1. Grundprobleme von Datenschutz und Datensicherheit
1.1 Was kann schon passieren?
Eine anekdotenhafte Einführung in das Thema
Quellen
Es folgt eine mehr oder weniger zufällige kleine Auswahl von
Ereignissen, die den Umgang mit Daten von Menschen oder mit den Risiken der
Informationstechnik in der alltäglichen Praxis beleuchten. Gute Quellen für
eine solche Sammlung sind:
- der Heise-Newsticker,
- die News-Gruppe comp.risks
(moderiert von Peter G. Neumann)
und deren Archiv
sowie Verzeichnis
von Vorfällen,
- das Privacy Forum
von Lauren Weinstein
- die Sammlung von
Bruce Schneier sowie sein Newsletter
Crypto-Gram,
- die Wochenpresse wie
DER SPIEGEL,
DIE ZEIT,
- die Computerpresse, wie die Computerzeitung,
iX,
c't,
- die Tagespresse, wie die Mainzer Allgemeine Zeitung (AZ), ...,
- die Tätigkeitsberichte
der Datenschutzbeauftragten,
- das Privacy
Magazine des Berliner Datenschutzbeauftragten,
- die Incident Notes
und Vulnerability Notes
des CERT/CC
(= Computer Emergency Response Team/ Coordination Center),
- und als systematische Sammlung das Buch
»Computer
Related Risks« von Peter
Neumann (siehe das Literaturverzeichnis),
mit Errata
und Ergänzungen.
Wer anfängt, Meldungen zu Datenschutz- und IT-Sicherheitsproblemen zu sammeln,
wird bald von einer riesigen Flut überschwemmt.
Und trotzdem - Achtung: Hohe Dunkelziffer!
Datenschutzrelevante Vorfälle und Vorgänge
- Der BASF-Datenschutz-Skandal [AZ, 25.3.92]
- Bürgerdaten im Minister-Müll [AZ, 4.11.92]
- Verfassungsschutz speichert Intimdaten [DER SPIEGEL 42/1993, 58 - 61]
- RA-Praxis - Server im Wartezimmer
- Mörder findet Opfer über Fahrzeughalter-Datei [Neumann, S. 184]
- Ausländerzentralregister [DER SPIEGEL 43/1994, 65 - 67]
- Außerhausgabe (Outsourcing) - z. B. Verarbeitung von Behördendaten
bei Privatfirmen [DER SPIEGEL 46/1995] [DER SPIEGEL 7/1998, 75]
- Datenschutz im nichtöffentlichen Bereich [AZ, 10.2.1996] [AZ, 20.9.1995]
- Konsumentendaten [DIE ZEIT Nr. 25, 16. Juni 1995, 66],
Rabattkartensysteme (Payback) [DER SPIEGEL 27/2001],
der Fall des Rabattgesetzes
- EDS
[SPIEGEL special Nr. 3/1996, 24 - 27]
- Europol [DER SPIEGEL 31/1995, 36 - 37]
[Computer Zeitung Nr. 12/ 25. März 1999]
[Der
Bundesbeauftragte für den Datenschutz]
[iX 8/2001, S. 26]
- Echelon und Enfopol
[DER SPIEGEL 13/1999, 94-97]
[Heise,
8.10.1998]
[Heise,
12.3.1999]
[Heise,
18.3.1999]
[Heise,
30.3.1999]
- Microsofts heimlicher GUID (Global Unique Identifier)
[Heise,
7.3.1999]
[Heise,
10.3.1999]
[Heise,
13.3.1999]
[DER SPIEGEL 11/1999]
[c't Heft 6/1999]
- Microsofts ».NET«-Initiative - Riesige Sammlung
persönlicher Informationen:
- Passport: Universelle Identität
- .NET Contacts, Location, Inbox, Documents, Devices, Wallet
- »Mit .NET Alerts kann sich der Surfer zum Beispiel an den
Geburtstag seiner Oma erinnern lassen.«
[Heise,
23.10.2001] Welchen Sinn soll das haben, wenn nicht als Input
für gezielte Werbung?
- Angestrebt: Völlige Kontrolle über die Internet-Wirtschaft.
- Tele-Info-Gebäudedatenbank [DER SPIEGEL 46/1998, 90-92]
- In den USA: Datenbanken mit Geburtstagen und »geheimen«
Telefonnummern [Privacy
Forum 09.03]
- Telefonbuch-CD
[Der
Bundesbeauftragte für den Datenschutz]
[Heise,
24.3.1999]
- Öffentliche Personenverzeichnisse und Internet-Suchdienste
(bei illegalen Datenbankzugriffen etwas teurer)
[Heise,
17.10.2001]
Hinweis zum letzten Punkt: Der Leser suche mal in
Google nach seinem Namen.
Zur Zeit, besonders seit dem Terroranschlag auf die USA, findet ein
Großangriff statt auf
- Bürgerrechte und -freiheiten, insbesondere den Datenschutz,
- die eigenverantwortliche IT-Sicherheit, z. B. Kryptographie,
- die Informationsfreiheit (besonders im Afghanistan-Krieg).
Gefährdung des Datenschutzes
- Politischer Aktionismus nach Terroranschlägen
- Sammel- und Speicherwut von Behörden und Firmen
- Datenabgleich, Persönlichkeitsprofile, der gläserne Bürger
- Spionage (Politik und Wirtschaft)
- Telekommunikation, Vernetzung, Evernet
- Aufhebung zeitlicher und räumlicher Schranken,
Perfektion der Abfrage- und Suchmöglichkeiten
- Mangelnde internationale Abstimmung, Datenoasen
- Mangelndes Datenschutzbewusstsein
- Zielkonflikte, Subsidiarität der Datenschutzgesetze
- Blinder technischer Fortschritt, nichtverlässliche Technik
Wie sicher ist die Technik?
- Sind die Daten auf meinem Rechner sicher vor Unbefugten? Wie verhindere
ich ungebetene Eindringlinge? (Schadprogramme, Viren, Makros)
- Wer alles kann die Daten auf meinem Server lesen oder ändern?
Was nützt der Passwortschutz?
- Welchen Weg nehmen die Daten im Netz? Mit welchem Partner oder Server
bin ich verbunden?
- Welche Gefahren drohen vom Internet? Von Modemanschlüssen?
Ist Fernwartung gefährlich?
- Welche Daten verschicke ich wirklich? (Cave:
Datenmüll in Dokumenten! Beispiel: Word)
- Welche Daten stehen wirklich auf meinem Rechner?
(Cave: Versteckte Dateien auf Microsoft-Systemen.)
- Halten meine Sicherheitsmaßnahmen dem technischen Fortschritt stand?
- Kann ich den Herstellern vertrauen? Wie wichtig nehmen sie meine Sicherheit?
Wie kompetent sind sie?
Sicherheitskritische Vorfälle
- BTX-Hack I 1984, II 1989 [DER SPIEGEL 44/1989,
286 - 289]
- Internet-Wurm 1988 [Neumann, S. 127]
- Therac-25 [Neumann, S. 68ff.]
- Die Schweizer Crypto AG baut Hintertür für die NSA ein.
- T-Online-Hack (Frühjahr 1998) [DER SPIEGEL 17/1998, 184 - 187]
- Bahnhof Altona [DER SPIEGEL 14/1995, 32 - 33] [DER SPIEGEL 5/1997, 90 - 91]
[Risks-17.02]
- Back Orifice und NetBUS [CERT Vulnerability Note
VN-98.07]
[DFN-CERT Sicherheitsbulletin
DSB-98:01]
bei Windows XP ist die Fernsteuerung schon eingebaut.
- ActiveX-Hack Februar 1997 [iX 3/1997, 90 - 93] [DER SPIEGEL 7/1997, 195]
[Risks-18.82]
- Rechenfehler in Chips (Pentium) und Software (Excel)
[DER SPIEGEL 51/1994, 87 - 88], [c't 7/1995, 186 - 190]
[Risks-16.57]
[Risks-16.58]
[Risks-17.39]
- Homepage des Bundesamts für Verfassungsschutz gehackt
[CHIP
Newsticker, 5.10.1998] -
viele weitere WWW-Server seither.
- Melissa-Virus
[Risks-20.26]
[Melissa
Virus FAQ]
[CERT Advisory CA-99-04]
[Neumann]
- »For years we have been saying you could not get a virus just
by opening e-mail. That bug is being fixed.« [A. Padgett Peterson]
Viele weitere Makro-Viren seither.
- Schlecht geschützte Passwörter bei Access97, Homebanking gefährdet
[Heise,
12.2.1999]
[Heise,
15.2.1999] -
Viele weitere schlecht geschützte Passwörter seither.
- Windows NT: Passwortklau leicht gemacht
[Heise,
12.4.1999]
[Heise,
15.4.1999]
- Windows 49.7-Tage-Problem
[Heise,
2.3.1999]
- Rechenfehler bei Bank 24
[Heise,
7.4.1999]
[Heise,
8.4.1999]
[Heise,
13.4.1999]
[Heise,
14.4.1999]
- Sicherheitsrisiko Diskettenlaufwerk
[Heise,
8.4.1999]
- Microsoft verteilt Makro-Viren
[Heise,
9.4.1999]
- Lauschangriff mit Videokameras über das Netz
[Heise,
17.4.1999]
- Hacker im internen Microsoft-Netz.
- Microsofts DRM-Software gebrochen (Digital Rights Management)
- Windows XP-Login
Gefahren für die IT-Sicherheit
- Computerkriminalität
- Spionage
- Viren und andere Schadprogramme (`Malware')
- Offene Systeme
- Security by Obscurity (Schlüssel unter der Fußmatte - »Wird schon
keiner finden!«)
- Trügerische Sicherheit in
kommerziellen Produkten
(Tür nur zugezogen, nicht abgeschlossen - »Wird schon
keiner merken!«)
- Risiken der Monokultur
- Systemfehler
- Mangelndes Sicherheitsbewusstsein
- Arglosigkeit bei Nutzern,
- Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle
und -spezifikationen, »penetrate & patch«-Ansatz
Computerzeitung 12/2001: »Security-Ignoranz der Chefs bedroht das ganze
E-Business«
- Blinder technischer Fortschritt
- Abhängigkeit von verletzlicher, nichtverlässlicher
Technik
- Immer größere Teile der kritischen Infrastruktur werden computergestützt
gesteuert, z. T. sogar über das Netz.
Globale Trends
- Die Überwachung und Ausspähung wird immer gründlicher und lückenloser -
Ansätze zur Anonymität werden verdrängt (Beispiel: e-cash,
Anonymisierungsdienste).
- Die Sicherheit der Informationstechnik wird immer lückenhafter.
- Der PC verwandelt sich von einem Instrument der totalen Freiheit
zu einem Instrument der totalen Kontrolle.
- Die Enteignung des Personal Computer:
Die Wirtschaft führt mit Hilfe des Internet einen Großangriff
- auf die Privatheit der PCs,
- auf die Privatheit der persönlichen Wünsche,
- auf die Verbraucherrechte (z. B. Kopien zum persönlichen Gebrauch).
- Die politische Macht verlagert sich mit Hilfe der Informationstechnik
immer mehr hin zu demokratisch nicht legitimierten Institutionen.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 23. November 2001
E-Mail an
Pommerening@imsd.uni-mainz.de.