Montag, 18. Mai 2020

Microsoft vs. Datenschutzbeauftragter



Corona-Zeit ist HomeOffice-Zeit! Das trifft zumindest für viele Berufsgruppen zu. Und so kommt es, daß sowohl in den Verwaltungen, als auch in vielen Unternehmen hastig eine Video-Conferencing-Lösung nachinstalliert wird. Universitäten halten Vorlesungen über die Tools, sogar Ministertreffen finden über die marktgängigen Videokonferenzlösungen statt.

Datensicherheit ist dabei das eine Problem: Erst kürzlich wurde bekannt, daß "zero-days"-Sicherheitslücken für das Tool "Zoom" für etwa 500.000,- $ im Netz zu haben sind. So konnte z.B. über eine Remote-Code-Execution-Schwachstelle aus der Ferne Schadcode ausgeführt werden und gleich der ganze Rechner via Zoom übernommen werden.

Nach der Datensicherheit kommt allerdings auch der Datenschutz, und dieser wird teilweise recht unterschiedlich bewertet. In einer aktuellen Handreichung (PDF) des Berliner Datenschutzbeauftragten wurden Risiken identifiziert und einige Hinweise und Empfehlungen gegeben. Dabei kamen die Programme des Office-Platzhirsches Microsoft nicht ganz so gut weg; es wurde v.a. vor dem Risiko des unberechtigten Mithörens und Aufzeichnens der Kommunikation gewarnt, die grundsätzliche Problematik amerikanischer Anbieter angesprochen und in diesem Zusammenhang sowohl Skype als auch Teams von Microsoft genannt. Einen klaren Verstoß gegen die DSGVO sah man allerdings gegenwärtig nur bei Zoom.
Man solle im Einzelfall prüfen, ob nicht auch eine klassische Telefonkonferenz ausreichend sei. Microsoft hat aufgrund dieses Dokuments eine Abmahnung gegen den Datenschutzbeauftragten ausgesprochen; die Darstellung sei technisch unkorrekt und geschäftsschädigend.
Ob der Datenschutzbeauftragte dem Begehren nachkommen will, ist derzeit noch unbekannt. Für seine Sichtweise sprechen immerhin auch die Feststellungen der Stiftung Warentest, die zuletzt ähnliche Bedenken äußerte. Allerdings: Im Test der Stiftung ist MS Teams trotzdem der Testsieger...


Links:
Golem News Artikel
Handreichung Berliner Datenschutzbeauftragter (Achtung, dieses Dokument kann sich verändert haben, je nachdem, ob auf die Abmahnung reagiert wurde)
Golem News Zero-Day-Lücken in Zoom
Heise News CT: Videoconferencing - ein Funktionsüberblick
Stifung Warentest

Freitag, 15. Mai 2020

Der bulletproof Cyberbunker an der Mosel

"Deutschland braucht mehr Rechenzentren!“, hört man gelegentlich. Damit sind solche Rechenzentren wie der „Cyberbunker“ von Traben-Trarbach an der Mosel allerdings offensichtlich nicht gemeint. Unter der Federführung eines Niederländers war dort in einem ehemaligen militärischen Objekt seit 2013 ein digitaler Knotenpunkt des sog. Darknets entstanden. Waffen- und Drogenhandel, Kinderpornografie - das sind nur einige der Geschäfte, die nach den Vorwürfen der Staatsanwaltschaft von dort aus abgewickelt worden sein sollen. 
Ende 2019 wurde der Bunker bei einer Razzia ausgehoben, über 400 Server sichergestellt.



Die 13-köpfige Betreibermannschaft des „Unternehmens“ sitzt seit dem in Untersuchungshaft. Mit den Inhalten hatte diese wenig zu tun, sie verstand sich als reiner technischer Dienstleister für anonymes, sicheres Hosting. Für die Staatsanwaltschaft wird es daher nun darauf ankommen nachzuweisen, ob die Betreiber von den Geschäften ihrer Kunden wußten und diese billigten. Bisher sieht es wohl „ganz gut“ aus, nach Angaben der Staatsanwaltschaft wurde bislang nicht eine einzige legale Seite auf den Servern gefunden. 
Nun allerdings hat sich der Initiator aus der Untersuchungshaft in einem Interview zu Wort gemeldet. Er behauptet, der Server sei auch für politisch Verfolgte und Whistleblower zum Einsatz gekommen, beispielsweise seien Wikileaks-Server dort gehostet worden. Diese seien möglicherweise das eigentliche Ziel der Razzia. 
Die Staatsanwaltschaft tritt diesen Behauptungen entgegen. Bislang seien keine Wikileaks-Inhalte gefunden worden; diese haben in dem Ermittlungsverfahren auch bisher keine Rolle gespielt. Es sei vielmehr tatsächlich um die bereits genannten Arten von Geschäften gegangen. 

Nachtrag:
Einen Plan der Bunkeranlagen hat Spiegel Online mittlerweile auf seine Website gestellt.

Nachtrag 2:
Damit hier keine Mißverständnisse aufkommen: Das Betreiben eines anonymisierenden, verschlüsselten Servers, der Tor-Technik für den Zugang nutzt, ist selbstverständlich keine Straftat sondern ggfs. sogar begrüßenswert.
Eine Straftat ist es allerdings dann, wenn hierdurch wissentlich Beihilfe zu einer anderen, strafbaren Handlung geleistet wird. Ob das so ist, ist Gegenstand des Ermittlungsverfahrens. Wenn allerdings bei 1.000en gehosteten Inhalten kein einzig legaler Inhalt gefunden wird, spricht jedenfalls einige Erfahrung dafür, daß der Betreiber seine Dienste gerade zweckgerichtet für solche Inhalte anbieten wollte.

Links: