Verlust der Privatsphäre und IT-Sicherheit

Eines der Schlagwörter, die man häufig im Zusammenhang mit Datenschutz und IT-Sicherheit hört und liest, ist Awareness. Über das Bewusstsein der Anwender soll mehr Sicherheit gewährleistet werden können, auch ohne Sicherheitsprodukte. Es mag weltfremd klingen, aber es ist tatsächlich so, dass Sicherheitsprodukte aus dem Umstand einer „hinterher hinkenden Zielgruppe“ resultieren. Wenn jeder wüsste, welche Risiken im Umgang mit einer Datenverarbeitungsanlage eingegangen werden, bräuchte niemand einen Virenscanner oder eine Firewall.Die Realität sieht aber so aus, dass das Risiko entsteht, bevor der Nutzer es bemerkt. Deutlich wird dies durch die Überlegung, dass für die Risiken verantwortliche Verhaltensmuster soweit etabliert sind, dass es schwer fällt, diese zu korrigieren. Außerdem hat man ja „die Technik und den Admin“ der vor Schäden bewahrt. Warum sollte der Einzelne also etwas ändern. „Es ist bisher nichts passiert, warum sollte ich mir also Gedanken machen?“

Nichts desto trotz fällt auf, dass selbst die Medienpräsenz z.B. zum Thema Phishing nicht dazu beiträgt, dass die Phisher weniger zu tun haben. Gegenwärtig fischen jene immer noch so viele PINs und TANs ab, dass der Zeitaufwand für die Abbuchungen bei einer Organisation wie Ver.di den Gedanken an einen Arbeitskampf für die übermäßige Wochenarbeitszeit der Phisher nahelegen dürfte. Es verhält sich nicht anders bei dem Gedanken an die Preisgabe persönlicher Informationen, sprich personenbezogener Daten. Man hat ja schließlich nichts zu verbergen und als braver Bürger auch nicht zu befürchten. Unter dieser Prämisse zeigt die Fortentwicklung der Technologie bemerkenswerte Auswüchse. In den Staaten markiert eine Firma neuerdings ihre Mitarbeiter per RFID, weil eine Überwachung der Arbeitsräume mit Kameras nicht mehr ausreicht. Die hierzulande mittlerweile übliche Kennzeichnung von Hasso, Waldi und Minzi mit RFID hält also Einzug in die Lebensräume des braven Bürgers.

In Belgien wollen zwei Zahnärzte Mikrochips samt Antenne sowie schützendem Gel und mit einer Größe von ein mal sechs Millimetern in Zähne einpflanzen. Anonyme Leichen könnten so zweifelsfrei identifiziert werden, von Lebenden ist hier zunächst nicht die Rede. Offenbar scheinen die Ideenträger zu vergessen, dass man einer Leiche nicht erst einen Chip einpflanzt, wenn sie erst Leiche ist. Nichts gegen Mediziner, aber den Einzug von RFID-Technik stört die Krankenhausverwaltungen scheinbar auch nicht. In der „Management und Krankenhaus“ von März steht mehr dazu. Insbesondere soll die Technik schon u.a. in Saarbrücken zur Zuordnung von Patienten und Blutproben benutzt werden, indem die Patienten bei Einlieferung mit einem Chip am Handgelenk markiert werden. Es soll ja Leute geben, die das Michael-Schumacher-Privileg, ohne Passkontrolle Grenzen überschreiten zu können, gerne für sich in Anspruch nehmen. Mit einem Chip im Zahn käme man diesem Gedanken schon recht nahe. Man müsste nur nahe genug an den Scanner herantreten. Es eröffnen sich weiterhin ungeahnte Möglichkeiten, bis hin zur Jugendschutzkontrolle an der Eingangstür zur Diskothek… Schöne neue Welt.

Dem Sicherheitsgedanken entsprechend zieht die die US-Regierung in Erwägung, Reisenden an den Grenzen eine schnelle Abfertigung zu versprechen, wenn die Reisenden freiwillig den Zugang zu möglichst vielen Datenbanken gestatten. Die Zusammenführung unterschiedlicher Datenbanken kennt man als Data-Mining, in den USA ist die Regierung vor 3 Jahren mit einem Programm namens Total Information Awareness am Kongress gescheitert. Der jüngste Anlauf nennt sich ADVICE (Analysis, Dissemination, Visualization, Insight, and Semantic Enhancement“ – Analyse, Weitergabe, Visualisierung, Erkenntnis und semantische Verstärkung) und hat wiederum zum Ziel, möglichst viele Daten aus diversen Quellen zusammenzuführen, abzugleichen und daraus Schlüsse auf terroristische Aktivitäten zu ziehen.

Es wird nicht der letzte Anlauf sein, zumal ebenfalls an der privatwirtschaftlichen Front um Datenbestände gerungen wird. In diesem Zusammenhang ist nicht unbedeutend, dass Google sich gegenwärtig als einziger Suchmaschinenbetreiber gegen das US-Justizministerium wehrt. Das Ministerium hatte ursprünglich von Google die Herausgabe einer Stichprobe mit nicht personenbezogenen Suchanfragen seiner Nutzer sowie eine Million zufällig ausgewählter Webadressen verlangt. Das zuständige Gericht in Kalifornien erklärte, es werde der Staatsanwaltschaft entgegenkommen und zumindest dem Wunsch nachkommen, dass sie von Google Teile der geforderten Daten erhalten kann und versicherte, dass es dem Justizministerium aber nicht alles, was es haben will, geben wolle, um den „Eindruck in der Öffentlichkeit“ zu vermeiden, dass die Benutzung der Suchmaschinen von der Regierung überwacht werde. Sollte man daran Zweifel haben? Wir erinnern uns an die Vorratsspeicherung der EU.

T-Online als Provider sieht das schon gelassener. Im Fall Holger Voss fand besondere Beachtung, dass T-Online Verbindungsdaten seines Kunden Voss illegal und entgegen den Datenschutzbestimmungen protokolliert hat. Am 1. Juli 2005 entschied das Amtsgericht Darmstadt, dass das Speichern von IP-Adressen bei Flatrates illegal ist, da sie bei der Abrechnung nicht benötigt werden. Auch das Landgericht Darmstadt schloss sich in der Berufungsverhandlung, zu der es keine Revision zugelassen hat, am 25.01.2006 dieser Auffassung an. Bislang ist nicht bekannt, ob T-Online von dem Verstoß der Protokollierung wusste, oder ob die Protokollierung fahrlässig erfolgte …

Nun sind wir wieder bei der Überlegung, was uns damit an potentiellen Schwierigkeiten droht. Auch hier gibt es sinnreiche Beispiele. Unter dem Titel: „Nur Terroristen zahlen ihre Schulden„, wird von einem ehemaligen Schullehrer in Texas berichtet, der aufgrund schlechten Gewissens nicht nur seine übliche monatliche Rate an eine Kreditkartengesellschaft gezahlt hat, sondern mit einem Scheck den insgesamt ausstehenden Betrag auf einen Schlag auszugleichen gedachte. Nach Einzahlung ließ ihn die Kreditkartengesellschaft auf Nachfrage hin wissen, dass es mit der Einzahlung ein Problem gäbe, da im Interesse der nationalen Sicherheit alle möglichen Dinge überprüft werden, wozu auch zählt, ob jemand plötzlich verdächtigerweise über mehr Geld zu verfügen scheint, als zuvor. Wenn eine Einzahlung bei einer US-Bank einen bestimmten Prozentsatz über den bisher von diesem Kunden üblichen Einzahlungen liegt, muss die Homeland Security informiert werden – und bis diese entschieden hat, ob der Kunde tatsächlich ein Terrorist ist, ist das Geld festzusetzen und darf nicht auf das Konto des Kunden eingezahlt werden.

Nach alledem ist natürlich die Frage gerechtfertigt, was das im bundesdeutschen Alltag für Bedeutungen entfaltet. Aufhänger ist hier die rechtliche Zulässigkeit von Datenverarbeitungen, bei denen die Rechte von Bürgern betroffen sind. Im Rahmen einer Einrichtung z.B. staatlicher Stellen wie dem Toll-Collect-System wurde ursprünglich darauf verwiesen, dass dieses System nur für die LKW-Kontrolle eingesetzt würde und auch keine anderen Einsatzbereiche zulässig oder geplant seien. Heute wissen wir, dass die Kameras der Mautbrücken jedes Fahrzeug fotografieren, inkl. Kennzeichen und Fahrerfoto. Die ursprüngliche aus dem Gesetz ergehende Zweckbindung wird hier sukzessive aufgeweicht, jüngster Ansatz des Bundesinnenministeriums war die Ausdehnung des Mautsystems auf die Strafverfolgung, weil ein LKW-Fahrer einen Verkehrsteilnehmer tödlich verletzt und danach Fahrerflucht begangen hat. Es ist zwar richtig, sich Gedanken um die Ermittlung des Fahrers zu machen, wenn dadurch aber die rechte sämtlicher anderen Verkehrsteilnehmer verletzt werden, ist eine Ermittlung über das Mautsystem unzulässig. es wäre nur eine Frage der Zeit, bis die Überwachungsmöglichkeiten durch Toll Collect noch weiter ausgedehnt werden.

Die Informatiker wissen, dass ein Datum, sofern es erst einmal vorhanden ist, aus den unterschiedlichsten Positionen betrachtet, und mit anderen Daten zusammengeführt werden kann. Die Ergebnisse werden über die Jahre immer besser und manch ein Betroffener mag sich wundern, woher die Daten stammen. Der Verlust der Privatsphäre ist somit ein schleichender Prozess, der nur aufgehalten, oder vielleicht auch nur eingrenzt werden kann durch die „Awareness“ des einzelnen. In diesem Sinne möchte ich heute enden mit dem Hinweis: „Das Internet und Datenbanken vergessen nicht!!“

2 thoughts on “Verlust der Privatsphäre und IT-Sicherheit

Comments are closed.