1.Halbjahr
06.04.2005
„Voice over IP" im Aufwind
- Datenschutz am Boden?
Hersteller sind
in die Pflicht zu nehmen
Spätestens bei der
diesjährigen CeBIT wurde deutlich, dass
die IP-Telefonie auf dem besten Weg ist,
ihren Siegeszug bei Unternehmen und Privathaushalten
anzutreten. Wenn auch die Verbindungsqualität
wegen eines fehlenden Breitbandanschlusses
in vielen Fällen noch zu wünschen übrig
lässt, machen Komfortmerkmale, niedrige
Betriebskosten und DSL diese Technologie
dennoch zu einer attraktiven Alternative
gegenüber der klassischen Telekommunikation
mit ihrer Sprachübermittlung über leitungsvermittelte
Netze.
Leider bleiben Datenschutz-Aspekte
bisher aber weitgehend unberücksichtigt.
So steht beispielsweise die bisher noch
ungeklärte Frage im Raum, ob Verbindungsdaten
überhaupt aufgezeichnet werden dürfen, wenn
Provider Gespräche innerhalb ihres Netzes
zum Nulltarif anbieten. Weit kritischer
für Unternehmen und Privatpersonen ist aber
die fehlende Möglichkeit der Verschlüsselung
zu sehen, so dass Telefongespräche - ebenso
wie andere IP-Anwendungen, z.B. das Versenden
von E-Mails - leicht abgehört werden können.
Im Unternehmen sind darüber hinaus sicherheitstechnisch
die für Server üblichen Standards (back
up etc.) zu berücksichtigen, da diese Rechner
für die Administration entscheidend sind.
Aus Mitarbeitersicht spielen Datenschutz-Aspekte
bei der IP-Telefonie eine noch größere Rolle,
da sämtliche Verbindungsdaten ohne Hinzutun
der Provider bereits im Hause vorliegen
und für alle denkbaren Auswertungen zur
Verfügung stehen. Hier sind entsprechende
Vereinbarungen über zulässige Auswertungsmöglichkeiten
zu treffen.
Inzwischen gibt es
von VoIP-Anbietern und Sicherheitsexperten
eine Initiative, die sich zum Ziel gesetzt
hat, gemeinsam Risiken herauszuarbeiten
und Lösungen zu schaffen.
Nähere Infos:
siehe auch
(externer Link)
06.04.2005
USB-Schnittstelle: Kaum Patentrezepte
gegen Wildwuchs
Ernsthafte Datenschutz-Risiken
in den Unternehmen
Anschlussbuchsen für
den Universal Serial Bus (USB) sind beim
PC inzwischen Standard. Sie ermöglichen
das einfache Anschließen vieler Endgeräte,
wie z.B. externer Festspeicher, DVD- oder
CD-Laufwerke und Digitalkameras, aber auch
Drucker und Mäuse.
Von den Betriebssystemen
ab Windows ME aufwärts werden diese Geräte
automatisch erkannt und eingebunden, so
dass Installationen durch den Anwender nicht
mehr erforderlich sind.
Nachteil dieser komfortablen
Technologie: Den Nutzern werden beispielsweise
durch den Einsatz von privaten USB-Sticks
Wege eröffnet, große Datenmengen vorbei
an den üblichen Sicherheitseinrichtungen
aus dem Unternehmen zu entfernen oder -
in umgekehrter Richtung - mitgebrachte Programme
und eventuell auch Schad-Software unter
Umgehung des sonst üblichen Weges über den
Systemadministrator einzusetzen.
Bei einem kürzlich
in Dortmund durchgeführten Erfahrungsaustausch
von Datenschützern wurde erörtert, welche
praktikablen Wege die Unternehmen beschreiten
können, um diese Schwachstellen in den Griff
zu bekommen.
Fazit: Eine Patentlösung
haben die Unternehmen noch nicht im Einsatz.
Einigkeit herrschte
darüber, dass ein generelles „Dichtmachen"
der USB-Schnittstelle in der Praxis nicht
sinnvoll ist, da über USB in vielen Fällen
Drucker oder Mäuse eingebunden werden. Oftmals
ist es sogar vom Unternehmen - zumindest
für ausgewählte Arbeitsplätze - ausdrücklich
gewünscht, USB-Sticks einzusetzen, wenn
es darum geht, PowerPoint-Präsentationen
und sonstige Daten zu externen Gesprächen
mitzunehmen.
Folgende Lösungsvarianten
wurden als praktikabel bewertet:
- Organisatorische
Regelung: Per Organisationsanweisung können
die Mitarbeiter dazu verpflichtet werden,
keine Speichermedien (USB-Sticks etc.)
an die USB-Schnittstelle anzuschließen.
Ein Missbrauch kann dadurch zwar nicht
ausgeschlossen werden, aber möglicherweise
werden die meisten aus Furcht vor arbeitsrechtlichen
Konsequenzen davon abgehalten, gegen diese
Regelung zu verstoßen.
- USB-Funktionalitäten
gezielt freigeben: Eine weitere Software
bietet die Möglichkeit, pro Arbeitsplatz
individuell die USB-Schnittstellen für
den Einsatz ausgewählter Gerätetypen und
Anwendungen zuzulassen. Diese Lösung war
aber noch bei keinem der befragten Unternehmen
im Einsatz.
- Zur Wahrung der
Vertraulichkeit: Per Zusatz-Software können
für den Im- und Export von Daten nur verschlüsselte
Daten zugelassen werden, so dass der Import
unerwünschter Daten und Programme verhindert
werden kann. Bei Verlust eines USB-Sticks
ist zudem die Vertraulichkeit der Daten
gewährleistet. Die meisten Unternehmen
sind aber noch zurückhaltend, was den
Einsatz von Verschlüsselungstools angeht.
Weiterführende Informationen:
Orientierungshilfe
Datenschutz bei USB-Geräten:
(externer Link)
06.04.2005
Enorme Kosten durch
Vorratsdatenspeicherung
Geplantes Antidiskriminierungsgesetz
Der Aufschrei der Wirtschaftsunternehmen
und Datenschützer war in jüngster Zeit wiederholt
wahrzunehmen, wenn die Details zum Entwurf
des geplanten Antidiskriminierungsgesetzes
erörtert wurden.
Worum geht es im Einzelnen?
Unternehmen müssten, wenn das Gesetz so
verabschiedet würde, bei von ihnen durchgeführten
Auswahlverfahren nachweisen können, dass
die Bewerber alle gleich behandelt worden
sind, z.B. bei Einstellung von Mitarbeitern
oder Vergabe von Mietwohnungen. Auf Grund
der geplanten Beweislastumkehr müssten sich
die Unternehmen im Falle behaupteter Ungleichbehandlung
entlasten können. Dies wiederum wäre nur
möglich, wenn große Datenmengen auf Vorrat
gespeichert würden, was gegen den datenschutzrechtlichen
Grundsatz der Datenvermeidung und Sparsamkeit
verstieße. Eine kürzlich veröffentlichte
Studie (siehe DIE WELT, 23.04.05) geht davon
aus, dass durch das geplante neue Gesetz
auf die Unternehmen in Deutschland Kosten
in Höhe von etwa einer halben Milliarde
Euro zukommen würden.
Man darf gespannt sein,
ob Wirtschaftsinteressen und Datenschützer
hier noch etwas bewegen können.
Nähere Infos: siehe
Pressemitteilung der Gesellschaft für Datenschutz
und Datensicherung (GDD e.V.):
06.04.2005
Datenschutz-Wegweiser:
Surfen am Arbeitsplatz
Faltblatt des Bundesbeauftragten
Der Bundesbeauftragte
für den Datenschutz, Peter Schaar, informiert
in einem Faltblatt darüber, was im Falle
einer dienstlichen und/oder privaten Nutzung
des Internets am Arbeitsplatz zu beachten
ist und was mit den Daten der Nutzer geschieht.
Er greift damit ein Thema auf, das trotz
zahlreicher Diskussionen in vielen Unternehmen
noch nicht umfassend geregelt ist.
Hierbei geht es immer
wieder um die Kernfrage, ob im Unternehmen
eine ausschließliche geschäftliche Nutzung
vorgesehen ist oder auch eine Privatnutzung
erlaubt ist. Auf jeden Fall sei eine Totalüberwachung
und Vollkontrolle der Internet-Nutzung der
Mitarbeiter unverhältnismäßig und damit
datenschutzrechtlich unzulässig, so der
Bundesbeauftragte im Vorfeld der diesjährigen
CeBIT.
Weitere Erläuterungen:
siehe
(externer Link)
Faltblatt: siehe
(externer Link)
30.01.2005
„Ich habe eine E-Mail
bekommen!"
Neue Variante des
Sober-Virus
Vorsicht vor E-Mails
mit dem Betreff „Ich habe eine E-Mail bekommen!".
Hier handelt es sich um eine Variante des
Sober-Virus. Im Text der E-Mail beklagt
sich der Versender darüber, dass er von
Ihnen - vermutlich wegen eines Fehlers beim
Provider - bereits mehrere E-Mails erhalten
hat. Die Texte habe er in einer gezippten
Anhang-Datei beigefügt. Wer die ZIP-Datei
entpackt und die mitgelieferte ausführbare
Datei öffnet, wird mit dem Wurm infiziert.
Ausführliche Beschreibung
und kostenloses Entfernungstool:
siehe
(externer Link)
30.01.2005
Integration von
Radio-Frequenz-Identifikationssystemen in
unseren Alltag
Neue Studie verschafft
Überblick und sensibilisiert
Radio-Frequenz-Identifikationssysteme
(RFID) sind seit dem Feldversuch im Metro
Future Store auch in der breiten Öffentlichkeit
bekannt geworden. Dieses Verfahren zur automatischen
Identifizierung von Objekten über Funk eignet
sich zur automatisierten Kennzeichnung,
Erkennung, Lagerung und Überwachung und
zur Transportverfolgung von Gegenständen.
Zur Identifizierung von Tieren werden RFID
auch bereits eingesetzt. Nun sollen RFID
nach und nach auch in Alltagsgegenstände,
z.B. Kleidungsstücke, integriert werden.
Im Rahmen einer Studie wurden Chancen und
Risiken des Einsatzes von RFID-Systemen
untersucht und dokumentiert. Die auf den
Internet-Seiten des Bundesamtes für Sicherheit
in der Informationstechnik (BSI) veröffentlichte
Studie vermittelt die Grundlagen zum Verständnis
dieser Technologie, stellt Bedrohungsszenarien
und Anwendungsgebiete dar und zeigt Entwicklungsperspektiven
auf.
Nähere Infos:
(externer Link) bzw.
(externer Link)
|