Rasterfahndung war gestern – China baut auf Totalüberwachung

Neben dem massiven Ausbau der Kameraüberwachung wird in China auf präventive Überwachung (fast) aller Bürger gesetzt. Alle greifbaren Daten aus Vergangenheit und Gegenwart werden zusammengeführt und ausgewertet. Zudem sollen Vorhersagen über das Verhalten einzelner gemacht werden, insbesondere . Ansätze dazu gibt es auch in demokratischen Staaten – Predictive Policing in den USA und woanders gehört dazu – jedoch ist das chinesische Ausmaß erschreckend.

Die New York Times NYT hat eine umfangreiche Recherche vorgenommen, die ein klares Bild zeichnet:

  • biometrische Informationen werden zusammengeführt (u.a. Fotos, Stimm-Mitschnitte, Iris-Scans, Fingerabdrücke, DNA, digitale IDs)
  • Standortdaten (sowohl GPS als auch lokalisierende WLAN- und Funknetz-Daten) werden von Smartphones abgeleitet sowie von Überwachungskameras mit biometrischer Identifizierung (Bild und Ton) generiert
  • andere verfügbaren Daten (Einkäufe, Hotel- und Ticketbuchungen, Stromverbrauch u.v.m.) werden zusammengeführt

Vollendet sich in China das Werk der NSA?

Weitere Informationen

Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen. Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.

Ziel sollte Sicherheit und Verlässlichkeit sein.

Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

„Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen“ weiterlesen

Kurzpapier: Einordnung der datenschutzrechtlichen Stellungnahme des behördlichen Datenschutzes

Die Stellungnahme des behördlichen Datenschutzes ist ein zentrales Element für die ordnungsgemäße Umsetzung von Verarbeitungstätigkeiten personenbezogener Daten.

Im Kurzpapier legen wir dar, welche Aufgaben den Verantwortlichen und welche dem behördlichen Datenschutz gesetzlich zugeordnet sind und wie die datenschutzrechtliche Stellungnahme einzuordnen ist.

Weitere Informationen

Hinweise der Baden-Württembergischen Aufsichtsbehörde zur Nutzung von Microsoft 365 durch Schulen

Die Landesdatenschutz-Aufsichtsbehörde hat einen intensiven Begutachtungsprozeß zu den Möglichkeiten datenschutzkonformer Anpassungen unternommen. Dieser wurde im April abgeschlossen und kommt im Wesentlichen zu dem Ergebnis, dass eine DSGVO-konforme Nutzung von Office 365 an Schulen nicht umsetzbar ist. Ein Grund besteht darin, dass personenbezogene Daten in die USA übertragen und diese von Microsoft für eigene Zwecke genutzt werden, ohne dass dafür eine geeignete Rechtsgrundlage gegeben ist.

Die Entscheidung ist insofern überraschend, da die Einführung von Office 365 und insbesondere von Microsoft Teams an den Schulen seitens des Baden-Württembergischen Landesministeriums forciert wurde. Das Statement hat somit auch Strahlkraft über das Bundesland und über Schulen hinaus.

Für das kommende Schuljahr 2022/23 sollen die Schulen Alternativen zu Office 365 nutzen bzw. die datenschutzgerechte Nutzung ggü. der Aufsichtsbehörde belegen. Alternativen werden über die „digitale Bildungsplattform“ des Landes angeboten.

Weitere Informationen

Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen

Die hessische Aufsichtsbehörde hat sich damit auseinandergesetzt, welche  Maßnahmen geeignet sind, um Zoom datenschutzkonform betreiben zu können – auch über die Pandemie hinaus.

„Datenschutzgerechter Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen“ weiterlesen

Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf

Wir berichteten bereits darüber, jetzt macht die Kommission ernst mit der digitalen Massenüberwachung:

Alle Dienstanbieter sollen verpflichtet werden,
jede (private) Kommunikation auf kinderpornographische Inhalte zu scannen.

Derzeit ist es noch freiwillig, künftig aber gefordert, dass alle Inhalte kontrolliert werden müssen. Es ist nur eine Frage der Zeit, dass die Begehrlichkeiten der Behörden nicht auf kinderpornographische Inhalte beschränkt bleiben werden, was in einer Domäne funktioniert, kann leicht adaptiert werden.

„Crypto Wars 2.0 – EU Kommission forciert Chatkontrolle in Gesetzentwurf“ weiterlesen

TU Berlin: Nach einem Jahr sind die Auswirkungen des IT-Sicherheitsvorfalls weitgehend überwunden

Seit dem Angriff auf die Windows-Systeme der TU mit einem Verschlüsselungstrojaner im April 2021 waren – und sind es zum Teil bis heute – sämtliche TU-Angehörige von den Auswirkungen des Vorfalls in Form von ausgefallenen bzw. eingeschränkten Diensten betroffen.

Mittlerweile sind die meisten Dienste wieder verfügbar bzw. durch Alternativen ersetzt worden, für die die verbliebenen Arbeiten an den Diensten der ZECM gibt es eine Roadmap. Einige Dienste wurden außer Betrieb genommen, bspw. tubmeeting, MS Sharepoint und WebAFS.

Die TU hat aus dem Vorfall gelernt und hart daran gearbeitet, die IT-Systeme sicher neu aufzustellen.

Weitere Informationen

Digitale Souveränität: Wie sie an Hochschulen gelingen kann

Der Begriff der digitalen Souveränität geistert schon länger durch die Medien, aber was bedeutet es und gibt es bereits Erfolge? Wie tragen auch deutsche Hochschulen dazu bei, diese zu stärken?

Digitale Souveränität bedeutet, nicht abhängig zu sein von einzelnen Anbietern und deren digitalen Produkten, sondern selbst über IT-Systeme und Daten zu bestimmen.

Das Thema wird verstärkt im europäischen und nationalen Kontext angesprochen, da die Politik mittlerweile erkannt hat, dass es großer Anstrengungen bedarf um in der IT unabhängiger von den US-IT-Giganten zu werden. Die Versäumnisse der letzten Jahrzehnte werden daran deutlich, dass weder Verwaltung und  Unternehmen noch die Bürger*innen kaum mehr ohne US-amerikanische Dienste auskommen: Angefangen von Betriebssystemen wie Windows, MacOS und Android über Standardsoftware wie MS Office und Chrome hin zu Cloud-basierten Services wie Social Media oder Videokonferenztools.

Es ist zu befürchten, dass die gewachsene Marktmacht in den nächsten Jahren nicht gebrochen werden kann. Die Frage bleibt, welche Gestaltungsspielräume jetzt und in Zukunft existieren – ob man den Anbietern auf Gedeih und Verderb ausgeliefert ist, so dass diese die Bedingungen diktieren können, oder ob Alternativen bestehen.

Es gibt seit langem Initiativen, in denen eigene Wege beschritten und alternative Angebote entwickelt werden – vornehmlich handelt es sich um Open Source Projekte, die eine größere Verbreitung finden und zumeist spendenbasiert an Qualkität gewinnen und in einigen Fällen gute Substitute für kommerzielle Produkte sind. Die (technischen) Hochschulen können hier mit Ihrer Kompetenz punkten und zur  Verbesserung der Produkte beitragen, indem sie künftig Mittel umschichten und stärker in Open Source Software investieren.

Mit BigBlueButton und Nextcloud sind bereits angegangene Wege zu einer zunehmenden digitalen Souveränität an den Hochschulen sichtbar, die wir näher beschreiben.

„Digitale Souveränität: Wie sie an Hochschulen gelingen kann“ weiterlesen

Pilotbetrieb von BigBlueButton an der TU Berlin

Seit Semesterbeginn wird das Portfolio an Videokonferenzdiensten durch das Open Source Videokonferenztool BigBlueButton (BBB) ergänzt, welches von InnoCampus betrieben wird.

Damit steht ein leistungsfähiger Dienst zur Verfügung, der vollständig auf Servern der TU Berlin betrieben wird und deshalb den Anforderungen an einen datenschutzfreundlichen Betrieb in besonderem Maße genügen kann.

In Berlin wird -teilweise seit Beginn der Pandemie- BigBlueButton an den meisten Hochschulen von den Rechenzentren als Videokonferenztool betrieben, um nur einige zu nennen:

  • Alice-Salomon-Hochschule Berlin (ASH)
  • Berliner Hochschule für Technik (BHT, ehem. Beuth)
  • Hochschule für Technik und Wirtschaft Berlin (HTW)
  • Hochschule für Wirtschaft und Recht Berlin (HWR)
  • Humboldt-Universität (HUB)
  • Universität der Künste (UdK)

Weitere Informationen

 

Sicherheitslücke: 70.000 Datensätze von Nutzer*innen der Unibibliothek Leipzig waren online abrufbar

Eine Webanwendung gab zwei Wochen lang Zugriff auf den Datenbestand, der Namen, E-Mail-Adressen und Bibliothekskarten-Nummer von 70.000 Nutzer*innen enthielt.

Erstaunlicherweise war die Zahl an Datensätzen deutlich höher als die Zahl aktiver Nutzer*innen. Offenbar waren auch inaktive Nutzer*innen betroffen, so dass nunmehr sowohl an der Verbesserung der IT-Sicherheit als auch am Löschkonzept gearbeitet wird.

Weitere Informationen