Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

IT-Sicherheit und Datenschutz: Das Zusammenspiel im Internet und anderen Netzwerken

0

In elektronischen Netzwerken, die Personen den Zugang erlauben, sind Datenschutz und IT-Sicherheit eng miteinander verbunden. Das liegt insbesondere an den immer übertragenen IP-Adressen der Personen, die regelmäßig als personenbezogen einzustufen sind.

Einleitung

Die Informationssicherheit bildet die Klammer um die IT-Sicherheit und den Datenschutz. Die folgende Grafik zeigt das ganz gut.

Zusammenhang zwischen Informationssicherheit, Datenschutz und IT-Sicherheit. Quelle: dr-dsgvo.de

Informationssicherheit betrifft die Sicherheit aller Arten von Daten für alle möglichen Verarbeitungsarten.

IT-Sicherheit handelt von der Sicherheit automatisiert verarbeiteter Daten jeder Art.

Datenschutz ist wieder mal am kompliziertesten zu definieren. Datenschutz handelt vom Schutz von Daten, die personenbezogen sind oder in nutzerbezogenen Endgeräten verwaltet werden, sofern die Datenverarbeitung mindestens teilautomatisiert erfolgt oder die Daten gespeichert werden. Vergleiche hierzu Art. 2 DSGVO sowie § 25 TTDSG. Das TTDSG ist die Umsetzung der ePrivacy-Richtlinie und stellt (in Teilen) ein Sondergesetz zur DSGVO dar.

IT-Security und Datenschutz sind gemäß Definition abhängig voneinander. Das steht in Art. 32 DSGVO, dort ist die Sicherheit der Verarbeitung thematisiert. Ebenda ist auch der Stand der Technik erwähnt. Der Sachverständige weiß, dass damit eine fortschrittliche Technologie gemeint ist, die unter Experten anerkannt ist und erfolgreich erprobt wurde. Die Grafik deutet diese Abhängigkeit durch Überlappung der beiden Fachbereiche an.

IP-Adressen sind Netzwerkadressen. Weil diese als personenbezogen anzusehen sind, sofern Nutzer Zugang zu einem Netzwerk haben, fällt jegliches Netzwerk mit Nutzerzugang unter die Regeln der DSGVO. Netzwerke fallen aufgrund ihrer Prägung der automatisierten Verarbeitung ebenso immer auch in die Sphäre der IT-Sicherheit. So spannt sich der Bogen.

In Netzwerken mit Nutzeranbindung werden quasi immer personenbezogene Daten verarbeitet. Somit sind IT-Sicherheit und Datenschutz gemeinsam zu beachten.

Hinzu kommen Endgerätezugriffe. Siehe Beitrag für Details.

Dieser Beitrag entstand aus meinem Vortrag für die Deutschen Studentenwerke, den ich im Juni 2022 in Mainz gehalten habe. Weiterhin habe ich dort über Google Analytics als Einfallstor für Hacker referiert.

Details

Endgerätzugriff

Meine obige Definition von Datenschutz ist etwas weiter gefasst, als oft anderswo zu lesen ist. Es geht eben nicht nur um personenbezogene oder personenbeziehbare Daten, sondern auch um den Zugriff auf das Endgerät eines Nutzers oder sogar auf eine Endeinrichtung, die einem Nutzer zugeordnet ist. Das ist in § 25 TTDSG definiert. Somit ist allerdings ein Endgerät (Smartphone, Tablet, Desktop PC) auch personenbezogen.

Das TTDSG setzt die ePrivacy-Richtlinie für Deutschland um. Es geht beim Endgerätzugriff nicht nur um Cookies, sondern auch um viele andere Arten des Zugriffs. Hier ein Auszug, was Endgerätezugriffe oder Zugriffe auf Endeinrichtungen (Smart Home Geräte, netzwerkfähige Sensoren etc.) sein können:

  • Cookies (herkömmliche, Local Web Storage, Indexed DB etc.)
  • Auslesen der Größe des Browser-Fensters via JavaScript
  • Canvas Fingerprinting
  • Updates (etwa bei Smart Home Geräten)

Um es direkt zu sagen: Cookies machen den kleineren Teil der einwilligungspflichtigen Datenverarbeitungen aus. Insofern ist der Begriff des Cookie Popups Bullshit. Ich verwende ihn nur, weil mich ansonsten kaum jemand versteht.

Gemäß DSGVO ist jegliche Verarbeitung personenbezogener Daten verboten, außer, sie ist ausnahmsweise erlaubt (siehe Art. 6 Abs. 1 DSGVO).

Was sind personenbezogene Daten?

Personenbezogene Daten haben oft einen direkt herstellbaren Bezug zu einer Person. Beispiele hierfür sind:

  • Vorname, Nachname
  • Adresse
  • KFZ-Kennzeichen
  • Handy-Nummer
  • E-Mail-Adresse
  • GPS-Standort des Smartphones (einziger Mensch am Standort)
  • Netzwerkadresse, IP-Adresse (vgl. Urteil „Breyer“)

Wichtig hierbei ist, dass die Person an sich bekannt ist. Angenommen, es gibt eine Gruppe von 1000 Menschen. Mit einer der eben genannten Datenwerte kann diese eine Person aus den 1000 Personen herausgefunden werden. Zu dieser Person ist dann deren Identität bekannt oder kann bekannt sein. Dann handelt es sich um personenbezogene Daten.

Die Identität ist bekannt, wenn die Person genau bezeichnet werden kann, etwa über ihren Namen und ihre Anschrift. Die Identität kann (objektiv, theoretisch, ggf. unter Zuhilfenahme Dritter und Vierter) bekannt sein, wenn ein Datenwert zur Person existiert, mit dem man bei einem Dritten, ggf. unter Zuhilfenahme eines Vierten, die Identität der Person herausfinden könnte. Beispielsweise reicht somit ein Kfz-Kennzeichen aus, um einen Personenbezug annehmen zu müssen. Wohl kaum jemand kann anhand eines Kfz-Kennzeichens herausfinden, wer der Fahrzeughalter oder aktuelle Fahrer ist. Allerdings wäre es möglich, sofern ein Unfall passiert. Somit ist der Personenbezug gegeben. Es spielt keine Rolle, dass der Unfall nicht stattgefunden hat. Analog verhält es sich mit einer Netzwerkadresse und einer möglichen, meist nicht gegebenen, Strafverfolgung.

Ein indirekter Personenbezug ist ein Begriff, den ich hier einführe. Er verhilft über die Kenntnis einer Person aufgrund des gegebenen Kontextes. Beispiele hierfür können sein:

  • Häufiger Vorname + Nachname + Ort + Uhrzeit
  • Häufiger Vorname + Ort + Uhrzeit
  • Initialen + (mäßig große) Menge von Menschen
  • GPS-Standort des Smartphones (vielen Menschen am Standort) + Standort-Historie oder weitere Daten
  • Adresse im Hochhaus + Nachname (einmalig im Hochhaus) Historie der Anwendungsnutzung (Username, IP-Adresse …)

Diese Beispiele sind nur als Andeutung zu verstehen. In meinem Vortrag für die Deutschen Studentenwerke habe ich die Beispiele genauer erörtert.

Rechtslage

Ob die Datenverarbeitung erlaubt ist, ergibt sich aus verschiedenen Grundsätzen und Rechtsgrundlagen der DSGVO. Dies sind insbesondere:

Aus Art. 5 DSGVO, Art. 25 DSGVO oder Art. 49 DSGVO leitet sich etwa für zahlreiche Datenverarbeitungen eine Einwilligungspflicht ab, obwohl diese Datenverarbeitungen rein gar nichts mit Cookies zu tun haben.

Die Einwilligung ist nur eine von mehreren Rechtsgrundlagen für das Verbot mit Erlaubnisvorbehalt.

Erlaubnistatbestände für Webseiten sind insbesondere:

  • Vertragserfüllung (etwa Kaufabwicklung im Online Shop)
  • Gesetzliche Verpflichtung (etwa Steuererklärung. Der Online Shop muss die Daten des Rechnungsempfängers mindestens 10 Jahre lang aufbewahren)
  • Einwilligung durch betroffene Person (= Käufer im Online Shop)
  • Berechtigtes Interesse: Häufigste Grundlage, die aber meistens nicht verfängt, auch wenn manche es gerne anders hätten.

Das berechtigte Interesse muss nachgewiesen werden, es darf nicht einfach angenommen oder beansprucht werden. Hierfür muss in Netzwerken quasi immer eine technische Prüfung stattfinden. Wer keine tiefer gehenden technischen Kenntnisse hat, kann diese Prüfung wohl nicht vornehmen.

Die rechtliche Prüfung, ob ein berechtigtes Interesse vorliegt, setzt für Datenverarbeitungen im Internet oft eine technische Beurteilung voraus.

Leider nur selten zur Kenntnis genommenes Faktum.

Insbesondere ist zu prüfen, ob es mildere Mittel gibt. Wer nicht programmieren kann, weiß womöglich nicht, ob Funktion X nicht auch einfach in datenschutzfreundlicher Weise programmiert werden kann.

Tracking versus Analytics.

In der Grafik dargestellt ist eine Gegenüberstellung von Web Tracking und Analytics. Die Begriffe sind unscharf. Jeder versteht etwas anderes darunter. Ich verstehe das darunter, was in der Abbildung dargestellt ist. Tracking bedarf an sich einer Einwilligung, denn es ist technisch nie notwendig und greift stärker in die Rechte betroffener Personen ein als es dem einzelnen Verantwortlichen nützen darf.

Die reine Analyse bedeutet einen fast immer ausreichenden, besseren Besucherzähler. Diese Art von Analyse kann ohne Einwilligung stattfinden, aber nur, wenn Grundregeln beachtet werden.

Datentransfer mit USA-Bezug

Eine Grundregel ist, keinen Dienst einer Firma mit Bezug zu den USA zu verwenden.

Ein USA-Bezug ist dann gegeben, wenn

  • der Firmensitz in den USA ist oder
  • die Muttergesellschaft in den USA sitzt und der Tochter Weisungen geben kann oder
  • der Server in den USA steht, und wenn zusätzlich zu einer der eben genannten Bedingungen
  • personenbezogene oder personenbeziehbare Daten verarbeitet werden.

Dies ergibt sich aus dem EuGH-Urteil Schrems II, das den Privacy Shield sogar rückwirkend für ungültig erklärt hat. Der aktuell angestrebte Nachfolger dieses informellen Datenschutzabkommens zwischen Europa und den USA wird nicht haltbar sein. Wie sollte er auch? Die Geheimdienste in den USA existieren ebenso weiter wie die amerikanischen Rechtsvorschriften EO 12333, FISA 702 und Cloud Act.

Schuld an dem Problem mit den USA ist also nicht die DSGVO, sondern es sind die genannten datenschutzfeindlichen und Privatsphäre-feindlichen Gesetze aus den USA.

Ein Risikoansatz ist übrigens keine Rechtsgrundlage. Er wird gelegentlich TIA bezeichnet. TIA steht für Transfer Impact Assessment und folgt einem merkwürdigen Konzept. Der Verantwortliche maßt sich an, selber zu beurteilen, wie groß das Risiko einer möglichen Datenweiterleitung an die USA wohl für Nutzer seiner Dienste (wie etwa Webseiten, Apps oder Netzwerke) sind. Oder darf ich jetzt falsch und dazu noch vor der Feuerwehrzufahrt parken, nur weil meine Risikoanalyse ergeben hat, dass es in den nächsten 2 Stunden meiner Parkdauer dort nicht brennen wird?

Die Lösung ist oft einfach: Statt eines US-Anbieters sollte ein anderer Anbieter gewählt werden. In vielen Fällen ist das durch Nachdenken, kompetente Beratung oder einer Nutzenanalyse machbar. In manchen Fällen führt (für manche) kein Weg an bewusstem rechtswidrigem Verhalten vorbei, wie ich immer wieder feststelle.

Ein selten machbarer Ausweg ist eine Client-seitige Verschlüsselung. Diese existiert für viele Produkte allerdings nicht. Somit bleibt in diesen Fällen nur eine Risikominimierung. Möglichst wenige personenbezogene Daten sollten verarbeitet werden. Pseudonymisierung und Datensparsamkeit sind oft machbar.

Als Problembeispiel sei Microsoft Windows genannt. Wer die Telemetriedaten nicht in den Griff bekommt und Arbeitgeber ist, hat leider Pech gehabt. Im Arbeitsverhältnis haftet der Arbeitgeber für Daten der Arbeitnehmer, die deswegen rechtswidrig zu Microsoft wandern. Wer vom Arbeitnehmer eine Einwilligung abfragt, muss damit rechnen, dass sie nicht erteilt oder zu einem beliebigen Zeitpunkt widerrufen wird.

Internet-Anwendungen überwachen

Auch für die IT-Sicherheit ist das Überwachen des Netzwerkverkehrs wichtig. Mit Wireshark kann man also gleich zwei Fliegen mit einer Klappe schlagen und auch noch den Datenschutz mit abprüfen.

Mit WireShark mitgeschnittener Datentransfer am Netzwerkadapter.

Wireshark kann als Programm etwa auf Windows installiert werden. Damit kann direkt am Netzwerkadapter ein Abgriff der über das Netzwerk geschickten Daten vorgenommen werden. Das wird auch als „Capture“ bezeichnet. Die Fritz!Box erlaubt es sogar auch, Daten mitzuschneiden und direkt in einem Format zu speichern, das mit Wireshark ausgelesen werden kann. Die Funktion ist etwas versteckt. Am einfachsten geht der Aufruf über folgende Adresse im Browser:

http://fritz.box/html/capture.html

Voraussetzung ist natürlich eine vorhandene Fritz!Box, die sich im selben Netzwerk befindet wie der Rechner, von dem aus über den Browser auf die Fritz!Box zugegriffen werden soll. Womöglich können nicht alle Modelle der Fritz!Box dieses Capture, die neueren sollten es können.

Fazit und Empfehlungen

IT-Security und Datenschutz hängen eng miteinander zusammen. Das gilt bereits nach technischer Betrachtung. Die rechtliche Abhängigkeit tut ihr Übriges. Quasi in jedem Netzwerk mit Nutzerzugriff, erst recht im Internet, werden Daten nach DSGVO verarbeitet. Und seien es nur die Netzwerkadresse oder Zugriffe auf das Endgerät. Die Privatsphäre des Nutzers ist somit ebenso zu schützen, wie die Sicherheit seiner Daten. Aber auch die Sicherheit der nichtpersonenbezogenen Daten ist aus Sicherheitsüberlegungen heraus zu gewährleisten.

Für beide Themenfelder gelten folgende Empfehlungen:

  • Nur notwendige Tools verwenden
  • Nur notwendige Daten speichern
  • Notwendig ist ungleich nützlich!
  • Mildere Mittel prüfen = datenschutzfreundliche Alternativen ermitteln
  • Speicherdauern beachten
  • Löschkonzept etablieren
  • Automatisiert macht am meisten Spaß
  • Zur Technik gehört immer auch das Recht

Aktiv können Sie mit einem online Check von Mozilla prüfen, ob Ihre Webseite leicht behebbare Sicherheitslücken aufweist. Das Tool prüft die Content Security Policy (CSP) von Webseiten. Mit einer geeigneten CSP können Cross-Site-Scripting Attacken effektiv eingedämmt werden.

Wer noch etwas tiefer einsteigen will, dem empfehle ich meine Untersuchung zur Protokollierung von IP-Adressen in Web Server Logs. Diese Protokollierung halte ich anlasslos für unzulässig. Wer anderer Meinung ist als ich, hat meistens nicht verstanden, was anlasslos bedeutet. Das ist nicht als Vorwurf gemeint. Ich selbst brauchte einige Zeit, um es zu verstehen. Bisher gibt es kein einziges Beispiel, das meine These widerlegen könnte.

Nicht alles, was ich auf Folien und über die Tonspur bei meinem Vortrag in Mainz ausgeführt hatte, konnte ich in diesem Beitrag aufnehmen. Meine nächsten Vorträge für andere Organisationen handeln von einer kritischen Würdigung des § 26 TTDSG sowie vom Datenschutz im Cloud-Computing.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Webseiten gegen Angriffe absichern: kostenfreies Webinar (Allianz für Cybersicherheit)