Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Das Verwirrspiel mit den Datenschutzeinstellungen – konzertierte Aktion der Verbraucherschutzbehörden gegen Google

Jede*r weiss, wie kompliziert die Datenschutzeinstellungen gemacht werden, so dass mensch aufgibt und hinnimmt, dass die eigene Privatsphäre nicht einmal so weit geschützt wird, wie es möglich wäre.

Nutzer*innen werden dazu gedrängt, allem zuzustimmen indem „Nudging“, umständliche Einstellungsoptionen und sogenannte „Dark Pattern“ angewandt werden.

Von datenschutzfreundlichen Voreinstellungen ganz zu schweigen, obwohl diese dank der DSGVO gegeben sein müssten.

Nun gehen die europäischen Verbraucherschutzbehörden gemeinsam gegen Google vor, und reichen bei 10 Aufsichtsbehörden Beschwerden dagegen ein. Eigentlich hätten die Behörden und die Politik bereits vor Jahren aktiv werden müssen.

Weitere Informationen

FacePay – Gesichtserkennung in der Moskauer Metro

Mit einem Blick in die Kamera wird die Sperre zur Metro freigegeben.

Was als komfortables Bezahlsystem beworben wird dient auch zu Überwachung und Repression: Unzählige Personen wurden bereits in der Moskauer Metro verhaftet. Die biometrische Gesichtserkennung dient dabei als Mittel zum Zweck. Betroffen sind u.a. Kriegsgegner, deren biometrischen Merkmale bereits in der Datenbank zum Abgleich bereitstehen.

Es muss davon ausgegangen werden, dass auch in Russland weitere (Standort-)Daten gesammelt und personenbezogen zusammengeführt werden – in China ist diese Art der Profilbildung bereits in der Umsetzung (s. Blogbeitrag).

Was im Geltungbereich der DSGVO undenkbar erscheint, ist in autoritären Regimes längst gängige Praxis.

Weitere Informationen

Rasterfahndung war gestern – China baut auf Totalüberwachung

Neben dem massiven Ausbau der Kameraüberwachung wird in China auf präventive Überwachung (fast) aller Bürger gesetzt. Alle greifbaren Daten aus Vergangenheit und Gegenwart werden zusammengeführt und ausgewertet. Zudem sollen Vorhersagen über das Verhalten einzelner gemacht werden, insbesondere . Ansätze dazu gibt es auch in demokratischen Staaten – Predictive Policing in den USA und woanders gehört dazu – jedoch ist das chinesische Ausmaß erschreckend.

Die New York Times NYT hat eine umfangreiche Recherche vorgenommen, die ein klares Bild zeichnet:

  • biometrische Informationen werden zusammengeführt (u.a. Fotos, Stimm-Mitschnitte, Iris-Scans, Fingerabdrücke, DNA, digitale IDs)
  • Standortdaten (sowohl GPS als auch lokalisierende WLAN- und Funknetz-Daten) werden von Smartphones abgeleitet sowie von Überwachungskameras mit biometrischer Identifizierung (Bild und Ton) generiert
  • andere verfügbaren Daten (Einkäufe, Hotel- und Ticketbuchungen, Stromverbrauch u.v.m.) werden zusammengeführt

Vollendet sich in China das Werk der NSA?

Weitere Informationen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Kurzpapier: Einordnung der datenschutzrechtlichen Stellungnahme des behördlichen Datenschutzes

Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.

Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.

Weitere Informationen

Hinweise der Baden-Württembergischen Aufsichtsbehörde zur Nutzung von Microsoft 365 durch Schulen

Die Landesdatenschutz-Aufsichtsbehörde hat einen intensiven Begutachtungsprozeß zu den Möglichkeiten datenschutzkonformer Anpassungen unternommen. Dieser wurde im April abgeschlossen und kommt im Wesentlichen zu dem Ergebnis, dass eine DSGVO-konforme Nutzung von Office 365 an Schulen nicht umsetzbar ist. Ein Grund besteht darin, dass personenbezogene Daten in die USA übertragen und diese von Microsoft für eigene Zwecke genutzt werden, ohne dass dafür eine geeignete Rechtsgrundlage gegeben ist.

Die Entscheidung ist insofern überraschend, da die Einführung von Office 365 und insbesondere von Microsoft Teams an den Schulen seitens des Baden-Württembergischen Landesministeriums forciert wurde. Das Statement hat somit auch Strahlkraft über das Bundesland und über Schulen hinaus.

Für das kommende Schuljahr 2022/23 sollen die Schulen Alternativen zu Office 365 nutzen bzw. die datenschutzgerechte Nutzung ggü. der Aufsichtsbehörde belegen. Alternativen werden über die „digitale Bildungsplattform“ des Landes angeboten.

Weitere Informationen

Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen

Die hessische Aufsichtsbehörde hat sich damit auseinandergesetzt, welche  Maßnahmen geeignet sind, um Zoom datenschutzkonform betreiben zu können – auch über die Pandemie hinaus.

„Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen“ weiterlesen

Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf

Wir berichteten bereits darüber, jetzt macht die Kommission ernst mit der digitalen Massenüberwachung:

Alle Dienstanbieter sollen verpflichtet werden,
jede (private) Kommunikation auf kinderpornographische Inhalte zu scannen.

Derzeit ist es noch freiwillig, künftig aber gefordert, dass alle Inhalte kontrolliert werden müssen. Es ist nur eine Frage der Zeit, dass die Begehrlichkeiten der Behörden nicht auf kinderpornographische Inhalte beschränkt bleiben werden, was in einer Domäne funktioniert, kann leicht adaptiert werden.

„Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf“ weiterlesen

TU Berlin: Nach einem Jahr sind die Auswirkungen des IT-Sicherheitsvorfalls weitgehend überwunden

Seit dem Angriff auf die Windows-Systeme der TU mit einem Verschlüsselungstrojaner im April 2021 waren – und sind es zum Teil bis heute – sämtliche TU-Angehörige von den Auswirkungen des Vorfalls in Form von ausgefallenen bzw. eingeschränkten Diensten betroffen.

Mittlerweile sind die meisten Dienste wieder verfügbar bzw. durch Alternativen ersetzt worden, für die die verbliebenen Arbeiten an den Diensten der ZECM gibt es eine Roadmap. Einige Dienste wurden außer Betrieb genommen, bspw. tubmeeting, MS Sharepoint und WebAFS.

Die TU hat aus dem Vorfall gelernt und hart daran gearbeitet, die IT-Systeme sicher neu aufzustellen.

Weitere Informationen

Digitale Souveränität: Wie sie an Hochschulen gelingen kann

Der Begriff der digitalen Souveränität geistert schon länger durch die Medien, aber was bedeutet es und gibt es bereits Erfolge? Wie tragen auch deutsche Hochschulen dazu bei, diese zu stärken?

Digitale Souveränität bedeutet, nicht abhängig zu sein von einzelnen Anbietern und deren digitalen Produkten, sondern selbst über IT-Systeme und Daten zu bestimmen.

Das Thema wird verstärkt im europäischen und nationalen Kontext angesprochen, da die Politik mittlerweile erkannt hat, dass es großer Anstrengungen bedarf um in der IT unabhängiger von den US-IT-Giganten zu werden. Die Versäumnisse der letzten Jahrzehnte werden daran deutlich, dass weder Verwaltung und  Unternehmen noch die Bürger*innen kaum mehr ohne US-amerikanische Dienste auskommen: Angefangen von Betriebssystemen wie Windows, MacOS und Android über Standardsoftware wie MS Office und Chrome hin zu Cloud-basierten Services wie Social Media oder Videokonferenztools.

Es ist zu befürchten, dass die gewachsene Marktmacht in den nächsten Jahren nicht gebrochen werden kann. Die Frage bleibt, welche Gestaltungsspielräume jetzt und in Zukunft existieren – ob man den Anbietern auf Gedeih und Verderb ausgeliefert ist, so dass diese die Bedingungen diktieren können, oder ob Alternativen bestehen.

Es gibt seit langem Initiativen, in denen eigene Wege beschritten und alternative Angebote entwickelt werden – vornehmlich handelt es sich um Open Source Projekte, die eine größere Verbreitung finden und zumeist spendenbasiert an Qualkität gewinnen und in einigen Fällen gute Substitute für kommerzielle Produkte sind. Die (technischen) Hochschulen können hier mit Ihrer Kompetenz punkten und zur  Verbesserung der Produkte beitragen, indem sie künftig Mittel umschichten und stärker in Open Source Software investieren.

Mit BigBlueButton und Nextcloud sind bereits angegangene Wege zu einer zunehmenden digitalen Souveränität an den Hochschulen sichtbar, die wir näher beschreiben.

„Digitale Souveränität: Wie sie an Hochschulen gelingen kann“ weiterlesen