• +49-331-585-07-544
  • info@daniel-schuppelius.de

Die allgemeine Heuchelei zur Datensicherheit

Die allgemeine Heuchelei zur Datensicherheit

Zu Zeiten, in der jeder Staat scheinbar über die Geschäftsfähigkeit des anderen Staates bescheid weiß. Gibt es offenbar einen Konsens, wie man mit personenbezogenen Daten umzugehen hat. Der Staat nimmt sich sämtliche Rechte zum “Schutze des Bürgers” heraus, hat aber keine Ahnung was Datenschutz bedeutet. Es werden Datenbanken verknüpft und Zugriffe gewährt, ohne sich ausreichend mit dem Zweck der Anfragen beschäftigen zu wollen und das Staatenübergreifend. Sicherheitsbehörden wünschen sich “gute Daten” und fordern immer weitergehende Rechte um ihre Sammelwut bzw. ihr Spannertum ohne Beschränkungen durchführen zu können. Sind aber völlig überfordert mit der existierenden Datenflut und weichen den Fragen zur Sinnhaftigkeit der anhaltslosen präventiven Datenerfassung eines jeden Bürgers aus. Im gleichem Atemzug wird von Jedermann ein Verständnis eingefordert, wie er mit personenbezogenen Daten umzugehen hat.

EU-Datenschutzgrundverordnung

Die europäische Union hat sich ja mit diesem Thema beschäftigt und hat nun ein Werkzeug bereitgestellt, mit dem man ein gewisses Grundverständnis zum Datenschutz einfordern kann. Lange und breit wurde darüber debattiert, aber niemand hat eine Vorstellung davon, was es bedeutet Daten sicher zu verarbeiten. Selbst der Staat und dessen Angestellte haben keine Ahnung wie das ablaufen soll. Und das BSI scheint nicht wirklich seinen Aufgaben gerecht zu werden, anders kann ich mir folgenden Fall nicht erklären.

Die Stadt Potsdam

Als Bürger dieser Stadt habe ich natürlich mit den Behörden hier Vorort zu tun. Folglich musste ich im Juni 2019 die Identitätsnachweise, der Bundesrepublik Deutschland, für meine Familie auffrischen. Daraus resultierend wurde ich aufgefordert einen Nachweis vom Jugendamt einzufordern, damit die Ausweisbehörde ihre Arbeit fortsetzen konnte. Ich wurde also in das Arbeitszimmer gerufen und sollte meine Daten zum Besten geben. Hier noch eine Unterschrift, dort noch eine Unterschrift und ein paar persönliche Angaben.

Als es dann darum ging das Formular bereitzustellen, mussten die erfassten Daten in das System des Amtes eingepflegt werden. Was soll ich sagen, ich war verwundert als ich sah, wo die Mitarbeiterin die Daten eintrug. Eine unverschlüsselte interne Webseite die offensichtlich erst vor kurzem erneuert wurde. Neugierig fragte ich die Mitarbeiterin warum sie meine Daten unverschlüsselt überträgt, sie wusste natürlich nicht was ich damit meinte. Ich erklärte ihr, worauf man bei jeder Webseite achten sollte und das ihr System nichts von alledem aufweist. Beispielsweise, dass die Übertragung gesichert ist und wie man das erkennen könne. Ihr war das merklich unangenehm, denn sie hatte keine Ahnung wie sie mit mir umgehen sollte. Ich beließ es dann erstmal dabei und empfahl ihr, mit ihrem Vorgesetzten darüber zu sprechen. Denn ich gehe davon aus, das die Daten nicht im Jugendamt verarbeitet werden, sondern über das Netz des Bundes abgewickelt werden. Das heißt, es existiert ein nicht unerhebliches Risiko, dass Daten abgefischt werden können. Die einfachste Form, wäre vermutlich ein lokaler Proxy oder ein Sniffer der, über eine Mail an den betreffenden Mitarbeiter, durch diesen installiert wird und die geraubten Daten beispielsweise per HTTPS an einen Amazon- oder Azure-Cloudservice sendet. Man müsste sich auch nicht bemühen, irgendwelche Zertifikate auszutauschen, weil ja eh alles im Klartext versendet wird.

FTP-Beispielübertragung (Schlüsselwörter sind USER und PASS)

Warum würde ich einen Cloudservice benutzen?

Heutzutage hat fast jedes größere Unternehmen einen Dienst in der Cloud zu laufen. D.h. im Klartext, wenn eine Firewall existiert, verfüge ich bereits über eine Ausnahme für HTTPS, da HTTPS größtenteils einfach ohne weitere Prüfung weitergeleitet wird. Des weiteren prüfen nur wenige Unternehmen diesen Verkehr auf Unregelmäßigkeiten und man hat etwas Zeit die Web-Eingaben des Mitarbeiters abzugreifen, bis die Lücke bemerkt wird. Schließlich wird ja im ersten Moment mein Standort verschleiert. Und die Wenigsten werden misstrauisch, wenn der Datenverkehr im Land bleibt. Der Rest ist Faulheit und menschliches Versagen. Makroschutzfunktionen (Office) und andere Schutz-Mechanismen werden größtenteils deaktiviert, weil man Klicks sparen möchte. Einen Mitarbeiter, durch direkte Ansprache, zu etwas zu bewegen hängt nur von der Fähigkeit ab, selbstsicher aufzutreten.

Vereinfachtes Beispiel für den Transfer von Daten

Teuer eingekauft

Die Stadt Potsdam, scheint demzufolge einen IT-Dienstleister zu beschäftigen, welcher sich nicht ausreichend mit Websystemen auskennt. Nutzt dieses System und ist sich nicht im Klaren darüber, wie schnell dieses Sicherheitsrisiko ausgenutzt werden könnte. Eine Verschlüsselung aufzubauen, dauert bei einem völlig ahnungslosen IT-Mitarbeiter, welcher noch die Tastatur und Google benutzen kann ca. 2-4h ob nun Apache, IIS oder nginx. Klar muss je nach Qualität etwas mehr Aufwand betrieben werden. Aber selbst wenn ich mir keine Zertifizierungsstelle aufbauen möchte, gibt es genügend Dienste die einem Helfen zumindest ein Zertifikat zu erstellen.

Alles heutzutage kein Hexenwerk! Und ich habe mit einem einfachen Zertifikat erreicht, dass nicht jeder mitlesen kann bzw. ohne weiteres Daten manipulieren kann. Auch verstehe ich nicht, was das BSI so tut bzw. wo dessen Kompetenzen liegen. Aus meinem Verständnis für diese Behörde, prüft diese ob die eingesetzten Systeme Anfälligkeiten aufweisen und warnt die entsprechende Behörde. Sie gibt Richtlinien heraus und sollte auch überprüfen, ob die jeweiligen Behörden diesen Richtlinien folgen. Scheinbar funktioniert das System aber nicht und sollte dringend überdacht werden.

Die Sicherheitsbehörden und der Staat

Das der Staat keine Vorstellungen von Datenschutz hat, haben wir durch Äußerungen wie “Neuland” und der Forderung nach Möglichkeiten Verschlüsselungen für Staatsorgane zu umgehen, miterleben dürfen. Von daher gehe ich davon aus, dass nicht nur die Stadt Potsdam ein Problem mit ihrem Datenverkehr hat. Auch das Verständnis vieler Bürger zu diversen Cloud-Diensten ist mehr als befremdlich. Grundsätzlich muss man davon ausgehen, dass jeder Serverbetreiber die enthaltenen Daten mitlesen kann. Speichere ich also unverschlüsselte Daten außerhalb meines Einflussbereiches ab, kann der Betreiber mitlesen und demzufolge auch Sicherheitsbehörden, welche an den Betreiber herantreten. Das mag in unseren Breitengraden vielleicht noch nicht so gefährlich sein. Gehen wir aber davon aus, dass viele Unternehmen weiterhin keinen Wert auf Sicherheit legen und dem Ruf des Geldes folgen. Ergeben sich daraus Möglichkeiten die von Staaten mit mehr Unterdrückungspotential genutzt werden können. Ich muss also nur dafür sorgen, dass ich als unterdrückender Staat, möglichst günstige Preise für Datenzentren bereitstelle. Folglich regelt der Markt den Rest für mich und ich kann meinen Einfluss Stück für Stück ausbauen.

Was tun, wenn?

Spielen wir mal eine “feindliche” Übernahme eines Staates durch, dann hat sich garantiert kein Unternehmen Gedanken gemacht, was mit den Daten der User passieren müsste, um eventuellen Verfolgungen aus dem Weg zu gehen. Wir werden also über kurz oder lang miterleben dürfen, dass nicht nur Daten von Staaten, Menschen umbringen bzw. massiv beeinträchtigen werden, sondern auch Daten von Unternehmen wie beispielsweise Apple, Google und Microsoft. Yahoo war z.B. solch ein Unternehmen, welches mit Staaten unverhältnismäßig gut kooperiert hat. Vermutlich will deshalb auch keiner mehr mit diesem Dienst arbeiten. Bei den aktuellen Leaks zu Personendaten, gehe ich persönlich von einem staatlichen Übergriff aus. Bei den Gesundheitsdaten könnte auch die Faulheit eines Dienstleisters ursächlich gewesen sein. Spätestens ab hier, würde ich dann von einer strafbaren Handlung ausgehen und mit Freiheitsstrafen reagieren. Denn das würde für mich grob fahrlässiges Verhalten implizieren.

Verantwortung übernehmen

In einem Unternehmen trägt grundsätzlich die Unternehmensführung, die Verantwortung für die Firma. Folglich auch, für Fehler bei der Datenverarbeitung. Dennoch, sollte der Administrator tätig werden, wenn ihm Schwächen im System auffallen. Auch wenn der überwiegende Teil dieser Spezies, eher sparsam mit Worten ist. Daten sind kein Spielzeug! Heutzutage kann ein einfacher Eintrag, wie die Religionsangehörigkeit, in einer Datenbank zu einer Verfolgung führen. Selbst wenn die Daten im Moment noch keine Relevanz haben, sollte darüber nachgedacht werden, was mit diesen Daten angestellt werden kann. Und in Zeiten von Big-Data, wo jeder alles lesen kann, wenn er sich mit den Systemen auskennt. Sollte besonders darauf geachtet werden, wo und wie die Daten verarbeitet werden. Beispielsweise musste Facebook seine Suche anpassen, weil hier die Möglichkeit bestand massenhaft Daten zu Personen abzugreifen. Ich habe noch nicht genauer nachgeschaut, aber ich glaube über die Schnittstellen des Dienstes, sind solche Suchen immer noch möglich. Folglich kann ein Urlaubstrip, unter Umständen zu unerwünschten Folgen, für die entsprechende Person führen. Nach dem 11. September 2001 ist so etwas auch in den USA möglich, da alle Sicherheitsbehörden verrückt spielten und jeden als potentiellen Feind deklariert. Ein Name reichte schon aus, um eine Einreiseverweigerung zu erhaschen.

Soziale Medien

Die Zukunft gehört denen, welche es verstehen über diese Medien Gehör zu finden. Trump ist beispielsweise solch ein Kandidat. Er versuchte, Personen aus seinen Tweets bei Twitter auszusperren. Zugegeben, ein Armutszeugnis, aber es gehört halt zu Trump und es zieht sich wie ein roter Faden durch seine Amtszeit. Schon zu Beginn seiner Amtszeit, wurden bereits Möglichkeiten ausgelotet kritische Stimmen anzugreifen. Die hiesigen Medien, hatte er ja schon auf dem Schirm. Er hat es verstanden, sich als Opfer darzustellen. Aus meiner Sicht ist er auch eines, aber das ist eine andere Geschichte. Er lenkt durch seine Tweets die Aufmerksamkeit vieler Benutzer auf seine “Politik der Angst” und hat offensichtlich Erfolg damit.

Im nahen Osten, gibt es beispielsweise Listen, auf Basis von Social-Media, über Personen, welche sich kritisch zum jeweiligen Regime geäußert haben und das weltweit. Facebook versteht bis heute nicht, was sie anrichten mit ihrer Politik des Datenverteilens. Erst Klagen, werden das Unternehmen zwingen sich mit den unbequemen Wahrheiten auseinander zu setzen. Lassen wir uns überraschen wie viele Hassprediger und Lügner durch Facebook und Twitter noch unterstützt werden, bis jemand wach wird und Aufhetzendes und Falsches markiert. Versprochen wurde diese Funktion schon vor Jahren, aber so richtig funktionieren tut das alles irgendwie nicht.

Daniel Jörg Schuppelius

Assistent für Elektronik und Datentechnik

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

%d Bloggern gefällt das: