Der Sächsische Datenschutzbeauftrage, Herr Andreas Schurig, hat vor kurzem seinen Tätigkeitsbericht für den Zeitraum 2011 - 2013 vorgestellt. Der Bericht enthält Beiträge zu Prüfvorgängen bei öffentlichen Einrichtungen, darunter auch Hochschulen, zu Rechtsprechung und Rechtsetzung und zu Datensicherheitsfragen.
Der Bericht ist eine hoch interessante Lektüre für jeden Staatsbürger, aber besonders für die Hochschulangehörigen, die persönliche Daten anderer verarbeiten. Es ist meine Aufgabe als Datenschutzbeauftragter der HTWK, die Hochschulmitglieder über diesen Bericht zu informieren.
Zu diesem Zweck stelle ich im folgenden einige Zitate aus dem Bericht sowie aus ergänzenden Quellen zusammen und kommentiere diese. Das Thema ist dabei vor allem die kürzlich bekanntgewordene weitreichende Überwachung von Kommunikationsvorgängen durch Geheimdienste. Diese beruht jedoch zu großen Teilen auf ebenso weitreichenden Datensammlungen durch Wirtschaftsunternehmen.
In der aktuellen Pressemitteilung kommentiert der Sächsische Datenschutzbeauftragte den Skandal der weitreichenden Überwachung von Kommunikationsvorgängen durch Geheimdienste. Unter anderem empfiehlt er “die Förderung lokaler Clouddienste, die Förderung und Erprobung von technischen Maßnahmen zur Datensicherheit und Verschlüsselung.”
Die Hochschule, und besonders wir als Informatiker, sollten dabei mit gutem Beispiel vorangehen. Schon seit langem sind IT-Sicherheit und Kryptologie wichtige Bestandteile des Studiums. Aktuelle Arbeiten zur beweisbaren Sicherheit von (software-)technischen Systemem sollten als Teil des Forschungsprofils deutlich werden.
Die Forschungsergebnisse müssen aber auch praktisch angewendet werden. Das erfordert an einigen Stellen noch ein Umdenken bzw. Umbauen von IT-Strukturen, an anderen jedoch nur ein einfaches Benutzen bereits vorhandener Werkzeuge. Die Zertifizierungsstelle der HTWK stellt Zertifikate für Webserver- und Email-Schlüssel aus. Benutzer von Hochschulwebseiten sollten darauf bestehen, daß korrekte Zertifikate verwendet werden.
Die Hochschule darf personenbezogene Daten nur dann verarbeiten, wenn das zu den in Par. 14 des Sächsischen Hochschulfreiheitsgesetztes genannten Zwecken erforderlich ist. Dabei können auch Dritte mit der Verarbeitung beauftragt werden. Anzuwenden ist das Sächsische Datenschutzgesetz, insbesondere Par. 7 (Datenverarbeitung im Auftrag). Motivation ist oft die Kostenersparnis. Bezahlt wird natürlich trotzdem, nur eben nicht mit Geld, sondern mit Daten.
Das ist im privaten Bereich offensichtlich etwa bei Mail-Anbietern, die erklärtermaßen Inhalte von Nachrichten auswerten. Der Benutzer bezahlt dort nicht nur mit seinen eigenen Daten, sondern auch mit denen von unbeteiligten Dritten (Kontaktdaten, Mailinhalte).
Dieses Geschäftsmodell liegt weiteren scheinbar kostenlosen, aber eben doch kommerziellen Diensten zugrunde - der Benutzer bezahlt dort regelmäßig wenigstens mit seiner IP-Adresse, oft mit mehr. Die Hochschule muß als Auftraggeber solcher Datenverarbeitungen sehr vorsichtig sein.
Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten weist darauf hin, daß bei Auslagerung von Diensten (etwa Webserver-Statistiken, Suchmaschinen, Landkartendienste, Videoplattformen, soziale Netzwerke) an Anbieter in den USA “… gegen den Zweck deutscher Gesetze (insbesondere das informationelle Selbstbestimmungsrecht der Betroffenen) verstoßen würde, überwiegende Interessen der Betroffenen einer solchen Übermittlung entgegenstehen und derzeit wohl auch keine ausreichenden Garantien vom Empfänger der Daten abgegeben werden können, die diese Zweifel ausräumen. Das gilt umso mehr, als die deutschen Aufsichtsbehörden selbst keine Genehmigungen mehr zu Datenübermittlungen in die USA erteilen.”
Entsprechend schreibt der Sächsische DSB in Abschnitt 14.9 des aktuellen Berichtes: “Mit einigem Unmut stelle ich seit geraumer Zeit eine unkritische Nutzung der Video-Plattform YouTube (welche sich seit längerem im Besitz der Firma Google befindet) durch öffentliche Stellen fest.”
Jeder Bürger kann die grundsätzliche Entwicklung des Datenschutzes nicht nur verfolgen (vgl. den vorläufigen Bericht über das Überwachungsprogramm der NSA des Europäischen Parlamentes), sondern mitbestimmen - sprechen Sie dazu mit Ihren Abgeordneten.
Andererseits kann sich jeder selbst um Datensicherheit bemühen. Technische Hinweise dazu findet man z.B. auf prism-break.org Die Grundsätze sind nicht überraschend: Kommunikation verschlüsseln; Abhängigkeit von proprietären, zentralisierten Diensten verringern; freie (quelltextoffene) Software einsetzen.
Emails werden im Klartext über das Internet übertragen und sind damit sehr leicht unbefugt zu lesen. Deswegen sollten personenbezogenen Daten über Email nur bei Ende-zu-Ende-Verschlüsselung transportiert werden. Dafür sind viele Web-Mailer ungeeignet.
Für den Desktop-Mailclient Thunderbird implementiert Enigmail https://www.enigmail.net die OpenPGP-Spezifikation und ermöglicht die Verwendung asymmetrischen Verfahren zum Verschlüsseln und Signieren. Damit können Nachrichten auf unsicheren Kanälen (einschl. von Geheimdiensten angezapften Routern u.ä.) trotzdem sicher übertragen und authentifiziert werden. Die Sicherheit dieser Verfahren beruht auf anerkannten Resultaten der Mathematik und Informatik - man kann sehr genaue Aussagen über die (unpraktisch hohe) Komplexität der Entschlüsselung beweisen. (Vgl. dazu Ronald L. Rivest, Adi Shamir, Leonard M. Adleman: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, 1987 und ACM Turing Award Lecture von Adi Shamir, 2002)
Die Sicherheit des gesamten Mailtransports hängt von vielen Einflüssen ab. Die Quelltexte für Enigmail sind frei verfügbar - dort kann kein Geheimdienst eine Hintertür verstecken. Aber wurden das Enigmail-Plugin bzw. das Thunderbird-Programm tatsächlich aus den veröffentlichten Quellen kompiliert? Wurde dabei tatsächlich ein Compiler ohne Hintertüren benutzt? (Vgl. dazu die Turing Award Lecture von Ken Thompson,1983, mit Einleitung ) Kann man anderen Softwarekomponenten trauen, z. B. dem Betriebssystem? Sendet die Hardware (die Festplatte, der Monitor) nebenbei Informationen an Dritte? Technische Sicherheit wird nur dadurch glaubhaft, daß Spezifikationen (Protokolle) und Implementierungen (Quelltexte) aller Systemkomponenten veröffentlicht werden, damit sie von der Fachwelt geprüft werden.
Damit schließt sich der Kreis - die Fachwelt ist hier an der Hochschule vertreten durch die Professorinnen und Professoren, und diese bilden die Studierenden als zukünftige Fachleute aus. Der Schutz personenbezogener Daten sollte dabei ein wichtiger Aspekt sein.
Leipzig, den 21. 2. 2014 - J. Waldmann, Professor für Softwaresysteme, und Datenschutzbeauftragter der HTWK.
(eigene Zusammenstellung aus Quellen: SächsDSB, ZENDAS, prism-break.org, ACM)