Die Uniki-Gründer mit zwei Versionen ihres ELLY-Servers.
© ELLY

Neu

ELLY liefert Passwortmanager für sichere und unkomplizierte Passwort-Verwaltung im Team

Schluss mit Passwörtern auf Post-its, nie mehr Teilen von Zugangsdaten über Messenger. Mit der Integration des Passwort Managers Bitwarden ermöglicht Uniki das sichere Speichern und Verwalten von Passwörtern im Team auf demPrivate Cloud Server ELLY. Laut einer internationalen Studie des Ponemon Instituts und des Security-Token-Herstellers Yubico setzen 41 Prozent der Unternehmen immer noch auf Post-its, um sich ihre Passwörter zu  merken.
Nicht einmal jeder dritte Befragte gab an, dass dessen Unternehmen einen Passwort Manager nutzen würde1. Dabei  gelten  die  Datentresore  als  einfache und  sichere Methode,  um  Passwörter  zu  verwalten.  Denn die verschlüsselten Datenbanken lassen sich nur durch ein Masterpasswort einsehen. Der Haken? Viele Unternehmen scheuen sich davor, einem fremden Anbieter die eigenen Zugangsdaten anzuvertrauen. 

Das Tech-StartupUniki bietet aber nun die Möglichkeit, einen Passwort Manager zu nutzen und gleichzeitig die hundertprozentige Hoheit über alle Daten zu behalten. Der Schlüssel ist deren Private Cloud Server ELLY, der ab sofort auch die Anbindung des Passwort ManagersBitwarden bietet. Allen Nutzern steht damit eine weitere App zur Verfügung, die für noch höhere Datensicherheit im Office wie im Homeoffice sorgt.

Die Open-Source-Software lässt sich mit nur einem Klick in den Private Cloud Server integrieren und ermöglicht das Teilen, Speichern und Generieren von Zugangsdaten nach den höchsten Sicherheitsstandards.Wie sicher ist die Auslagerung von Passwörtern in die Cloud? Der  Private  Cloud  Server  ELLY  vereint  Cloud-Komfort  bei  maximaler  Datenhoheit  in  einem elegantem Aluminium-Gehäuse.

Nutzer profitieren also von den Vorteilen des Arbeitens mit einer Cloud-Infrastruktur, wissen aber gleichzeitig, dass ihre Daten in einem haptischen Server im  eigenen  Büro  Ende-zu-Ende-verschlüsselt  sicher  sind.Über  die  Benutzeroberfläche  von ELLY können Unternehmen ganz einfach verschiedene Cloud-Anwendungen installieren. Mit Bitwarden ist nun ein weiteres Tool integrierbar, das die Sicherheit der Zugangsdaten auf ein neues  Level  erhebt. Optional  lässt  sich  die  Anwendung  mit Zwei-Faktor-Authentifizierung nutzen, sodass selbst das Masterpasswort doppelt abgesichert ist.

Die Funktionen von Bitwarden im Überblick:

  • Sicheres Teilen von Zugangsdaten für gewünschte Personen(kreise)
  • Übersichtliche Verwaltung der Zugangsdaten in Sammlungen und Ordnern
  • Multi-Device Synchronisation: Durch die mobile App ermöglicht Bitwarden den Zugang auch auf dem Smartphone, Tablet und Laptop
  • Passwort-Generator: Bei Bedarf erstellt Bitwarden ein hochsicheres Kennwort, das den jeweiligen Anforderungen entspricht
  • Unbegrenzte Einträge und Suchfunktion
Wer  sich  von  der  Funktionalität  ein  Bild  machen  möchte,  kann  Bitwarden  nun  für  14  Tage testen. Uniki bietet eine virtuelle Testversion des ELLY-Serversund zeigt darin, wie einfach sich der Passwort Manager oder andere Anwendungen installieren lassen.

https://www.yubico.com/wp-content/uploads/2020/02/Ponemon-Infographic-2020-final.pdf

 

Gerichtssitz in Luxemburg (2006)
© Cédric Puisney from Brussels, Belgium - European Court of Justice - Luxembourg, CC BY 2.0, https://commons.wikimedia.org/w/index.php?curid=34942382

Datentransfer in die USA: Europäischer Gerichtshof kippt auch das EU-US-Privacy-Shield

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.
Max Schrems (2016)
© Manfred Werner - Tsui - Eigenes Werk, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=46459262
Die Datenschutz-Grundverordnung1 (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet2.

Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen3.

Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen4. Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde unter anderem mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour-Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I)6. Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren.

Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Dieirische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge.

Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes8. Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen.

Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf. Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte.

Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist.

Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrechterforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln.

Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschlusswirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.

Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat-und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interessesund der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden.

Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren.

Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, das heißt Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.

 

Quellen:

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl.2016, L119, S.1).
2 Art.45 der DSGVO.
3 rt.46 Abs.1 und Abs.2 Buchst.c der DSGVO.
4 Art.49 der DSGVO.
5 Entscheidung der Kommission vom 26.Juli 2000 gemäß der Richtlinie 95/46/EGdes Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl.2000, L215, S.7).
6 Urteil des Gerichtshofs vom 6.Oktober 2015, Schrems, C-362/14(vgl. auch Pressemitteilung Nr.117/15).
7 Beschluss der Kommission vom 5.Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates(ABl.2010, L39, S.5) in der Fassung des Durchführungsbeschlusses (EU) 2016/2297 der Kommission vom 16.Dezember 2016 (ABl.2016, L334, S.100).
8 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl.2016, L207, S.1).

 

Sicherheitsanalysten suchen am häufigsten Informationen zu Trojanern, Backdoors und Droppern 

Fast drei Viertel (72 Prozent) der analysierten schädlichen Dateien, die über die kostenfreie Version von Kaspersky Threat Intelligence Portal [1] eingereicht wurden, waren Trojaner, Backdoors oder Dropper [2]. Die Analyse der eingereichten Daten zeigt zudem, dass die Malware-Typen, die von den Forschern am häufigsten untersucht werden, nicht unbedingt mit den am weitest verbreiteten übereinstimmen.
Die Erkennung schädlicher Aktivitäten bildet nur den Ausgangspunkt für die Untersuchung eines Angriffs. Um Reaktions- und Abhilfemaßnahmen zu entwickeln, müssen Sicherheitsanalysten das Angriffsziel, den Ursprung eines schädlichen Objekts, dessen Popularität und vieles mehr identifizieren. Das Kaspersky Threat Intelligence Portal hilft Analysten bei der Erforschung dieser Hintergründe.

Kaspersky-Experten haben die Anfragen an das Kaspersky Threat Intelligence Portal, die kostenfrei zwischen November 2019 und Mai 2020 getätigt wurden, untersucht, um herauszufinden, mit welchen Bedrohungen schädliche Objekte, die das Portal verarbeitet, am häufigsten in Verbindung gebracht werden. In den meisten Fällen erwiesen sich eingereichte Hashes oder verdächtige hochgeladene Dateien als Trojaner (25 Prozent der Anfragen), Backdoors (24 Prozent) - Malware, die einem Angreifer die Fernsteuerung über einen Computer ermöglicht - und Trojaner-Dropper (23 Prozent), die weitere schädliche Objekte installieren. Die Statistiken des Kaspersky Security Network [3], das cybersicherheitsrelevante Daten, die von Millionen freiwilliger Teilnehmer weltweit geteilt werden, analysiert, zeigen, dass Trojaner auch in der Regel die am weitest verbreitete Art von Malware darstellen. Backdoors und Trojaner-Dropper sind hingegen nicht so häufig vertreten - diese machen lediglich 7 beziehungsweise 3 Prozent aller bösartigen Dateien aus, die von Kaspersky-Endpoint-Lösungen blockiert werden.

Früherkennung versus Analyse

Dieser Unterschied lässt sich dadurch erklären, dass Sicherheitsforscher oft eher am finalen Ziel des Angriffs interessiert sind, während Endpoint-Lösungen versuchen, eine Attacke bereits in einem frühen Stadium zu verhindern. Beispielsweise erlauben sie einem Nutzer nicht, schädliche E-Mails zu öffnen oder einem maliziösen Link zu folgen, wodurch verhindert wird, dass Backdoors den Computer des Users kompromittieren. Sicherheitsanalysten müssen jedoch alle Komponenten innerhalb eines Droppers identifizieren.

Zu begründen ist dies auch mit dem Interesse an bestimmten Bedrohungen und dem Drang der Forscher, diese genauer zu analysieren. Als zu Beginn des Jahres viele Nachrichten zu Emotet [4] erschienen, suchten viele Nutzer zum Beispiel aktiv nach Informationen zu diesem Schadprogramm. Eine Reihe von Anfragen betrafen zudem Backdoors für die Betriebssysteme Linux und Android. Diese Malware-Familien sind für Sicherheitsforscher von Interesse, aber ihre Anzahl ist im Vergleich zu Bedrohungen, die auf Microsoft Windows abzielen, relativ gering. 

"Wir haben festgestellt, dass die Anzahl kostenfreier Anfragen an das Kaspersky Threat Intelligence Portal zur Überprüfung von Viren oder Codeteilen, die andere Programme kompromittieren, sehr gering ist - weniger als ein Prozent", kommentiert Denis Parinov, Acting Head of Threats Monitoring and Heuristic Detection bei Kaspersky. "Jedoch gehören diese erfahrungsgemäß zu den am weitest verbreiteten Bedrohungen, die von Endpoint-Lösungen erkannt werden. Diese replizieren sich selbst und implementieren ihren Code in andere Dateien, was dazu führen kann, dass eine große Anzahl schädlicher Dateien auf einem infizierten System erscheint. Wie wir sehen können, sind Viren für Forscher selten von Interesse, höchstwahrscheinlich weil ihnen im Vergleich zu anderen Bedrohungen das Moment des Neuen fehlt." 

Das Kaspersky Threat Intelligence Portal bietet einen Zugriff auf die Threat Intelligene-Daten des Unternehmens und stellt dort alle Informationen und Erkenntnisse zu Cyberangriffen, die Kaspersky in mehr als 20 Jahren gesammelt hat, zur Verfügung. Ein kostenloser Zugang zu ausgewählten Funktionen, mit denen Nutzer Dateien, URLs und IP-Adressen überprüfen können, ist verfügbar unter https://opentip.kaspersky.com/.

 

Quellen:

[1] https://www.kaspersky.de/about/press-releases/2019_kaspersky-stellt-kostenfrei-bedrohungsinformationen-zur-verfuegung
[2] https://opentip.kaspersky.com/
[3] Die Analyse von Kaspersky basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern.
[4] https://www.heise.de/thema/Emotet

Nützliche Links:

Kaspersky Threat Intelligence Portal: https://opentip.kaspersky.com/

 

© PSW Group

Kommt der Staatstrojaner?

Überwachung von Internet- und Mobilfunkanbietern sowie kommerziellen WLAN-Betreibern soll ausgeweitet werden

Verschlüsselung ist Strafverfolgungs- und anderen Behörden ein Dorn im Auge: US-Senatoren haben nun einen Gesetzentwurf gegen Verschlüsselung vorgelegt. Aber auch hierzulande sollen Behörden mit dem Staatstrojaner erweiterte Befugnisse erhalten. Deutschen Geheimdiensten soll es künftig möglich sein, Internet- sowie Mobilfunkanbieter und kommerzielle WLAN-Betreiber verpflichten zu können, Überwachungssoftware direkt auf den Geräten von verdächtigen Personen zu installieren.

„Der neue US-Gesetzesentwurf zum „Zugriff von Strafverfolgern auf verschlüsselte Daten“ käme einem Aus der Ende-zu-Ende-Verschlüsselung gleich. Die Gesetzesvorlage würde die warrant-proof Verschlüsselung in Geräten, Plattformen und Systemen beenden. So sollen verschlüsselte Inhalte, beispielsweise von Chats oder auch Datensicherungen, der breiten der Öffentlichkeit nur dann zur Verfügung stehen, wenn der jeweilige Provider einen Nachschlüssel besitzt“, zeigt sich Patrycja Tulinska. IT-Sicherheitsexpertin besorgt.

Die Geschäftsführerin der PSW GROUP (www.psw-group.de) erklärt: „Unter „warrant-proof“ versteht man eine starke Verschlüsselung. Ausschließlich der Gerätebesitzer kann mithilfe seines privaten Schlüssels die Daten entsperren. Würde das Gesetz verabschiedet werden, entstünde ein „Backdoor-Mandat“, das Hard- und Software-Hersteller zum Einbauen einer Hintertür zwingt.“

Strafverfolger sollen so auf sämtliche Inhalte zugreifen können – aber auch Cyberkriminelle können die gleichen Hintertüren für ihre Attacken ausnutzen. Allerdings: Nicht nur die USA suchen nach Mitteln und Wegen, Überwachungsmöglichkeiten möglichst breit zu fächern. Auch in Deutschland gibt es entsprechende Pläne: Deutsche Geheimdienste sollen die Befugnis erhalten, Geräte mit Staatstrojanern zu hacken, um so die Kommunikation abhören zu können.

Die Überwachungsprogramme können beispielsweise über Downloads von Apps, Besuche von Websites oder Updates auf den Zielgeräten installiert werden. Diskutiert wird der Entwurf eines Gesetzes zur Anpassung des Verfassungsschutzrechts (PDF). Das Innenministerium arbeitet bereits seit 2019 an diesem Gesetzentwurf, nach dem der Verfassungsschutz einen Staatstrojaner erhalten soll.

Am Mittwoch, den 15. Juli 2020, hat die Bundesregierung den Gesetzentwurf in der Kabinettsitzung beschlossen. Damit steht fest: Das Verfassungsschutzrecht zur Bekämpfung von Rechtsterrorismus und Extremismus soll geändert werden. Nun muss der Bundestag den Gesetzentwurf weiter diskutieren. „Mit dem Gesetzentwurf wird nicht nur an einem Gesetz für den Bundesverfassungsschutz gearbeitet, sondern sechs Gesetze sowie eine Verordnung umgestaltet.

Das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses erlaubt den 16 Inlandsgeheimdiensten der Bundesländer, dem Auslandsgeheimdienst BND und dem Militärgeheimdienst MAD den Staatstrojaner einzusetzen“, so Tulinska. Sie kritisiert: „Das bedeutet im Klartext: Deutsche Geheimdienste bekommen die Befugnis, Geräte von Verdächtigen mit der staatlichen Spionagesoftware zu hacken und die Kommunikation abzuhören. Damit ist die Realität hierzulande nicht sehr weit von den US-Plänen entfernt. In Deutschland lassen die Geheimdienste lediglich Hardware bei den Telekommunikationsanbietern installieren, um so die Überwachungssoftware in den Datenverkehr einzuschleusen.“

-PM PSW Group-

 

Seite 1 von 2