Smart und riskant
Sicherheit im digitalen Alltag
von Janne Järvinen und Markku Kutvonen
Wer das Internet nutzt, ist permanent bedroht: von Kriminellen, aber auch von Regierungen und Unternehmen. Verstöße gegen die Informationssicherheit sind an der Tagesordnung, und die herkömmlichen Lösungen zur Datensicherheit bieten dagegen keinen ausreichenden Schutz. Einzelpersonen werden immer wieder Opfer von Betrügern, und es wird immer schwieriger, einen Betrug (etwa durch Phishing) als solchen zu erkennen.
Aber eben nicht nur Leute mit verbrecherischen Absichten spionieren persönliche Daten aus, auch Regierungen und Unternehmen tun es. Die alte Weisheit, keine unnötigen Informationen preiszugeben, gilt immer noch: Nicht alles sollte über die sozialen Medien mitgeteilt werden. Persönliche Gewohnheiten und Verhaltensweisen zu offenbaren kann sich bekanntlich nachteilig auf künftige Jobchancen auswirken. Und ein einziger falscher Satz, den man einmal irgendwo hingetippt hat, kann schon ausreichen, damit einem die Einreise in die Vereinigten Staaten verweigert wird.
Es ist also kein Wunder, dass viele Nutzer ihr Vertrauen in die Sicherheit von Internetdiensten verloren haben. Sie sind besorgt, weil IT-Unternehmen Benutzerdaten illegal oder zu kommerziellen Zwecken an Dritte weitergeben und nicht in der Lage sind, zu kontrollieren, was mit diesem Material geschieht. Es wird mit anderen Daten kombiniert, wodurch Profile entstehen, die dann wiederum anderen Parteien zur Verfügung gestellt werden.
Die Nutzungsbedingungen sind kompliziert und stellen an die Nutzer Anforderungen, die sie unmöglich erfüllen können; ihnen ist nicht unbedingt ersichtlich, dass sie mit ihrem Einverständnis die Rechte an ihren eigenen Daten preisgeben. In cloudbasierten Diensten sind die Möglichkeiten, individuell angepasste Datensicherheit zu schaffen, in der Regel äußerst gering; die Nutzer erhalten keinerlei Garantien über eine langfristig sichere Aufbewahrung ihrer Daten oder über die Sicherheit der Software. Laut einer Eurobarometer-Umfrage von 2015 glaubt ein Drittel der Verbraucher, dass sie keine Kontrolle über die Daten haben, die sie online übermitteln. Nur die Hälfte der Verbraucher ist der Meinung, sie hätten zumindest teilweise Kontrolle über ihre Daten.
Um das verspielte Vertrauen zurückzugewinnen, ist es notwendig, dass europäische IT-Dienstleister Privatsphäre, Sicherheit und Datenschutz gewährleisten. Verbraucher wie Unternehmen haben ein Recht darauf; sie müssen aber auch bereit sein, ihrerseits Verantwortung zu übernehmen. Um seine Datensicherheit muss man sich genauso kümmern, wie man sich um seine Wohnung kümmert: gute Schlösser anbringen, die Fenster zumachen, wenn niemand zu Hause ist, und sicherstellen, dass sich die Fenster auch fest verriegeln lassen.
Am 6. Oktober 2015 wurde das Safe-Harbor-Abkommen zwischen der EU und den Vereinigten Staaten, das den Transfer personenbezogener Daten von europäischen an US-Unternehmen unter Einhaltung der EU-Datenschutzrichtlinien ermöglichen sollte, vom Europäischen Gerichtshof für ungültig
erklärt. Grundlage des Urteils war eine Klage, die von einer Einzelperson eingereicht wurde: Der Österreicher Max Schrems war empört über die Datensammelei bei Facebook und verlangte im Jahr 2010 von dem sozialen Netzwerk eine Aufstellung aller Daten, die es über ihn gesammelt hatte. Er bekam ein über 1 200 Seiten langes PDF-Dokument zugeschickt, in dem auch Angaben enthalten waren, die Schrems längst gelöscht hatte.
Schrems bat daraufhin Beamte für Informationssicherheit in Irland, zu überprüfen, wie die Daten von den Facebook-Servern in Irland an die Vereinigten Staaten übermittelt worden waren. Von Irland aus kam die Sache schließlich vor den Europäischen Gerichtshof.
Dieser kam zu dem Schluss, dass das Safe-Harbor-Abkommen den Schutz persönlicher Daten von EU-Bürgern nicht ausreichend berücksichtige. Behörden in den Vereinigten Staaten hätten umfassenden Zugriff auf die Daten von Europäern, EU-Bürger hingegen hätten keine ausreichenden Möglichkeiten, ihre gespeicherten personenbezogenen Daten einzusehen oder die Berichtigung oder Löschung solcher Daten zu verlangen.
Schließlich erklärte die Europäische Kommission am 2. Februar 2016, sie habe sich mit den Vereinigten Staaten „auf einen neuen Rahmen für die transatlantische Übermittlung von Daten geeinigt“. Der neue, sogenannte EU-US-Datenschutzschild stellt strengere Anforderungen an Firmen, die in den USA tätig sind, um die personenbezogenen Daten von Europäern zu schützen.
Die Vereinigten Staaten versprechen, sicherzustellen, dass eindeutige Bedingungen und Einschränkungen für den behördlichen Zugriff auf persönliche Daten gelten und dass dieser Zugriff kontrolliert wird. Die Meinungen über das Datenschutzschild-Abkommen sind jedoch geteilt: Während einige sagen, damit sei immer noch kein Datenschutz garantiert, meinen andere, die Mechanismen für eine Verbesserung des Datenschutzes seien jetzt vorhanden.
Das Problem liegt nicht darin, dass staatliche Behörden ein bestimmtes Verbrechen aufklären wollen – das ist ihr Recht, sogar ihre Aufgabe. Das Problem ist, dass sie, indem sie das tun, für sich selbst und für jeden anderen, der es darauf anlegt, die Möglichkeiten schaffen, jede beliebige Person jederzeit an jedem Ort auszuspionieren.
Niemand kann garantieren, dass die von der NSA geschaffenen Sicherheitslücken nicht bereits von anderen Regierungen genutzt werden. Indem sich die NSA selbst Gelegenheit verschaffte, massenhaft Daten auszuspähen, machte sie auch für andere staatliche Behörden und Kriminelle die Bahn frei.
Das eigentliche Problem liegt in der Massenüberwachung. Es werden willkürlich überall und von jedermann Daten erfasst. Je mehr Daten gesammelt werden, desto höher sind auch die Anforderungen an die Qualität der automatischen Datenverarbeitung. Ist diese Qualität nicht gegeben, verschwenden die Behörden ihre Zeit darauf, die Daten tausender unschuldiger Menschen zu analysieren, anstatt sich auf tatsächlich kriminelle Personen zu konzentrieren.
Manipulierbare Kühlschränke und Autobremsen
Da die Verfassung der Vereinigten Staaten von Amerika nur US-Bürger schützt, ist der neue Datenschutzschild – als verbesserte Fortsetzung des Safe-Harbor-Abkommens – zusammen mit einer neuen Gesetzgebung innerhalb der EU für deren Bürger so außerordentlich wichtig.
Im Januar 2016 erließ die Europäische Kommission eine neue Verordnung zum Schutz personenbezogener Daten (General Data Protection Regulation, GDPR), die 2018 in Kraft tritt. Ziel dieser Datenschutzgrundverordnung ist es, den Menschen selbst die Kontrolle über ihre persönlichen Daten zurückzugeben und Inkompetenz bei den Verarbeitern dieser Daten drastisch zu sanktionieren. Die Verordnung definiert als „personenbezogene Daten“ nicht nur Name, Anschrift und Kreditkartennummern, sondern auch die IP-Adresse, Standort und Cookies.
Ab Gültigkeit der Verordnung haben Verbraucher das Recht, zu wissen, ob und welche Daten über sie gespeichert wurden, sowie das Recht, auf diese Daten zuzugreifen. Sie haben überdies das Recht, ihre Daten zu übertragen und zu ändern, der Verarbeitung dieser Daten zu widersprechen, den Zugang zu ihnen zu beschränken und sie zu löschen.
Die größten praktischen Probleme bei der Umsetzung des GDPR werden sich wahrscheinlich daraus ergeben, dass in allen Unternehmen, die personenbezogene Informationen verarbeiten, die entsprechenden Fachkenntnisse innerhalb von nur knapp zwei Jahren entwickelt werden müssen. Die Zukunft wird zeigen, inwieweit es den IT-Managern überhaupt gelingt, alle Risiken und Bedrohungen im Zusammenhang mit der Datenverwaltung zu verstehen. Firmen werden viel Unterstützung bei der Anwendung und Umsetzung des Gesetzes benötigen.
Die Einhaltung der Verordnung zu überwachen, wird schwierig werden, da sich die Technologie ständig weiterentwickelt. Mit dem Internet der Dinge entsteht eine Welt, in der fast alle Haushaltsgeräte und -systeme online sind;1 in der Daten von Geräten und Gegenständen über kabellose Netze zur Verarbeitung durch geeignete Software weitergeleitet werden. In der Regel werden solche Daten auf einer cloudbasierten Plattform (also außerhalb der eigenen vier Wände beziehungsweise des Büros) verarbeitet, was den Vorteil hat, dass Vorgänge zu Hause auch von auswärts gesteuert werden können. Das Marktforschungsunternehmen Gartner geht davon aus, dass im Jahr 2020 weltweit rund 25 Milliarden Geräte mit dem Internet verbunden sein werden.
Neue Technologien erleichtern den Menschen in vielerlei Hinsicht das Leben, aber sie führen eben auch zu neuen Arten von Bedrohungen. Das Internet der Dinge bedroht auf eine völlig neue Weise die Datensicherheit von Cloud-Diensten. Wer es darauf anlegt, kann in das Leben gewöhnlicher Menschen eingreifen, in dem er automatisierte Steuerungselemente kontrolliert und etwa die Heizung oder den Kühlschrank ein- oder ausschaltet.
In Großbritannien kam heraus, dass Gaszähler durch Fernzugriff des Gasversorgers manipuliert werden konnten. Bremsen von Autos wurden deaktiviert. Es gibt sogar eine Website, auf der man sich über gehackte Überwachungskameras das höchst private Leben von Menschen in ihrer Wohnung oder ihrem Haus ansehen kann.
In Zukunft werden die Menschen also nicht nur ihre Privatsphäre und ihre Datensicherheit schützen, sondern auch für ihre persönliche Sicherheit in einer Weise sorgen müssen, wie sie es sich bislang nicht vorgestellt hatten.
Überall müssen Sicherheitsvorkehrungen eingebaut sein – im Internet der Dinge, in Cloud-Diensten und in allen intelligenten Geräten. Der Einsatz von Datenverschlüsselung, der Schutz gegen Malware und die Kontrolle von Cloud-Diensten werden hoffentlich in dem Maße selbstverständlicher, in dem das Problembewusstsein der Leute zunimmt.
In den vergangenen Jahren ist die Datensicherheit bei Cloud-Diensten bereits deutlich vorangekommen. Große Anbieter haben in die Entwicklung von Dienstleistungen und Produkten investiert und die Zuverlässigkeit verbessert. Es gibt Zertifizierungssysteme, die gewährleisten sollen, dass die Anwendung von Cloud-Technologien in der richtigen Weise erfolgt. Gebraucht werden vor allem neue, sichere europäische Speicherdienste für personenbezogene Daten, die von den Nutzern verwaltet werden. Und diese IT-Dienste sollten in Europa selbst entwickelt werden, statt von den Europäern wie bisher nur passiv genutzt zu werden; denn das macht die hiesigen Nutzer gegenüber den stetig wachsenden Bedrohungen immer verletzlicher.
Eines der wichtigsten Projekte in diesem Bereich ist die Schaffung eines Trusted-Cloud-Systems durch das Europäische Institut für Innovation und Technologie (EIT): Die daran beteiligten Firmen und Organisationen garantieren, dass die personenbezogenen Daten ihrer Nutzer auch von diesen kontrolliert werden können. Solche Systeme können die Basis für praktische Abläufe und Technologien schaffen, die dazu beitragen, ein informationell sicheres Umfeld zu garantieren. Das wiederum unterstützt solche IT- Provider, die sich das Vertrauen ihrer Kunden wirklich verdienen wollen. Die neue Datenschutz-Grundverordnung stellt solche europäischen Unternehmen vor eine erhebliche Herausforderung – aber sie bietet auch Chancen für die Entwicklung datensicherer Dienste und Lösungen.
Aus dem Englischen von Birgit Bayerlein
Janne Järvinen ist Direktor der Future Cloud Action Line von EIT Digital. Markku Kutvonen leitet das Trusted-Cloud-Programm von EIT Digital. Beide sind verantwortlich für externe Zusammenarbeit bei dem finnischen Anbieter von Internetsicherheitsprogrammen F-Secure.
© Le Monde diplomatique, Helsinki