Aktuelles

09/2019 Ende-zu-Ende-Verschlüsselung Teil I
Zunehmende Zusammenarbeit zwischen IT-Firmen und Staaten – Gibt es bald keine sicheren Messenger mehr in Deutschland?

Milliarden Daten mit einer standardmäßigen Ende-zu-Ende-Verschlüsselung werden täglich verschickt und empfangen. Gleichzeitig steigen Überwachungsinteressen von Staaten und Behörden stetig an. Weltweit formieren sich seit Jahren Gegner und Befürworter der Verschlüsselung.

Viele Staaten wollen die Hacking-Kapazitäten staatlicher Behörden massiv ausbauen: Autoritäre Regimes, aber auch immer mehr westliche Demokratien sehen standardmäßig verschlüsselte Kommunikation als große Gefahr für die öffentliche Sicherheit und fordern eine Schwächung der Kommunikationsverschlüsselung sowie die Möglichkeit Spionagesoftware auf Smartphones zu nutzen. Die Schlüssel werden von großen Internetkonzernen verwaltet, die auch festlegen können, wer unauffällig im Klartext mitlesen kann. Der Zugriff auf diese Cloud-Systeme oder Hardware-Implants zum voreingebauten Abfangen von Datenverkehr rücken immer mehr in den Fokus. Dabei sind die großen Internetkonzerne wie Facebook, Google oder Amazon inzwischen so mächtig, dass Staaten Kooperationen mit ihnen anstreben und die Interessen der Nutzer:innen in den Hintergrund gerückt werden. Die Gegner fordern eine starke und sichere Verschlüsselung, die jedoch gleichzeitig Ermittlungen technisch nicht behindern kann.1 Eine konkrete und machbare Umsetzbarkeit einer solchen technischen Lösung gibt es bisher jedoch nicht.

Trotzdem steigt der Druck auf Anbieter und ist aktuell vor allem in den USA sehr hoch. Deutschlands Position ist widersprüchlich, eine Abkehr von einer deutschen Cyber-Sicherheitspolitik deutet sich jedoch immer wieder an:

„Dies zeigt das BKA-Gesetz von Juni 2017, das den Einsatz von Überwachungstrojanern auf Endgeräten wie Smartphones legitimiert, oder die Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die ebenjene Überwachungslösungen entwickeln soll. Während die Verschlüsselungssoftware technisch un-angetastet bleibt, soll stattdessen die Kommunikation auf den Endgeräten vor der Verschlüsselung mittels staatlicher Überwachungssoftware ausgelesen werden.“2

Erst im Juni diesen Jahres sollten nach Plänen des Innenministeriums verschlüsselte Messenger-Dienste zur Einrichtung einer Abhörschnittstelle gezwungen werden.3 Damit wird der Betrieb eines sicheren Messengers innerhalb Deutschlands nicht mehr möglich sein.

----------
1 Vgl. u.a. https://netzpolitik.org/2018/fbi-klagt-ueber-verschluesselte-handys-mal-wieder/
2 https://netzpolitik.org/2017/stiftung-wissenschaft-und-politik-warnt-vor-schwaechung-der-verschluesselung/
3 Vgl. https://www.golem.de/news/crypto-wars-protest-gegen-entschluesselungszwang-bei-whatsapp-co-1906-141825.html

05/2019 Tracking-Cookies – Aktuell häufig noch rechtswidrig!

Cookie-Banner:

  • Die Banner zeigen eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die in Funktion und Beteiligten erklärt und aktiviert werden können.
  • Ein Zugriff auf Datenschutz und Impressum darf durch Cookie-Banner nicht verhindert werden.
  • Vor und während der Anzeige des Banners werden bis zur Handlung der Nutzer und Nutzerinnen alle weitergehenden Skripte einer Website oder Web-App blockiert, wenn sie potenziell Nutzerdaten erfassen können. Erst nach Zustimmung darf die Datenverarbeitung tatsächlich stattfinden.
  • Bei fehlender Option einer Ablehnung von Cookies fehlt die erforderliche Freiwilligkeit.
  • Eine Einwilligung muss – so einfach wie die Einwilligung – widerrufbar sein.

Cookie-Banner, die sich beim Besuch einer Website über den Inhalt legen und ein „Akzeptieren“ oder „Ok“ fordern, tauchen seit Ende Mai 2018 fast überall in Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO) auf, obwohl der Einsatz von Cookies durch diese ursprünglich nicht geregelt werden sollte. Demnach sollte diese Aufgabe zunächst die europäische E-Privacy-Verordnung (ePrivVO) übernehmen, die es jedoch nach wie vor nicht gibt. So wurde kurz vor Inkrafttreten der DSGVO ein Positionspapier veröffentlicht, welches eine explizite Einwilligung der Nutzer und Nutzerinnen bzgl. Site Tracking-Mechanismen forderte. Diese Mechanismen machen das Verhalten von Personen im Internet durch die Erstellung eines Nutzerprofils nachvollziehbar. Die informierte Einwilligung müsse, laut Positionspapier, „in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden“1. Der Sonderweg dieser Einwilligungslösung war von Beginn an sehr umstritten.

Anfang 2019 untersuchte die bayerische Datenschutzbehörde 40 Websites größerer Anbieter und stellte fest, dass nicht ein Anbieter alle strengen Anforderungen erfüllt. Viele der zurzeit angezeigten Banner sind also klar rechtswidrig. Vor allem die fehlende Option einer Ablehnung der Cookie-Verwendung ist häufig anzutreffen. Darüber hinaus müssen Betreiber den Nutzern und Nutzerinnen die Verarbeitungen der Daten transparent und nachvollziehbar darstellen. Neben einer Auflistung der einzelnen Verarbeitungsformen fehlt häufig auch die Funktion einer spezifischen Einwilligung in einzelne Formen der Datenverarbeitung. Nur so wird es Nutzern und Nutzerinnen möglich Entscheidungen in Kenntnis der konkreten Sachlage zu treffen und die Tragweite der Einwilligung zu verstehen. Im konkreten Einzelfall ist jedoch das Interesse des Website-Anbieters mit dem Interesse, den Grundrechten und den Grundfreiheiten des einzelnen Nutzers abzuwägen. Auch nach einem Jahr herrscht in diesem Bereich also noch viel Rechtsunsicherheit.

----------
1 https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

 

 

04/2019 Urheberrechtsreform – Was Sie grundsätzlich wissen sollten

Das Internet ist längst kein Neuland mehr. Dieser Grundkonsens herrschte auch im EU-Parlament als es die Verhandlungen zur Urheberrechtsreform in die Wege leitete. Nun ist sie endgültig beschlossen. 19 Staaten stimmten dafür, sechs dagegen, drei enthielten sich: In einer letzten Abstimmung stimmten die EU-Staaten dem Vorhaben am 15.04.19 mehrheitlich zu.

Worum geht es?

UrheberInnen von Texten, Bildern und Videos sollen mithilfe der Reform besser geschützt und fairer entlohnt werden. Es soll ein Ausgleich zwischen den Ansprüchen der Rechteinhaber auf der einen Seite und den UserInnen und online-AnbieterInnen auf der anderen Seite geschaffen werden.

Wie soll das funktionieren?

Das Paket beinhaltet insgesamt 23 Artikel, von denen vor allem zwei stark umstritten sind:

  • Artikel 11/15 auch bekannt als Leistungsschutzrecht für Verleger – soll ein sogenanntes Leistungsschutzrecht etablieren, das die Verwendung von geschützten Werken oder Teilen davon ohne Zustimmung der UrheberInnen untersagt. Also alle, die kleinste Ausschnitte von journalistischen Inhalten im Web nutzen wollen, brauchen dafür die verlegerische Lizenz.
  • Bei Artikel 13/17 geht es explizit um User-generated Content und somit um alle Websites, auf denen InternetnutzerInnen etwas hochladen können. Der Artikel sieht vor, dass diese Websites gezwungen werden jeden hochgeladenen Content auf Urheberrechtsverletzungen zu überprüfen oder für die Genehmigung bei UrheberInnen zu sorgen. Um der schlichten Fülle an Content mit einer Software gerecht zu werden, wird befürchtet, dass ein Upload-Filter eingeführt werden muss.
    • Ausnahmen gelten für Plattformen, die jünger als drei Jahre sind und zugleich höchstens 10 Millionen Euro pro Jahr umsetzen.
    • In der Protokollerklärung der Abstimmung verspricht die Bundesregierung die Definition betroffener Plattformen so auszulegen, dass Artikel 17 nur für marktmächtige Plattformen wie YouTube oder Facebook gilt, nicht für Diskussionsforen oder Nischenangebote.

Noch ist unklar, wie sich die Vorgaben der Urheberrechtsreform in nationalem Recht umsetzen lassen. Bis sich für NutzerInnen etwas ändert, wird es dauern, denn die Mitgliedsstaaten der EU haben zwei Jahre Zeit zur Umsetzung.

02/2019 – 2-Faktor Authentifizierung

Immer wieder sind Millionen User*innen von Sicherheitslücken betroffen. Die 2-Faktor Authentifizierung kann helfen das Auftreten von Identitätsdiebstahl, Pishing-Angriffen oder anderen Online-Betrugsversuchen massiv zu reduzieren. Denn selbst, wenn das Passwort geknackt wurde, können Hacker ausgesperrt und somit sensible Daten geschützt werden.

Der Identitätsnachweis der NutzerInnen wird mittels einer Kombination zweier unabhängiger Komponenten ermittelt, die korrekt eingesetzt werden müssen. Die drei häufigsten Faktoren werden meist als etwas beschrieben, das man weiß (PIN, TAN), das man besitzt (Bankkarte, physischer Schlüssel) und das man ist (Fingerabdruck, menschliche Stimme). Die Kombination muss dabei nicht zwingend aus Faktoren verschiedener Gattung bestehen, diese dürfen jedoch nie am selben Ort gespeichert/aufbewahrt werden. Meistens ist eines der Merkmale ein physischer Token, während das andere bspw. ein Sicherheitscode ist, wie z.B. bei der Kombination Bankkarte – PIN.

Auf sicheren Rechnern, bspw. Zuhause auf ihrem PC oder Laptop, kann festgelegt werden, dass nur beim ersten Mal nach dem Code gefragt wird. Wir raten, zumindest bei sensiblen Accounts, die 2-Faktor Authentifizierung einzuführen und somit den Schutz Ihrer Daten deutlich zu erhöhen.

01/2019 – Statische vs. Dynamische Website – welche ist die richtige für Ihre Firma?

Statische oder dynamische Website? Das ist die grundlegende Frage, die sich ihr Unternehmen bei der Erstellung der eigenen Website stellen muss. Es gibt jedoch keine allgemeingültige Antwort auf die bessere Anwendbarkeit, beide Lösungen haben ihre Vor- und Nachteile, deren Einsatz von Projekt zu Projekt abzuwägen bleibt.

Auf statischen Websites wird technisch ein HTML-Dokument auf dem Webserver dargestellt, das wie eine Art Prospekt geschrieben und gestaltet wird.

Vorteile

  • keine speziellen, technischen Anforderungen,
  • benötigt keine Datenbankanbindung,
  • i.d.R. geringer und schneller Erstellungsaufwand,
  • kostengünstige Erstellung,
  • geringe laufende Kosten,
  • geringer Speicherplatzbedarf.

Nachteile

  • Inhalte können meist nur mit entsprechenden Kenntnissen oder mit entsprechender Software geändert werden und sind mit hohem Zeitaufwand verbunden,
  • je größer die Seiten, desto unübersichtlicher der Quelltext.

Zielgruppe: Wer nur einen kleinen Webauftritt plant, der unregelmäßig aktualisiert werden soll, für den ist eine statische Website ausreichend – bspw. eine einfache Web-Visitenkarte mit Anschrift und Öffnungszeiten.

Dynamische Websites kommunizieren mit dem Server und werden aktiv im Moment ihrer Anforderung generiert. Die Daten werden dann aus einer Datenbank geladen, verarbeitet und an passender Stelle ausgegeben.

Vorteile

  • Flexibilität: Inhalte können ohne spezielle Kenntnisse und Software einfach online erweitert werden,
  • Individualität: Inhalt und Design können unabhängig voneinander geändert werden,
  • Multiuserbetrieb: mehrere Benutzer verantworten unterschiedliche Teile der Website,
  • problemlose Gestaltung mehrsprachiger Webseiten,
  • aktuelle Inhalte werden von Suchmaschinen gefunden.

Nachteile

  • Höherer Aufwand, da Server und möglicherweise Datenbank erforderlich,
  • höhere Startkosten,
  • höhere laufende Kosten,
  • größerer Speicherplatzbedarf.

Zielgruppe: Wer einen größeren Webauftritt plant, der kontinuierlich mit aktuellen Inhalten gepflegt werden soll, wie Suchanfragen, Bestellsysteme oder Formularen.

Gerne helfen wir Ihnen auch persönlich dabei herauszufinden, welche Lösung ideal für Ihr Unternehmen ist.