Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

10       Aus dem IT-Labor

10.1       Mobile Geräte – ob Spielzeug oder Werkzeug: jedenfalls absichern!

Mobile Geräte sind fester Bestandteil in der IT-Umgebung vieler Organisa­tionen. Zu einem hohen Anteil werden hierauf personenbezogene Daten ver­arbeitet. Hersteller bieten Managementlösungen an, um IT-Sicherheit und Datenschutz zentral zu definieren und dezentral umzusetzen.

Unabhängig davon, aus welchem Grund ein mobiles Gerät angeschafft wird: Sein Einsatz geht fast immer mit der Verarbeitung personenbezogener Daten einher. Häufig sind die verwendeten Geräte mit vielen Funktionen ausgestattet, die zur Aufgabenerfüllung nicht benötigt werden und ein zusätzliches Sicherheitsrisiko darstellen. Den Risiken des Verlustes oder des Diebstahls, des Abhörens oder Manipulierens der Geräte muss mit wirksamen Sicherheitsmaßnahmen begegnet werden.

Der hohe Beratungsbedarf beim Einsatz von BlackBerry-Geräten besteht unvermindert fort (31. TB, Tz. 10.1). Stark angestiegen sind im kommunalen Bereich Nach­fragen zum Einsatz des iPhones der Firma Apple.

Wir empfehlen, mobile Geräte nicht einzeln über die jeweils dezentrale Konfiguration zu ver­walten, sondern eine zentrale Managementlösung einzufüh­ren. Alle großen Hersteller bie­ten hierzu Mittel und Wege an. Zu nennen sind hier vor allem der BlackBerry Enterprise Server, das iPhone Enterprise Kit und der Windows Mobile Management Server. Diese Lösungen ermöglichen eine profilbasierte Vor­konfiguration der Geräte, durch die dann viele der sicherheitskritischen Funktio­nen abgeschaltet und zugleich alle notwendigen Sicherheitsmaßnahmen aktiviert werden können. Zusätzlich bieten die zentralen Managementsysteme Funktionen, die bei Verlust des Gerätes ausgeführt werden können, z. B. ein „Remote Wipe“, bei dem die Datenbestände auf den Geräten über einen zentral abgesetzten Befehl sicher gelöscht werden können.

Beim Einsatz mobiler Geräte sollten zumindest die folgenden Sicherheitsmaß­nahmen geplant, umgesetzt und regelmäßig kontrolliert werden:

Sicherung der personenbezogenen Daten auf dem Gerät durch Passwortschutz,
bei Daten mit erhöhtem Schutzbedarf: Verschlüsselung der Daten auf dem Gerät,
Deaktivieren nicht benötigter oder sicherheitskritischer Funktionen (Tethering, Bluetooth, WiFi),
Verschlüsselung des Datentransfers in und aus den organisationsinternen Syste­men sowie
Authentisierung der Nutzer und der Geräte beim Aufbau einer Verbindung zu organisationsinternen Systemen.

Weiterhin gilt: Ein ungeplanter und unbedachter Einsatz mobiler Geräte ist mit dem LDSG und der DSVO nicht vereinbar. Analysiert man jedoch die Risiken, trifft geeignete Sicherheitsmaßnahmen und setzt diese über eine zentrale Lösung um, so ist ein datenschutzkonformer Einsatz mobiler Endgeräte möglich.

 

10.2       Instant Messaging

Instant Messaging hat sich neben E-Mails als schnelle Kommunikationsform im privaten Bereich etabliert. Die Chats sind vor allem bei jüngeren Inter­netnutzern beliebt, aber auch viele Firmen nutzen inzwischen Online-Chats – beispielsweise für die Kundenberatung. Der Einsatz von Instant-Messaging-Diensten im Behördenumfeld wirft aber grundlegende Fragen auf.

Die technische Struktur von Instant-Messaging-Diensten basiert auf einem zentra­len Vermittlungsserver, an dem sich alle Nutzer des jeweiligen Dienstes anmel­den. So kann der Server dann anderen Nutzern anzeigen, wer gerade online ist. Nachrichten, die Nutzer einander schreiben, werden über den zentralen Server vom Absender zum Empfänger geleitet. Dienste wie MSN, ICQ oder Google Talk haben daher vollständige Kontrolle der über sie gesendeten Nachrichten. Es gibt keinen Weg für die Nutzer, zuverlässig die Identität des Gegenübers zu prüfen. Für den Versand vertraulicher Informationen sind solche Dienste daher unge­eignet. Zwar existiert für einige Dienste die Möglichkeit, Verbindungen per SSL zu verschlüsseln. Da es sich hierbei jedoch um eine Ende-zu-Server-Verschlüsse­lung handelt, erhält der zentrale Server nach wie vor Einblick in die Daten. Auch damit ist eine Authentisierung zwischen Nutzern nicht gegeben.

Zwei Wege sind denkbar, um Instant Messaging in Behörden im Zusammenhang mit vertraulichen Informationen zu nutzen:

Eine Behörde kann einen eigenen XMPP-Server (XMPP steht für „Extensible Messaging and Presence Protocol“) betreiben. Nutzer müssen sich dort ein Konto anlegen und an diesem Server anmelden. Zusammen mit einer SSL-ver­schlüsselten Verbindung ergibt sich so eine Ende-zu-Ende-Verschlüsselung zwischen Nutzer und Behörde, da sich der Server im Hoheitsbereich der Behörde befindet. Nachteil dieser Lösung ist, dass der Betrieb des Servers gewährleistet werden muss und die Nutzer im Regelfall nicht mit ihren gewohnten Chat-Diensten arbeiten können, sondern sich ein neues Nutzerkonto auf dem Behördenserver anlegen müssen. Eventuell müssen sie auch zusätzli­che Software installieren, wenn die von ihnen bisher genutzte Chat-Anwen­dung das XMPP-Protokoll nicht beherrscht. Ebenfalls ungelöst bleibt hier das Problem der Authentisierung der Nutzer.
Behörde und Nutzer, die miteinander kommunizieren wollen, könnten echte Ende-zu-Ende-Verschlüsselungen einsetzen. Hier sind verschiedene Verfah­ren denkbar, die jedoch in den meisten Fällen eine Installation von Zusatzsoft­ware auf Nutzerseite sowie ein gewissenhaftes Schlüsselmanagement erfordern. Auch ist die Authentisierung – z. B. beim klassischen PGP/GPG – aufwendig, da sie über einen zweiten Kanal erfolgen muss.

Eine einfache Möglichkeit bietet das Verschlüsselungsverfahren OTR (Off-the-Record Messaging). Um eine OTR-gesicherte Verbindung aufzu­bauen, müssen beide Kommunika­tionspartner Software verwenden, die OTR unterstützt. Einige gängige Chat-Programme bringen diese Fähigkeit von Haus aus mit, andere lassen sich nachrüsten. Zu Beginn einer OTR-gesicherten Kommunikation müssen beide Teilnehmer ein gemeinsames Passwort eintippen. Ist dieses Geheim­nis bei beiden identisch, wird die Verbindung verschlüsselt und gilt als authentisiert. OTR ist so konzipiert, dass es die Bedingungen eines Vier­augengesprächs nachbildet. Dieses ist vertraulich und authentisch; nach dem Gespräch kann jedoch keiner der Gesprächspartner Inhalte der Unter­haltung beweisen. Diese letzte Eigen­schaft eines persönlichen Gesprächs, nämlich die nachträgliche Abstreitbar­keit des Gesagten, erreicht OTR, indem jedes Datenpaket so gestaltet ist, dass im Nachhinein kein Beleg für die Kommunikation entsteht. Mit diesem Verfahren lassen sich Grundprobleme bei Instant Messaging lösen: Verbindungen sind leicht Ende-zu-Ende zu verschlüsseln. Die Authentisierung über ein gemeinsames Geheimnis kann aus bereits bekannten Informationen bestehen, wie z. B. einem Aktenzeichen oder einer Personalnummer. Ein umständliches Schlüsselmanagement entfällt. Gleich­zeitig wird klar, dass die Abstreitbarkeit der Kommunikation Instant Messaging auch faktisch zu einem Ersatz für Telefonate machen kann – ohne verwertbare Gesprächsprotokolle. OTR-gestützte Chats können also die Schriftform nicht ersetzen.

 

10.3       E-Mail-Archivierung

Anbieter von Produkten zur E-Mail-Archivierung betonen, dass Organisa­tionen bereits seit 2002 dazu verpflichtet sind, sämtliche steuerrelevanten Daten maschinell auswertbar zur Verfügung stellen zu können.

Mit Verweis auf die Verwaltungsanweisung „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) sowie das Handelsgesetzbuch und die Abgabenordnung werden seit geraumer Zeit etliche Produkte zur E-Mail-Archivierung auf den Markt geworfen. Deutsche Betriebe sind hiernach verpflich­tet, sämtliche geschäftsrelevanten Daten für zehn Jahre vorzuhalten. Da liegt es natürlich nahe, den gesamten E-Mail-Verkehr zu archivieren und ihn vor ungewolltem Löschen zu schützen. Als Lösung bieten die Hersteller häufig eine „Black Box“ ohne Eingriffs- oder Kontrollmöglichkeit für den Kunden an, die an zentraler Stelle in dessen Netz eingebunden wird und jeglichen ein- und ausge­henden E-Mail-Verkehr aufzeichnet.

Diese Archivierungslösungen werben mit einer einfachen Installation, einem hohen Grad an Verfügbarkeit aller E-Mails und garantiertem Schutz vor unbeab­sichtigtem Löschen. Unabhängig von der Frage, ob private E-Mail-Nutzung erlaubt ist oder nicht: Nicht jede E-Mail ist geschäftsrelevant. Die Betriebsleitung und die IT-Verantwortlichen müssen sich also Gedanken darüber machen, wie das E-Mail-Archiv datenschutzgerecht aufgesetzt wird. Der oder die betriebliche Datenschutzbeauftragte und der Betriebsrat sind mit einzubeziehen, da hier Entscheidungen über Mitarbeiterdaten getroffen werden.

Die erste Frage betrifft die private E-Mail-Nutzung. Ist diese erlaubt, müssen technische und organisatorische Maßnahmen getroffen werden, um sie vom geschäftlichen E-Mail-Verkehr zu trennen. Zwei separierte E-Mail-Konten für jeden Beschäftigten sorgen für Klarheit. Natürlich muss jeder im Betrieb per Arbeitsanweisung auf diese Trennung der Nutzung hingewiesen werden. Das E‑Mail-Archiv darf dann nur den Verkehr an die und von den geschäftlichen Konten archivieren. Auf diese Weise kann jedoch nicht vollständig verhindert werden, dass personenbezogene Daten von Kunden oder auch von Arbeitnehmern auf dem geschäftlichen Account anfallen.
Es bedarf somit technischer Möglichkeiten, einzelne E-Mails aus dem Archiv zu löschen. Fälschlicherweise können private Daten im Geschäftskonto gesendet oder empfangen worden sein. Ein Kunde hat z. B. nach einer Anfrage oder Kontaktauf­nahme das Recht, seine Daten vollständig löschen zu lassen. Diese Löschoption widerspricht aber der Zielsetzung eines vollständigen E-Mail-Archivs. Die IT‑Verantwortlichen müssen sich daher die Frage beantworten, ob und wenn ja welcher Einsatz einer Archivierungslösung vertretbar ist.

Häufig werden die Black-Box-Lösungen ins Netz der Organisation integriert, wobei aus dem bestehenden Verzeichnisdienst sämtliche Nutzerkonten in das Archiv übernommen werden. Neben den eventuell existierenden privaten Konten sind auf jeden Fall die E-Mail-Konten des Betriebsrats oder der Gleichstel­lungsbeauftragten vom Archiv auszunehmen.

Als zusätzliche Funktion bei der Erstinstallation wird oftmals der automatisierte Import aller Inhalte sämtlicher E-Mail-Konten angeboten. Dabei besteht die Gefahr, dass zu viele Daten in das Archiv übernommen und für Jahre gespeichert werden – womöglich ohne dass die dazugehörigen Nutzer darüber informiert wurden. Diese müssen aber vor der Einführung eines E-Mail-Archivs davon in Kenntnis gesetzt werden, um eine Entscheidung treffen zu können, welche Daten ihrer E-Mail-Konten nicht in das Archiv übertragen werden sollen.

Ein Problempunkt von Black-Box-Lösungen ist zudem der Zugriff Dritter, z. B. durch Hersteller und Dienstleister. Selbst wenn das E-Mail-Archiv verschlüsselt wird, können noch Daten im Klartext vorliegen: Häufig befinden sich unver­schlüsselte Daten in Zwischenspeichern, die eventuell vom Dienstleister direkt abrufbar sind.

 

10.4       Bunte Keksmischung

Der Begriff „Cookies“ dürfte inzwischen fast jedem Internetnutzer bekannt sein. Es handelt sich ursprünglich um kleine „Datenkrümel“, die eine Webseite im Browser des Besuchers hinterlegen kann, um den Besucher bei Bedarf zuverlässig wiederzuerkennen.

Sinnvoll ist solch eine Wiedererkennung beim Online-Einkauf, wo der Webserver den Warenkorb des Nutzers über diverse Unterseiten hinweg korrekt zuordnen muss. Weniger im Interesse des Nutzers sind Cookies, die ihn über die Dauer einer Sitzung hinweg und über die Grenzen eines einzelnen Angebots quer durchs Web markieren. Wer ohne Argwohn und ohne manuelle Nachbesserung in der eigenen Browserkonfiguration im Internet unterwegs ist, bleibt womöglich über viele Jahre für bestimmte Anbieter wiedererkennbar. Das Nutzerprofil, das in dieser Zeit gebildet werden kann, lässt leicht Rückschlüsse auf die reale Person dahinter zu.

Der Spuk solcher Langzeit-Cookies ist einfach zu beenden. Moderne Browser, mit Ausnahme von Google Chrome, lassen sich so einstellen, dass alle Cookies beim Schließen des Browsers verschwinden. Eine längerfristige Protokollierung des Surfverhaltens über diese Cookies ist dann nicht möglich.

Problematisch sind allerdings neuere Entwicklungen, die sich nicht unmittelbar über die Browserkonfiguration steuern lassen: Neben den konventionellen Cookies haben sich inzwischen sogenannte Flash-Cookies etabliert. Der Browser­zusatz Flash der Firma Adobe ist nach Angaben des Herstellers auf über 90 % aller PCs installiert und sorgt für die Darstellung von Animationen und Video­sequenzen. Zum Speichern von Parametern dient dem Flash-Plugin ein eigenes Speichersystem, die Local Shared Objects (LSO). Diese Dateien können vom Flash-Plugin auf dem Nutzerrechner abgelegt werden. Über den Browser hat der Nutzer darauf jedoch keinen Zugriff, sodass auf vielen Rechnern diese Flash-Cookies unentdeckt bleiben. Hinzu kommt, dass dasselbe Flash-Cookie für alle auf dem System befindlichen Browser gilt, sodass Surfsitzungen mit verschiede­nen Browsern miteinander verkettet werden können. Wie normale Cookies können Flash-Cookies durchaus sinnvollen Dingen dienen. Verbreitet ist z. B. das Speichern von Spielständen bei Flash-basierten Online-Spielen. Aber auch banale Dinge wie die Lautstärkeeinstellungen von YouTube-Videos werden mithilfe der Local Shared Objects gespeichert. Löschen lassen sich diese Flash-basierten Cookies nur über Adobes Webseiten. Die wenig intuitive Internetadresse lautet:

www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager07.html

Ähnliche Speichermodelle wie Adobe Flash bieten „Microsoft Silverlight“ und „Java“ von Sun. Auch hier sind die Einstellungen zum Deaktivieren von Cookie-ähnlichen Objekten nicht leicht auffindbar. Microsoft versteckt sein Konfigura­tionstool „Silverlight.Configuration.exe“ bei Windows-Rechnern im Verzeichnis C:\Programme\Microsoft Silverlight\[Versionsnummer]\. Die Java-Konfiguration javacpl.exe liegt bei solchen Rechnern standardmäßig im Verzeichnis C:\Programme\Java\[Version]\bin\.

Eine dritte Inkarnation der herkömmlichen Cookie-Idee stellt der sogenannte DOM-Storage-Mechanismus (DOM: Document Object Model) dar, der seit Fire­fox 2 in aktuellen Browsern zu finden ist. DOM Storage erweitert die klassische Cookie-Idee im Kern um eine flexiblere Adressbehandlung und vergrößert den verfügbaren Speicherplatz. Können klassische Cookies gerade mal 4 KB fassen, kann ein DOM Storage Cookie deutlich mehr an Daten speichern, nämlich bis zu 5 MB beim Firefox-Browser und sogar bis zu 10 MB beim Internet Explorer. Der dahinterstehende Gedanke ist ironischerweise sogar datenschutzfördernd: Dienste wie Online-Textverarbeitungen können in solchen Mega-Cookies ihre Doku­mente ablegen, sodass der Nutzer nicht mehr gezwungen ist, diese auf dem Server des Anbieters zu speichern. Trotzdem bleiben auch hier sämtliche Implikationen konventioneller Cookies in Bezug auf langfristige Verkettbarkeit bestehen. Zudem mangelt es bislang an Transparenz für den Nutzer: Obwohl solche Mega-Cookies vom Browser erzeugt werden und nicht von externen Programmen wie Flash, tau­chen sie nicht in der browserinternen Übersicht der gespeicherten Cookies auf.

Das ULD berät Bürgerinnen und Bürger in Fragen des Selbstdatenschutzes und bezüglich Maßnahmen gegen unerwünschte Cookies.

 

10.5       Reputationssysteme für Webseiten – fragwürdiges Vertrauen

Mitte des Jahres wurde das ULD darauf hingewiesen, dass der Webreputa­tionsdienst Web of Trust vor dem Internetangebot des Datenschutzzentrums warne.

Der Dienst Web of Trust (WOT) bietet Nutzern die Möglichkeit, Webseiten nach verschiedenen Kriterien zu bewerten und so zu einem „Scorewert“ einzelner Webseiten beizutragen. Nach Installation einer entsprechenden Browsererweite­rung wird der Nutzer bei dem Zugriff auf eine Webseite über deren Scorewert informiert. Bei extrem schlechter Bewertung sperrt das Programm den Zugriff auf die fragliche Seite sogar und lässt den Nutzer nur nach einem Bestätigungsklick weitersurfen. Besucher von www.datenschutzzentrum.de, die das WOT-Tool einsetzten, bekamen solche Warnhinweise zu sehen.

Bei genauerem Hinsehen entpuppte sich die negative Bewertung als Fehlinterpre­tation zweier WOT-Nutzer – einer hatte dem ULD fälschlicherweise Spam-Mails zugerechnet, der andere hatte dessen Eintrag anscheinend ohne weitere Prüfung kopiert. Da diese beiden die einzigen Bewerter waren, sank der Scorewert der ULD-Seiten in den kritischen Bereich. Zu kritisieren ist das Beschwerdemanage­ment des finnischen Dienstleisters WOT: Auf E-Mails des ULD wurde nicht geantwortet. Die FAQ der Webseite legen nahe, direkt an die betreffenden Bewerter heranzutreten und selbst positive Eigenbewertungen abzugeben. Das wirft die Frage auf, wie verlässlich WOT-Scorewerte eigentlich sind.

WOT ist nicht der einzige Dienst, der sich im Bereich der Webseitenbewertung versucht. Auch Antivirenhersteller wie McAfee und nicht zuletzt Google versu­chen, Webseiten nach Gut und Böse zu kategorisieren. Dabei verfolgen die Diens­te verschiedene Ansätze. WOT setzt auf die berühmt-berüchtigte Weisheit der Massen und erstellt ein reines Aggregat von Nutzermeinungen. Andere Dienste versuchen, Webseiten mit Suchrobotern zu analysieren und so schädliche Inhalte zu finden.
Alle Systeme kranken an der Schwierigkeit für den Nutzer, sich ein Bild über die Gründe einer bestimmten Bewertung einer Webseite zu machen. Letztlich sind die genauen Kriterien, nach denen Webseiten klassifiziert werden, eine Art Betriebs­geheimnis oder, wie bei WOT, willkürlich von den jeweiligen Bewertenden abhängig. Das führt zu dem kuriosen Umstand, dass ein und dieselbe Webseite vom einen Dienst als ungefährlich, vom anderen als Bedrohung für den eigenen Computer klassifiziert wird. Dem Nutzer bleibt kaum mehr, als einem Dienst blind zu vertrauen – und sich dessen Unzulänglichkeiten bewusst zu werden. Die ULD-Webseite ist bei WOT übrigens wieder im grünen Bereich, nachdem mehre­re Nutzer gute Bewertungen abgegeben haben.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel