, dass sie nicht – ohne drastische Eingriffe – von heut auf Morgen entflechtbar sind. Dies muß nun aber behutsam angegangen werden um volkswirtschaftlich keinen Schaden anzurichten. Jedoch muß es zügig angegangen werden, um die Entscheidung nicht zum Papiertiger verkommen zu lassen!

Mehr lesen Sie hier: Nach Safe Harbor: Die Eskalation vermeiden

Endlich: Generalanwalt des EuGH erklärt „Safe Harbour“ für ungültig!

Der Generalanwalt des Europäischen Gerichtshofes (EuGH) beurteilt in einem Gutachten das Datenschutzabkommen mit den USA negativ und erklärt es für ungültig. Er führt aus, dass die Daten der EU-Bürger in den USA nicht sicher seien. Derzeit senden alle Mobilsysteme ihre Daten in die USA. Auch Cloud-Dienste sind im Wesentlichen in den USA beheimatet. Würde das Abkommen gekippt, wären die Folgen für Jeden spürbar. Google, Siri, Cortana und Co. wären auf einen Schlag offline oder dumm. Unkomfortabel … aber endlich sicher!

Mehr finden Sie hier.

Der schwere Kampf um den Datenschutz

Es ist das ewig gleiche Argument, Bürgerrechte aufgeben gegen ein „Mehr“ an Sicherheit. Leider ist das „Mehr“ weder beschreibbar noch fühlbar, das „Weniger“ hingegen schon. Totale Überwachung jeglicher Kommunikation und auch jeder Bewegung sind heute nicht nur möglich sonder bereits Alltag! Die unrühmliche Führungsrolle der USA wird hier weiter verteidigt und sogar ausgebaut.

Whistleblower werden nicht geschützt sondern kriminalisiert. Menschen die ihr bisheriges Leben aufs Spiel setzen und Rechtsbrüche von Regierungsorganisationen aufdecken – wohlgemerkt Rechtsübertretungen!  – müssen weiterhin davon ausgehen, dass sie inhaftiert werden oder schlimmeres mit ihnen passiert.

Die inspirierenden Artikel zum Kommentar finden Sie hier:

Netzpolitik.org, Resolution (kein Gesetz!), Datenschutzabkommen EU/USA, Mircosoft versucht EU-Daten zu schützen, FBI will Schlüssel für iMessage von Apple

 

Privatsphäre für Windows 10

Kaum ist es da, schon steht es im Zwielicht. Windows 10 „funkt nach Hause“ obwohl die Sicherheitseinstellungen dies verbieten. Die eigentlich gelungene Weiterentwicklung macht sich so ihre Chancen am Markt selbst zunichte. Gut dass es da Tools gibt, die Sicherheit schaffen. Ein vertrauenswürdiger Anbieter ist die Berliner Softwareschmiede O&O. Sie hat ein Tool um Windows 10 Manieren beizubringen.

Hier finden Sie das Tool O&O ShutUp10 – Antispy-Tool für Windows 10.

Trotz Abschalten – Windows 10 funkt nach Hause

Wie Ars Technica festgestellt hat, sendet Windows 10 – obwohl alle Kommunikationseinstellungen dies verboten hatten – weiterhin Daten zu Microsoft. Diese Daten wurden von Ars Technica analysiert. Es waren oberflächlich keine relevanten Informationen, jedoch ist nicht ausgeschlossen, dass Informationen eingebettet wurden.

Den Artikel hierzu finden sie hier.

BSI Anweisungen in der Praxis

Einen interessanten Bericht eines Admins, der die BSI-Empfehungen wörtlich umgesetzt hat, finden sie hier unter dem Titel: „Das BSI und der Elfenbeinturm“ (c’t security).

Kritik am IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz ist fertig … und doch gibt es noch viel Diskussionsstoff. Unternehmen und Verbände waren hinzugezogen worden um den Entwurf zu beurteilen. Die Kritik war nicht gerade zurückhaltend.

Um es zusammenzufassen: Es ist ein Akt der Hilflosigkeit und des staatlichen Versagens!

Um eine Analogie zu bemühen:

Sie werden als Bürger verpflichtet – unter hohen Kosten und Auflagen – Straftaten an Ihnen selbst zu vermeiden. Wenn sie dann doch Opfer werden, müssen sie der Polizei den Vorfall bürokratisch melden. Eine Hilfe, einen Einsatz, eine Strafverfolgung etc. können sie aber nicht erwarten – die Polizei kommt ihnen nicht zu Hilfe! Das dürfen sie selbst organisieren und sich ggf. noch vom Staat selbst anklagen lassen! Wenn sie selbst Daten gesichert haben, steht ihnen vielleicht die Strafverfolgung zu, aber nur, wenn der Täter nicht im Ausland ist, dann ist diese nicht mehr zuständig…

Aktuell gibt es folgende Kritikpunkte:

  1. Umsetzungsfristen sind fraglich
    Der Staat als Betreiber nutzt heute noch Windows XP … erwartet aber von der Wirtschaft die Entwicklung, Zertifizierung und Einführung eines eigenen Standards in zwei Jahren. Das ist realitätsfern und nicht ambitioniert. Fachverbände wie eco gehen hier von eher 4 Jahren aus!
  2. Kostenabwälzung auf Unternhemen
    Der Staat an sich hat dem Bürger ein Sicherheitsversprechen gegeben, was er nicht gewillt ist einzuhalten. Die Preventionskosten und sogar die Kosten der Verfolgung und Schadensabwehr bürdet er den Unternehmen auf, ohne selbst ausreichend für die Gefahrenabwehr gerüstet zu sein. Die Polizei ist die Ordnungsmacht im realen Leben, wo ist diese Ordnungsmacht der Strafvereitelung im Internet? Der Staat versucht nicht einmal mehr diese Ordnungsmacht sicherzustellen, er kapituliert und zieht sich zurück. Er erwartet Meldung und führt Statistiken. Er baut Lagebilder obwohl die Bedrohungslage Gegenwehr erfordert. Doch diese Gegenwehr wird als Selbstjustiz erwartet!
    Das Gesetz soll bei Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Millionen Euro greifen. Diese niedrige Schwelle trifft nahezu jedes Unternemen ohne einen Bezug zur IT. Diese Schwelle ist zu niedrig und unspezifiziert. Welches normale IT-ferne Unternehmen dieser Größe hat solch sicherheitsrelevante Daten? Wenn hier die New-Economy als Grundlage galt, dann sollte diese auch benannt werden und nicht sinnlos eine Auflage für alle Unternehmen erstellt werden. Hier muß konkretisiert werden!
    Des Weiteren ist der Aufwand und die Abgrenzung, die bei Meldung von Sicherheitsvorfällen auf die Unternehmen zukommen, kaum kalkulierbar. Eine Freude für die Rechtsindustrie, die bei solch schwammiger Gesetzeslage wieder teuer für „Klarheit“ sorgen darf.
  3. Definition Sicherheitsvorfall?
    Zwar wurde hier bereits nachgebessert, aber dennoch könnte sich die jetzige Definition eines meldepflichtigen Sicherheitsvorfalls als unpraktikabel erweisen. Das dies auch Rechtsanwälte so sehen, lesen sie hier. Denn so sollen beispielsweise auch versuchte Angriffe den Behörden gemeldet werden. Wer jemals das Protokoll einer Firewall gesehen hat, weiß, dass solch eine Formulierung – hart ausgelegt – zur Meldung im Minutentakt führt! Um gesetztestreu zu agieren, müßte man sich damit auf die Meldungen und nicht mehr der Gegenwehr von Angriffen konzentrieren. Eine fragliche Forderung!
    Hier entsteht wieder ein Bürokratiemonster – oder Papiertiger, ohne Mehrwert. Wenn die Behörde in der Lage wäre aktiv zu helfen, wäre die Meldung ein Mehrwert für die Unternehmen! Sie würden aus Eigeninteresse die Hilfe anfordern. Diese Chance vertut der Staat, der sich als hilfloser Verwalter von Informationen geriert ohne diese zu verwerten oder gegenzusteuern.
    Allein die NSA-Afaire zeigt, dass es hier weniger um die Sicherheit an sich geht, sondern mehr um ein Lagebild der „Aktivitäten“ gegen deutsche Unternehmen. Es wäre zielführender wenn das „Abwehrzentrum“ hier technisch und auch personell in die Lage versetzt werden würde den Unternehmen hilfreich zur Seite zu stehen und der Staat seine Abschreckungs- und Ordnungsaufgabe übernehmen würde!
  4. Messen mit zweierlei Maß – die Bundesbehörden
    Auch hier wurde bereits nachgearbeitet und auch der Ausbau der IT-Sicherheit in der Bundesverwaltung soll nun stattfinden. Trotzdem ist es ein messen mit zweierlei Maß, wenn Bundesbehörden – die unstrittig über sicherheitsrelevante Daten verfügen  – und Unternehmen, bei denen dies eher fraglich ist, trotzdem ungleich behandelt werden. Der Staat übt hier keine Vorbildfunktion aus, sondern verlangt für sich eine unangemessen langsame Nachzüglerrolle! Wie kann es sein, dass das BSI seine eigenen Pflichten „kann“-Bestimmungen formuliert, wenn es bei den Unternehmen stets zu strammen Vorgaben neigt? Hier muß dringend nachgebessert werden. Der Staat hat die eigentlich schützenswerten Infrastrukturen. ER muß hier vornehmlich nachbessern – nicht der Handwerkerbetrieb von Nebenan!

Bundesregierung kündigt Gesetz für IT-Sicherheit an

Die Bundesregierung stellte auf der CEBIT 2014 Ihre „Digitale Agenda“ vor, die Leitlinien für IT-Sicherheit erarbeiten soll. In Abstimmung mit der Industrie soll der erarbeitete Entwurf für ein IT-Sicherheitsgesetz 2015 vorgestellt werden.

Ziel ist der Schutz der kritischen Infrastruktur des Internets und ein erweiterter Datenschutz. Von den Bürgern wird ein umsichtigeres Verhalten mit ihren eigenen Daten erwartet.

Das Projekt “Digitale Verwaltung 2020″ soll die Verwaltung für Bürger erreichbarer machen.

Cloud-Sicherheit: Datenschutz nur bis zur Grenze?

Datenschutz und –sicherheit stehen bei Unternehmen und Cloud-Providern gleichermaßen im Fokus. Datenschutz kann der Cloud-Provider den Unternehmen nur garantieren, wenn die Auftragsdatenverarbeitung der Unternehmensdaten in Deutschland vorgenommen wird. Voraussetzung ist ein schriftlicher Vertrag.

Zweiter Aspekt der Datensicherheit wird immer wichtiger, weil von privater und staatlicher Seite die Wirtschaftsspionage zunimmt. Unternehmen müssen ihre Dateninhalte verschlüsseln, um Ausspähung zu vermeiden, sowohl für Emails, VPN und Datenspeicher. Die Wahl besteht zwischen symmetrischen und unsymmetrischen Verfahren, die wesentlich sicherer sind. Wesentlich auch hier der Cloud-Provider, der die höheren Sicherheitsmechanismen hat wenn er in Deutschland betrieben wird.