Alle Artikel in Datenschutz

Die Login-Falle: Strafverfolgung im Internet ohne Massenüberwachung

Hasskriminalität im Internet ist ein Problem: Insbesondere Frauen und marginalisierte Gruppen, die auch „in der analogen Welt“ im besonderen Maße Belästigungen und Diskriminierung ausgesetzt sind, werden jeden Tag im Internet beleidigt und bedroht. In einigen dieser Fälle nutzen Täter:innen den Deckmantel der Anonymität und versuchen so, Konsequenzen für ihr strafbares Handeln zu entgehen.
Anonymität im Internet ist wichtig. Sie schützt viele Menschen, die Gutes tun, aber Repressalien befürchten müssen: Seien es Journalist:innen, Whistleblower:innen oder Regimegegner:innen in autoritären Staaten.
Selbst unabhängig davon kann Anonymität die Grundlage der freien Meinungsäußerung sein, ganz ähnlich wie es bei der Stimmabgabe bei Wahlen der Fall ist. Insbesondere Personen, die sich in einer gesellschaftlich schwächeren Position befinden, sind auf diesen Schutz angewiesen.
Deshalb muss Anonymität im Internet grundsätzlich gewahrt werden. Trotzdem bedarf es ein effektives Instrument zur Strafverfolgung. Unser Vorschlag: Die Login-Falle.

Keine Lösung: Klarnamen- und Identifizierungspflicht

Keine gute Idee sind deshalb Klarnamen- und Identifizierungspflichten, die immer wieder in der politischen Debatte auftauchen. Bei einer Klarnamenpflicht muss jede Person, die in einem sozialen Netzwerk aktiv ist, öffentlich ihren „echten“, bürgerlichen Namen tragen. Dabei wird aber zum einen völlig übersehen, dass diese Pflicht insbesondere die faktische Meinungsäußerungsmöglichkeiten von Menschen einschränken wird, die besonders schutzwürdig und -bedürftig sind. Es sind Menschen in Abhängigkeitsverhältnissen, die aufgrund einer Klarnamenpflicht auch bei legalen Äußerungen Repressionen in ihrem sozialen und beruflichen Umfeld fürchten müssten. Außerdem erleichtert eine Klarnamenpflicht Stalking und Bedrohung, schließlich erfahren Täter:innen nun persönliche Daten potentieller Opfer, auf deren Basis sich bspw. die Anschrift oder weitere Kontaktinformationen herausfinden lassen.
Es bekämpft Hasskriminalität folglich nicht, sondern erleichtert stattdessen die Ausübung schwererer Folgestraftaten.

Weiterlesen

Fünf Forderungen an eine bundesweite Check-In-App zur Kontaktnachverfolgung

In der Diskussion um die Wiedereröffnung des Einzelhandels, der Restaurants, Bars, Museen und anderer Orte, an denen Menschen zusammenkommen, werden von der Politik und Öffentlichkeit auch flankierende Apps ins Spiel gebracht. Diese Apps sollen durch QR-Codes einerseits eine zettellose Registrierung, andererseits im Infektionsfall die schnelle Kontakt-Nachverfolgung sicherstellen. Beispiele für diese Dienste sind luca oder darfichrein.de.

Wir als D64 begrüßen im Allgemeinen Alternativen zur Erfassung von Kontaktdaten auf Zetteln, so wie es bisher während der Corona-Pandemie gängige Praxis ist. Digitale Dienste können datensparsamer sein, Daten vor dem Zugriff Dritter schützen, Stalking verhindern, sowie schnellere Reaktionen auf das Infektionsgeschehen ermöglichen und Cluster sichtbar machen.

Weiterlesen

Europäische Bürgerinitiative für eine Zukunft ohne biometrische Massenüberwachung

Heute, am 17. Februar 2021, startet das Bündnis Reclaim Your Face eine offizielle Europäische Bürgerinitiative (EBI) zum Verbot biometrischer Massenüberwachung. Mehr als 35 europäische Organisationen rufen dazu auf, diese Initiative zu unterstützen.

In Deutschland unterstützen bisher der Chaos Computer Club, D64, Digitalcourage, Digitale Freiheit und kameras-stoppen.org die Bürgerinitiative und fordern Bürger:innen zum Unterschreiben auf.

Weiterlesen

Geheimdienste raus aus unseren Messengern! – D64 gegen Staatstrojaner

Die Bundesregierung führt – wieder einmal – die Bekämpfung des Terrorismus an, um in die Grundrechte der Bürgerinnen und Bürger einzugreifen. Mittels der Quellen-TKÜ (Telekommunikations-Überwachung) soll es Geheimdiensten wie dem Bundesnachrichtendienst (BND), dem Militärischen Abschirmdienst (MAD) und Verfassungsschutz ermöglicht werden, verschlüsselte Nachrichten mitzulesen.
D64 widerspricht diesem Vorhaben wiederholt und vehement.

Statt des sogenannten Richtervorbehalts, der die Anordnung eines Gerichts bezeichnet, ist für die Quellen-TKÜ nur die Zustimmung der G10-Kommission vorgesehen. Ob und warum überhaupt Anträge abgelehnt werden, wird nicht veröffentlicht. So kann demokratische Kontrolle nicht funktionieren!

Die zu Beginn diskutierte Beschränkung auf unmittelbar bevorstehende Anschläge, bei denen ausländische Geheimdienste zuvor Informationen geliefert haben, sucht man vergeblich. Folglich hat das Bundesamt für Verfassungsschutz freie Hand bei der Wahl seiner Spionageziele.

Die IT-Sicherheit wird lieber gar nicht erwähnt und unter den Tisch fallen gelassen. Verständlich da Sicherheitslücken in der Software des auszuspähenden Endgerätes notwendig sind, damit die Quellen-TKÜ diese nutzen kann, um in das System und an die sensiblen Daten zu gelangen. Aber nicht nur Nutzerinnen und Nutzer veralteter Software sind bedroht: Auch aktuelle Versionen können bisher nicht geschlossene oder unveröffentlichte Sicherheitslücken beinhalten. Das Bundesinnenministerium warnte jüngst sogar vor einem Anstieg. Diese versuchen die Geheimdienste auszunutzen. Anstatt unsere Sicherheit zu schützen, indem diese Sicherheitslücken an die Hersteller gemeldet werden, erweisen die Behörden einen Bärendienst und nutzen diese im Geheimen aus.

Hochproblematisch ist ebenso die Mitwirkungspflicht der Telekommunikationsanbieter und anderer Dritter. So können einerseits per „Drive-By“-Downloads Schadsoftware überspielt werden, was das Vertrauen in die IT-Infrastruktur massiv senkt und im schlimmsten Fall unbeteiligte Dritte trifft. In einer weiten Auslegung ist es sogar möglich, dass Expertinnen und Experten, die Sicherheitslücken aufspüren, diese nicht öffentlich machen dürfen.

Handlungserfahrung in diesem Bereich hat der US-Geheimdienst National Security Agency (NSA) bereits im Jahr 2017 gesammelt. Durch die Cyberattacke der Schadsoftware WannaCry wurden mindestens 200.000 Computer, darunter Systeme des britischen Gesundheitsdienstes NHS, der Deutschen Bahn und Regierungsbehörden in aller Welt, infiziert.

„Mit Vollgas am Ziel vorbei! –
Die Bundesregierung gefährdet die innere Sicherheit,
anstatt sie zu gewährleisten. Es darf kein deutsches WannaCry geben“,
mahnt Bendix Sältz, Koordinator der AG Datenschutz.

Die, im ersten Entwurf im März 2019 enthaltene, Passage der Online-Durchsuchungen wurde gestrichen, jedoch ist durch den unklaren Umfang der Informationserhebung genau dies das potenzielle Ergebnis. Außerdem kritisieren wir, dass die Bundesregierung aus CDU/CSU und SPD den Einsatzbereich dieses „Staatstrojaners“ durch die 16 Geheimdienste aller Bundesländer sowie BND, MAD und Bundes-Verfassungsschutz (in Summe also 19) sogar ausweitet statt ihn einzudämmen.

D64 fordert die Abgeordneten des Deutschen Bundestages auf, diesem unverhältnismäßigen Eingriff in Grundrechte nicht zuzustimmen und sich stattdessen klar gegen staatliche Schnüffelei auf deutschen Smartphones und Computern zu positionieren.

D64 begrüßt (wieder einmal) das Urteil des EuGH zur Vorratsdatenspeicherung

Der Europäische Gerichtshof hat in seinem Urteil vom 6. Oktober 2020 bekräftigt, dass eine anlasslose Speicherung von Kommunikationsverbindungsdaten nicht mit EU-Recht vereinbar ist. Ausnahmen sind nur dann möglich, wenn beispielsweise eine akute Bedrohung der nationalen Sicherheit vorliegt. Gleichzeitig hat der EuGH aber auch bekräftigt, dass eine flächendeckende und allgemeine Speicherung persönlicher Verbindungsdaten ohne einen Grund und auf lange Zeit nicht rechtmäßig ist.

Henning Tillmann, Co-Vorsitzender von D64 – Zentrum für digitalen Fortschritt, begrüßt das Urteil:

„Wieder einmal wird der Politik klar aufgezeigt, dass die anlasslose Vorratsdatenspeicherung nicht mit den Grundrechten vereinbar ist. Es bleibt jedoch fraglich, ob innenpolitische Vertreterinnern und Vertreter endlich die richtigen Schlüsse ziehen und neue Instrumente zur Bekämpfung von Kriminalität finden und nutzen. Es muss Schluss sein mit der grundrechtswidrigen Schaufensterpolitk!“

Gerichte auf nationaler und europäischer Ebene beschäftigen sich häufiger mit der gleichen Sachfrage und kommen stets zu ähnlichen Ergebnissen. So urteilte der EuGH bereits 2014, das Bundesverfassungsgericht im Jahre 2010. Es erklärte das damals geltende Gesetz zur Vorratsdatenspeicherung in Deutschland als verfassungswidrig. Gegen die aktuelle Gesetzgebung zur Einführung einer Speicherpflicht für Verkehrsdaten, welche 2015 vom Bundestag beschlossen wurde, liegen mehrere Klagen vor – auch eine Verfassungsbeschwerde von D64. Das Oberverwaltungsgerichts NRW hat bereits 2017 festgestellt, dass die aktuelle Vorratsdatenspeicherung in Deutschland gegen Europarecht verstößt. In der Folge wurde sie von der Bundesnetzagentur ausgesetzt. Mit dem heutigen Urteil des EuGHs könnten nun auch die verschiedenen anhängigen Verfahren bezüglich der deutschen Vorratsdatenspeicherung, sowohl vor dem EuGH als auch am Bundesverfassungsgericht, wieder in Bewegung kommen.

Die D64 Co-Vorsitzende Laura Krause baut auf diese Entwicklung:

„Seit 2015 ist die Klage von D64 beim Bundesverfassungsgericht anhängig. Wir hoffen, dass es nun auch auf nationaler Ebene ein endgültiges und dauerhaftes Aus für die anlasslose Vorratsdatenspeicherung gibt.“

Die Ansprüche an die Corona-Warn-App müssen der neue Maßstab sein

D64 hat den Prozess rund um die Entstehung und Entwicklung der Corona-Warn-App in den letzten Wochen intensiv verfolgt und begleitet. Mit einem offenen Brief gemeinsam mit weiteren Akteuren aus der digitalen Zivilgesellschaft an Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun, äußerte der Verein datenschutzrechtliche Bedenken. Diese wurden akzeptiert und damit Abstand von dem zunächst von der Bundesregierung verfolgten zentralen Ansatz genommen.

Die Corona-Warn-App zeigt, dass große, digitale, öffentliche Projekte unter Einbindung von Wissenschaft und Zivilgesellschaft in Rekordtempo möglich sind – und das unter Wahrung von Datenschutz und Datensicherheit. „Wir sind uns sicher: Datenschutz, Datensicherheit und Open Source ist der einzige erfolgsversprechende Weg. Der letztliche Prozess zur Corona-Warn-App muss in Zukunft der Maßstab für weitere ähnliche Projekte sein“, fordert die D64-Co-Vorsitzende Laura-Kristine Krause.

D64 stellt daher im Zusammenhang mit der Entwicklung von Software durch die öffentliche Hand folgende Mindestanforderungen auf:

1. Expertise einholen: bei der Umsetzung großer Projekte müssen sich Bund, Länder und Kommunen von verschiedenen Akteuren beraten zu lassen. Im Fall der Corona-App hätten sich durch die frühzeitige Einbindung externer Expertinnen und Experten viele Kommunikations- und Umsetzungsprobleme im Frühling vermeiden lassen können. Vielfältige Perspektiven und Expertise helfen den Aufwand für technische Herausforderungen richtig einschätzen zu können und viele gesellschaftliche Gruppen am Diskurs zu beteiligen.

2. Datenschutz und Datensicherheit: Es hätte kein Vertrauen in eine Anwendung gegeben, die sensibelste Daten zentral auf einem Server anhäuft und damit begehrtes Ziel von Angriffen wird. Die Europäische Union ist bei Software, anders als das Silicon Valley oder China, vielleicht nicht die Schnellste und Erste. Sie kann aber einen enormen Vorteil bieten, wenn Datenschutz und Datensicherheit strikt eingehalten werden. Dabei zeigt sich, dass diese beiden Eigenschaften der Corona-Warn-App einen enormen Schub gegeben und die Akzeptanz erhöht haben. Datenschutz und Datensicherheit sind keine Bremsen, sondern Antreiber.

3. Public Money, Public Code: Neben dem Plus an Datenschutz und Datensicherheit ist Transparenz elementar. Die Corona-Warn-App ist vollständig Open Source, d. h. jede und jeder kann den Quellcode lesen, bewerten und auch Verbesserungsvorschläge einreichen. Das muss fortan Standard sein. Wird Software aus öffentlichen Geldern bezahlt, muss sie auch öffentlich einsehbar sein. Public Money, Public Code!

„Die Kernbausteine für große Softwareprojekte sind damit klar: Datenschutz, Datensicherheit und Open Source.“, sagt der D64 Co-Vorsitzende Henning Tillmann. Weitere Lehren aus dem Arbeitsprozess hat er schon vor der Fertigstellung der App in einem Artikel für t3n zusammengefasst.

#D64diskutiert: Mit dem Gesundheitszertifikat zu mehr Freiheit? Diskussion zu Chancen, Risiken und Nebenwirkungen

Bundesgesundheitsminister Jens Spahn hat vor wenigen Wochen einen Gesetzesentwurf vorgelegt, der die Einführung eines Immunitätsausweises für ehemals COVID 19-Erkrankte vorsieht. Nach starker Kritik von vielen Seiten wurde die umstrittene Passage zwar entfernt, die Diskussion dauert aber an. Zudem arbeitet ein Konsortium, unter anderem bestehend aus der Bundesdruckerei, der Universitätsklinik Köln und privaten Organisationen, bereits an einem „Digitalen Corona Gesundheitszertifikat“. Auch im Bereich Tourismus könnte ein digitaler Immunitätsausweis eine Rolle spielen. So überlegen etwa die Kanarischen Inseln nur Urlauberinnen und Urlauber einreisen zu lassen, die sich in Ihrem Heimatland einem Test unterzogen haben und ihre Immunität, etwa per App, nachweisen können.

Hier klicken, um zu den Livestreams zu gelangen.

Doch was würde solch ein Immunitätsausweis für uns als Gesellschaft bedeuten? Sollen Freiheitsbeschränkungen zukünftig nicht mehr für Immune gelten? Führt dies nicht zu einem Anreizsystem, sich besonders schnell mit Corona zu infizieren und konterkariert damit die aktuellen Bestrebungen zur Eindämmung der Pandemie? Aber könnten nicht auf der anderen Seite auch insbesondere Immune risikobehafteten Tätigkeiten, bspw. in Pflegeheimen und Krankenhäusern, übernehmen?
Gäbe es darüber hinaus andere digitale Hilfsmittel, um Menschen, die nachweislich negativ sind – oder immun sind – wieder mehr Freiheiten einräumen zu können?

Über diese Fragen diskutieren auf Einladung von D64 am 27. Mai 2020 um 19 Uhr per Webkonferenz auf d-64.org:

Peter Dabrock, ehem. Vorsitzender des Ethikrates und Theologe
Stephan Noller, Ubirch, Mithersteller des „Digitalen Corona Gesundheitszertifikats“
Lorena Jaume-Palasi, Gründerin The Ethical Tech Society
Karl Lauterbach, MdB und Epidemiologe
Lea Beckmann, Juristin bei der Gesellschaft für Freiheitsrechte

Der Link zum Stream wird auch auf unserem Twitterkanal (@D64eV) zu finden sein.

Datensicherheit ist nicht neu: Das Bundesinnenministerium muss seiner Verantwortung gerecht werden

D64 – Zentrum für digitalen Fortschritt e.V. fordert die Bundesregierung auf, die in der vergangenen Woche bekannt gewordene Veröffentlichung von privaten Daten von Politikerinnen und Politikern und Prominenten zum Anlass zu nehmen um das Thema Datensicherheit wieder zu priorisieren.

Am vergangenen Freitag wurde bekannt, dass über Wochen hinweg sensible Informationen von Politikerinnen und Politikern und Prominenten im Internet veröffentlicht wurden. Diese Daten stammen mutmaßlich nicht aus einem professionellen Hack, sondern aus Angriffen auf wenig geschützte private Accounts. Diese passieren in Deutschland tagtäglich und stellen jedes Mal eine intensive Verletzung der Privatsphäre der Betroffenen dar.

Dass Bundesinnenminister Horst Seehofer sich seit Freitag nicht geäußert hat führt nur zu weiterer Unsicherheit. D64 hält die Bundesregierung dazu an, verstärke Informationsarbeit und Sensibilisierung für Datensicherheit & Datenschutz zu leisten. Ein Beispiel hierfür ist das D64 1×1 der IT-Sicherheit.

Vereinzelte Angriffe auf die persönlichen Accounts waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits wochenlang bekannt. Hier muss aufgeklärt werden, wieso ein schnelleres Handeln der Ermittlungsbehörden nicht erfolgte. Ferner ist das Bundesministerium des Innern (BMI) aktuell dem BSI gegenüber weisungsbefugt. Dieses kann damit in die Situation kommen, Sicherheitslücken nicht dem Hersteller melden zu können, weil diese Sicherheitslücke von einem Nachrichtendienst o.ä. genutzt wird. Hier wird IT-Sicherheit durch das gezielte Beibehalten von Sicherheitslücken, beispielsweise zum Zwecke der Quellen-Telekommunikationsüberwachung (TKÜ), gefährdet. Dies schwächt die IT-Sicherheit aller Bürgerinnen und Bürger und macht echte Datensicherheit unmöglich. Notwendig ist deshalb, das BSI ähnlich den Datenschutzbehörden unabhängig aufzustellen.

D64 fordert außerdem, dass konsequent gelten muss: Wird eine Sicherheitslücke gefunden, muss sie gemeldet werden! Dies gilt insbesondere auch für staatliche Behörden. Statt wirkungslose digitale Gegenschläge (Hackbacks) zu fordern, muss die Bundesregierung der Datensicherheit obere Priorität einräumen.

Außerdem stehen Betreiberinnen und Betreiber großer Dienste der vernetzten Gesellschaft umso stärker in der Pflicht, die Daten der Nutzerinnen und Nutzer besser abzusichern. Ein einseitiges Abwälzen der Verantwortung auf die Nutzerinnen und Nutzer lehnt D64 ab. Stattdessen sollen größere Anbieter von Kommunikationsdiensten verpflichtet werden, Sicherungsmaßnahmen wie Zwei-Faktor-Authentifizierung obligatorisch anzubieten.

Datenschutz und Datensicherheit sind Standortvorteile Deutschlands. D64 appelliert an die Bundesregierung, diese spätestens zu diesem Anlass wieder in den Vordergrund zu stellen.

Keine Staatstrojaner auf unseren Smartphones – Haltung zeigen und Gesetz heute ablehnen!

D64 – Zentrum für digitalen Fortschritt e.V. spricht sich gegen die geplante Erweiterung der Nutzung von Staatstrojanern und Online- Durchsuchungen aus. Wir appellieren an alle Abgeordneten des Bundestages, bei der heutigen Abstimmung zum “Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze” mit Nein zu stimmen.

Die Bundesregierung will heute ein Gesetz verabschieden, das die Erweiterung des Anwendungsbereichs von Online-Durchsuchungen und Quellen-Telekommunikationsüberwachung (TKÜ) auf eine ganze Reihe an Straftaten beinhaltet und faktisch die staatliche Überwachung von Endgeräten ermöglichen soll.

Die erst kürzlich durch die Bundesregierung auf den Weg gebrachte Ausweitung des Strafrechtkatalogs für die Vorratsdatenspeicherung, die D64 ebenfalls ablehnt, war offensichtlich kein „Unfall“ sondern nur der Vorläufer für weitere Maßnahmen. Mit der Ausweitung des Einsatzes von Staatstrojanern folgt nun der nächste Schritt.

“Durch dieses Gesetz hätten Behörden umfangreiche Möglichkeiten mit Schadsoftware die Integrität von Endgeräten zu durchlöchern und persönliche Daten wie Chatverläufe umfassend auszulesen”, sagt Henning Tillmann, Mitglied des Vorstands von D64. “Außerdem wird mit dem Gesetz ein Anreiz für Behörden geschaffen, Sicherheitslücken bei Betriebssystemen nicht zu melden, damit sie weiter als Zugang für Quellen-TKÜ genutzt werden können. Das ist hochproblematisch und fahrlässig und zeigt, dass aus Angriffen wie #WannaCry nichts gelernt wurde.”

Die Bundesregierung verabschiedet derzeit im Schweinsgalopp am Ende der Legislaturperiode ein digitalpolitisch höchstkritisches und voraussichtlich verfassungswidriges Gesetz nach dem anderen. Die Passagen zum Staatstrojaner wurden erst im laufenden Verfahren in den Entwurf des Gesetz zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze (BT-Drs 18/11272) eingefügt.

D64 fordert ein offenes und transparentes Gesetzgebungsverfahren und eine breite Debatte zu so grundsätzlichen Fragen wie Staatstrojanern. “Wir fordern alle Abgeordneten des Deutschen Bundestages – egal welcher Partei – dazu auf, heute gegen das vorliegende Gesetz zu stimmen”, sagt Nico Lumma, Co-Vorsitzender von D64.

Erst kürzlich hat D64 allen Bundestagsabgeordneten dreizehn simple Handlungsempfehlungen zugesandt, die für die Integrität, Vertraulichkeit und Verfügbarkeit von Endgeräten elementar sind. Diese Sicherheitstipps sind jedoch obsolet, wenn mit solchen fahrlässigen Gesetzen die Grundfesten der Internetsicherheit angegriffen werden.

“Stopp” by Anssi Koskinen is licensed under CC BY 2.0

Das kleine 1×1 der IT-Sicherheit – 13 einfache Tipps

Heute erhalten alle Bundestagabgeordneten aller Fraktionen Post von D64. In einem übersichtlichen Flyer „Das 1×1 der IT-Sicherheit“ haben wir grundlegende Tipps für die Büros zusammengestellt. Manche Tipps mögen selbstverständlich klingen, werden aber von vielen Bundestagsbüros nicht eingehalten.

Rückblick: Im Jahr 2015 wurden die IT-Systeme des Deutschen Bundestags Ziel eines größeren Angriffs. Dabei wurden um die 16 GB an teils vertraulichen Daten abgegriffen und an nicht bekannte Ziele weitergeleitet.

Diese umgangssprachlichen „Hacks“ sind häufig durch einfache Sicherheitsvorkehrungen zu verhindern. Neben aktuellen Softwareversionen ist das Verhalten der Nutzerinnen und Nutzer der Computer entscheidend.

Wir, D64 – Zentrum für digitalen Fortschritt e. V., haben dreizehn simple Handlungsempfehlungen aufgeschrieben und dem heutigen Schreiben beigelegt. Diese Tipps sind für die Integrität, Vertraulichkeit und Verfügbarkeit eurer Geräte elementar – auch wenn ihr nicht in einem Bundestagsbüro arbeitet.

Die Tipps im Überblick und als übersichtliche Infografiken. Teilen und weitersagen ausdrücklich erwünscht (CC0)! Hier der Download als PDF.

Weiterführende Links:

Fragen und Anmerkungen gern an henning.tillmann (at) d-64 (punkt) org.