Open Source Business Alliance: Mindestanforderungen an Cloud-Angebote für die öffentliche Hand

Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.

Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.

Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.

Sie formulieren zwei Kernziele für die digitale Souveränität:
  1. Wirkungsvoller Schutz von persönlichen Daten der Bürger*innen und vertraulichen Informationen  vor unerlaubtem Zugriff.
    Der Staat bzw. seine Behörden müssen jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.
  2. Unabhängigkeit der Einsatzfähigkeit digitaler Infrastrukturen von anderen Staaten oder Unternehmen.
    Wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge müssen vermieden werden, um elementare staatliche Funktionen sicherzustellen und für Krisen- oder Katastrophenfällen widerstandsfähig, d.h. „resilient“, zu sein .

Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.

Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.

Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).

Warum ist all das überhaupt erwähnenswert?

Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.

Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.

Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.

Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.

Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.

Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.

Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).

Weitere Informationen

 

Vorratsspeicherung ade – EuGH kippt deutsche Regelung

Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.

Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.

Aus der Pressemitteilung:

Ein solcher Satz von Verkehrs und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren , und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“

Weitere Informationen

Datenschutz blockiert nicht – er ist unentbehrlich für die Verarbeitung personenbezogener Daten

In den Medien kocht die Kritik an Datenschützern hoch – sie seien die Verhinderer von Innovation und bremsen die Wirtschaft aus.

Ganz im Sinne der FDP, die es mit Ihrem Wahlspruch auf den Punkt brachte:

Digitalisierung first, Bedenken second

(Am Rande: Erfreulicherweise werden mittlerweile auch in der FDP wieder vermehrt Grundrechte eingefordert, beispielsweise um den Überwachungsstaat einzuhegen.)

Aktuell polemisiert Sascha Lobo im Spiegel gegen den Datenschutz, dabei geht es ihm inhaltlich insbesondere um die Unfähigkeit der deutschen (Ministerial-)Bürokratie und das Scheitern öffentlicher IT-Projekte wie dem E-Rezept.

Dafür Datenschützer verantwortlich zu machen ist jedoch weit hergeholt.

Richtig ist, dass der Schutz von Persönlichkeitsrechten oft nicht ernst genug genommen wird und Datenschutz in der langsam voranschreitenden Digitalisierung meist nicht von Anfang mitgedacht wird.

Sascha Lobo greift Thilo Weichert, den ehemaligen obersten Datenschützer Schleswig-Holsteins persönlich an und bezeichnet ihn als „Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule“, die er als die Verhinderer ausgemacht haben will.

Datenschutz ist kein Supergrundrecht, es gibt immer wieder Abwägungen gegenüber anderen Grundrechten – in der Pandemie beispielsweise die physische Unversehrtheit. Jedoch sollten nicht unternehmerische Vermarktungsinteressen  oder Kontrollbedürfnisse des Staates der Maßstab sein, der mündige Bürger sollte im Zentrum stehen:

Privates soll auch privat bleiben!

Dieses sicherzustellen ist Aufgabe demokratisch verfasster Staaten. Die EU strebt einen angemessenen Schutz personenbezogener Daten an, und hat dafür 2016 einen Rechtsrahmen geschaffen, die DSGVO. Es gilt, sie mit Leben zu füllen und die Bürger vor der maßlosen Sammelwut von Unternehmen und den Überwachungsfantasien staatlicher Behörden zu schützen.

Dafür lohnt es sich zu kämpfen, das sollte auch Sascha Lobo wissen!

Aktuelle Stichworte sind:
Chatkontrolle,  Steuer-ID, angreifbare IT-Systeme dank geheimgehaltener Sicherheitslöcher, Staatstrojaner, Microtargeting, Nutzerprofile, Videoüberwachung mit biometrischen Verfahren u.v.m.

 

Vergabekammer BW schiesst übers Ziel hinaus: Ein genereller Ausschluss US-amerikanischer Tochterfirmen ist nicht gerechtfertigt

Behörden-Ausschreibungen für Cloud-Dienste dürfen in Baden-Württemberg nicht an US-amerikanische Tochterfirmen vergeben werden, auch wenn diese in der EU registriert sind.

Offenbar ist die Vergabekammer mit ihrem Beschluss zu weit gegangen und sollte ihn nun revidieren.

Pauschale Verbote sind unangebracht.

„Vergabekammer BW schiesst übers Ziel hinaus: Ein genereller Ausschluss US-amerikanischer Tochterfirmen ist nicht gerechtfertigt“ weiterlesen

Die privatisierte Zensur – Instagram blockt Beiträge zu Abtreibungen

Kaum hat der Supreme Court -der oberste Gerichtshof der Vereinigten Staaten- sein Urteil verkündet, werden die Zensoren vorauseilend aktiv.

Meinungs- und Pressefreiheit heißt zwar nicht, das jede*r alles sagen darf – aber solange es keine strafrechtliche Relevanz hat sollte jede Meinungsäußerung möglich sein.

Die (sozialen) Medien sind in privater Hand und dazu angehalten, Inhalte die als problematisch eingeschätzt werden zu sperren und ggf. an  Strafverfolgungsbehörden zu melden. In Deutschland greift hier unter anderem das umstrittene Netzwerk-Durchsetzungsgesetz.

Problematisch ist jedoch nicht dass Inhalte gesperrt werden, sondern warum etwas gesperrt wird und wie mensch sich dagegen wehren kann. Der Willkür ist meist Tür und Tor geöffnet.

Zudem behalten sich die Anbieter in den Nutzungsbedingungen vor, bestimmte Inhalte nach Gutdünken zu sperren und – da es private Unternehmen sind – fehlt vor allem eine praktikable rechtliche Handhabe um dagegen vorzugehen.

Es bleibt spannend, ob die Zensur ein weltweites Revival erlebt und „die gute alte Zeit“ wieder aufersteht – dank des Ukrainekriegs wird in Russland und in der Ukraine  zensiert. Aber auch in der Türkei und vielen anderen Staaten stehen (kritische) Meinungsäußerungen unter dem aufmerksamen Blick der Zensur- und Strafverfolgungsbehörden.

Oder wird Orwells 1984 Realität, in der das Wahrheitsministerium in guter stalinistischer Manier die (archivierten) Dokumente nachträglich korrigiert, damit sie der neuen Wahrheit entsprechen?

Das Verwirrspiel mit den Datenschutzeinstellungen – konzertierte Aktion der Verbraucherschutzbehörden gegen Google

Jede*r weiss, wie kompliziert die Datenschutzeinstellungen gemacht werden, so dass mensch aufgibt und hinnimmt, dass die eigene Privatsphäre nicht einmal so weit geschützt wird, wie es möglich wäre.

Nutzer*innen werden dazu gedrängt, allem zuzustimmen indem „Nudging“, umständliche Einstellungsoptionen und sogenannte „Dark Pattern“ angewandt werden.

Von datenschutzfreundlichen Voreinstellungen ganz zu schweigen, obwohl diese dank der DSGVO gegeben sein müssten.

Nun gehen die europäischen Verbraucherschutzbehörden gemeinsam gegen Google vor, und reichen bei 10 Aufsichtsbehörden Beschwerden dagegen ein. Eigentlich hätten die Behörden und die Politik bereits vor Jahren aktiv werden müssen.

Weitere Informationen

FacePay – Gesichtserkennung in der Moskauer Metro

Mit einem Blick in die Kamera wird die Sperre zur Metro freigegeben.

Was als komfortables Bezahlsystem beworben wird dient auch zu Überwachung und Repression: Unzählige Personen wurden bereits in der Moskauer Metro verhaftet. Die biometrische Gesichtserkennung dient dabei als Mittel zum Zweck. Betroffen sind u.a. Kriegsgegner, deren biometrischen Merkmale bereits in der Datenbank zum Abgleich bereitstehen.

Es muss davon ausgegangen werden, dass auch in Russland weitere (Standort-)Daten gesammelt und personenbezogen zusammengeführt werden – in China ist diese Art der Profilbildung bereits in der Umsetzung (s. Blogbeitrag).

Was im Geltungbereich der DSGVO undenkbar erscheint, ist in autoritären Regimes längst gängige Praxis.

Weitere Informationen

Rasterfahndung war gestern – China baut auf Totalüberwachung

Neben dem massiven Ausbau der Kameraüberwachung wird in China auf präventive Überwachung (fast) aller Bürger gesetzt. Alle greifbaren Daten aus Vergangenheit und Gegenwart werden zusammengeführt und ausgewertet. Zudem sollen Vorhersagen über das Verhalten einzelner gemacht werden, insbesondere . Ansätze dazu gibt es auch in demokratischen Staaten – Predictive Policing in den USA und woanders gehört dazu – jedoch ist das chinesische Ausmaß erschreckend.

Die New York Times NYT hat eine umfangreiche Recherche vorgenommen, die ein klares Bild zeichnet:

  • biometrische Informationen werden zusammengeführt (u.a. Fotos, Stimm-Mitschnitte, Iris-Scans, Fingerabdrücke, DNA, digitale IDs)
  • Standortdaten (sowohl GPS als auch lokalisierende WLAN- und Funknetz-Daten) werden von Smartphones abgeleitet sowie von Überwachungskameras mit biometrischer Identifizierung (Bild und Ton) generiert
  • andere verfügbaren Daten (Einkäufe, Hotel- und Ticketbuchungen, Stromverbrauch u.v.m.) werden zusammengeführt

Vollendet sich in China das Werk der NSA?

Weitere Informationen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Kurzpapier: Einordnung der datenschutzrechtlichen Stellungnahme des behördlichen Datenschutzes

Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.

Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.

Weitere Informationen