KI in Unternehmen, was ist zu beachten?

Künstliche Intelligenz in Unternehmen: Chancen, Grenzen und rechtliche Rahmenbedingungen

Künstliche Intelligenz (KI) hat das Potenzial, die Arbeitswelt nachhaltig zu verändern. Sie ermöglicht Unternehmen, effizienter zu arbeiten, repetitive Aufgaben zu automatisieren und neue Innovationsfelder zu erschließen. Doch mit der Nutzung von KI gehen auch rechtliche und ethische Herausforderungen einher, die Unternehmen nicht außer Acht lassen dürfen. In diesem Beitrag beleuchte ich den Nutzen von KI, typische Anwendungsfälle, rechtliche Aspekte und die Frage, welche Daten und Inhalte nicht in KI-Systeme gehören.


Der Nutzen von KI für Unternehmen

KI bringt vor allem Effizienzgewinne und erhebliche Zeitersparnis:

  • Automatisierung: Routineaufgaben wie Datenanalysen, Dokumentenprüfung oder Kundenanfragen können automatisiert werden.
  • Bessere Entscheidungsfindung: KI-gestützte Analysen helfen, datenbasierte Entscheidungen schneller und präziser zu treffen.
  • Personalisierung: Im Marketing oder Kundenservice ermöglicht KI eine maßgeschneiderte Ansprache, die die Kundenzufriedenheit erhöht.
  • Skalierbarkeit: Prozesse, die manuell nicht wirtschaftlich skalierbar wären, können durch KI effizient erweitert werden.
  • Softwareentwicklung: KI ist ín der Lage, nutzbaren Code zu erzeugen, Migrationen vorzubereiten und die Einaebeitung in neue Umgebungen zu erleichten.
  • Erstellung von Texten: KI kann bei der grundlegenden Erstellung von Texten helfen, z.B. für Schulungsunterlagen, Handouts, Texte für Blogs etc.

Diese Vorteile schaffen Freiräume für Mitarbeiter, sich auf strategische und kreative Aufgaben zu konzentrieren. Ich spare durch KI allein in meinem Unternehmensfeld Softwareentwicklung um 30 % Entwicklungszeit, weil aufwändige Recherchen und Machtbarkeitsstudien entfallen.


Typische Anwendungsfälle von KI in Unternehmen

  1. Kundenservice: Chatbots und virtuelle Assistenten können rund um die Uhr Kundenanfragen bearbeiten.
  2. HR & Recruiting: KI unterstützt bei der Vorauswahl von Bewerbungen oder der Planung von Schulungen.
  3. Supply Chain Management: Vorhersagemodelle optimieren Lagerbestände und Lieferketten.
  4. IT-Sicherheit: KI identifiziert Anomalien und potenzielle Sicherheitsbedrohungen schneller als traditionelle Systeme.
  5. Produktentwicklung: KI unterstützt beim Prototyping und bei der Analyse von Kundendaten zur Produktverbesserung.

Was gehört nicht in eine KI?

Die Verwendung von KI ist nicht bedenkenlos. Unternehmen müssen darauf achten, welche Daten und Inhalte in KI-Systeme einfließen. Verantwortlich ist nach wie vor nicht irgendein System, wie z.B. eine KI, sondern derjenige, der die Daten zweckfremd verwendet hat.

  • Persönliche und sensible Daten: Daten mit hohem Datenschutzrisiko, wie Gesundheitsdaten oder personenbezogene Informationen, dürfen nur unter strengen Auflagen verarbeitet werden. Die DSGVO setzt hier klare Grenzen.
  • Diskriminierende Inhalte: KI lernt aus Daten. Wenn diese Daten Vorurteile enthalten, reproduziert oder verstärkt die KI diese. Eine sorgfältige Datenprüfung ist daher unerlässlich.
  • Geschäftskritische Informationen: Unternehmensgeheimnisse sollten nicht unkontrolliert in externe KI-Systeme eingespeist werden, um Datenlecks zu vermeiden.

Beispiel Projektdokumente

Nehmen wir mal an, ich möchte mir aus Projektdokumenten Timelines, ToDo Listen und Tabellen mit Ansprechpartnern und Zuständigkeiten erstellen lassen.

Und nehmen wir weiterhin an, das Projekt  hat eine hohe Sicherheitsstufe, bei uns gang und gäbe, ich habe also eine NDA unterschrieben, desweiteren enthalten die Dokumente Namen von Ansprechpartnern inkl. deren Zuständigkeiten, die so nicht im Netz zu finden sind.

 


Was ist bedenkenlos möglich?

Unternehmen können KI bedenkenlos in Bereichen einsetzen, die auf anonymisierten, aggregierten oder generierten Daten basieren. Beispiele sind:

  • Marktanalyse: Analyse von Trends und anonymisierten Daten.
  • Prozessoptimierung: KI-gestützte Optimierung interner Prozesse ohne personenbezogene Daten.
  • Automatisierung: Standardisierte Aufgaben wie Dokumentenablage oder Datenmigration.

Wichtig ist, dass Transparenz und Kontrolle über die genutzten Algorithmen und Datenquellen gewährleistet sind.


Rechtliche Betrachtungen: Worauf Unternehmen achten müssen

Die rechtliche Nutzung von KI erfordert die Berücksichtigung verschiedener Vorschriften:

  1. Datenschutz (DSGVO):
    • Sicherstellung der Rechtmäßigkeit der Datenverarbeitung.
    • Transparenz über die Verarbeitung (Art. 13, 14 DSGVO).
    • Datenminimierung und Zweckbindung.
    • Besondere Vorsicht bei sensiblen Daten (Art. 9 DSGVO).
  2. Urheberrecht:
    • Beachtung von Lizenzen bei der Verwendung von urheberrechtlich geschützten Inhalten.
    • Die Frage, ob KI-generierte Werke urheberrechtlich geschützt sind, ist aktuell noch ungeklärt.
  3. Haftungsrecht:
    • Unternehmen müssen sicherstellen, dass KI-Systeme fehlerfrei funktionieren. Fehlerhafte Entscheidungen einer KI können Haftungsrisiken auslösen.
  4. Kartell- und Wettbewerbsrecht:
    • Nutzung von KI zur Marktüberwachung oder Preisgestaltung muss kartellrechtskonform sein.
  5. Geplante KI-Regulierung der EU (AI Act):
    • Der AI Act der EU definiert spezifische Anforderungen für Hochrisiko-KI-Systeme, wie Transparenzpflichten, Risikomanagement und unabhängige Prüfungen.

KI erfolgreich und rechtssicher einsetzen

Die Einführung von KI in Unternehmen erfordert mehr als nur technische Expertise – rechtliche und organisatorische Aspekte sind ebenso wichtig. Unternehmen sollten:

  • Daten prüfen: Nur rechtlich einwandfreie und nicht diskriminierende Daten verwenden.
  • KI-Systeme auditieren: Transparenz, Sicherheit und Fairness der eingesetzten Systeme regelmäßig prüfen.
  • Mitarbeiter schulen: Verständnis für den verantwortungsvollen Einsatz von KI fördern.
  • Rechtsberatung einholen: Spezialisierte Expertise hinzuziehen, um alle rechtlichen Anforderungen zu erfüllen.

KI bietet Unternehmen immense Chancen, doch der Erfolg hängt davon ab, wie sorgfältig sie implementiert und genutzt wird. Ein durchdachter Ansatz, der Nutzen, Ethik und Rechtssicherheit vereint, schafft die Grundlage für eine nachhaltige und innovative Nutzung von KI.


Sie benötigen eine Schulung oder einen Workshop zur rechtssicheren Verwendung von KI individuell für Ihr Unternehmen? Schreiben Sie mir, ich rufe Sie zeitnah an!

 

Ein Nachruf auf die DSGVO

Ein Nachruf auf die DSGVO

Es fing so vielversprechend an, die DSGVO seit 2018 in aller Munde. Endlichsagten die Behörden, endlich bekommt der Datenschutz als Grundrechtsschutz eine Relevanz. Endlich werden wir in Zukunft auch Bußgelder verhängen können, um Nichtbeachtung zu sanktionieren. Endlich werden Betroffenenrechte ernst genommen.

Nun aber scheint die DSGVO gestorben zu sein. Ein Jammer, es folgt: Ein Nachruf auf die DSGVO.

Nachruf auf die DSGVO
Quelle: GDD

Konkurrenz zu Corona

Wie es scheint, konkurriert die DSGVO mit Corona, es geht nur eins, beides nicht. Corona betrat den Laufsteg der Eitelkeiten,  die DSGVO scheint nun uninteressant geworden zu sein.

Eine Nachverfolgung von Infektionen soll umgesetzt werden. Es begann mit Zetteln, s. hier: Corona und Datenschutz.

Trotz der Zettel, die man in jeder Gastro ausfüllen musste und die teils in Glaskästen eingeworfen werden sollten, konnte diese Nachverfolgung nicht erreicht werden. Man hörte von überlasteten Gesundheitsämtern, falsch ausgefüllten Zetteln usw.

Dann kam die allseits gepriesene APP, die angeblich keine pers. Daten erfasst : Corona APP

Die neuesten Ideen

Für die neuesten Ideen wäre wohl früher ein Aufschrei seitens der Datenschützer durch ganz Europa zu hören gewesen. Sicher wäre eine Bewertung nach Art. 9 DSGVO heiß diskutiert worden. Was bleibt? Ein Nachruf auf die DSGVO.

Test- und Impfnachweis

Die neueste Idee lautet ja, möglichst viele Tests durch zu führen, damit wir alle in Sicherheit sind, alternativ kann man sich impfen lassen oder beweisen, dass man genesen ist. Für die gewählte Variante soll ich nun immer einen Nachweis bei mir führen.

Diesen Nachweis soll ich nun auch überall vorzeigen. Handelt es sich hier eigentlich um medizinische Daten? Der Test kann ja nun gar keine Diagnose ersetzen, sondern stellt bestenfalls einen Labortest dar, der zudem auch gar keine Krankheit feststellt und in keinem Labor ausgewertet wurde, da es meist ein sog. Schnelltest sein wird. Wie aber soll der Ladeninhaber, dem ich den Test nun zeigen soll, da irgendwas draus schliessen, ohne medizinische Vorkenntnisse?

Ich frage mich weiterhin, was geht es ihn an? Möchte ich meine medizinischen Unterlagen jedem zeigen, nur, um da einkaufen zu dürfen?

Muss der Ladeninhaber mir eigentlich auch seinen negativen Test oder Impfpass zeigen? Das Gesetz sieht ja vor, dass für alle immer dasselbe gilt. In meinem Impfpass stehen weitere Impfungen und meine Blutgruppe, sowie meine vollständige Adresse. Ich möchte aber nicht jedem meine Adresse und andere medizinische Daten zeigen. Und schon gar nicht, will ich diese in irgendeinem Zentralregister gespeichert wissen. Ganz oldschool „informationelle Selbstbestimmung“, diejenigen, die sich nicht erinnern, können das mal googeln.

Luca oder Sonstwie APP

Nun soll ich mich auch vor Betreten einiger Geschäfte mithilfe einer APP einloggen und beim Verlassen wieder ausloggen. Man könnte annehmen, dies würde ähnlich einer Arbeitszeit erfasst. Muss jetzt eigentlich jeder Ladeninhaber einen ADV Vertrag gemäß Art. 28 DSGVO abschliessen? Wo kann ich einsehen, welche Daten von mir gespeichert werden, bekomme ich eine Information zur Speicherung meiner Daten gemäß Art. 13 DSGVO? Und… kann ich von meinen Betroffenenrechten gemäß Kapitel 3 DSGVO Gebrauch machen?

Ich bin gespannt, ob Betroffene solche Anfragen an einige Geschäfte schicken, die werden sich freuen. Wenn sie keine Antwort bekämen, hätten wir einen DSGVO Verstoss. Das wird ein Spaß!

Abgesehen davon, wie sicher sind denn meine Daten? Wird es wieder mal ein Datenleck geben, das dem Einbrecher, der es auf mein Haus abgesehen hat, die Info gibt, dass ich gerade bei Bäcker Meyer bin und nicht zu Hause? Steht das komplette Blankziehen meiner Person und meiner Bewegungsdaten in irgendeinem Verhältnis zu meinem Einkauf in Laden x, wo ich, sagen wir mal, etwas Schreibwariges im Wert von € 1,50 kaufe?

Für mich jedenfalls nicht, für mich persönlich keine APP, kein Schlüsselanhänger, kein Test, keine Corona Impfung. Es wäre schön, wenn ich das auch weiterhin selber entscheiden dürfte.

Und wenn jetzt von jedem jeder Ladenbesuch gespeichert wird, haben wir eigentlich dann hier eine Massendatenspeicherung? Da kann man sicher viele schöne Dinge auswerten. Heute logge ich mich in Bremen ein und morgen in Husum? Also ich ja nicht, aber nur mal so als Gedanke.

Ein Nachruf auf die DSGVO

Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice

Corona APP

Die Corona APP

Gesundheitsminister Spahn plant eine App, um die Nachvollziehbarkeit der Corona Infektionswege zu gewährleisten. Sein ursprünglicher Plan war, den Gesundheitsbehörden ganz einfach den Zugriff auf die GPS-Daten der Nutzer ganz zu erlauben. Mit der ersten Idee ist er zum Glück gescheitert, nun plant er die Corona APP, wie ich sie nenne.

Wie ist die Idee?

Der Medientenor ist momentan, dass jeder sich diese APP freiwillig installieren kann. Liest man mehrere unterschiedliche Quellen, so soll mit anonymisierten Namen und Standortdaten ein Tracking erfolgen, dass den Nutzer warnt, wenn er mit einem Corona Infizierten Kontakt hatte.

„Nach Angaben des Fraunhofer Heinrich-Hertz-Instituts geht es bei dem Test um einen anonymen Ansatz zur Kontaktverfolgung,  der in voller Übereinstimmung mit der Datenschutzgrundverordnung ist und auch bei Reisen zwischen Ländern über einen anonymen, länderübergreifenden Austauschmechanismus verwendet werden kann“. Persönliche Daten oder Standorte würden dabei weder gespeichert noch übertragen.“

Quelle: https://www.chip.de/news/Stopp-Corona-App-Warum-eine-Smartphone-App-bald-fuer-alle-wichtig-werden-koennte_182589363.html

Wie geht das technisch?

Natürlich arbeiten wie immer die allergrößten Experten an dieser App. Hier die Auswirkungen eines früheren Projektes im Gesundheitsbereich:

https://www.deutsche-apotheker-zeitung.de/news/artikel/2019/09/18-09-2019/spahn-apotheker-aerzte-kliniken-und-andere-fuer-datensicherheit-sensibilisieren

Kurzfazit dieses Spahn-Projektes: Die Praxen waren offen wie Scheunentore und Gesundheitsdaten waren im Netz frei verfügbar. Die „Experten“ kannten nicht mal die Standardsicherheitseinstellungen von Routern.

Zurück zur APP.

Technisch funktioniert die Corona APP über Bluetooth. Das eigene Handy mit der APP, erzeugt eine eindeutige ID und tauscht diese mit anderen Handys, denen man innerhalb der Bluetooth-Reichweite begegnet, aus. Man bekommt also im Gegenzug alle IDs aller Nutzer dieser APP, die sich in der Nähe aufgehalten haben.

Laut Bundeswehr müssen sich andere Personen auf weniger als 1,5 m nähern und dort 2 Minuten bleiben, bevor der Kontakt aufgezeichnet wird. Weiß die APP von einer Infektion des Gegenübers, schlägt sie Alarm.

Anm.: Man geht davon aus, dass bluetooth Schnittstellen von Handys eine Reichweite von ca. 10 m haben, es gibt andere Geräte, die schaffen bis zu 100 m. Aus IT-Sicherheitserwägungen war man bis jetzt immer der Meinung, dass man diese Schnittstelle normalerweise nur anschaltet, wenn sie gerade benötigt wird, z.B. für die Freisprecheinrichtung im Auto, danach schaltet man sie normalerweise wieder aus. Die dauerhafte Aktivität geht zum einen zu Lasten des Akkus und zum anderen zu Lasten der Sicherheit. Schadsoftware kann über Bluetooth sehr leicht eingeschleust werden kann. Wenn man die APP installiert, muss die Schnittstelle dauerhaft aktiv sein, sonst bringt es ja nichts.

Hier ein leicht verständlicher Artikel zum Thema Bluetooth.

Die ID der Corona APP wird über ein neues System namens PEPP-PT generiert. (PEPP-PT: Pan-European Privacy-Preserving Proximity Tracing) Hierbei handelt es sich um das sog. Kontakterfassungs-Framework zur Bekämpfung der Ausbreitung von Covid-19. Könnte man dann bestimmt auch für Grippeepidemien etc.verwenden. Dieses Framework wird gerade noch entwickelt und soll in voller Übereinstimmung mit der DSGVO stehen. Es sollen keine persönlichen Daten, kein Standort, keine MAC-Adresse gespeichert oder übertragen werden.

Folgende Eigenschaften sollen mit dem Framework umgesetzt werden:

  • „Gut getestete und etablierte Verfahren zur Abstandsmessung auf gängigen mobilen Betriebssystemen und Geräten.
  • Durchsetzung von Datenschutz, Anonymisierung, GDPR-Compliance und Sicherheit.
  • Internationale Interoperabilität zur Unterstützung der Rückverfolgung lokaler Infektionsketten, selbst wenn sich eine Kette über mehrere PEPP-PT-Teilnehmerländer erstreckt.
  • Skalierbare Backend-Architektur und -Technologie, die in lokale IT-Infrastrukturen integriert werden kann.“

Quelle: https://www.iuk.fraunhofer.de/de/themen/loesungen-und-kompetenzen-zur-bewaeltigung-der-corona-krise/pepp-pt.html

Wie geht es weiter?

Bei einer Infektion meldet mein Arzt die COVID-19 Infektion dem Gesundheitsamt. Von diesem bekomme ich dann einen Code (TAN-Nummer) den ich in die Corona-App eingeben kann. Wenn das erledigt ist, wird meine Kontaktliste aus der APP an einen zentralen Server übertragen. Dieser Server warnt dann die Personen, die zu den übertragenen IDs auf meinem Gerät gehören.

Datenschutz in der Corona-APP

Rein formal geht die DSGVO davon aus, dass Daten nur für ganz genau eingegrenzte Zwecke und nur in dem notwendigen Maß verarbeitet/gespeichert werden dürfen, wie der Zweck es vorsieht. Kapitel 2, Art. 5 Abs. 1c DSGVO. Allerdings gibt es eine Einschränkung. „…eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ..“ Kapitel 2, Art. 5 Abs. 1b DSGVO.

Wie ist es allerdings, wenn ich die APP nutze, Coronainfiziert bin und die APP löst dann bei Kontakt einen Alarm aus? Meine pers. Meinung dazu ist: Schwierig! All, die Ängstlichen unter uns, die so eine große Angst davor haben, sich zu infizieren, werden das ganz klasse finden und hurra schreien, es aber Vernunft nennen.

Ein Perspektivwechsel ist hier angebracht!

Beispiel: Jemand war vor 4 Wochen erkrankt, ist genesen, war dann noch zur Vorsicht 14 Tage in Quarantäne und die Corona-APP löst trotzdem einen Alarm aus? Was passiert dann? Vor allem, wenn wir die aktuelle, politisch forcierte Massenpanik mit ins Geschehen werfen? Ich halte das für extrem gefährlich, sowohl gesellschaftlich als auch emotional.

Gemäß DSGVO fällt die Verarbeitung von Gesundheitsdaten unter Art. 9 DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“. Der zweite, nicht rechtliche, eher persönliche Aspekt ist, möchte jemand, dass jeder weiß, dass er Corona infiziert ist? Ist das dann so ähnlich wie eine öffentliche Kenzeichnung?

Schaut man sich oben nochmal die genannten Aspekte der Corona-APP an, so ist ein Ziel, die internationale Interoperabilität, hm, wie wahrscheinlich ist es, dass die Daten nicht für anderes benötigt und dann doch umgenutzt werden?

Ein paar Worte zur Anonymisierung

Unter Anonymisierung versteht man den Vorgang, personenbezogene Daten so unkenntlich zu machen, so dass nicht oder nur mit unverhältnismäßig großem Aufwand, auf die betreffende Person rückgeschlossen werden kann. Also fast gar nicht.

Anonymisierung wird allerdings oft, auch von Juristen, mit Pseudonymisierung verwechselt.

Unter Pseudonymisierung versteht man, pers. bezogene Daten z.B. den Namen mit einer Identnummer auszutauschen, so daß ein Rückschluß nicht auf den ersten Blick möglich ist.

Sollte es sich tatsächlich um eine echte Anonymisierung handeln, so findet die DSGVO hier keine Anwendung. Vgl. Erwägungsgrund 26

Technische Aspekte

Im Prinzip haben wir es hier mit Massendatenspeicherungen zu tun. Auch muss natürlich die Bandbreite des Internets mitspielen. Wenn man weiß, dass regelmäßig weniger als 20% der Mautstationen in Betrieb sind, weil die Server und auch die Leitungen es sonst nicht schaffen, könnte diese APP u.U. dazu führen, dass der Ausbau der TK-Infrastruktur mehr forciert wird, da hat man ja die letzten Jahrzehnte ordentlich geschlafen.

Nun die Beschreibung der APP sagt zwar aus, dass alles auf dem Handy bleibt und nur im Bedarfsfall mit TAN übermittelt wird, ja sicher. Wo sollen die ganzen Daten denn hin? Ich gehe entgegen der Beschreibung davon aus, dass die Daten doch auf Server übertragen werden, warum hieße das Prokjekt sonst Framework? Und außerdem hätte man die Ursprungsidee, alle Daten zu sammeln, bestimmt sehr ungern ganz verworfen.

google veröffentlicht Standortdaten

Google hat die Bewegungsdaten von 131 Ländern für jedermann einsehbar herausgegeben. Dies ist unter dem Deckmantel passiert, die Einhaltung der Einschränkungen über die Bewegungsdaten überprüfen zu wollen. Vielleicht brauchen wir diese Corona-APP also gar nicht..

Hier der Link

Wie findet Ihr das nun?

Das google sich noch nie um Datenschutz geschert hat, ist ja sowieso nichts Neues.
Hier nochmal zur Erinnerung ein Artikel über die Datenschutzerklärung von google.

Persönliches Fazit

Da PEPP-PT Framework steckt noch in der Entwicklung, die Corona-APP ebenso. Aus eigener, wirklich langjähriger Expertise, weiß ich, dass Software immer eingehenden Tests unterzogen werden muss. Bei dieser Art des Datentrackings ganz besonders. Ich persönlich halte auch das Risiko, dass genannte Systeme doch nicht so sicher sind, wie beschrieben, für sehr hoch.

Weiter noch stelle ich in Frage, dass es sich wirklich um Anonymisierung handelt, denn wenn das eine Handy Daten an das andere Handy schickt, dann „wissen“ beide Handys, dass etwas geschickt wurde, auch wenn es über eine APP geht. Auch die bluetooth-Schnittstelle hat Sende- und Empfangsdatensätze. Die Erzeugung der ID halte ich auch für schwierig, je nach verwendetem Algorithmus, halte ich eine Rückvollziehbarkeit für wahrscheinlich bzw. sicher, ja sogar gewollt. Jeder, der sich nur rudimentät mit IT auskennt, weiß, dass Prozessoren keine echten Zufallszahlen berechnen können. Ich gehe auch hier davon aus, dass das auch gar nicht gewollt ist, denn Ziel ist ja bekanntlich die Nachvollziehbarkeit der Infektionswege.

Ihr habt es schon geahnt, ich persönlich werde diese Corona-APP, sollte sie je marktreif werden, ganz bestimmt nicht installieren, desweiteren habe ich auch die GPS-Funktion meines Handys ausgeschaltet.

Jeder möge wie immer seine eigenen Schlüsse ziehen.

Datenschutz im Homeoffice

Datenschutz im Homeoffice

In Zeiten von Corona gewinnt das Homeoffice an Akzeptanz. Gut so! Wurde es vorher bei vielen Arbeitgebern immer als problematisch angesehen, weil ein Verlust von Kontrolle befürchtet wurde, so ist es nun Mittel zum Zweck, um die Geschäfte weiter führen zu können. Wie sieht es denn eigentlich mit dem Datenschutz im Homeoffice aus?

Arbeitgeber, die sich schon länger mit dezentralisierter Arbeit befassen und somit auch letztendlich um Work-Life-Balance, sind hier sicher schon weiter. Andere Arbeitgeber hat Corona kalt erwischt, natürlich gibt es hier keinen Notfallplan, momentan geht es deshalb im wesentlichen um Schadensbegrenzung. Corona führt zu Existenzangst, da wird Homoffice als gute Alternative angesehen, Hauptsache erstmal, es geht irgendwie weiter.

Datenschutz im Homeoffice wie geht das? Im Idealfall stellt der Arbeitgeber ein Endgerät zur Verfügung, dieses Endgerät ist ausschließlich dafür gedacht, auf die Systeme des Arbeitgebers zuzugreifen, eine private Nutzung ist ausgeschlossen.

Aber auch Möglichkeiten mit eigenen Geräten sind denkbar, hier wird idealerweise ein sog. VPN-Tunnel zum Netzwerk der Firma eingerichtet, eine adäquate Passwortsicherheit ist vorauszusetzen und los geht es.  Das sind also die vorbereiteten Unternehmen.

Nun haben wir diejenigen, die diese Pandemie kalt erwischt hat. Teilweise sind sie so klein, dass Homeoffice im Normalfall gar keinen Sinn macht. In Zeiten der Not ist man natürlich für jede noch so ungünstige Möglichkeit dankbar, den Betrieb aufrechterhalten zu können. Letztendlich stehen hier jetzt auch Existenzen auf dem Spiel, denn wird nicht gearbeitet, müssen die Mitarbeiter entlassen und im schlimmsten Szenario die Firma geschlossen werden. Das will keiner, also machen wir Datenschutz im Homeoffice nach bestem Wissen und Gewissen, wie es eben in der Kürze der Zeit und ohne Vorbereitung machbar ist.

Hier ist sicher jenseits aller einzuhaltenden Vorschriften die Kooperation der Mitarbeiter gefragt. Es geht ja nicht nur um IT-basierte Daten, es geht auch um Papierausdrucke, Ordner, die mitgenommen wurden, die Buchhaltung etc. Im Prinzip möchte ich es wie immer gerne IT-Sicherheit nennen.

Der Arbeitgeber muss sich zwangsläufig ein paar Gedanken machen:

  • wo werden die Unterlagen in der privaten Wohnung des Mitarbeiters aufbewahrt?
  • Was ist besonders vertraulich zu behandeln?
  • Wie sieht es aus, wenn jemand in Quarantäne ist, wie können dann Unterlagen transportiert werden?
  • Wie sind die gängigen Kommunikationswege?

Eine Chance in Zukunft einen Plan zu haben

Diese Krise ist aber auch eine Chance, es bei kommenden „Katastrophen“ besser zu machen. Nun haben wir eine Pandemie, nächstes Mal ist es evtl. eine Naturkatastrophe, ein Cyberangriff etc. Szenarios, die wir uns im Moment noch gar nicht vorstellen können, wurden nicht genannt 😉

Es geht nicht darum, Angst zu haben, es geht nur darum, besser vorbereitet zu sein. Dafür eignet sich ein Notfallplan, ein sog. Incident Response Process, schließlich hat auch jeder einen Notfallplan für einen Brand im Unternehmen, oder? Ich würde dazu raten, jetzt nicht in Schockstarre zu verharren, sondern aus den Fehlern, Unsicherheiten, fehlenden technischen Voraussetzungen etc. zu lernen und das nächste Mal besser vorbereitet zu sein. Natürlich hoffen wir, dass wir den Plan gar nicht erst brauchen, trotzdem ist es besser, überhaupt einen zu haben.

Über den Datenschutz im Homeoffice muss man sich auch Gedanken machen, trotzdem behaupte ich mal, dass wir momentan alle damit beschäftigt sind, Existenzen und Arbeitsplätze zu retten, wenn wir dann mal nicht soooo perfekt sind wie sonst, shit happens. Wenn wir wieder durchatmen können, machen wir es besser. VERSPROCHEN!

In Kürze hier: Ein paar Infos zur Aufstellung eines Notfallplans.

Vielleicht auch interessant:

https://cheyenne-blog.de/tag/incident-response-prozess/
https://cheyenne-blog.de/cyber-angriff-auf-franzoesischen-fernsehsender-scheucht-alle-auf/

Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

Datenklau bei Politikern

Datenklau bei Politikern

Datenklau
Quelle: GDD

Aktuell wird überall über einen Datenklau im großen Stil berichtet. Alle Medien sind voll davon, wie schön, es wird nicht langweilig. Es sollen von 1000 Personen des öffentlichen Lebens, also Politikern, Internetstars und anderen Prominenten Daten veröffentlicht worden sein.

Dies soll bereits im Dezember in einer Art Adventskalender bei Twitter passiert sein. Schnell wurde auch ein Verdächtiger ermittelt. Es soll sich um einen bei den Eltern lebenden und in Ausbildung befindlichen 20-jährigen handeln.

Na, das ging schnell!

Die Angelegenheit wird bekannt und ein Verdächtiger wird schnell präsentiert, ok. Als Motiv wurde bei einer Pressekonferenz heute bei Phönix Unzufriedenheit mit Politikern genannt. Warum also das Interesse an den anderen Daten oder einfach, weil man sie so einfach bekommen konnte?

Was wurde denn überhaupt gestohlen bzw. veröffentlicht?

Der Datenklau bei Politikern und anderen bezieht sich nach einem Phönix-Bericht hauptsächlich auf Kontaktdaten, Bilder, Dokumente, also selber eingestellte, nicht verschlüsselte Daten. Googelt man einige der genannten Politiker, so findet man schnell überall auch private Kontaktdaten. Worum geht es also? Ist es einfach nur der Schock über diesen Datenklau? Handelt es sich um einen Diebstahl, wenn man alles auf die Strasse wirft oder bekommt man auch einen Finderlohn fürs Aufsammeln? Wenn sich alles so verhält, wie es gerade berichtet wird, kann man ja nur dankbar sein, darauf aufmerksam gemacht worden zu sein.

Technische Möglichkeiten

Welche technischen Möglichkeiten hat der „Tatverdächtige“ denn genutzt? Das weiß man natürlich nicht so genau, aber wenn man mal schaut, wie einfach man an einige dieser Daten gelangen kann und dann noch den genannten recht langen Tatzeitraum anschaut, dann könnte er sie theoretisch auch abgeschrieben haben. Wenn wir die Geschichte so glauben, kann also nicht von großer Professionalität die Rede sein. Auch konnte man ihn ja schnell ermitteln, also kein Tor Browser oder ähnliches?

Eigenverantwortung

Eine weitere Frage, die sich mir stellt, ist die nach der Eigenverantwortung der Betroffenen. Schnell werden die Verantwortlichkeiten abgegeben, das BSI hätte etwas tun müssen, x und auch y haben versagt. Das finde ich wie immer schwierig.

Wenn es stimmt, dass es sich nur oder hauptsächlich um Kontaktdaten handelt, könnten die Betroffenen auch einfach einmal selber schauen, welche Daten, sie von sich selbst in welchen Netzwerken mit welchen Zugriffsberechtigungen posten. Auch geben sie ja sicher Visitenkarten aus, wo landen die Daten auf diesen Karten, das sollte man, wenn es einem wichtig ist, auch einmal kritisch hinterfragen.

Auch die Frage, wo man denn Daten aufbewahrt, sollten die Betroffenen sich stellen. In irgendwelchen dubiosen Clouds, iCloud, Dropbox? Versand über Webmailer, die nach eigenen Angaben Inhalte von Mails mitlesen? Ist das Datenklau, wenn man alles freiwillig veröffentlicht?

Wenn es vielelicht nicht nur um Kontaktdaten geht, ist dann auch Verantwortung im Amt und Geheimhaltung von Interna ein Thema? Wie gehe ich mit sensiblen Daten um, die mir als Politiker anvertraut wurden?  Wo speichere ich diese? Übernehme ich Verantwortung für die mir zur Verfügung gestellten Daten? Habe ich meiner Sorgfaltspflicht genügt?

Vor allem handelt es sich ja um private Accounts!

Und dann die Passwörter? Für alles das Selbe, weil es ja so schwierig ist, sich alles zu merken? Also ich weiß nicht, mir scheint es recht einfach, es werden Daten bekannt und ich schieße auf das BSI und andere, statt mich an die eigene Nase zu fassen? Oder verlasse medienwirksam irgendwelche sozialen Netzwerke?

Gut gebrüllt Löwe!

Wenn man schon auf das BSI schießt, könnte man doch einfach einmal die von diesem Amt herausgegebenen BSI-Grundschutzkataloge lesen und schauen, was man davon selber umsetzen möchte. Gerade als Politiker könnte man doch die Möglichkeiten des Staates nutzen, um mit gutem Beispiel voran zu gehen.

Für mich scheint diese Angelegenheit momentan sehr unvollständig und unplausibel. Ich werde beobachten, was daraus wird.

Zum Weiterlesen:

Vergabe von Passwörtern
Die Datenschutzerklärung von google
Facebookdatenanalyse
BSI private User

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018

Wirtschaftsschutztagung am 26.11.2018Jedes Jahr lädt der niedersächsische Verfasssungsschutz zu einer Wirtschaftsschutztagung ein. Hier ein wenig Branchengeflüster als Zusammenfassung der Tagung, natürlich wie immer gespickt mit einigen Ergänzungen bzw. Anmerkungen.

Begrüßung

Die größten Schwachstellen sind in Reihenfolge:

  1. Fehlverhalten von Mitarbeitern
  2. Fehlkonfigurationen von Software und Geräten
  3. Nichteinspielen der erforderlichen Sicherheitspatches

Weltweit sind heute ca. 800.000.000 (ja Millionen) Schadprogramme bekannt. Jeden Tag kommen ca. 400.000 neue hinzu. Die Angriffspunkte mehren sich, da jeder immer noch mehr mobile Endgeräte benötigt, wie z.B. Smarthome, Alexa, Kaffeemaschinen etc.

Es stellt sich die Frage, ob wirklich jedes Gerät vernetzt sein muss.

Mehr Geräte – mehr Angriffspotenzial.

Keynote der Wirtschaftsschutztagung von Boris Pistorius

Die Keynote der Wirtschaftsschutztagung wurde gehalten von unserem niedersächsischen Minister für Inneres und Sport Boris Pistorius.

Boris Pistorius wagte einen Ausblick, was uns in 10 Jahren erwartet. In 10 Jahren werden wahrscheinlich alle oder fast alle Desktop PCs durch mobile Endgeräte ersetzt sein. Gespeichert wird in der Cloud. Hier stellt sich die Frage, was ist mit Sicherheit und informationeller Selbstbestimmung?

Nach einer Bitcom Studie haben
68% der Unternehmen Schäden im Bereich Cybercrime zu verzeichnen
19% vermuten, dass ein Angriff stattgefunden hat.

Anmerkung: Natürlich im Zeitalter des Cybercrimes werden Daten meist nicht gestohlen, sondern dupliziert. Manch einer bekommt das gar nicht mit.

Viele Angriffe werden gar nicht erkannt oder erst viel später. Betroffen ist vorrangig der Mittelstand. Der Mittelstand, der Bestandteil von Lieferketten der Industrie ist, ist Einfallstor für Cyber Kriminalität. Über den Mittelstand gelingt der Zugriff auf Großunternehmen.

Unternehmer müssen sich besser vorbereiten. Wichtig sind hier die Themen IT-Infrastruktur, Beratung und auch Vernetzung mit Fachleuten, so wie hier auf der Wirtschaftsschutztagung.

Durch Cybercrime können unser Wohlstand und unsere Sicherheit nachhaltig gefährdet werden. Angriffe auf kritische Infrastrukturen wie Krankenhäuser, öffentlichen Nahverkehr u.ä. können lebenswichtige Versorgungsbereiche bedrohen.

Es wurden bereits Krankenhäuser komplett stillgelegt, z.B. in England und dies betraf auch OP-Säle und andere kritische Bereiche, nicht nur die Verwaltung.

Niemand ist vor Angriffen gefeit, auch nicht Experten. Wir haben hier 95% menschl. Versagen, man muss sich darüber klar werden, dass jeder einzelne Verantwortung trägt. Viele Angriffe funktionieren nach der Kombination digitaler Angriff/menschl. Handeln. Hier greifen 2 Dinge in einander, unzureichendes Sicherheitsverständnis und die mangelnde Einbindung von Mitarbeitern.

Boris Pistorius fordert eine Gewohnheit zur Cyberhygiene.

Dies sei eine gesamtgesellschaftliche Herausforderung. Alle müssen eingebunden werden. Die Privatwirtschaft muss eng mit den Behörden zusammen arbeiten. Die Behörden wollen Ansprechpartner sein.

Blockchain, Bitcoin und Smart Contracts

Zunächst wurden einige Erklärungen geliefert.

Bitcoin werden in Blockchain gespeichert und seien dadurch sicher. Blockchain sind Datencluster aus Blöcken einer bestimmten Einzelgröße von z.B. 1 MB. Hier werden Daten über einen SHA-256 Hash verschlüsselt gespeichert. Ist der Block voll, wird der Hash auf den nächsten Block übertragen, also eine Art Verlinkung, dort werden die weiteren Daten gespeichert. Weil alle Blöcke auf diese Art mit einander verbunden sind, ist diese Art der Speicherung sehr sicher. Durch die Dezentralisierung, im Prinzip kann jeder Blockchain Anbieter werden, gibt es keinen einzelnen Server, der alle Daten zusammenfasst, es handelt sich hier um ein verteiltes Netzwerk. Die Nodes (Einzelsystem) müssen eine Übereinstimmung von 51% haben, ein manipulierter Node wird aus der Kette ausgeschlossen.

Eine kleine Bitcoin-Statistik:

1 Block – 1,02 MB
1 Blockchain – 185 GB
akt. Transaktionen -500.000/Tag
Transaktionszeit – 9 Minuten (mit 3 Bestätigungen)
Median Grunsgebühr – 0,6 USD
Bitcoins sent pro 24 h – 1 Mio BTC + 4,2 Mrd. USD
Marketcap 130 Mrd USD  (Vergleich Gold 700 Mrd)
Die Bitcoin Blockchain umfasst zur Zeit 12-12.000 Nodes.

Anfang der 90-er Jahre war das www ein abstraktes Konzept ohne leicht erkennbaren Anwendungsbereich. So ist es auch mit Blockchain. Trotzdem ließen sich hiermit in Verbindung mit dem Blockchain Konzept zahlreiche sichere Anwendungen abbilden:

  • Führung von Registern, z.B. Handelsregister
  • Speicherung von Patientendaten
  • Direktverkauf von Konsumgütern Künstler – Kunde
  • eStrom Transaktionen
  • ….

Bitcoin ermöglicht virtuelle Transaktionen. Die Eigenschaften von Bargeld und elektronischen Überweisungen werden verbunden. Das Konzept wurde 2008 von Satoshi Nakamoto entwickelt. Der 1. Block wurde am 03.01.2009 angelegt, der erste Verkauf fand am 22.05.2009 statt. In Berlin wurden 2 Pizzen für 10.000 BTC verkauft.

Der Gesamtwert von Bitcoin ist auf 21 Mio begrenzt, dies ist softwaretechnisch vorgegeben und kann nicht geändert werden. Es gibt keine Regulierungsmöglichkeiten. Es wird eine vollkommene interne Transparenz bei möglicher externer Anonymität geboten. Es gibt keine zentralisierten Ausgabestellen. Es gibt keine Zuordnung zu Personen oder Firmen. Der Zugriff erfolgt ausschließlich über Schlüssel.

Es gibt noch ca. 4.000 andere Kryptowährungen.

PApps und Smart Contracts

Hier handelt es sich um dezentralisierte Apps auf etherium Basis. Kleine Programme, die unantastbar und unmanipulierbar sind.

Smart Contracts

Werden verwendet zur Automatisierung von Dienstleistungsprozessen. Entscheidungen fallen vollautomatisiert anhand von Algorithmen.

Beispiel:

Ernteversicherung

Hier kann der Zeitraum eingegeben werden, es werden Wetterdaten für den Zeitraum automatisiert abgerufen, Prämie wird gezahlt oder nicht.

Genauso z.B. Flugausfallversicherungen u.ä. Dies kann zur Verschlankung von Prozessen und zu einer Kostenoptimierung führen.

Real World Cyber: Hintergründe, Ziele und Motivation stattlich gesponserter Angreifer

Hier ging es um Hacking im Regierungsauftrag. Es wurden einige Beispiele und deren Ziele genannt, z.B. Russland, Korea, China, USA

China – Panda

Wollen gerne im Cyberraum autonom sein. Verfügen über eigene IT-Fähigkeiten, haben eine zentrale Toolentwicklung für Angriffswerkzeuge. Ziel ist die Dominanz des Webs.

Es wird u.a. der 5-Jahresplan 2018-2020 verfolgt. „Industry made in China 2025
Es gibt verschiedene Gruppen mit unterschiedlichen Aufträgen.

Zum besseren Verständnis, wie China tickt, wurde der Film „Der tausendköpfige Drache“ empfohlen.

Nord Korea – Chollima

Hier gibt es einen ganz klaren Devisenbeschaffungsauftrag.

Iran – Shamoon

Hier geht es um Öl, Gas, Kampf gegen Israel und nuclearen Vorsprung. In einem Racheakt gegen Saudi Arabien wurde mittels einem Cyber Angriff eine Unzahl von PCs verschrottet. Shamoon gegen Saudi Aramco.

Sie legen auch gerne honeytraps in social media Portalen, um Kontakt mir nützlichen Personen herzustellen.

USA – 5-eyes

Ein Spionagezusammenschluss von Kanada, USA, UK, Neu Seeland, Australien.

Hier ist das Ziel die Hoheit über den Cyberraum.

Es wurden einige interessante Anekdoten gebracht, wer was warum tut und auch wie infantil zuweilen vorgegangen wird.

Alles in allem eine lohnende Wirtschaftsschutztagung, mit und für  Fachpublikum.

digitale Signatur

digitale Signatur, was ist das, wie geht das, wofür brauche ich das?

Früher war die rechtsverbindliche, persönliche Unterschrift auf Dokumenten der Nachweis für die Echtheit, für die Authentizität des Absenders. Das Senden von Fax-Nachrichten ist seit vielen Jahren aus der Mode gekommen, die meisten Dokumente werden ganz einfach an Emails angehängt und versendet. Geht schneller und spart Porto.

In Zeiten, in denen Diebstahl ganz einfach vom Sofa aus zu machen ist, nebenbei läuft noch die Lieblingsserie, machen sich viele Menschen Gedanken darüber, ob die Dokumente eigentlich echt sind, die sie so bekommen. Einen Emailabsender zu fälschen ist mit wenig krimineller Energie und geringem technischem Wissen mit Hilfe von google sehr leicht möglich.

Woher soll der Empfänger denn nun wissen, ob erstens Absender und zweitens Dokument echt und unverändert sind? Hier kommt für rechtlich relevante Dokumente die digitale Signatur ins Spiel.

digitale Signatur – elektronische Signatur

Meint im Prinzip dasselbe. Der juristische Begriff ist allerdings elektronische Signatur. Es gibt verschiedene Sicherheitsstufen der digitalen Signatur, wer das nachlesen möchte, findet es in den folgenden Rechtsschriften:

SignaturGesetz SigG

Verordnung zur elektronischen Signatur SigV

Wie funktioniert das nun technisch?

Die einfache digitale Signatur basiert auf einem Schlüsselpaar. Dem öffentlichen und dem privaten Schlüssel. Der private Schlüssel wird zum Entschlüsseln der Nachricht benötigt, der öffentliche Schlüssel zum Verschlüsseln. Der öffentliche Schlüssel wird in der Regel mit einem sogenannten Hashwert kombiniert, mit dem Ergebnis wird dann die Mail digital unterschrieben, also signiert.

Beispiel: Sie möchten sicherstellen, dass ein Dokument den Empfänger unverändert erreicht.

Senderseite

  • Fügen Sie das Dokument in eine Emailnachricht ein
  • Mithilfe spezieller Software (s.u.)  erzeugen Sie einen Fingerabdruck (Hash-Wert) des Dokumentes.
  • Nun verschlüsseln Sie den Hashwert mit Ihrem privaten Schlüssel
  • Das Ergebnis wird nun zur Signatur Ihrer Email, diese Signatur ist jedesmal anders.

Empfängerseite

  • Der Empfänger vergleicht nun mit Hilfe des öffentlichen Schlüssels den Hashwert Ihrer Nachricht, hiermit kann sichergestellt werden, dass der Inhalt von Ihnen stammt und unverändert ist.

Signatur vs. Verschlüsselung

Weil diese Begriffe oftmals in einen Topf geworfen werden, hier die Unterscheidung. Eine Signatur ist eine authentifizierte Unterschrift, bei einer Verschlüsselung wird der gesamte Inhalt verschlüsselt, so dass er nur mit dem entsprechenden Schlüssel (auch bei der Verschlüsselung wird das Verfahren angewendet) gelesen werden kann. In der Praxis werden oftmals beide Verfahren miteinander kombiniert.

digitale Signatur in der Praxis

In der Praxis wird man die elektronische Signatur in Verbindung mit einem Zertifikat verwenden. Das Zertifikat kann man bei einer Zertifizierungsstelle beantragen, dieses wird dann in ein öffentliches Verzeichnis eingetragen, so daß die echte Identität jederzeit nachvollziehbar ist.

Als Software kann zum Beispiel gpg für Windows verwendet werden, wenn es kostenlos sein soll. Natürlich gibt es jede Menge Anbieter passender Software.

Zertifizierungsstellen

Hier eine Liste der Bundesnetzagentur

Zusätzliche Infos

Hier ein sehr nützlicher Link zum Signaturrecht

Darknet – was ist das denn?

Darknet

Die Medien berichten immer wieder über das sogenannte Darknet. Meistens wird es in Verbindung gebracht mit dem Anwerben von Hackern für dubiose Einbruchsversuche u.ä. Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..

Technisches

Das Darknet ist kurzgesagt, ein Bereich des Internets, sozusagen ein Netz im Netz. Es wurde von Menschen konzipiert, die endlich mal ganz „in Ruhe“ ihren meist unseriösen Geschäften nachgehen wollten. Im Darknet gibt es alles Mögliche:

  • Hacker
  • Waffen
  • Drogen
  • Auftragsmörder
  • es gibt nichts, was es nicht gibt
  • ach, geklaute Kreditkarten, fast hätte ichs vergessen

Und alles bequem vom Sofa aus. Ist natürlich alles nicht ganz ernst gemeint, wer meinen Blog öfter liest, versteht es.

Und wie komme ich nun rein?

Willst Du wirklich dahin? Also, wenn Du das wirklich willst, benötigst Du erstmal einen anderen Browser, den Tor Browser. Wer Harry Potter liest, wird in ihm den Portkey auf die dunkle Seite des Internets erkennen.

Übrigens kann man über den Tor Browser auch unerkannt auf unserer Seite der Macht, ach was, des Internets stöbern. Tor Browser und ein kostenloser VPN-Zugang und niemand findet den Besitzer des Rechners. Es sei denn letzterer stellt sich nun extrem ungeschickt an.

Tor wurde erfunden für unerkanntes Surfen im Netz der unbegrenzten Möglichkeiten.

Ich bin drin und nun?

Das Darknet ist ein Netz im Internet. Deshalb kann man alle erreichbaren Seiten auch von hier aus aufrufen. Die Adressierung für Seiten im Darknet ist allerdings eine andere.

Um im Darknet zu suchen, benötigst Du die Adresse der Suchmaschine Grams. Adressen in diesem Teil des Netz ändern sich aus „Sicherheitsgründen“ des öfteren. Die aktuellen Adressen einschlägiger Anbieter erhält man über die speziellen Foren. Für die meisten dieser Foren benötigt man eine Empfehlung, sonst wird kein Zugang gewährt. Man ist natürlich vorsichtig, uneingeladener Besuch der Polizei oder des Verfassungsschutzes ist meist nicht erwünscht.

Suchmaschine Grams

Darknet GramsKommt Dir bekannt vor? Na, sowas, das look and feel wurde an google angelehnt, so muss man sich gar nicht groß umgewöhnen.

Ich suche mal, wie vorgeschlagen nach Cannabis:

Grams Suche

Und, was fällt sofort auf? Es wird sogleich eine Bezahlmöglichkeit über die Internetwährung BitCoins angeboten. Es gibt ein Ranking und ggf. Warnungen.

Hier ein „typisches“ Angebot:

Darknet - AngebotDen Link und den Verkäufer habe ich herausgenommen 😉

 

 

Hier nochmal die Eingangsfrage “ Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..“

Das entscheidet jeder für sich alleine 😉 Meine Leser sind schliesslich mündige Bürger, oder?