Offener Brief der Sicherheitsinitiative NIFIS an Staatsministerin Dorothee Bär, MdB

[datensicherheit.de, 11.11.2020] Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hat sich nach eigenen Angaben in einem Offenen Brief an Staatsministerin Dorothee Bär, MdB, gegen das geplante EU-weite Verbot der privaten digitalen Verschlüsselung gewandt.

Foto: NIFIS

RA Dr. Thomas Lapp appelliert zusammen mit Detlef Schmuck an Staatsministerin Dorothee Bär, MdB

NIFIS-Gremien engagieren sich für Vertraulichkeit, Verfügbarkeit und Integrität sowie sicheren Transport von Daten in digitalen Netzwerken

Die NIFIS versteht sich demnach als neutrale Selbsthilfe-Organisation, welche die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte.
Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien sei es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickele die NIFIS seit ihrer Gründung im Jahr 2005 unterschiedliche Konzepte und setze diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählten die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.

NIFIS wehrt sich gegen Bedrohung von Seiten des Gesetzgebers

In dem Offenen Brief gehe es nun allerdings eher um eine „Bedrohung von Seiten des Gesetzgebers“, gegen den sich die NIFIS wehren möchte. Eine ihrer Mitgliedsfirmen, die Hamburger TeamDrive GmbH, gehöre zu den Betroffenen:
„TeamDrive bietet einen gleichnamigen Datenaustauschdienst mit vollständiger Ende-zu-Ende-Verschlüsselung an, um die Vertraulichkeit der Übertragung zu gewährleisten. Würde der jüngste EU-Vorstoß Realität, könnten Behörden die Kommunikation trotz Verschlüsselung mitlesen.“

Nachfolgend wird der Offene NIFIS-Brief im Wortlaut wiedergegeben:

Sehr geehrte Frau Staatsministerin Bär,

mit großer Sorge entnehmen wir der Presse, dass sich die Regierungen der EU-Mitgliedsstaaten darauf verständigt hätten, eine sichere Verschlüsselung digitaler Kommunikation EU-weit zu verbieten bzw. die Betreiber digitaler Kommunikationsdienste zu zwingen, die Zugangsschlüssel zu Kundendaten bei den Behörden zu hinterlegen. Der entsprechende Resolutionsentwurf soll den Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ tragen und Medienberichten zufolge noch im November 2020 verabschiedet werden.

Wir möchten darum bitten, dass die Bundesregierung dieses Vorgehen nicht nur für die Bundesrepublik Deutschland ablehnt, sondern sich auch europaweit für eine Ablehnung dieser Maßnahme einsetzt. Denn diese gesetzlich verordnete Weitergabe von Schlüsseln zu Kundendaten wäre das Ende der Privatsphäre bei der digitalen Kommunikation. Bei allem Verständnis für den Bedarf von Sicherheitsbehörden, kriminellen und terroristischen Machenschaften auch auf digitalen Wegen entgegenzuwirken, den wir ausdrücklich unterstützen, ginge ein generelles Verbot privater Verschlüsselungen viel zu weit.

Hätten die Behörden die Generalschlüssel zu sämtlicher digitaler Kommunikation, würde nicht nur die Privatsphäre bedroht, sondern es würde sich auch die Sicherheitslage verschlechtern statt verbessern. Denn es wäre blauäugig zu meinen, dass Datenschlüsselzentren bei den Betreibern oder den Behörden dauerhaft sicher vor Hackern seien. Ganz im Gegenteil würden derartige Schlüsselaufbewahrungen Hacker geradezu ermuntern.

Genau aus diesem Grund arbeiten hochsichere digitale Kommunikationsdienste wie bspw. unser Mitgliedsbetrieb TeamDrive GmbH nach einem „Zero Knowledge-Prinzip“. Das bedeutet, selbst der Betreiber kennt die Schlüssel zu den Kundendaten nicht; ein Hackerangriff auf den Betreiber würde also die Vertraulichkeit der Daten nicht gefährden. Käme jedoch das neue EU-Konzept zum Tragen, wären sowohl die Betreiber als auch die Behörden, die die Schlüssel besitzen, Sicherheitsrisiken.

Neben diesen grundlegenden Bedenken gegen das Ende der Privatsphäre in der digitalen Kommunikation durch die geplanten EU-Maßnahmen halten wir auch die Geschwindigkeit, mit der diese Maßnahmen anscheinend beschlossen werden sollen, für äußerst bedenklich. Leicht könnte beim Bürger der Eindruck entstehen, dass die derzeitige Pandemie-Situation ausgenutzt werden soll, um staatliche Repressalien „schnell und schleichend“ durchzusetzen. Eine solch weitreichende Maßnahme bedarf im Sinne einer transparenten Demokratie einer ausführlichen politischen und gesellschaftlichen Diskussion, die gerne im Jahr 2021 geführt werden kann.

Frau Ministerin Bär, wir bitten Sie um rasches und entschlossenes Handeln, um Schaden von den Bürgerinnen und Bürgern der Bundesrepublik Deutschland und der Europäischen Union abzuwenden. Die Vertraulichkeit der Kommunikation stellt ein kostbares Rechtsgut dar, das nicht auf „kleinem Dienstweg“ binnen weniger Wochen aufgegeben werden darf.

Wir bitten um Verständnis, dass wir uns angesichts der Dringlichkeit aufgrund der von der EU vorgelegten Geschwindigkeit in dieser Angelegenheit erlauben, diesen an Sie gerichteten Brief gleichzeitig an die Medien weiterzuleiten. In der Abwägung zwischen der Vertraulichkeit dieses Schreibens und dem großen öffentlichen Interesse haben wir uns für den Weg der Veröffentlichung entschieden.

Mit großer Sorge und in ebenso großer Hoffnung auf Ihr Einschreiten!

RA Dr. Thomas Lapp
Detlef Schmuck

Vorsitzender NIFIS
Geschäftsführer TeamDrive

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit

datensicherheit.de, 07.03.2017
NIFIS: Massiver Anstieg der Ausgaben für IT-Sicherheit zu erwarten

[datensicherheit.de, 23.10.2016] Firmen und Verbraucher sollten Cloud-Diensten nicht alle ihre Daten pauschal anvertrauen, rät die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS). Als Anlass für die aktuelle Warnung nennt dessen Vorsitzender, Rechtsanwalt Dr. Thomas Lapp, das neue Apple-Betriebssystem „MacOS Sierra“, das ausnahmslos alle auf dem Desktop abgelegten Daten automatisch in Apples „iCloud“ hochlade, und die neue Niederlassung des Cloud-Dienstes Dropbox in Berlin, der damit werbe, dass seine Cloud damit dem deutschen Datenschutzrecht genüge.

Erinnerung an Dropbox-Historie

Dropbox habe erst vor wenigen Jahren einen der größten Datendiebstähle in der Geschichte verkraften müssen, erinnert Lapp. Hacker hätten 2012 mehr als 68 Millionen Datensätze von Dropbox-Kunden erbeutet. „Wer heute wichtige Datenbestände bei Dropbox ablegt, sollte diese Historie zumindest kennen“, betont der NIFIS-Vorsitzende.
Der Jurist rät Unternehmen nach eigenen Angaben für das Speichern von Daten in der Cloud nach Möglichkeit ausschließlich Dienste in Anspruch zu nehmen, die der Deutsche Anwaltverein (DAV) auch für Anwälte empfiehlt. Diese zählten ebenso wie Ärzte oder Wirtschaftsprüfer zu den Berufsgeheimnisträgern. Diese Berufsgruppen unterlägen nach § 203 Strafgesetzbuch einer besonderen Geheimhaltungspflicht.

Verstoß gegen deutschen Datenschutz: Personenbezogene Daten in der iCloud

Vom pauschalen „iCloud“-Hochladen sämtlicher auf dem Desktop abgelegter Daten durch Apples neues Betriebssystem „MacOS Sierra“ rät Lapp ab: „Jedes Unternehmen, das auf dem Desktop auch nur temporär personenbezogene Daten ablegt und diese damit der iCloud anvertraut, verstößt dadurch automatisch gegen den deutschen Datenschutz, weil Apple die Daten bekanntermaßen auf Servern in den USA speichert“, unterstreicht der Jurist.

[datensicherheit.de, 26.09.2016] Es sei sicherlich kein Einzelfall, dass „wie aktuell bei Yahoo die Entwendung personenbezogener Daten aus einem Unternehmen über Monate oder gar Jahre hinweg nicht auffällt“, befürchtet Rechtsanwalt Dr. Thomas Lapp, Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS). Offenbar waren Yahoo schon im Jahr 2014 mindestens 500 Millionen Kundendaten gestohlen worden, ohne dass dies bis zum Sommer 2016 aufgefallen war.

Permanent und lückenlos: Überwachung notwendig!

Nach Yahoo-Angaben befinden sich die dafür verantwortlichen Hacker mittlerweile nicht mehr im Netzwerk der Firma.
„Wenn Yahoo heute feststellen kann, dass sich die Angreifer nicht mehr in der Firmen-IT aufhalten, lässt dies den Schluss zu, dass die Präsenz der Hacker auch vor zwei Jahren durchaus feststellbar gewesen wäre, wenn man gründlich geprüft hätte“, mutmaßt Lapp.
Der NIFIS-Vorsitzende rät der Wirtschaft: „Unternehmen sollten ihr Firmennetzwerk permanent und lückenlos auf ungewöhnlichen Datenverkehr und mögliche Angriffsszenarien überprüfen. Nur so können sie im Fall der Fälle Angriffe noch stoppen oder – falls es dazu zu spät ist – die betroffenen Nutzer wenigstens informieren, so dass diese beispielsweise rasch ihre Passwörter ändern können.“

Auch Antworten auf Sicherheitsfragen variieren!

Yahoo habe zwar angegeben, dass die Angreifer keinen Zugang zu unverschlüsselten Passworten erlangt hätten. Aber sie seien offenbar auf die Antworten auf Sicherheitsfragen wie „Wie lautet der Name Ihres ersten Haustiers?“ vorgestoßen, mit denen sich Passwörter zurücksetzen ließen.
Dies sei im Grunde noch viel schlimmer, weil zu befürchten sei, dass viele Nutzer genau dieselben Sicherheitsantworten auch bei anderen Accounts außerhalb von Yahoo verwendeten, so dass die Hacker diese ebenfalls leicht knacken könnten, warnt Lapp. Er rät: „Wir alle sollten nicht nur regelmäßig unsere Passwörter ändern, sondern auch die Antworten auf die damit zusammenhängenden Sicherheitsfragen“ und sagt lakonisch: „Glücklich, wer ein zweites oder drittes Haustier hat.“

Mutmaßlich größter bekannter Datendiebstahl

Laut NIFIS ist der „Yahoo-Hack“ der wohl größte bekannte Datendiebstahl der Geschichte. Bei ähnlichen Vorfällen seien „nur“ 100 Millionen Datensätze (jeweils bei LinkedIn und im russischen Netzwerk Vk.com), 83 Millionen (J.P. Morgan), 80 Millionen (US-Krankenversicherung Anthem), 68,7 Millionen (Dropbox), 56 Millionen (US-Baumarktkette Home Deport), 45,6 Millionen (US-Einzelhandelskette TJX), 40 Millionen (Supermarktkette Target), 21,5 Millionen (US-Personalverwaltung), 15 Millionen (Sony Pictures) und 15 Millionen Datensätze (T-Mobile) erbeutet worden.
„Es ist wohl davon auszugehen, dass die bekannten Datendiebstähle nur die Spitze des Eisbergs darstellen und der bis heute unbekannte Datenraub um ein Vielfaches höher liegt“, befürchtet der NIFIS-Vorsitzende.

[datensicherheit.de, 19.09.2016] Die Anbieter offener WLANs, über die sich jedermann kostenfrei mit dem Internet verbinden kann, sollten ihre Zugangspunkte schnellstmöglich mit einem Passwortschutz versehen, empfiehlt der Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS).

Passwortbekanntgabe erst nach Identitätsprüfung!

Dieses Passwort dürfe den einzelnen Nutzern erst nach Feststellung ihrer Identität mitgeteilt werden, so dass ein anonymer Internetzugang nicht mehr möglich ist. Diese Konsequenzen leitet die NIFIS aus der jüngsten Entscheidung des Europäischen Gerichtshofs zu offenen WLANs ab. Die Entscheidung des EuGH schaffe mehr Rechtssicherheit, begrüßt der NIFIS-Vorsitzende, RA. Dr. Thomas Lapp, das Urteil. Allerdings lasse der derzeitige Informationsstand noch viele Fragen offen: „Es ist momentan noch völlig unklar, ob die Angabe der E-Mail-Adresse oder der Mobilfunknummer, an die dann das Passwort gesendet wird, zur geforderten Identifizierung des jeweiligen Nutzers ausreichend sind“, so Lapp.

Höhere Rechtssicherheit vor allem für Firmen

Der Jurist erläutert die höhere Rechtssicherheit vor allem für Firmen, die ihren Kunden kostenloses WLAN anbieten: „Ein Geschäftsinhaber, der der Öffentlichkeit kostenlos ein WLAN-Netz zur Verfügung stellt, ist nach der Entscheidung des EuGH für Urheberrechtsverletzungen eines Nutzers nicht verantwortlich.“
Diese Entscheidung beziehe sich dabei ausdrücklich auf die Begrenzung der Verantwortung des Anbieters, die in der Richtlinie zum elektronischen Geschäftsverkehr vom 8. Juni 2000 geregelt sei. Danach haften Anbieter nicht, wenn sie erstens die Übermittlung nicht veranlasst, zweitens den Adressaten der Übertragung nicht ausgewählt und drittens die übermittelten Informationen nicht ausgewählt oder verändert haben. Die deutsche Rechtsprechung habe die Haftungsbegrenzung bislang nicht auf Unterlassungsansprüche angewendet.

Schutz durch Passwörter unumgänglich

Der NIFIS-Vorsitzende verweist darauf, dass der deutsche Gesetzgeber erst vor Kurzem durch eine Änderung des § 8 Abs. 3 TMG die Anbieter von kostenlosen WLANs habe schützen wollen. Allerdings: „Der Wortlaut der Neuregelung war nicht geeignet, Rechtssicherheit zu schaffen und es blieb offen, ob die Gerichte im Hinblick auf die Begründung des Gesetzes
ihre Rechtsprechung ändern würden.“
Aus diesem Grund biete die Entscheidung des EuGH nun mehr Rechtssicherheit. Der EuGH stelle klar, dass der Anbieter dem Urheberrechtsinhaber nicht zur Zahlung von Schadensersatz verpflichtet sei. Auch der Anspruch auf Erstattung von Abmahn- oder Gerichtskosten zur Durchsetzung von Schadensersatzansprüchen werde ausdrücklich ausgeschlossen.
Leider habe der EUGH Unterlassungsansprüche wie auch darauf bezogene Abmahn- und Gerichtskosten ausdrücklich zugelassen und damit die deutsche Rechtsprechung bestätigt, sagt Dr. Lapp. Zulässig bleibe nämlich eine gerichtliche oder behördliche Anordnung, die Anbieter von kostenlosen WLANs zur Vorbeugung und Verhinderung von Rechtsverletzungen zu verpflichten. Genau hierfür stelle eine Sicherung des Anschlusses durch ein Passwort nach Auffassung des EuGH eine geeignete Maßnahme dar.
Das Gericht sehe darin einen angemessenen Ausgleich zwischen den Rechten von Rechteinhabern an ihrem Geistigen Eigentum einerseits und dem Recht der Anbieter von kostenlosen WLANs auf unternehmerische Freiheit und dem Recht der Nutzer auf Informationsfreiheit, so Dr. Lapp. Durch die Offenbarung der Identität sollten die Nutzer davon abgehalten werden, Urheberrechtsverletzungen über das WLAN des Anbieters zu begehen.

[datensicherheit.de, 30.06.2016] Laut einer aktuellen Warnung der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) willigen Nutzer beim Telefonieren mit einem „Android“-Smartphone ein, dass die Metadaten aller Gespräche aufgezeichnet und ausgewertet werden. So lese es sich in der aktuellen Datenschutzerklärung von Google vom 25. März 2016.

„Datenschutzerklärung“ räumt Metaddaten-Erfassung ein

NIFIS gelangt zu dieser Schlussfolgerung anhand einer gemeinsamen Analyse des Datenschutztextes von Google mit dem internationalen „Information Security Forum“ des Diplomatic Council (ein die Vereinten Nationen beratender „Think Tank“). So räume sich Google laut Datenschutzerklärung die Möglichkeit ein, die „Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“ in „Telefonieprotokollen“ zu erfassen und zu speichern. Das Telefonat selbst, also das Gespräch, werde wohl nicht belauscht.
„Niemand hört mit“, habe schon US-Präsident Barack Obama beim Auffliegen der NSA-Affäre abgewiegelt. „Nichts könnte irreführender sein“, widerspricht der NIFIS-Vorsitzende RA Dr. Thomas Lapp: NSA wie Google könnten aus den Metadaten verknüpft mit weiteren Informationen tief in die Privatsphäre eindringen, Beziehungsgeflechte aufspüren und den sozialen Kontext sowohl des Einzelnen als auch ganzer Bevölkerungsgruppen herausfinden, warnt Lapp und verweist auf die Experimente mit der „Mainway“-Datenbank an der Stanford-Universität. Dabei seien die „Android“-Metadaten von rund 500 Probanden, die sich freiwillig an dem Feldversuch beteiligt hätten, fünf Monate lang verfolgt worden. 91 Prozent der vermeintlich anonymen Telefonanschlüsse hätten binnen dieser Zeit eindeutig einer Person zugeordnet werden können. Allein anhand der Metadaten seien Rückschlüsse etwa auf Geschlechtskrankheiten oder außereheliche Affären möglich. „Wenn jemand die Anonymen Alkoholiker, einen Scheidungsanwalt, eine Abtreibungsklinik oder eine Call-Girl-Nummer anruft, dann lassen sich daraus durchaus Schlussfolgerungen ziehen, ohne die Gespräche mithören zu müssen“, so plastische Beispiele des NIFIS-Vorsitzenden.

Kognitive Dissonanz bei der Smartphone-Nutzung

Die Datenschutzerklärung von Google dürfte zwar nach deutschem Recht ungültig sein, weil die informierte Einwilligung fehle. Schließlich sei kaum davon auszugehen, dass die meisten „Android“-Nutzer verstünden, dass Google sich herausnehme, die Metadaten aller ihrer Gespräche auszuwerten. Dieses Verständnis wäre aber die Voraussetzung für die Rechtsgültigkeit der Erklärung. Dr. Lapp: „Das ändert allerdings nichts daran, dass Google genau dieses Recht für sich in Anspruch nimmt.“
Viele hätten sich daran gewöhnt, „dass Google alles weiß über ihre Geräte, ihre Suchanfragen, ihre besuchten Webseiten, ihre E-Mails, ihren Standort und diese Daten auch eindeutig einer namentlich bekannten Person zuordnen kann“, aber es dürfte doch für die meisten eine Überraschung sein, dass sie Google das Recht einräumten, ihre Telefongespräche zu beobachten, während sie sich bei „NSA & Co.“ genau darüber empörten. Lapps ironisches Fazit: „Aber sicherlich dient diese permanente Überwachung nur dazu, um den Nutzern bessere Dienste zur Verfügung zu stellen, wie es in der Datenschutzerklärung von Google heißt.“

[datensicherheit.de, 19.05.2016] Der von der Bundesregierung geplante Wegfall der sogenannten Störerhaftung bei offenen WLANs stößt laut der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) auf allgemeine Zustimmung – bei der konkreten Umsetzung seien jedoch noch einige Hürden zu nehmen, um das Risiko für die privaten WLAN-Betreiber tatsächlich überschaubar zu halten. Vor allem komme es darauf an, dass der Gesetzgeber die WLAN-Anbieter ausdrücklich von Unterlassungsansprüchen freistelle.

Haftungsfreistellung ausdrücklich auch für Unterlassungsansprüche

Der Gesetzgeber sollte das Plädoyer des EU-Generalanwalts konsequent umsetzen, fordert Rechtsanwalt Dr. Thomas Lapp, Vorsitzender der NIFIS: „Dieser hat lediglich gefordert, gerichtliche Unterlassungsanordnungen zu ermöglichen, von Unterlassungsansprüchen ist bei ihm nicht die Rede.“ Deshalb sollte sich die Haftungsfreistellung ausdrücklich auch auf Unterlassungsansprüche erstrecken, so Dr. Lapp. Der EU-Generalanwalt habe außerdem klargestellt, dass WLAN-Betreiber auf jeden Fall von Abmahn- oder Gerichtskosten verschont bleiben müssten.

Warnung vor Gleichstellung privater und gewerblicher Hotspot-Inhaber

Private WLAN-Anbieter mit gewerblichen Providern gleichzustellen werde nicht sicherstellen können, dass diese nicht mehr für über ihren Hotspot begangene Rechtsverstöße abgemahnt werden könnten. Es komme vielmehr darauf an, dass der Gesetzgeber den Ausschluss der Haftung nach § 8 Telemediengesetz ausdrücklich auch auf Unterlassungsansprüche und Abmahnkosten beziehe.

Offene WLANs leicht abzuhören

Nach Ansicht des NIFIS-Vorsitzenden liegen die potenziellen Sicherheitsrisiken allerdings nicht nur auf der Betreiberseite, sondern er rät auch den Nutzern zur Vorsicht: „Offene WLANs sind sehr sehr leicht abzuhören.“ Er empfiehlt daher, keine E-Mails abzurufen, keine Passworte und Zugangsinformationen zu senden und daher auch keine Seiten aufzurufen, die diese Daten benötigen.
Außerdem weist er darauf hin, dass private Betreiber ihre WLAN-Hotspots frei benennen dürfen. Ein Hotspot mit dem Namen „Telekom“ müsse keineswegs zur Deutschen Telekom gehören, sondern könne von einer beliebigen Privatperson betrieben werden, erläutert Lapp.

[datensicherheit.de, 12.10.2012] Laut dem NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist die Gefahr, beim Nutzen der Daten-Wolke durch Hacker-Angriffe in Mitleidenschaft gezogen zu werden und dabei sensible Daten zu verlieren, sehr groß – die Gefahren beim Cloud-Computing müssten aber beherrschbar sein. Diese Forderung erhebt der NIFIS e.V. anlässlich der bevorstehenden Nürnberger Sicherheitsmesse it-sa 2012. Vor allem Datenpannen bei Cloud-Anbietern sorgten immer wieder für ein unkalkulierbares Bedrohungspotenzial.
Ende 2011 hätten beispielsweise Wissenschaftler der Ruhr-Universität Bochum eine schwere Sicherheitslücke in Amazons Cloud-Angeboten aufgedeckt. Auch andere Anbieter wie Google und Dropbox hätten bereits mit Datenpannen zu kämpfen gehabt. Nicht umsonst würden laut NIFIS die Sicherheit bei der Nutzung von Cloud-Computing und die Abwehr von Hacker-Angriffen derzeit als größte Herausforderungen für die deutsche Wirtschaft in Bezug auf IT-Sicherheit gesehen. Dies belege die aktuelle Studie „IT-Sicherheit und Datenschutz 2012“ des NIFIS e.V.
Die „Sicherheit in der Cloud“ sei eines der Hauptthemen auf der „it-sa 2012“. Dies zeige zum einen, dass es beim Cloud-Computing einen großen Bedarf nach Sicherheit gebe. Zum anderen spiegele dies aber auch wider, dass es gerade beim Auslagern sensibler Daten noch gewisse Unsicherheiten bei den Anwendern gebe – auch aufgrund der beunruhigenden Nachrichten in der letzten Zeit, betont der NIFIS-Vorsitzende, Rechtsanwalt Dr. Thomas Lapp.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit

[datensicherheit.de, 24.08.2011] Deutsche Unternehmen, die Datenbestände an US-amerikanische Cloud-Anbieter auslagern, laufen Gefahr, dass die Daten von den Ermittlungsbehörden der USA konfisziert werden. Auf dieses Gefährdungspotenzial weist die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) hin:
US-Anbieter wie Apple, Google, IBM oder Microsoft unterliegen dem sogenannten Patriot Act, der US-amerikanischen Ermittlungsbehörden weitgehenden Zugriff auf alle Kundendaten erlaubt.
Dies gelte ausdrücklich auch dann, wenn die Daten außerhalb des Territoriums der Vereinigten Staaten gespeichert würden. Wenn die US-Anbieter gerne auf ihre europäischen Rechenzentren hinwiesen, dann ändere dies nichts daran, dass alle dort abgelegten Kundendaten im Zugriff der US-Behörden lägen. Ein solcher Zugriff verstoße eigentlich gegen europäisches Datenschutzrecht, so Rechtsanwalt Dr. Thomas Lapp, der NIFIS-Vorsitzende. Häufig werde die Datenübernahme durch die US-Behörden mit einer sogenannten „Gag-Order“ versehen – Apple, Google, IBM oder Microsoft müssten den betroffenen deutschen Firmen nicht einmal Auskunft darüber geben dürfen, dass ihre Daten in den USA an die Behörden weitergereicht würden.
Vom Geschäftsführer oder Vorstand eines deutschen Unternehmens könne man erwarten, dass ihm diese Zusammenhänge klar seien, wenn er die Auslagerung von Daten seiner Kunden an einen US-Cloudanbieter zulässt. Das heiße im Umkehrschluss, dass er dafür auch nach deutschem Recht im Zweifelsfall haftbar gemacht werden könne, erläutert Dr. Lapp. Angesichts dieser Rechtslage sei möglicherweise die Auslagerung an einen deutschen Cloud-Anbieter sicherer, gibt der Rechtsanwalt zu bedenken – grundlegende rechtliche Fragen hierzu müssten zwischen der EU und den USA noch geklärt werden und klare Vereinbarungen zu gemeinsamen Datenschutz-Prinzipien getroffen werden.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internetsicherheit

[datensicherheit.de, 13.07.201] Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) stuft Apples neue „iCloud“ als „bedenklich“ ein:
Diese jüngste Innovation von Apple-Boss Steve Jobs ziele wie auch die „Google Cloud“ maßgeblich darauf, personenbezogene Daten wie Adressbuch- und Kalendereinträge in die globale Datenwolke zu verlagern. Genau dies sei nach deutschem Recht Unternehmen jedoch nur gestattet, wenn zuvor eine ausdrückliche Genehmigung jeder einzelnen davon betroffenen Person eingeholt werde, warnt Rechtsanwalt Dr. Thomas Lapp, Vorstandsvorsitzender der NIFIS. Das Problem liegt demnach nicht bei Apple oder Google, sondern bei Unternehmen, die den neuen Apple-Dienst in Anspruch nehmen und dabei möglicherweise personenbezogene Daten in die „iCloud“ auslagerten. Die rechtliche Verantwortung für den eigenen Datenbestand und den eigenen Datenschutz liege immer beim Unternehmen selbst und nicht etwa beim Cloud-Anbieter, so Dr. Lapp. Damit seien Cloud-Dienste wie Apples „iCloud“ sowie „Google Cloud“ in der Praxis eigentlich nur für Privatpersonen geeignet, die nicht den strengen Richtlinien des Datenschutzgesetzes unterliegen.
Das habe im Übrigen schon für den „iCloud“-Vorgängerservice „MobileMe“ gegolten, der heute noch millionenfach im Einsatz sei. Unternehmen, die über „MobileMe“ oder künftig „iCloud“ personenbezogene Daten in die Wolke schieben, verstießen gegen die Datenschutzgesetzgebung in Deutschland. Bei diesen Verstößen drohten den Firmen Sanktionen wie erhebliche Bußgelder, eine Untersagung der Datenverarbeitung sowie schwerwiegende Reputationsschäden.
Durch nachlässigen Umgang mit personenbezogenen Daten könnten massive Gefahren für die Persönlichkeitsrechte der Kunden verursacht werden. Der Super-GAU für ein Unternehmen sei gegeben, wenn die ohnehin schon illegal in die Wolke verschobenen Personendaten der Kunden von Hackern gestohlen und etwa für Kreditkartenbetrug verwendet würden. Der Geschäftsführer oder Vorstand dieses betroffenen Unternehmens möchte er nicht sein, warnt NIFIS-Chef Dr. Lapp vor den möglicherweise fatalen Folgen einer Auslagerung personenbezogener Daten in Apples „iCloud“ oder andere Cloud-Dienste.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit e.V.