Donnerstag, 18. Mai 2017

Ransomware, WannaCry, IT-Sicherheitsgesetz


Mittwoch, 17. Mai 2017

IP = Personenbezogene Daten ... sagt der BGH!

In einer aktuellen Entscheidung hat der Bundesgerichtshof entschieden, daß auch dynamisch vergebene IP-Adressen als personenbezogene Daten zu betrachten sind. Damit sind auch für sie die Einschränkungen des Bundesdatenschutzgesetzes anzuwenden. Bisher war teilweise noch umstritten, ob die Zuordnungsfähigkeit von dynamischen IP-Adressen ausreicht, um diese als personenbezogen anzusehen.
Anders als eine statische IP-Adresse - die unzweifelhaft personenbezogen ist, da Sie mit einem konkreten Rechner und damit einem direkten Betreiber zuzuordnen ist - werden die dynamischen IP-Adressen in gewissen Abständen (beispielsweise 24 Stunden) neuen Nutzern zugeordnet und vergeben. Die Provider führen jedoch eine gewisse Zeit lang - diese kann im Bereich von einigen Tagen bis einigen Wochen liegen - LogFiles, aus denen sich die Zuordnung der dynamischen IP-Adressen zu einer bestimmten Uhrzeit an einen bestimmten Anschluss ergeben. Diese Log-Dateien reichen aus, um über ein Auskunftsersuchen die Adresse eines Anschlussinhabers zu ermitteln. Insgesamt ist der Fall damit ähnlich wie bei einem Kraftfahrzeugkennzeichen, welches ebenfalls ohne große Schwierigkeiten über eine Abfrage beim Kraftfahrtbundesamt auf den Halter des Fahrzeugs Schließen lässt. Bei der Speicherung von dynamischen IP-Adressen Sind daher die Einschränkungen des Bundesdatenschutzgesetzes zu beachten.
Nach Einschätzung des BGH ist hier jedoch eine Abwägung erforderlich: Die Gegenseite in dem aktuellen Fall hatte argumentiert, daß der Schutz der Webserver-Infrastruktur vor IT-Attacken durch Trojaner, DDOS-Angriffe oder ähnliche Attacken es erforderlich machen würde, grundsätzlich die IP-Adressen des eingehenden Traffics zu speichern. Der BGH ist jedoch der Auffassung, daß hier zuerst einmal geprüft werden muss, wie das Gefahrenpotenzial solcher Angriffe einzuschätzen ist und ob die Speicherung der dynamischen IP-Adressen ein taugliches Hilfsmittel zur Eindämmung solcher Attacken darstellt. Die Vorinstanz - in diesem Fall das Landgericht Berlin - habe hierzu keine hinreichenden Feststellungen getroffen. Das Verfahren ist daher zur Neuverhandlung an das Landgericht Berlin zunächst zurückverwiesen. Dort wird eine Abwägung der Wünsche von Seiten der Webseitenbetreiber gegen das Grundrecht der Internetnutzer auf Informations- und Meinungsfreiheit stattfinden müssen.

Sehr schön übrigens: Wenn man die unten verlinkten Artikel auf Heise.de oder im Spiegel nachliest, könnte man bei flüchtiger Lektüre den Eindruck gewinnen, der BGH habe vollständig gegensätzlich entschieden! Dieser Effekt nennt sich Journalismus.


Links:
Heise-News
Spiegel.de Nachrichten

Samstag, 13. Mai 2017

Der eigentliche Skandal ist nicht der Virus!

Die Medien überschlagen sich derzeit mit immer neuen Meldungen zum Ransomware-Virus "WannaCry", einem sog. Verschlüsselungstrojaner. Das Programm legt derzeit reihenweise Rechner mit Windows-Betriebssystem lahm, indem das Dateisystem verschlüsselt wird und der User aufgefordert wird, eine bestimmte Summe in #Bitcoins zu zahlen, um wieder an seine Daten heran zu kommen. Strafrechtlich fällt mir da direkt eine ganze Reihe prüfenswerter Vorschriften ein, neben Erpressung und Nötigung sicher auch Computersabotage und Datenveränderung.
Interessant ist, daß momentan niemand über die andere Seite spricht. Ehrlich gesagt bin ich nämlich über das Ausmaß des "Erfolges" dieser Schadsoftware relativ überrascht, da diese für einen korrekt installierten, regelmäßig gewarteten und abgesicherten Rechner keinerlei Gefahr darstellen dürfte. Das Virus nutzt eine seit langem bekannte Schwachstelle in Windows ab der uralt-Version XP aus, die seit mindestens einem Monat von Microsoft durch update-Patches geschlossen wurde. Außerdem gehört zur Infektion ein unsachgemäßer Umgang mit eingehenden Daten (eMails, Links in Webseiten...) dazu, wobei man eigentlich professionellen Anbietern wie der Deutschen Bahn oder auch dem britischen Health Service einen etwas fachkundigeren Umgang mit derartigen Risiken zugetraut hätte. Am meisten überrascht mich aber, daß selbst kritische Infrastrukturen offensichtlich auf einem eher unsicheren, auf "Consumer" zugeschnittenen Betriebssystem wie Windows betrieben werden. In meiner Kanzlei bin ich dieses Jahr seit 10 Jahren Windows-frei und nutze für die professionelle Anwendung ausschließlich Linux-Betriebssysteme. Natürlich leiste ich mir nebenher auch noch den ein oder anderen Windows-Rechner, um hier auf dem Laufenden zu bleiben und meine Mandanten aus der Microsoft-Perspektive beraten zu können. Für ernsthafte Arbeiten würde ich diese allerdings nicht verwenden. Insofern bin ich durchaus überrascht, daß selbst Rechner, auf denen hunderttausende Datensätze mit Patientendaten verarbeitet werden, selbst heute noch offensichtlich unter Windows betrieben werden. Der organisatorische Aufwand, ein Windows-basiertes Produktivsystem tatsächlich gegen die überwiegende Mehrzahl von Bedrohungen abzusichern, ist aus meiner Erfahrung um ein vielfaches höher, als dies beispielsweise bei einem Linuxsystem der Fall wäre. Der deutsche Gesetzgeber hat jedenfalls im IT-Sicherheitsgesetz festgelegt, daß Betreiber "kritischer Strukturen" (KRITIS) eine Absicherungspflicht, eine Meldepflicht sowie die Pflicht zur Identifizierung möglicher Risiken trifft. Wenn ich mir die aktuelle Berichterstattung vor Augen halte, scheint es bis dahin noch ein weiter Weg zu sein!

Links:
Heise News
bsi.bund.de
Heute Nachrichten
RP Online

Samstag, 6. Mai 2017

uBeacons und Silverpush

Da habe ich doch kürzlich erst ein youtube-Video zur Thematik iBeacon, Filterbubble und Individualpreise gedreht - schon muß ich technisch nachjustieren! Wie aus Forschungsergebnissen der TU Braunschweig hervorgeht, ist die als "uBeacon" bezeichnete Spionagetechnik Silverpush in über 240 Android-Apps präsent und dient dazu, anonyme User identifizierbar zu machen. Dabei greift man auf eine relativ rustikale Technik zurück: In das Tonsignal eines Fernsehes, beispielsweise, wird eine für Menschen unhörbare Ultraschall-Tonfolge eingemischt. Diese kann über die Mikrofone moderner Smartphones empfangen werden, ohne das der Nutzer dafür bluetooth (wie bei iBeacon) oder andere Zusatzdienste aktiviert haben müßte. Hierdurch ist ein relativ zuverlässiges Cross-Plattform-Tracking möglich. Apple scheint diese Technik bislang über die Sicherheitseinstellungen des Mikrofonzugriffs zu unterbinden. Das mag allerdings auch daran liegen, daß die Werbeanbieter dann gezwungen sind, die Apple-eigene iBeacon-Technologie zu nuzten. Ein Schelm, wer hier Profite riecht!


Links:

Nachricht auf Golem
Heisenews zu TU Braunschweig

Mein Betriebssystem, mein Laden!

Microsoft geht den nächsten Schritt in Richtung Apple.
Nachdem man ja bereits beim Interface-Design und bei der Hardware (Surface Book Serie) deutlich in Richtung Cupertino geschielt hatte, ist der nächste Schritt klar: Man will auch so einen schönen, geschlossenen Software-Store wie den AppStore des Konkurrenten. Hier lassen sich nämlich die meisten Apple User gerne dazu verführen, den bequemen und meist auch sicheren Weg über den Apple-Store zu gehen und dem Konzern aus Cupertino somit ein paar Prozente "Wegezoll" zu entrichten. Mit Windows 8 hatte Microsoft zwar prinzipiell ebenfalls einen schönen Store eingerichtet; kleines Problem dabei: Niemand nutzt ihn, da die Kunden über Jahrzehnte hinweg das reichliche und freie Softwareangebot der Windows-Plattform gewohnt sind.
Doch damit soll nun Schluß sein: Zuckerbrot und Peitsche, denkt man sich in Redmond. Die neue, "abgespeckte" students-edition "Windows 10 S" soll besonders preiswert, aber auch besonders vorkonfiguriert angeboten werden. Einerseits ist der Edge-Browser mit "Bing" als Standart-HTML-Anwendung vorgegeben und kann nicht geändert werden. Andererseits - und das ist für MS viel bedeutender - wird das Nachinstallieren von Drittanbietersoftware, die nicht über den Microsoft-eigenen Store erworben wurde, ausgeschlossen. Als kleines "Goodie" werden dafür Pro-Features wie die Nutzung der Festplatten-Verschlüsselung BitLocker eingestreut. Möglicherweise bleibt somit ein für den Education-Sector tatsächlich brauchbares Betriebssystem übrig. Es verbleibt allerdings auch der erste Schritt, den User mit sanftem Zwang dazu zu bringen, für jeden Software-Kauf artig seinen Obulus bei Microsoft abzudrücken. Denn das Geschäftsmodell den 21. Jahrhunderts ist nicht mehr das Verkaufen, sondern das Mitverdienen!

Links:
Heise-News Kommentar
Heise-News zu Windows 10 S

Montag, 1. Mai 2017

Stapellauf erfolgreich durchgeführt

In eigener Sache:
Mit großem öffentlichem Interesse und vielen geladenen Gästen haben wir am 26.04. den "Stapellauf" unseres neuen Bürogebäudes gefeiert! Das "H7", NRWs größtes Holz-Hybrid-Gebäude, ist das neue Domizil der Kanzlei am münsteraner Stadthafen. Unsere Kanzlei - Port7 - hat nun endgültig auf der Südseite des Hafenkais festgemacht und steht für alle IT- (und sonstigen) Rechtsfragen zur Verfügung.



Artikel in den Westfälischen Nachrichten

Homepage des H7