Messenger

Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung

Erst der Schock — dann die Panikreaktion. Die abscheulichen Anschläge in Paris, Nizza und Wien lassen die EU in leider gut bekannte Handlungsmuster verfallen: Auf Terror wird mit Einschränkungen unserer Freiheit reagiert, die angeblich mehr Sicherheit bringen. Wie nun bekannt wurde hat der Ministerrat eine Initiative vorbereitet, die die Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie WhatsApp oder Signal aufweichen soll. Unter der deutschen Ratspräsidentschaft wird damit nicht nur noch weiter in unsere Grundrechte eingegriffen. Es wird auch die weltweite IT-Sicherheit unter dem Vorwand des Kampfs gegen den Terror aufs Spiel gesetzt.

Die EU reagiert auf neuste Terroranschläge mit noch mehr Überwachung weiterlesen

HATE MESSAGES

Gegen Hass im Netz: „Frauenhass und Herabwürdigung sitzen in unserer Gesellschaft tief“

Der jüngste, aufsehenerregende Vorfall passierte auf Instagram: Dank insbesondere der Berliner Influencerin Louisa Dellert und der feministischen Aktivistin Kristina Lunz, konnten wir miterleben, was Frauen regelmäßig ertragen müssen.

Im Netz werden sie mit Bedrohungen überhäuft — meist durch aufgestachelte Follower eines Nutzers. In diesem Fall von dem Comedian Hendrik Nitsch, besser bekannt als „Udo Bönstrup“, der sich vor einigen Tagen über ein Statement gegen sexistische Hassnachrichten lustig machte. Nur haben sich die betroffenen Frauen diesmal lautstark gewehrt. Gegen Hass im Netz: „Frauenhass und Herabwürdigung sitzen in unserer Gesellschaft tief“ weiterlesen

Stellungnahme Registermodernisierung

Stellungnahme zum Registermodernisierungsgesetz

Stellungnahme

zum Entwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungsgesetz – RegMoG)

(PDF-Download)

Der Verein für liberale Netzpolitik LOAD e.V. hält eine Registermodernisierung mit dem Ziel, die in den Registern verwandten Identitätsdaten zu plausibilisieren, Inkonsistenzen zu beseitigen und die Identitätsdaten laufend aktuell zu halten, für bedeutsam. Denn für die Umsetzung des Onlinezugangsgesetzes, also für die vollständige Digitalisierung der Verwaltungsleistungen und die Möglichkeit zum Bezug der digitalen Verwaltungsleistungen über den Portalverbund ist die Validität der abzurufenden Registerdaten unverzichtbar.

Stellungnahme zum Registermodernisierungsgesetz weiterlesen

Offener Brief: Geplante Corona-App ist höchst problematisch

Sehr geehrter Herr Bundesminister Spahn, sehr geehrter Herr Kanzleramtsminister Braun,

wie Medienberichten zu entnehmen ist, plant das Bundesgesundheitsministerium nun mit einer Corona-Tracing-App auf Basis des Softwaregerüsts der Initiative PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) mit zentralem Matching. Diese Entscheidung stößt bei uns zwischenzeitlich auf großes Unverständnis, da gerade dies der problematischste unter den vorliegenden Entwürfen ist. Nachdem PEPP-PT nicht in der Lage war, schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern, sollte nun den technisch ausgereiften und datenschutzrechtlich gebotenen Ansätzen unbedingt der Vorzug gegeben werden. In der derzeitigen politischen Diskussion werden Erwartungen für eine Corona-Tracing- App geschürt, die möglicherweise nicht eingehalten werden können. Inwiefern sie die Pandemie-Bekämpfung unterstützen kann, wird erst in Monaten zu beurteilen sein. Wir bitten aus diesen Gründen darum, eine Neubewertung der verschiedenen Optionen zu vollziehen und dabei die Argumente und Vorbehalte vieler Expertinnen und Experten stärker zu berücksichtigen sowie ausschließlich auf Lösungen zu setzen, die – im Gegensatz zu dem vorliegenden Vorschlag – technisch von den Betriebssystem- Anbietern auch umsetzbar sind.

Eine Corona-Tracing-App sollte, wenn überhaupt, nur auf Basis eines dezentralen Ansatzes – wie beispielsweise das Konzept DP- 3T (Decentralized Privacy Preserving Proximity Tracing) – aufgebaut und programmiert werden. Andernfalls steht zu befürchten, dass der geringe Datenschutz eines zentralen Ansatzes und das Fehlen technischer Beschränkungen gegen Zweckentfremdung dazu führen wird, das Vertrauen in die Verwendung einer solchen App auszuhöhlen und damit die Akzeptanz für spätere digitale Lösungen leichtfertig zu unterminieren.

In der Tat können digitale Lösungen in vielen Fällen maßgeblich dabei helfen, Probleme zu identifizieren und zu lösen – auch bei der Bekämpfung der Pandemie haben digitale Lösungen durchaus ihren Platz. Das haben zivilgesellschaftliche Projekte wie der #WirVsVirus-Hackathon gezeigt. Doch die am Mittwoch veröffentlichten Pläne des Bundesgesundheitsministeriums sind nur eine scheinbar sinnvolle Verwendung digitaler Lösungen im Kampf gegen die Ausbreitung des Corona-Virus. In Wahrheit sind sie für unsere freiheitlich-demokratische Gesellschaft hochproblematisch und ignorieren die Fachdebatte.

Rund 300 internationale Wissenschaftlerinnen und Wissenschaftler haben diese Woche einen offenen Brief unterzeichnet, in dem sie das Datenschutzkonzept von PEPP-PT aufgrund des zentralen Datenspeicherungsansatzes deutlich kritisieren und davon abraten. Zwar wird die zentrale Speicherung unter Datenschutzaspekten damit verteidigt, dass die Daten pseudonymisiert werden. Eine Zurückverfolgung und De-Anonymisierung etwa von infizierten Personen ist bei der Datenerhebung jedoch mit deutlich geringerem Aufwand als bei einem dezentralen Ansatz möglich, wenn die versendeten IDs auf Personen zurückführbar sind. Jedem Ansatz eines möglichen Missbrauchs von Gesundheitsdaten muss entschieden entgegengetreten werden.

Die Europäische Union hat derzeit weltweit ein Alleinstellungsmerkmal mit hohen Datenschutzanforderungen und der auch international wegweisenden Datenschutzgrundverordnung (DSGVO). Durch Forderungen – unter anderem der deutschen Regierung –, Datenschutzanliegen im Angesicht der Pandemie hintanzustellen, werden Glaubwürdigkeit und Gestaltungswirkung für die Zukunft verspielt. Zudem ist ein gemeinschaftlicher europäischer Ansatz bei der Bekämpfung des Virus und für die Kontaktnachverfolgung im gemeinsamen europäischen Binnenmarkt essentiell.

Uns besorgen zudem die immer lauter werdenden Rufe nach einer „Pflicht zur App“ für gewisse Bereiche des Lebens. Die gemeinsame Bekämpfung der Pandemie benötigt Vertrauen und die Kooperation aller. Die Bereitschaft dazu wird mit einer Pflicht ohne Not verspielt. Eine allgemeine Bürgerpflicht, die jede Bürgerin und jeden Bürger zur Preisgabe sensibler Informationen verpflichtet, ist mit einem freiheitlichen Staat nicht zu vereinbaren. Auch die Einführung einer indirekten App-Pflicht, die das Betreten bestimmter Orte von ihrer Verwendung abhängig machen würde, lehnen wir ausdrücklich ab.

Dass es auch anders geht, zeigen die Schweiz und Österreich. Dort wurden Empfehlungen von Expert*innengruppen berücksichtigt, und die Regierungen setzen auf dezentrale und transparente Konzepte. Dabei handelt es sich um exakt den Ansatz, für den sich die beiden Marktführer für Smartphone-Betriebssysteme, Google und Apple, bereits zur Kooperation bereit erklärt haben. Dies ist eine Bedingung, die für den Erfolg einer App immanent ist, denn ohne die Zusammenarbeit mit den beiden Unternehmen, die fast 100 Prozent des Smartphone-Marktes abdecken, ist ein Scheitern der Tracing-App vorhersehbar. Denn der hier gewünschte Einsatzzweck der Bluetooth-Technologie ist neu und in diesem Ausmaß gänzlich unerprobt. Ob die Technologie verlässliche Ergebnisse liefern kann, ist umstritten. Es ist daher unabdingbar, die Betriebssystemhersteller mit einzubeziehen, um eine realistische Chance für einen neuen Einsatzzweck der Technologie zu ermöglichen.

Eine App, die zumindest eine Aussicht auf Erfolg haben soll, muss ein transparentes Konzept verfolgen, quelloffen programmiert werden, auf zentrale Datenspeicherung verzichten und die Anonymität der Nutzerinnen und Nutzer so weitgehend wie möglich schützen. Diese Anforderungen erfüllt der nun eingeschlagene Weg nicht.

Sehr geehrter Herr Bundesminister Spahn, sehr geehrter Herr Kanzleramtsminister Braun, als Unterzeichnende bitten wir Sie deshalb, die Forderungen aus der Wissenschaft und die Bedenken der IT-Expertinnen und -Experten ernstzunehmen und nicht auf einen Weg zu bauen, der von vornherein absehbar zu deutlichen Akzeptanzproblemen führen wird. Das von Ihnen präferierte Konzept für die App ist nicht der richtige Weg. So wird der Gedanke einer digitalen Lösung zur Bruchlandung – und das kann sich in der Bekämpfung der Pandemie niemand leisten.

Unterzeichnende:

· D64 – Zentrum für digitalen Fortschritt e.V
· Chaos Computer Club e.V. (CCC)
· LOAD e.V. – Verein für liberale Netzpolitik
· Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.
· Gesellschaft für Informatik (GI) e.V.
· Stiftung Datenschutz

Versteckte Funktion des nPA – sicherer Login bei Facebook, Google & Co

Im elektronischen Personalausweis (nPA), sind viele neue Funktionen eingeführt worden. Darunter zum Beispiel auch die Online Ausweisfunktion, die jeder von uns kennen sollte. Was viele nicht wissen ist, dass der neue elektronische Personalausweis auch noch weitere Funktionen mit sich bringt, die das arbeiten und surfen mit Internet sicherer machen können. 
Unser Mitglied Ijon, hat sich in den letzten Jahren schon vermehrt mit dem Thema eGovernment, sowohl beruflich aus auch privat, auseinandergesetzt. Seit im November 2010 der neue Personalausweis eingeführt wurde, hat er sich, wie viele andere, intensiv damit auseinandergesetzt und sich mit den technischen Möglichkeiten beschäftigt.
Aufgrund der schlechten Kommunikation durch die Bundesregierung und der weiteren zuständigen Stellen, konnten sich die umfassenden digitalen Funktionen des Personalausweises bisher nur wenig verbreiten.
 
Während eines Gesprächs mit einem Freund fand Ijon heraus, dass einer seiner Freunde an dem nPA mitentwickelt hat und das es sogar Funktionen gibt, die bisher überhaupt nicht kommuniziert wurden. Der neue Personalausweis kann dank dieser Funktion nicht nur „als digitaler Ausweis“ fungieren, sondern auch als Teil einer ZweiFaktorAuthentifizierung. Dadurch ist es möglich den Personalausweis zu nutzen um sich auf OnlinePlattformen wie Google oder Facebook anzumelden. Dabei nutzt man den Personalausweis als zusätzlichen Faktor, neben dem Passwort, um sich anzumelden und erzielt damit eine deutlich besseren Schutz der eigenen Onlinekonten.
 
Diese Funktion ist deswegen besonders, weil sie datensparsam und datenschutzfreundlich implementiert wurde. Zu keinem Zeitpunkt bekommt die Plattform, bei der der Personalausweis auf diese Weise eingesetzt wird, Zugriff auf personenbezogene Daten, denn der Personalausweis generiert für jede neue Plattform eine eigene pseudonyme Identität, die sich nicht rückführen lässt auf den Personalausweisinhaber.  
Diese Funktion basiert auf einem Internationalen technischen Standard mit dem Namen „FIDO“ (Fast IDentity Online), den auch weitere private und staatliche Institutionen verwenden. Unternehmen und Organisationen, die den FIDO-Standard unterstützen und weiterentwickeln haben sich in der FIDO Alliance: https://fidoalliance.org/members zusammengeschlossen.
 

Da Ijon auch sonst gerne Videos produziert, hat er zusammen mit seinem Freund Christian ein Video gedreht, welches diese bisher noch unbekannte Funktion demonstriert und die Einrichtung des Systems dokumentiert.

Tracking-App: Was in der Debatte bisher fehlt

In der Diskussion um eine Tracking-App zur Rückverfolgung von Kontakten geht es um Privatsphäre und IT-Sicherheit. Dabei müsste eigentlich der Mensch im Zentrum stehen, fordern Christin Schäfer von acs plus und Ann Cathrin Riedel von LOAD. Hilft die Information auf diesem Weg? Was sind die Folgen für den Einzelnen?

Bisher fokussiert sich die Diskussion zur Ausgestaltung einer möglichen App zur Rückverfolgung von Kontakten auf Datenschutz und IT-Sicherheit. So wichtig diese Aspekte sind, wird damit ein Kernelement des Systems vergessen: der Mensch. Ganz unabhängig von der Maßnahme, muss der Mensch im Mittelpunkt stehen. Nehmen wir an, eine App kann die notwendigen Anforderungen an Datenschutz, Privatsphäre und IT-Sicherheit erfüllen, dann lautet eine wesentliche Ausgestaltungsfrage: wie kommuniziert die Corona-App mit den Menschen? Wie wird das Ergebnis konkret mitgeteilt? Ein mögliches Infektionsrisiko mittels einer App zu berechnen ist das eine. Das Ergebnis dieser Berechnungen mitzuteilen, ist etwas ganz anderes. Gesundheit und Wohlergehen hat auch eine psychische Komponente, die bei der Ausgestaltung des Gesamtsystems rund um eine Maßnahme nicht vergessen werden darf.

Photo by Shopify Partners from Burst

Eine wesentliche Frage beim Design, nicht nur einer App lautet: wie geht der Empfänger oder die Empfängerin mit einer solchen, kritischen Nachricht um? Insbesondere, wenn diese im Wirrwarr von allen andere möglichen Push-Mitteilungen auf dem Smartphone erscheint; zwischen WhatsApp-Nachrichten, den neuesten „Breaking News“ und der Erinnerung an einen Termin.

„Sehr geehrte Nutzerin, sehr geehrter Nutzer, wir haben bei Ihnen ein Covid-19 Risiko von 69% ermittelt. Freundliche Grüße, Ihr App-Anbieter.“ Unpersönlicher und weniger empathisch können schlechte Nachrichten nicht überbracht werden.

Was wissen wir über die Vermittlung dieser Art von Nachricht zum Beispiel aus dem Bereich der Krebsvorsorge? Ein Infekt mit Corona ist zum Glück kein Todesurteil. Aber für einige Personengruppen kommt es einem solchen schon erschreckend nahe. Wer älter, geschwächt und vielleicht zeitlebens mit Lungenproblemen gestraft ist, weiß, was die Stunde geschlagen hat. Zudem: nur wenige Menschen können mit Wahrscheinlichkeiten umgehen. Fragen Sie sich doch mal selber: bei einer Regenwahrscheinlichkeit von 60% – nehmen Sie den Regenschirm mit oder lassen Sie ihn zuhause? Ist ein „Risk Score“, dessen Ableitung unklar ist, eine kluge Wahl in der Mitteilung an den Nutzer der App? Werden sich nicht viele vor allem verunsichert fühlen?

Eine persönliche Ansprache bei der Meldung ist außerdem nicht möglich – soll die App doch anonym nutzbar sein. Wie sicher kann sich der Nutzer oder die Nutzerin sein, dass hier nicht ein Fehler passierte? Dass eigentlich eine andere Person diese Mitteilung bekommen sollte? Solch fehlgeleitete Informationen sind nicht auszuschließen. Vor allem dann nicht, wenn eine App neu ist und nicht ausreichend getestet wurde.

Quarantäne muss man sich leisten können

Der gesamte Budenzauber mit allen hingenommenen Einschränkungen der Privatsphäre, so freiwillig sie auch sein mögen, bringt nichts, wenn sich zu wenige beteiligen und insbesondere wenn das Ergebnis der App zu nichts führt. An Nachrichten zu potentiellen Infizierungen müssen sich vielfältige und personalisierte Maßnahmen anschließen.

An die Benachrichtigung muss notwendig der zeitnahe und aufwandsarme Zugang zu Tests folgen. Hierzu sind die Testkapazitäten aufzubauen. Es muss geklärt werden, was passiert, wenn sich Alleinerziehende anstecken. Wer kümmert sich – auch in Phase des Wartens auf das Testergebnis – um die Kinder? Wie verfahren Familien, bei denen sich ein Elternteil angesteckt hat, aber die Wohnverhältnisse eine Separierung nicht zulassen? Die Benachrichtigten sehen sich schweren emotionalen Konflikten ausgesetzt. Die eigenen Kinder womöglich gefährden? Die eigenen Kinder Dritten überlassen? Wem? Wer zahlt? Wer organisiert? Es muss sichergestellt werden, dass man sich die Tests, Wartezeiten und Quarantäne auch leisten kann; nicht nur finanziell.

Es bedarf zudem einer gesonderten Regelung für den Umgang von Fehlzeiten für Arbeitnehmer und Arbeitnehmerinnen. Gerade Personengruppen, die bei ihrer Arbeit viel reisen oder viel Publikumsverkehr ausgesetzt sind, werden häufiger im Covid-19-Alarm leben. Diese Alarme kommen überraschend und sind nicht planbar. Es ist davon auszugehen, dass sie zu signifikant erhöhten Fehltagen im Vergleich zu anderen Gruppen von Erwerbstätigen führen. Besonders hart betroffen sind zudem Solo-Selbständige, deren Verdienstausfälle existenziell bedrohlich sein können.

Die gesamte Gesellschaft muss sehr schnell lernen, flexibel und positiv mit kurzfristigen Absagen von Terminen umzugehen. Handwerker sagen am Morgen wegen eines Covid-19 Alarms ab. Die Wartungsarbeiten an einer Maschine müssen kurzfristig verschoben werden. Der Friseurtermin entfällt. Die Reihe ist definitiv nicht abschließend.

Der Zugang zu Lebenschancen darf nicht von sozio-ökonomischen Faktoren abhängig sein

Gut aufgesetzt kann eine Corona-App eine Maßnahme für die Überwindung der Krise sein. 79% der Deutschen besitzen ein Smartphone und haben damit die Chance, eine solche App zu nutzen. Der Zugang zu einer Corona-App darf jedoch nicht von sozio-ökonomischen Faktoren abhängig sein. Allen Bürgern und Bürgerinnen sollte es möglich sein zu partizipieren, Meldungen zu einer möglichen Infektion zu erhalten, um daraufhin geeignete Maßnahmen – Lebenschancen – zu ergreifen und wahrzunehmen.

Dies bedeutet, dass ein Smartphone und ein Internetvertrag zur Grundversorgung eines jeden Einzelnen gehören müsste. Es gilt vorab zu klären, welche Möglichkeiten Smartphone Besitzer:innen haben, deren Gerät nicht die notwendige Bluetooth LE oder GPS-Technologie hat oder auf einem älteren Betriebssystem läuft, das die App nicht unterstützt. Was ist mit denjenigen Mitbürgern und Mitbürgerinnen, die noch zu jung für ein eigenes Smartphone sind, oder allen, die die Benutzung überfordert? Wie inkludieren wir Menschen mit geistigen oder körperlichen Beeinträchtigungen? Welche Möglichkeit der Teilhabe erhalten ausländische Touristen und Geschäftsreisende?

Europäische Herausforderungen

Die Bedrohung durch das Coronavirus besteht weltweit. Kein Nationalstaat, keine Region wird im Alleingang in der Lage sein, sein Gebiet zu schützen. Wie bei jeder Maßnahme bedarf es der Absprache mit Nachbarn und Partnern, damit die Wirksamkeit sich einstellen kann. Dies gilt auch und insbesondere für eine datengetriebene Technologie, wie eine Corona-App. Es wird eine Anwendung für ganz Europa, besser sogar die ganze Welt benötigt, die einheitliche Standards für Daten und Austauschprotokolle verwendet. Dagegen können Berechnungsmethodiken, etwa für Abstand und Risiko, länderspezifisch als Service angeboten werden. Unsere Aufgabe besteht darin, ein System aufzusetzen, dass eben nicht nur für deutsche Bürgern und Bürgerinnen Mehrwert liefert, sondern auch die Bürger und Bürgerinnen in Staaten schützt und ermächtigt, deren Gesellschaft weniger demokratisch und weniger rechtsstaatlich ist. Wir dürfen autokratischen Regimen keinen Corona-App-Standard präsentieren, der es den Staatschefs leicht macht, ihr Volk zu überwachen und zu drangsalieren.

Es geht nicht um Verhinderung, sondern Ermöglichung

Für all diese beschriebenen Herausforderungen haben wir heute noch keine Lösungen. Vor allem, weil wir noch nicht nach ihnen gesucht haben.

Es geht uns nicht darum, eine sinnvolle Corona-App-Lösung zu verhindern, sondern vielmehr, sie herbeizuführen. Zunächst ist dafür aber der Nachweis zu erbringen, dass eine digitalisierte und automatisierte Kontaktverfolgung helfen kann, die Infektionszahlen signifikant zu senken. Dann sind die weiteren Designdetails zu klären. Wie die Ausführungen verdeutlichten, kann eine kurzfristig und schnell aufgesetzte App die in sie gesetzten Erwartungen nur verfehlen. Daher plädieren wir dafür, ein solches datengetriebenes System zur Information über einen potenziellen Infekt sauber, durchdacht und im Verbund mit einem abgestimmten Maßnahmenpaket  zu entwickeln, welches uns auf dem langen Weg zurück in eine Normalität, wie sie vor Corona-Zeiten bestand, begleitet.

Christin Schäfer ist Gründerin und Geschäftsführerin der Berliner Data Science Boutique „acs plus“. Die studierte Statistikerin war Mitglied der Datenethikkommission der Bundesregierung. Ann Cathrin Riedel ist Vorsitzende von LOAD e.V. – Verein für liberale Netzpolitik.

Dieser Beitrag erschien zuerst im Tagesspiegel Background Digitalisierung & KI am 8. April 2020.

Daten im Kampf gegen COVID-19 verantwortungsvoll nutzen: Corona-App muss auf Mitwirkung aus Überzeugung basieren

In Zeiten von Corona müssen auch Möglichkeiten der Digitalisierung genutzt werden, um die Ausbreitung des Virus einzudämmen und die Bevölkerung gesundheitlich zu schützen. Dabei ist immer wieder die Auswertung von Standortdaten im Gespräch, auch über Apps zur Bekämpfung von COVID-19 wird nachgedacht. LOAD als Verein für liberale Netzpolitik positioniert sich daher zu den verschiedenen Vorschlägen. Grundsätzlich gilt dabei: Jede Maßnahme, welche dazu führt, wieder mehr Freizügigkeit zu erlangen ohne die Sicherheitslage zu verschlechtern, wird von LOAD im Prinzip positiv bewertet. „Technologie kann einen wesentlichen zusätzlichen Beitrag leisten, wenn die Grundsätze des Datenschutzes und die bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigt werden“, ist Ann Cathrin Riedel, Vorsitzende des LOAD e.V, überzeugt. „Wir setzen auf Freiwilligkeit bei den Bürgerinnen und Bürgern und Mitwirkung aus Überzeugung“, so Riedel weiter. Dabei ist zu beachten, dass alle digitalen Maßnahmen immer nur unterstützend und zur Sensibilisierung der Bevölkerung wirken. Physische Distanz und Hygienemaßnahmen als vorbeugende Mittel und eine effektive Unterstützung des Gesundheitswesens sind in der aktuellen Krisensituation unabdingbar.

LOAD unterstützt die Bereitstellung anonymisierter aggregierter Standortdaten durch manche Mobilfunknetzbetreiber und deren Auswertung durch das Robert-Koch-Institut, um auf der Grundlage der Bewegungsströme die Wirksamkeit freizügigkeitseinschränkender Maßnahmen des Bundes und der Länder zur Reduktion der Neuinfektionen bewerten zu können. Im Angesicht der wesentlichen Einschränkungen der Freiheitsrechte ist eine kontinuierliche Neubeurteilung der Maßnahmen geboten. Personenbezogene Mobilfunkdaten sind allerdings keineswegs dazu geeignet, Infektionsketten nachzuvollziehen, denn technisch ist die Genauigkeit der Ortung so beschränkt, dass nicht auf einen tatsächlichen Kontakt von Personen geschlossen werden kann. In Anbetracht der fehlenden Effektivität und des Eingriffs in die Persönlichkeitsrechte lehnt LOAD diesen Vorschlag entschieden ab.

LOAD unterstützt die Bereitstellung einer App auf freiwilliger Basis, deren Zweck die Reduktion der Infektionen darstellt, indem Bürgerinnen und Bürger nach dem möglichen Kontakt mit einem oder einer Infizierten gezielt gewarnt werden, um dann für körperliche Symptomatik sensibilisiert zu sein und gegebenenfalls einen Arzt zu konsultieren und sich testen zu lassen. Eine solche Corona-App soll durch unabhängige Expertinnen und Experten erstellt werden, die Bundesregierung stellt dafür die entsprechenden Finanzmittel zur Verfügung. Der Quellcode der App muss öffentlich zugänglich sein. Es ist insbesondere auf den Datenschutz zu achten, persönliche Standortdaten sollen niemals zentral erfasst werden. Daher lehnt LOAD die massenhafte Erhebung und vorratsmäßige Speicherung von personenbezogenen Standortdaten durch eine zentrale Einrichtung ausdrücklich ab und setzt stattdessen auf freiwilliges Eigentracking mit dezentraler Datenverarbeitung auf den eigenen Endgeräten. LOAD sieht dafür im Wesentlichen zwei Möglichkeiten: erstens über eine Standortermittlung mittels GPS und zweitens über eine Kontaktermittlung über Bluetooth.

  1. Dezentrale Standorterfassung über GPS:
    Freiwillige können eine App auf ihrem Smartphone installieren, die Standortdaten des Nutzers mittels GPS erfasst. Das Bewegungsprotokoll wird lokal auf dem Smartphone gespeichert. Im Falle einer Infektion kann die Person das Bewegungsprotokoll an das Gesundheitsamt übergeben, welches das Bewegungsprotokoll ohne Möglichkeiten zur Identifikation der infizierten Person in ein Kartensystem einspeist. In der App anderer Nutzer werden dann diese Daten gegen das eigene lokal gespeicherte Bewegungsprotokoll abgeglichen und bei Überschneidungen eine Warnung über ein erhöhtes Infektionsrisiko erzeugt. Das Konzept lässt sich erweitern, indem die potenziellen Infektionsorte auch auf einer Website angezeigt werden, deren Ansicht auch Bürgerinnen und Bürgern offensteht, die die Corona-App nicht installieren wollen oder können. Dadurch kann die Akzeptanz für das Warnsystem in der Bevölkerung erhöht werden.
  2. Dezentrale Bluetooth-Kontaktermittlung:
    GPS-Daten können die Standorte von Personen im Freien gut abbilden. Innerhalb großer Gebäude (Büros, Einkaufszentren, etc.) ist GPS allerdings nicht effektiv, da beispielsweise nicht unterschieden werden kann, ob sich eine Person im ersten oder im vierten Stock befindet. Unter solchen Bedingungen könnte eine Lösung, die via Bluetooth andere Geräte aufspürt und den Kontakt dezentral auf dem eigenen Endgerät abspeichert, Abhilfe schaffen. Jedes Gerät erhält dabei ein eindeutiges Pseudonym. Die Pseudonyme werden regelmäßig mit einer zentralen Datenbank abgeglichen. Im Falle einer Infektion wird das Pseudonym des Gerätes in dieser Datenbank markiert. So kann auf dem Smartphone die Infektionskette nachvollzogen und gleichzeitig vor möglichen Ansteckungsgefahren gewarnt werden. Dabei werden zentral keine Bewegungsdaten gespeichert, sondern nur Pseudonyme mit ihrem Infektionsstatus. Eine Lokalisierung via Bluetooth funktioniert auch im Freien, ist aber anfälliger für Manipulation als GPS.

LOAD sieht wichtige Chancen in der Nutzung von Bewegungsdaten zur Bekämpfung des Coronavirus, legt dabei aber essentiellen Wert auf Freiwilligkeit, Datensparsamkeit und Datenschutz. Daher ist die massenhafte Erfassung von personenbezogenen Standortdaten durch eine zentrale Einrichtung nicht verhältnismäßig. Vielmehr kann eine Corona-App, die auf dezentrale und lokale Datenverarbeitung setzt, in Verbindung mit bundesweiten Testungen dazu beitragen, Freiheit und Sicherheit für alle Bürgerinnen und Bürger zu erhöhen. „Statt möglichst viele Daten zu sammeln und auszuwerten, müssen die gezielte Erhebung und die Effektivität der Daten im Vordergrund stehen. Wir fordern alle politisch Verantwortlichen dazu auf, auch in der derzeitigen Krisensituation die Bürgerrechte zu wahren und statt nach der einfachsten nach der besten Lösung zu suchen“, so Riedel abschließend. „Wir helfen dabei gerne mit!“

Sicheres Home Office – Nicht nur während Corona

Plötzlich Home Office! Um der Corona-Krise Herr zu werden, motivieren offizielle Stellen permanent die Bevölkerung zu Hause zu arbeiten, wenn es denn möglich ist. Home Office ist auch ohne Krise eine Herausforderung und bedarf einiger Gewöhnung, bevor man die damit verbundenen Vorteile ausnutzen kann. Jetzt aber plötzlich alle auf einmal! Über die damit einhergehenden Herausforderungen für die IT-Sicherheit, wurde schon viel geschrieben u.a. [1 – 4]. 

 

 

Um im allgemeinen Chaos etwas für Durchblick zu sorgen, hat LOAD für Euch das Wichtigste zusammengefasst! 
Wie immer gilt, IT-Sicherheit ist kein Hexenwerk! Genauso wie man sich vor einer Viruserkrankung mit Händewaschen einfach schützen kann, helfen ein paar einfache Regeln, nicht Opfer von Cyber-Kriminellen zu werden. 
Im Home Office gibt es generell zwei Kategorien von Gefahren: Gefahren durch die häusliche Umgebung (Arbeitszimmer mit Fenster zur Straße) und  Wegfall der üblichen Sicherheitsmaßnahmen der Firma (z.B. die gut konfigurierte Firewall). 
Im Folgenden haben wir zuerst drei generelle Regeln für Euch zusammengefasst und geben danach eine detaillierte Liste. 

 

Generelle Prinzipien (aka. TL;DR): 

1. Vorsicht vor Betrug! (Watch out for scam!) 

Eine Menge Kriminelle versuchen die aktuelle Verwirrung auszunutzen und geben sich als Gesundheitsbehörden oder WHO aus. Potentielle Anhänge solcher E-Mails haben durchaus mit dem Ausbreiten von Viren zu tun, aber dann digitalen 😉 .
Auch ist zu beobachten, dass es super günstige Angebote für weggehamsterte Lebensmittel oder Medikamente gibt – nur für Dich – wohlgemerkt. 

 

Betrug – besonders online – funktioniert immer durch die Kombination vermeintlicher Autoritäten oder Institutionen (Behörden oder auch der Arbeitgeber), einem vermeintlichen Problem und starkem Zeitdruck. 
Wenn man das Muster kennt, ist es auch einfach, nicht darauf hereinzufallen. 

 

Wenn ein Kollege von seiner vermeintlichen privaten E-Mail-Adresse Dir eine E-Mail schreibt mit der Anforderung von Zugangsdaten oder anderen sensiblen Daten und das mit einem dringenden Termin begründet, solltest Du sehr skeptisch sein. In der Firma könnte man einfach zum Büro des betroffenen Kollegen gehen und nachfragen. Im Home Office ist das natürlich schwieriger. Trotzdem müssen solche Anfragen, so seriös, authentisch oder dringend sie auch sein mögen, immer über einen anderen Kanal verifiziert werden! Zum Beispiel kann man den Kollegen ja auf seinem Dienst-Handy anrufen, dafür ist immer Zeit. 
In Ausnahmesituationen wie der jetzigen ist es umso wichtiger, sich an die etablierten Freigabe- und Entscheidungsprozesse zu halten. Die einfache Tatsache, dass das jetzt nicht durch einen Gang über den Flur erledigt werden kann, ändert daran nichts. 
Wichtig wäre daher auch, von vornherein mehrere Wege zu haben, die Kollegen im Homeoffice zu erreichen. 

 

2. Software auf dem aktuellen Stand halten (Keep your devices updated)

Die Analogie zum Händewaschen in der digitalen Hygiene sind Softwareupdates! Die allermeisten Viren funktionieren auf Systemen mit aktueller Software nicht. 
Also, genauso wie Händewaschen solltet Ihr eure Geräte häufig aktualisieren. 

 

3. Achte auf deine Surf-Gewohnheiten: (Mind your browsing habits)

Mal kurz den Link aus der Freundes-WhatsApp-Gruppe mit dem Arbeitslaptop öffnen? Eher nicht! 
Neben E-Mail-Anhängen sind infizierte Internetseiten eine große Gefahr, um sich digitale Viren einzufangen. 

 

In der Firma sorgen oft die Administratoren (in ihren Ecken und Kellern) dafür, dass die Firmen-Firewall das rechtzeitig erkennt und den Schadcode blockiert, bevor er den Browser erreicht. 
Im Home Office hat man diesen Schutz häufig nicht (sei es, weil das VPN so nicht eingerichtet ist, das VPN plötzlich überlastet ist, oder es kein VPN gibt). 
Daher sollte man jetzt darauf achten komische, unseriöse oder unbekannte Webseiten nicht zu besuchen. Auch ist es vielleicht besser den privaten Gebrauch des Dienstlaptops generell einzuschränken, selbst wenn es die Firma erlaubt. 
Generell ist es eine gute Regel, nur Seiten mit einer verschlüsselten Verbindung (d.h. HTTPS) zu besuchen.

 

Nach den generellen Prinzipien noch 13 etwas genauere Regeln: 

  1. Ihr solltet die allgemeinen Geheimhaltungs- und Vertraulichkeitspflichten immer einhalten.
  1. Betriebliche Informationen und personenbezogene Daten dürfen auf gar keinen Fall unberechtigten Dritten zur Kenntnis gelangen. 
  1. Unbefugte Personen dürfen keinen Zugriff erhalten. 
  1. Die Datenträger müssen verschlüsselt und passwortgeschützt sein. 
  1. Fragt Eure IT-Abteilung, bevor ihr neue Tools (z.B. Dropbox, Google Docs, Trello) etc. verwendet! Auch wenn es so bequem wäre… ([1] hat dazu auch eine gute Liste).
  1. Ebenso sollten Bildschirme immer gesperrt werden, wenn nicht mehr davor gearbeitet wird. (Nicht, dass noch jemand (evtl. das eigene Kind) mit Geschäftspartnern chattet…) 
  1. Wenn möglich, sollte das Firmen-VPN so oft und lange wie möglich verwendet werden. 
  1. Noch besser ist, wenn Laptops nur als Bildschirm und Tastatur dienen und per VPN eine Verbindung zum betriebseigenen Server hergestellt wird. So kann sichergestellt werden, dass betriebliche Informationen und personenbezogene Daten nicht auf den mobilen Geräten gespeichert werden und im Extremfall unwiederbringlich verloren sind.  
  1. Die Clean Desk Policy gilt insbesondere zu Hause.
  1. Die Vertraulichkeit bei Telefon-, Videogesprächen und Webkonferenzen muss sichergestellt sein: Achtung bei Alexa, Siri und Co. Denn digitale Assistenten hören und sehen alles mit. Diese sollten sich auf keinen Fall in der Nähe des Arbeitsplatzes befinden. 
  1. Es muss sichergestellt sein, dass für den Bildschirm ein Sicht- und Blickschutz gilt, bspw. durch Blickschutzfolien und durch ein entsprechendes Platzieren. Vorsicht ist ebenfalls geboten, wenn mit dem Rücken / Bildschirm zum Fenster hin gearbeitet wird.  
  1. Achtung bei der Nutzung von Netzwerkdruckern, auf die auch andere Personen Zugriff haben. Erstens, weil die Ausdrucke sofort entfernt werden müssen und zum anderen, weil auf den Festplatten der Drucker alle Informationen gespeichert bleiben, sei es auch nur verschlüsselt.  Ausdrucke und Notizen sollten vernichtet oder nach Beendigung der Arbeit verschlossen werden.  
  1. Am besten wäre es, wenn man in einem abschließbaren Raum arbeiten kann. Da sich aber die wenigsten den Luxus eines Arbeitszimmers leisten können, sind in Zeiten von Krisen hier Abstriche notwendig. Auf andere Sicherungsmaßnahmen darf aber auf gar keinen Fall verzichtet werden, auch der Sichtschutz auf den Bildschirm muss weitest möglich gesichert sein.  
Bleibt gesund und achtet auf Hygiene…digital wie analog! 

 

Quellen: 

 

Diese Liste wurde von Julia Kunzmann und Burkhard Ringlein für Euch zusammengestellt. 

Freiwilligendienst für IT-Sicherheitsvorfälle – Das Cyber-Hilfswerk

Die Mitglieder des LOAD e.V. engagieren sich auf vielfältige Weise – nicht nur bei LOAD, sondern auch in anderen Organisationen und Gruppen. Unser Mitglied Johannes ‚Ijon‘ Rundfeldt hat zusammen mit anderen 2018 die AG KRITIS gegründet. In der unabhängigen Arbeitsgruppe KRITIS haben sich inzwischen mehr als 40 Fachleute und Experten für KRITIS zusammen gefunden, mit dem Ziel die Resilienz unserer kritischen Infrastrukturen zu stärken.

Die AG KRITIS ist zum Schluss gekommen, dass das Risiko einer Großschadenslage durch kompromittierte IT-Systeme stark gestiegen ist. Eine Mangelversorgung kann durch Kompromittierung oder Störungen an informationstechnischen Systemen auftreten. Wenn die Versorgung nicht mehr flächendeckend mit Strom, Wasser, Gas und anderen kritischen Ressourcen versorgt wird, so kann dies schnell gravierende Folgen für die Bevölkerung haben.

Ein Angriff auf die verbreitete Monokultur gängiger Hard- und Software bei gleichzeitig unzureichenden Sicherheitsmaßnahmen kann es mit einem Schlag notwendig machen, tausende von Systemen in allen Regionen Deutschlands wieder unter Kontrolle zu bekommen. Es gibt von Staat und Betreibern zwar kompetente Einsatzteams, aber ihre Personalstärke ist mehrere Größenordnungen zu klein um bei solchen flächigen Systemausfällen oder etwas entgegensetzen zu können.

Zivilschutzeinrichtungen wie Feuerwehren und Technisches Hilfswerk sind zwar für die Bewältigung der Folgen sehr gut aufgestellt, können aber bei der Wiedererlangung der Kontrolle über die krisenverantwortlichen IT-Systeme keinen Beitrag leisten.

Die AG KRITIS hat daher das Konzept eines Cyberhilfswerks (CHW) entwickelt.

Eine überregionale Organisation aus Freiwilligen, die als kompetente Fachleute und speziell ausgebildete Laien bereit stehen, koordiniert und in großer Zahl an der Schadensbewältigung auf der Ebene der IT-Systeme mitzuwirken.

Das Konzept für ein Cyber-Hilfswerk der AG KRITIS (Link führt zum Konzept)

Sie finden sich hier zusammen, um zum Schutz der Bevölkerung für die IT-Krise Vorkehrungen zu treffen, Werkzeuge und Strategien zu entwickeln, sich weiterzubilden, Übungen durchzuführen und schließlich in der Großschadenslage zur Verfügung zu stehen, damit Staat und Betreiber der betroffenen Kritischen Infrastrukturen eine realistische Chance auf eine schnelle Krisenbewältigung haben.

Ein friedensmäßiger Katastrophenschutz, wie ihn das THW leistet, bedeutet auch für das CHW, dass offensive Handlungen im IT-basierten Einsatzumfeld ausgeschlossen sein müssen. Eine Beteiligung an entsprechenden Vorgängen bspw. durch fachliche Unterstützung, zur Verfügung gestellte Werkzeuge oder das Teilen erlangter Kenntnisse über Angriffswerkzeugen muss satzungsgemäß und gesetzlich ausgeschlossen sein.

Nur dann kann eine solche Schutzorganisation hoffen, die notwendige Menge engagierter Freiwilliger im Ehrenamt zu gewinnen.

Auf der DefensiveCon auf der cbase stellte Ijon das CHW vor – hier zum nach schauen:

Noch mehr dazu:

Das komplette Konzeptpapier zum CHW.
Ein Interview mit Ijon zum CHW beim SPIEGEL kann hier nachgelesen werden.
Und zum nach hören das Gespräch auf der DefensiveCon von Peter Welchering vom Deutschlandfunk mit Ijon, Manuel Atug (HonkHase) und Sven Herpig.
Der AG KRITIS auf Twitter folgen!