[datensicherheit.de, 11.11.2020] Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hat sich nach eigenen Angaben in einem Offenen Brief an Staatsministerin Dorothee Bär, MdB, gegen das geplante EU-weite Verbot der privaten digitalen Verschlüsselung gewandt.

Foto: NIFIS

RA Dr. Thomas Lapp appelliert zusammen mit Detlef Schmuck an Staatsministerin Dorothee Bär, MdB

NIFIS-Gremien engagieren sich für Vertraulichkeit, Verfügbarkeit und Integrität sowie sicheren Transport von Daten in digitalen Netzwerken

Die NIFIS versteht sich demnach als neutrale Selbsthilfe-Organisation, welche die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte.
Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien sei es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickele die NIFIS seit ihrer Gründung im Jahr 2005 unterschiedliche Konzepte und setze diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählten die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.

NIFIS wehrt sich gegen Bedrohung von Seiten des Gesetzgebers

In dem Offenen Brief gehe es nun allerdings eher um eine „Bedrohung von Seiten des Gesetzgebers“, gegen den sich die NIFIS wehren möchte. Eine ihrer Mitgliedsfirmen, die Hamburger TeamDrive GmbH, gehöre zu den Betroffenen:
„TeamDrive bietet einen gleichnamigen Datenaustauschdienst mit vollständiger Ende-zu-Ende-Verschlüsselung an, um die Vertraulichkeit der Übertragung zu gewährleisten. Würde der jüngste EU-Vorstoß Realität, könnten Behörden die Kommunikation trotz Verschlüsselung mitlesen.“

Nachfolgend wird der Offene NIFIS-Brief im Wortlaut wiedergegeben:

Sehr geehrte Frau Staatsministerin Bär,

mit großer Sorge entnehmen wir der Presse, dass sich die Regierungen der EU-Mitgliedsstaaten darauf verständigt hätten, eine sichere Verschlüsselung digitaler Kommunikation EU-weit zu verbieten bzw. die Betreiber digitaler Kommunikationsdienste zu zwingen, die Zugangsschlüssel zu Kundendaten bei den Behörden zu hinterlegen. Der entsprechende Resolutionsentwurf soll den Titel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ tragen und Medienberichten zufolge noch im November 2020 verabschiedet werden.

Wir möchten darum bitten, dass die Bundesregierung dieses Vorgehen nicht nur für die Bundesrepublik Deutschland ablehnt, sondern sich auch europaweit für eine Ablehnung dieser Maßnahme einsetzt. Denn diese gesetzlich verordnete Weitergabe von Schlüsseln zu Kundendaten wäre das Ende der Privatsphäre bei der digitalen Kommunikation. Bei allem Verständnis für den Bedarf von Sicherheitsbehörden, kriminellen und terroristischen Machenschaften auch auf digitalen Wegen entgegenzuwirken, den wir ausdrücklich unterstützen, ginge ein generelles Verbot privater Verschlüsselungen viel zu weit.

Hätten die Behörden die Generalschlüssel zu sämtlicher digitaler Kommunikation, würde nicht nur die Privatsphäre bedroht, sondern es würde sich auch die Sicherheitslage verschlechtern statt verbessern. Denn es wäre blauäugig zu meinen, dass Datenschlüsselzentren bei den Betreibern oder den Behörden dauerhaft sicher vor Hackern seien. Ganz im Gegenteil würden derartige Schlüsselaufbewahrungen Hacker geradezu ermuntern.

Genau aus diesem Grund arbeiten hochsichere digitale Kommunikationsdienste wie bspw. unser Mitgliedsbetrieb TeamDrive GmbH nach einem „Zero Knowledge-Prinzip“. Das bedeutet, selbst der Betreiber kennt die Schlüssel zu den Kundendaten nicht; ein Hackerangriff auf den Betreiber würde also die Vertraulichkeit der Daten nicht gefährden. Käme jedoch das neue EU-Konzept zum Tragen, wären sowohl die Betreiber als auch die Behörden, die die Schlüssel besitzen, Sicherheitsrisiken.

Neben diesen grundlegenden Bedenken gegen das Ende der Privatsphäre in der digitalen Kommunikation durch die geplanten EU-Maßnahmen halten wir auch die Geschwindigkeit, mit der diese Maßnahmen anscheinend beschlossen werden sollen, für äußerst bedenklich. Leicht könnte beim Bürger der Eindruck entstehen, dass die derzeitige Pandemie-Situation ausgenutzt werden soll, um staatliche Repressalien „schnell und schleichend“ durchzusetzen. Eine solch weitreichende Maßnahme bedarf im Sinne einer transparenten Demokratie einer ausführlichen politischen und gesellschaftlichen Diskussion, die gerne im Jahr 2021 geführt werden kann.

Frau Ministerin Bär, wir bitten Sie um rasches und entschlossenes Handeln, um Schaden von den Bürgerinnen und Bürgern der Bundesrepublik Deutschland und der Europäischen Union abzuwenden. Die Vertraulichkeit der Kommunikation stellt ein kostbares Rechtsgut dar, das nicht auf „kleinem Dienstweg“ binnen weniger Wochen aufgegeben werden darf.

Wir bitten um Verständnis, dass wir uns angesichts der Dringlichkeit aufgrund der von der EU vorgelegten Geschwindigkeit in dieser Angelegenheit erlauben, diesen an Sie gerichteten Brief gleichzeitig an die Medien weiterzuleiten. In der Abwägung zwischen der Vertraulichkeit dieses Schreibens und dem großen öffentlichen Interesse haben wir uns für den Weg der Veröffentlichung entschieden.

Mit großer Sorge und in ebenso großer Hoffnung auf Ihr Einschreiten!

RA Dr. Thomas Lapp
Detlef Schmuck

Vorsitzender NIFIS
Geschäftsführer TeamDrive

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit

datensicherheit.de, 07.03.2017
NIFIS: Massiver Anstieg der Ausgaben für IT-Sicherheit zu erwarten

[datensicherheit.de, 19.06.2019] Elmar Eperiesi-Beck, „CEO“ und Gründer des deutschen Datenverschlüsselungs-Anbieters Eperi kommentiert die zunehmende Sorge von Datenschützern im Zusammenhang mit dem Umstand, dass etwa 40 Dienststellen des Bundes Daten bei externen Cloud-Anbietern speichern – „so Zahlen aus einer Sitzung des Innenausschusses des Bundestags veröffentlicht auf ,hr-iNFO‘“. Die Sicherheit der teilweise sensiblen Daten werde vor diesem Hintergrund vermehrt in Frage gestellt.

Daten deutscher Bürger auf Servern mit umstrittener Rechtsgrundlage gespeichert

Eperiesi-Beck: „Nachdem Anfang April 2019 bekannt wurde, dass ,Bodycam-Daten‘ der deutschen Bundespolizei in ,Amazon Web Services‘ (AWS), dem Cloud-Dienst des US-amerikanischen Anbieters Amazon, gespeichert werden, wurden in einer Innenausschusssitzung weitere Fälle offengelegt, in denen Daten deutscher Bürger auf Servern gespeichert werden, deren Rechtsgrundlage zum Datenschutz zumindest umstritten ist.“

EU-DGSVO vs. „Cloud Act“

Europäische Datenschutzrichtlinien wie die EU-DGSVO gälten indes auch für die in Europa angebotenen Cloud-Services außereuropäischer Anbieter wie AWS. Gleichzeitig gelte aber auch beispielsweise der US-amerikanische „Cloud Act“, mit dem die US-Behörden Zugriff auf Daten der Kunden dieser Anbieter erhalten wollten, „selbst wenn die Daten nicht in den USA gespeichert sind“.

Europäische, hiesigen Standards entspreche Lösung!

Auf Servern europäischer Anbieter wäre dies nicht gegeben oder zumindest rechtlich deutlich schwieriger, so Eperiesi-Beck. Konstantin von Notz, Bundestagsabgeordneter der Grünen, habe deshalb im Podcast mit „hr-iNFO“ gefordert, dass die Bundesregierung eine europäische, den hiesigen Standards entspreche Lösung zur Speicherung von sensiblen Behördendaten erarbeiten solle.

Solange Daten unverschlüsselt gespeichert werden, können Cloud-Provider zugreifen

„Das Problem des unbefugten Zugriffs auf Daten wird in der aktuellen Diskussion nur von einer Seite beleuchtet“, kritisiert Eperiesi-Beck. Selbst wenn die Daten bei einem deutschen Cloud-Anbieter liegen würden, wäre der Datenschutz damit nicht per se gewährleistet. „Solange die Daten unverschlüsselt in der Cloud gespeichert werden, können die Cloud-Provider darauf zugreifen“, warnt der Eperi-„CEO“.

Grundsätzlich verhindern, dass Unbefugte fremde Daten für sich nutzen können!

Das Thema Datenverschlüsselung in der Cloud wird in den Augen von Eperiesi-Beck teilweise stark vernachlässigt: „Niemand kann vollständig verhindern, dass Externe Zugriff auf in der Cloud gespeicherte Daten erhalten. Was Organisationen jedoch sehr wohl aktiv verhindern können, ist dass Unbefugte diese Daten für sich nutzen können – durch Datenverschlüsselung und Pseudonymisierung.“ Aufgrund der unklaren Rechtslage sollten sich Unternehmen und Behörden dringend mit dem Thema Datenverschlüsselung in der Cloud auseinandersetzen, denn Prävention sei der beste Schutz vor Datenmissbrauch.

Weitere Informationen zum Thema:

hr-iNFO, 18.06.2019
Datenschutz / Mehrere Bundesbehörden speichern offenbar Daten bei externen Cloud-Anbietern

hr-iNFO, 19.06.2019
Podcast / Wohin mit den Daten der BodyCams?

tagesschau.de, 02.03.2019
Bundespolizei / Bodycam-Daten landen auf Amazon-Servern

datensicherheit.de, 18.10.2018
IT-Sicherheitsstrategie: Datenverschlüsselung in der Cloud wird wichtiges Kriterium

datensicherheit.de, 25.03.2015
Verschlüsselung in der Cloud: Voraussetzung für sicheren Datenverkehr

[datensicherheit.de, 18.10.2018] Datenverschlüsselung ist seit jeher ein kritischer Bestandteil der IT-Sicherheitsstrategie jedes Unternehmens. Dies gilt in noch größerer Umfang, wenn die Speicherung von Daten auch oder ausschließlich außerhalb des eigenen Rechenzentrums in öffentlichen Clouds wie Amazon Web Services, Microsoft Azure oder Google Cloud Platform erfolgt. Rubrik, spezialisiert auf Cloud Data Management, hat aus diesem Grund einen Leitfaden zum Thema Datenverschlüsselung in der Cloud herausgebracht. Darin beschreibt Rubrik die Grundlagen der Verschlüsselung, die Voraussetzungen der Datensicherheit sowie die Datenverschlüsselung und Schlüsselverwaltung in den drei großen Public Clouds.

Die digitale Transformation hat die Anfälligkeit von Unternehmen für Cyberangriffe deutlich erhöht. Von gestohlenen Verbraucherdaten bis hin zu sensiblen Datenlecks: In den letzten Jahren kam es immer wieder zu teils spektakulären Sicherheitsvorfällen und Datenpannen. Kein Unternehmen und keine Institution scheinen mehr sicher zu sein vor den Hackern, die es auf sensible Daten abgesehen haben.

Die Integration der digitalen Technologie in alle Geschäftsbereiche von Unternehmen hat dazu geführt, dass mehr Daten auf Computern und Websites gespeichert werden. Da immer mehr Mitarbeiter auf einer Vielzahl von Geräten aus der Ferne arbeiten und auf vertrauliche Daten zugreifen, hat sich die Bedrohungslandschaft für Unternehmen erweitert. Der rasante Aufstieg der Public Cloud hat dieses Problem noch verschärft. Die Angriffsfläche, die durch Cyberkriminelle und Hacker bedroht wird, ist deutlich größer geworden.

Aus zahlreichen Gründen, wie falsch konfigurierte Speicherbereiche und nicht gepatchte Schwachstellen, ist es wahrscheinlich und kaum zu vermeiden, dass früher oder später Daten abhandenkommen. Unternehmen sollten daher konsequent den Ansatz verfolgen, alle in ihrem Besitz befindlichen Daten zu verschlüsseln. Dies gilt für Daten, die in Rechenzentren vor Ort gespeichert sind, ebenso wie für Daten, die in Public Clouds abgelegt sind. Nur so lässt sich die Vertraulichkeit aller Daten im Falle eines Sicherheitsvorfalls schützen.

In seinem neuen Leitfaden zur Datenverschlüsselung in der Cloud behandelt Rubrik die folgenden Themen:

• Praktiken zur Reduzierung von möglichen Datenlecks und die Voraussetzungen für die Vertraulichkeit von Daten
• Verschlüsselungsmethoden wie symmetrische Verschlüsselung oder Secret-Key-Verschlüsselung, asymmetrische
• Verschlüsselung oder Public-Key-Verschlüsselung und Envelope-Verschlüsselung
• Schlüsselmanagement und Best Practices
• Schlüsselgenerierung (symmetrisch/asymmetrisch)
• Datenverschlüsselung, also Verschlüsselungsmethoden und Schlüsselverwaltung, in den großen Public Clouds (Amazon Web Services, Microsoft Azure und Google Cloud Platform)
• Server-seitige versus Client-seitige Verschlüsselung in Zusammenhang mit AWS

Datensicherheit erfordert aktuelle technologische Kenntnisse und Fähigkeiten. Anderenfalls können unzureichende und unsichere Lösungen das Ergebnis sein. Mit seinem neuen Leitfaden zur Datenverschlüsselung in der Cloud will Rubrik Führungskräfte und IT-Verantwortliche in Unternehmen auf die Bedeutung der Datenverschlüsselung aufmerksam machen und Optionen für die Datenverschlüsselung aufzeigen.

Weitere Informationen zum Thema:

Rubrik
Data Encryption Guide

datensicherheit.de, 30.09.2018
Cloud Security Alliance eröffnet europäischen Hauptquartier in Berlin

datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware

[datensicherheit.de, 26.01.2015] Die aktuelle Diskussion um die staatliche Einflussnahme auf Verschlüsselung mag nach Ansicht des TeleTrusT angesichts der aktuellen Bedrohungslage von der grundsätzlichen Motivation her zwar nachvollziehbar erscheinen, gleichwohl bedürfe das Thema „Verschlüsselung“ der sorgfältigen Güter- und Interessenabwägung. Der Ansatz, bei Nutzung von Verschlüsselung dem Staat Schlüsselzugang gewähren, beachte unzureichend die politische, rechtliche und technische Dimension. Derartige Erwägungen seien daher  nicht zielführend. Die Politik solle Konsultationsangebote der Fachleute nutzen.

Aus Sicht von TeleTrusT stehen die politischen Forderungen im Gegensatz zur Absicht der „Digitalen Agenda“ der Bundesregierung, Deutschland zum Verschlüsselungsstandort Nr. 1 zu entwickeln. Sicherheitsbehörden haben durch das G10-Gesetz – nach richterlichem Beschluss – ohnehin schon weitreichende Zugriffsmöglichkeiten auf Providerdaten. Regelungen zur Schlüsselhinterlegung oder zur verpflichtenden Implementierung von Zugangsmöglichkeiten für Sicherheitsbehörden würden das sowieso schon angeschlagene Vertrauen in die IT-Wirtschaft und den Schutz durch staatliche Stellen weiter erschüttern. Ohnehin werde dadurch lediglich bestehende, bislang vertrauenswürdige IT-Technologien und -Standards geschwächt, und es sei davon auszugehen, dass kriminelle oder terroristische Organisationen auf andere Möglichkeiten der Kommunikation ausweichen. Folge wäre dann lediglich eine flächendeckende Schwächung der Kryptolandschaft und der IT-Sicherheit unserer Gesellschaft.

TeleTrusT hält eine Einschränkung von Verschlüsselung bzw. ein Verbot starker Verschlüsselung in der Praxis für nicht durchführbar, nicht zweckmäßig und verfassungsrechtlich bedenklich. Ein solches Verbot bedinge eine Reihe von Ausnahmen und Abgrenzungsschwierigkeiten, z.B. hinsichtlich Gesundheitsdaten, Mandantenschutz bei Rechtsanwälten oder Quellenschutz bei Journalisten. Wie solle aber in der Praxis zwischen rechtmäßiger und rechtswidriger Hinterlegung der Schlüssel bzw. Nutzung der Schlüssel durch staatliche Stellen im Einzelfall unterschieden werden, wenn die Daten doch verschlüsselt sind? Wie solle ein Unterlaufen des Verbots, z.B. durch Steganografie, verhindert werden? Insbesondere wäre völlig unklar, wie eine Schlüsselhinterlegung technisch und rechtlich im Rahmen des grenzüberschreitenden Datenverkehrs greifen soll, insbesondere, wenn er durch „unsichere“ Länder erfolge.

Ein universeller Zugriff auf verschlüsselte Kommunikation könne – wenn überhaupt – nur über eine Fülle von nachhaltigen Eingriffen in die Internet-Infrastruktur sichergestellt werden.

Im Internet werden ca. 15 % aller IP-Pakete verschlüsselt; der größte Teil mit SSL, z.B. die Verbindung zwischen Browsern und Web-Servern und ein kleinerer Teil mit IPSec für die Sicherung der Kommunikation zwischen Unternehmen oder Unternehmensteilen. Dies ist bei Weitem zu wenig.

Es sei an der Zeit zu erörtern, wie das Risiko eines Schadens für Bürger und Unternehmen im immer wichtiger werdenden Internet auf ein akzeptables Maß reduziert werden kann, z.B. durch stärkere Verbreitung und Nutzung von Verschlüsselungsanwendungen.

Eine Gesellschaft, die durch ihre freiheitliche, demokratische Verfassung auf die Eigenverantwortung des Einzelnen setzt, benötige die Gewissheit, dass der Einzelne seine Privatsphäre wirksam schützen kann. Ungeachtet dessen muss sie darauf vertrauen können, dass auch die staatlichen Stellen ihrem verfassungsrechtlichen Auftrag zum Schutz der Grundrechte der Bürger hinreichend nachkommen.

[datensicherheit.de, 16.12.2011] Das „SC Magazine“ hat WinMagic, einem Hersteller von Datensicherheitslösungen für mobile Endgeräte, die Auszeichnung „Innovator des Jahres“ im Bereich Verschlüsselungslösungen zuerkannt:
WinMagic gehört zu einer Reihe von Unternehmen, die in der Ausgabe Dezember 2011 des Magazins in der Rubrik „Innovator“ gelistet werden – Unternehmen, die nach Einschätzung der Publikation durch ihre Visionen, Ideen und Kreativität eine Führungsrolle in der Sicherheits-Branche einnehmen. Gewürdigt worden seien WinMagics zahlreiche Innovationen in den Bereichen Verschlüsselung und Datensicherheit seit der Firmengründung 1997.
Hervorgehoben wird als neuestes Produkt „SecureDoc PBConnex“ als branchenweit erste Festplattenverschlüsselungslösung mit einer Netzwerkanbindung bereits in der Pre-Boot-Phase. Encryption-Technologie sei normalerweise zu kompliziert und komplex – Verschlüsselungslösungen sollten aber einfach zu bedienen sein, einen effizienten Schutz bieten und einen unterbrechungsfreien Betrieb ermöglichen, betont Peter Stephenson, „Technology Editor“ beim „SC Magazine“, in Hinblick auf die Schwachstelle bisheriger Lösungen. „PBConnex“ sei ein wichtiger Meilenstein in einer längeren Reihe von WinMagic-Innovationen. Das Unternehmen sei der erste Anbieter einer Festplattenverschlüsselungslösung mit einem Schlüsselmanagement auf Basis eines Key-Labeling-Designs, erläutert Stephenson. Zudem habe WinMagic im Client-Bereich die Verwendung des kryptografischen Token-Schnittstellenstandards „PKCS#11“ eingeführt und eine Verschlüsselungslösung für Floppy-Disks, ZIP-Dateien und USB-Sticks vorgestellt. Im Laufe der Jahre habe das Unternehmen unter anderem Verschlüsselungslösungen für die US-Regierung und die U.S. National Security Agency entwickelt. Nicht zuletzt habe es die erste NIST-Zertifizierung für den „Advanced Encryption Standard“ (AES) erhalten.
Mit „PBConnex“ sei es nicht erforderlich, Zugriffsrechte für jeden Benutzer und jedes Gerät manuell zu erteilen und zu entziehen oder einen automatischen Betriebssystemstart (Autoboot) zuzulassen. Werde bei herkömmlichen Lösungen zur Verschlüsselung der Festplatte über Nacht eine neue Software installiert, müsse sich das verschlüsselte Gerät im Autoboot-Modus befinden – der eigentlich vorgesehene Schutz der Daten sei dann außer Kraft gesetzt und das System ungesichert. Mit „PBConnex“ könnten Systemadministratoren neue Software ohne eine Gefährdung der Sicherheit implementieren, denn das System registriere während des Bootens vom Netz genommene Geräte und verweigere dann sofort den Zugriff auf die Daten.
Stephenson hebt zudem WinMagics Ansatz hervor, in enger Zusammenarbeit mit den Kunden innovative Lösungen für reale Datensicherheitsprobleme zu entwickeln. Die Anpassung von Lösungen an ihre eigenen Anforderungen bedeute für die Kunden einen Mehrwert – als Innovator nutze WinMagic gerade die speziellen Kundenanforderungen für die Integration von Verbesserungen in das Produkt.

Weitere Informationen zum Thema:

WINMAGIC DATA SECURITY
PBConnex / Lösungen für die Computer- und Netzwerksicherheit

SC MAGAZINE, Peter Stephenson, 01.12.2011
Products: Industry Innovators / Encryption