Kategorien
E-Business Rechtliches

Datenschutzrückblick 2013: Von Pfeifen und anderen Katastrophen

Das Jahr 2013 stand ohne Zweifel im Zeichen des Whistleblowers Edward Snowden. Snowden zeigte der Welt, dass es Datenstaubsauger gibt, die im Zweifelsfall auch illegale Methoden anwenden, um weltweit an alle verfügbaren Informationen zu gelangen. Limitiert werden NSA & Co. derzeit nur von den unglaublichen Datenmassen, die wahrscheinlich noch nicht komplett in Echtzeit analysiert oder länger als für ein paar Tage gespeichert werden können. Es geht bei diesem Datenschutzrückblick allerdings nicht nur um die Tätigkeit der Geheimdienste. Neben den behördlichen Staubsaugern gab es auch letztes Jahr wieder unvorsichtige Unternehmen, die zu regelrechten Datenschleudern mutiert sind. Wir fassen in unserem Rückblick die peinlichsten Pannen des Jahres 2013 zusammen. Wenn ein „Tiefschlag“ fehlen sollte, bitten wir um Rücksicht und darum, das fehlende Event unbedingt in den Kommentaren zu verewigen.

800px-NSOC-2012-w640

Wer unseren letzten Datenschutzrückblick gelesen hat, der weiß, dass Datenschutz vieles sein kann. Nicht den Vornamen der Ehefrau als Passwort zu verwenden gehört genauso dazu, wie die Reduzierung der eigenen im Web gestreuten persönlichen Angaben. Nicht nur Privatpersonen, auch Unternehmen können sehr effektiv für mehr Schutz sorgen. Das gilt gleichermaßen für die Daten ihrer Kunden, als auch die ihrer Mitarbeiter. Es ist auffällig, dass die meisten Journalisten trotz der immer neuen Enthüllungen von Snowden bis heute keine E-Mails verschlüsseln. Truecrypt für verschlüsselte Container oder ganze Festplatten ist einfach zu bedienen. OpenPGP für einen E-Mail-Client einzurichten ist hingegen zeitaufwendig. Wer mit dem Smartphone oder Tablet-PC unterwegs ist, für den ist die Verschlüsselung sehr hinderlich bei der Kommunikation per E-Mail.

Wahrscheinlich liegt es auch daran, weil man Überwachung nicht riechen, hören, schmecken oder fühlen kann. Wenn uns Behörden und Geheimdienste tagtäglich bespitzeln, so passiert dies komplett im Verborgenen. Sie vollziehen ihre Arbeit höchst effektiv aber absolut geräuschlos. Bis auf die stetigen Warnrufe einiger weinger IT Spezialisten bekommt man davon nichts mit. Leider werden schlechte Nachrichten durch ständige Wiederholung nicht besser. Haben wir uns vielleicht schon ein wenig an die vielen Desaster und die ständige Bespitzelung gewöhnt? Sind wir weniger daran interessiert, weil wir uns nichts zuschulden kommen lassen und glauben, man könne uns ruhig im Web zusehen? Oder ist der Grund vielmehr darin verborgen, weil es zur E-Mail-Verschlüsselung noch immer keine massentaugliche Lösung gibt?

Verwaltung benutzt Toilette als Zwischenlager für Akten

Wie man an diesem Fall sieht, beschränkt sich Datenschutz nicht nur auf Informationen in digitaler Form. Als Mitte Januar ein Abgeordneter des Göttinger Rathauses auf die Toilette ging, staunte er nicht schlecht. Ein Verwaltungsmitarbeiter hatte einen Karton mit 2.000 Blättern auf der Toilette deponiert oder sogar vergessen. Nach offiziellen Angaben wurden die sensiblen Informationen dort nur zwischengelagert, bevor sie vernichtet werden sollten. In der Datentoilette wurden so „einigermaßen aktuelle“ ärztliche Befunde, Betreuungsvereinbarungen, Kostenerstattungen psychosozialer Behandlungen, Hartz IV-Bescheinigungen und vieles mehr aufbewahrt. Als Reaktion tauchte der zuständige Fachbereichsleiter im Fraktionsbüro des Finders auf, um die Herausgabe der Unterlagen zu verlangen. In der Stellungnahme hieß es, die Gesetzgebung werde von den Mitarbeitern vollumfänglich beachtet. Das Ganze sei auch nicht so schlimm, weil es keine öffentliche Toilette war. Da der Abgeordnete der Schweigepflicht unterliegt, liege folglich gar kein Datenverlust vor. Schade auch! Das klingt nicht gerade so, als wenn die Göttinger Stadtverwaltung etwas aus diesem Vorfall gelernt hätte.

Aldi Süd: Detektiv sollte Mitarbeiter ausspionieren

Ebenfalls im Januar wurde ein erneuter Skandal bei Aldi Süd bekannt. Nach Angaben des Nachrichtenmagazins Der Spiegel wurden Detektive gezielt darauf angesetzt mit versteckten Kameras eigene Mitarbeiter zu überwachen und Auffälligkeiten zu melden. Auch in den Umkleidekabinen sollten zu diesem Zweck Miniaturkameras installiert werden. So sollte geklärt werden, ob es finanzielle Engpässe bei Beschäftigten gab, und ob es zu privaten Beziehungen zwischen den Mitarbeitern kam. Als sich der freiberuflich tätige Detektiv weigern wollte, wurde ihm von einem Manager der Konzernzentrale ein Aus aller Aufträge angedroht. Spionagevorwürfe der eigenen Belegschaft wurden bereits im Frühjahr 2008 laut. Die Konzernleitung von Aldi hatte diese stets zurückgewiesen.

Als Reaktion sollte eigentlich das Beschäftigtendatenschutzgesetz modernisiert werden. Ende Januar nahm die Koalition den Entwurf kurzfristig wieder von der Tagesordnung. Diverse Gewerkschaften hatten im Vorfeld vor dem Entwurf gewarnt. Auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisierte öffentlich die geplante Lockerung der Videoüberwachung und der Datenerhebung im betrieblichen Bewerbungsverfahren. Das zeigte in mehrfacher Weise Wirkung. Gleich zu Anfang der Großen Koalition wurde Schaar abgesetzt. Da seine Nachfolgerin als weniger skeptisch gilt, sind von der CDU-Politikerin deutlich weniger kritische Zwischentöne zu erwarten.

Google zahlt Strafe aus der Portokasse

In den USA wurde im März 2013 das Verfahren gegen Google beendet. Dem Unternehmen wurde vorgeworfen, bei den Aufnahmen für den Dienst Street View auch unzählige Daten aus WLAN-Netzwerken mitgeschnitten zu haben. Neben den MAC-Adressen, SSIDs und URLs wurden auch unzählige Passwörter im Jahr 2010 gespeichert und langfristig aufbewahrt. Gegen Zahlung von umgerechnet 7 Millionen Euro war Google aus der Sache raus. Verglichen mit einem Jahresgewinn von 13,4 Milliarden Dollar im Jahr 2012, war die auferlegte Strafe ehedem kaum der Rede wert. In Deutschland wurde ein vergleichbares Verfahren gleich komplett eingestellt. Das Unternehmen konnte hierzulande nachweisen, dass die gespeicherten Daten zu keinen fremden Zwecken benutzt und gelöscht wurden.

FDP-Plattform Opfer von Hackerangriffen

Im April 2013 attackierten Mitglieder von Anonymous mit Erfolg das liberale Portal „meine-freiheit.de“ und veröffentlichten unter anderem die Zugangsdaten von prominenten FDP-Politikern im Netz. Da viele Menschen ihre Passwörter mehr als einmal verwenden, könnte es durch die Bekanntgabe der Logindaten von 37.000 Betroffenen zu Folgeschäden gekommen sein. Die verschlüsselten Passwörter seien leicht zu knacken, gab Anonymous Deutschland bekannt. Man gelangte in das interne Netzwerk durch schwache Passwörter von Administratoren und die Verknüpfung einiger Accounts mit mehreren Social-Media-Diensten. Die liberale Plattform wirbt dafür, dass man sich dort auch über diverse verknüpfte soziale Netzwerke einloggen kann. Für die Nutzer mag dies bequem sein. Für Angreifer macht es die Angelegenheit leichter, wenn sie über ein fremdes Portal Zugriff auf interne Bereiche erlangen können. Man sieht wieder: Jede Bequemlichkeit hat ihren Preis.

IMG_4923-1300x866-w640

Webhoster Hetzner: Kundendaten und Zahlungsinformationen erbeutet

Im Juni 2013 teilte der Webhoster Hetzner mit, dass es Cyberkriminellen gelang, über die Verwaltungsoberfläche „Robot“ in die Server des Anbieters einzudringen. Sie konnten dabei auf alle hinterlegten Kundendaten, Zahlungs- und Kreditkarteninformationen zugreifen. Die eingespielte Schadsoftware (Rootkit) führte dazu, dass eine Aufdeckung des virtuellen Einbruchs erschwert wurde. Obwohl die Passwörter der Nutzer verschlüsselt waren, wurden alle Kunden zur Eingabe neuer Passwörter aufgefordert. Auch die Kreditkarteninformationen sollen nach Firmenangeben unvollständig sein. Zweifel hat Hetzner aber noch, ob die Details der Lastschriftverfahren nicht mit ebenfalls heruntergeladenen Kryptoschlüsseln entschlüsselt werden konnten. Wie sich die Cyberkriminellen Zugriff verschafft haben, um ihr neuartiges Rootkit einzuspielen, das von keinem Detektoren erkannt wurde, ist nicht bekannt.

Xbox One & Google Glass: Neue Sammelstellen für Daten lassen aufhorchen

Die neue Spielkonsolengeneration der Xbox wurde von Microsoft erstmals im Mai vorgestellt. Pünktlich zum Weihnachtsgeschäft kam die Xbox One dann auch in Europa auf den Markt. Die neue Kamera ist neben der Steuerung dazu in der Lage, zahlreiche Informationen von ihren Nutzern einzusammeln. Nicht nur, dass die neue Kinect den Nutzer erkennen kann. Sie kann auch sehen, ob der Anwender traurig, fröhlich oder neutral gestimmt ist. Das Gerät kann sogar den Puls messen, weil die Blutzirkulation im Gesicht erfasst wird. Da das Entertainment-Gerät rund um die Uhr online ist, könnte Microsoft zu Marktforschungszwecken auswerten, wie Werbespots bei den Zuschauern ankommen. Auch könnte getestet werden, wie man sie optimieren könnte. Geht die Mehrheit der Anwender auch beim neuen Fernsehspot auf die Toilette? Bei welchen Gags lachen die meisten Zuschauer? Wobei werden die positivsten Reaktionen hervorgerufen?

glass
Glass, Bildquelle: Google

Google Glass ist noch lange nicht marktreif, befindet sich aber seit vielen Monaten in der Erprobung. Die Datenbrille überträgt nicht nur Informationen zum Wohl des Trägers aus dem Internet. Sie kann auch einzelne Bilder oder Videos samt Ton ins Web übertragen. Im Gegensatz zu einem Smartphone können die Aufnahmen völlig unbemerkt erfolgen. Da Google auch sonst vor keiner Nutzung von Daten zurückschreckt, hagelte es überall auf der Welt Proteste. In der Datenschutzerklärung behält sich das Unternehmen schon jetzt vor, dass man die Daten aus unterschiedlichen Diensten zu einem Nutzerprofil zusammenführen will. Soll heißen: Wer das Gerät benutzt, verliert die Kontrolle über die Verwendung aller aufgezeichneten Informationen. Davon sind auch die Personen betroffen, die zufällig oder ungewollt aufgenommen wurden. Derzeit wird aber noch von erheblichen Akkuproblemen berichtet, weil sowohl die GPS-Ortung als auch die Internetverbindung sehr viel Strom verbraucht. Möglicherweise kommen die ersten serienreifen Geräte erst im Jahr 2015 auf den Markt.

LinkedIn: Bücher und Gemälde aus geklauten Passwörtern

Wer sich hierzulande mit anderen Geschäftsleuten vernetzten will, nutzt dafür zumeist Xing. In anderen Nationen wird dafür das Portal linkedin.com bevorzugt eingesetzt. Im Mai tauchten in einem einschlägigen russischen Hackerforum über 6 Millionen Passwörter in verschlüsselter Form auf. Schon 24 Stunden später wurde über Twitter gemeldet, man habe die Hälfte der Hashes entschlüsselt, der Rest folgte kurze Zeit später. Der deutsche Künstler Aram Batholdi machte aus der Not eine Tugend. Er veröffentlichte alle aufgetauchten Passwörter in acht dicken Bänden. „Forgot your passwort?“ Wer sein Passwort doppelt nutzt und suchen sollte, kann seines im Klartext bis zum 20. Januar 2014 auf der Unpainted Media Art Fair in München bewundern. Die Passwörter werden in München zudem als großflächige Bilder an die Wand gehängt. Privat waren sie schon vorher nicht mehr …

Snapchat: 4,6 Millionen Accountdaten abgesaugt

Im August 2013 veröffentlichte das australische Sicherheitsteam Gibson Security erste Details zu zahlreichen Sicherheitslücken bei Snapchat. In den USA wird diese Sexting-App gerne von jüngeren iOS- und Android-Anwendern zum Austausch von Bildern und Videos verwendet. Der Dienst ist dort so populär, dass den Snapchat-Betreibern ein Übernahmeangebot von Facebook in Höhe von drei und von Google in Höhe von vier Milliarden US-Dollar gemacht wurde. Sie lehnten beide Angebote ab und reagierten auch nicht auf diverse Mitteilungen der australischen Datenschützer.

Gibson Security gab im Sommer letzten Jahres bekannt, die Auswertung der Telefonnummern aller 4,6 Millionen Nutzer samt User-, Vor- und Nachnamen könne innerhalb von 20 Stunden erfolgen. Snapchat hätte nur etwa zehn Zeilen Code der Apps ändern müssen, um das Auslesen der Informationen zu verhindern. Am Weihnachtsabend veröffentlichte Gibson Security dann die selbst nachprogrammierte API, um den Anbieter zusätzlich unter Druck zu setzen.

snapchat-w640

Als wenige Tage später von Unbekannten unter snapchatdb.info die Daten nahezu aller User veröffentlicht wurden, gab Snapchat alleine den australischen Datenschützern die Schuld am Dilemma. Im ersten Anlauf entschuldigte sich das Unternehmen nicht einmal bei den eigenen Usern wegen der Panne. Wahrscheinlich hätte ein einzelner Programmierer die ganzen Bugs im Alleingang binnen weniger Tage fixen können. Es bleibt wohl für immer ein Geheimnis, wieso ein milliardenschweres Unternehmen viereinhalb Monate braucht, um endlich eine sichere Version der App zu veröffentlichen.

Facebook ändert mal wieder die Regeln

Im September führte Facebook mal wieder zum eigenen Vorteil neue Regelungen ein. In den Nutzungsbedingungen räumt sich Zuckerbergs Konzern das Recht ein, dass man den Namen, Profilbilder, Inhalte und Informationen aller Nutzer an Unternehmen verkaufen darf. Das zahlende Unternehmen darf die Informationen in Werbeanzeigen nutzen und ihre Werbung somit gezielter ausliefern. Die Nutzer haben keinen Einfluss mehr darauf, wer ihre Bilder verwendet und zu welchem Zweck.

EC-Karten-Netzbetreiber easycash sammelt Daten ohne Auftrag

Der Ratinger EC-Karten-Netzbetreiber easycash geriet im September in die Schlagzeilen. Die Einkäufe von 50 Millionen Bankkunden sollen gespeichert worden sein, um für Partnerfirmen die Kreditwürdigkeit der Konsumenten zu überprüfen. Das Unternehmen speicherte offenbar alle Transaktionen der eigenen EC-Kartengeräte in Supermärkten und Einzelhandelsgeschäften.

Das Unternehmen hat sich darauf spezialisiert, die Kunden per Unterschrift bezahlen zu lassen. Dieses Verfahren ist im Vergleich zur Angabe der Geheimnummer preiswerter, dafür beinhaltet es ein größeres Risiko. Die Kunden erhalten die Ware auch dann, wenn das Konto gnadenlos überzogen oder gesperrt ist. Die Datensammlung ohne explizite Einwilligung der Betroffenen sollte für alle beteiligten Unternehmen das Risiko mindern.

Thilo Weichert bezeichnete das Vorgehen schlichtweg als „Schweinerei“. easycash hingegen gab bekannt, man befolge peinlich genau alle datenschutzrelevanten Vorschriften des Bundesdatenschutzgesetzes. Wie dem auch sei. Vielleicht hätte die Geschäftsleitung bei ihrer ausgeprägten Sammelleidenschaft besser eine Umbenennung des Unternehmens in easycrawl durchführen sollen.

Geheimdienste knacken Online-Protokolle zur Verschlüsselung

Ebenfalls im September 2013 wurde bekannt, dass Online-Protokolle wie HTTPS oder SSL nicht effektiv vor den Aktivitäten der Geheimdienste schützen. Die Verschlüsselungsmethoden funktionieren zwar, die Geheimdienste haben sich aber im Vorfeld Hintertüren zu eigenen Zwecken einrichten lassen. Amerikanische und britische Geheimdienste sollen nachweislich die Verschlüsselung umgehen oder teilweise auch knacken.

Edward Snowden veröffentlicht noch immer zusammen mit unterschiedlichen Medien alle vier Wochen neue Details zu den NSA-Aktivitäten. Im Laufe der Zeit wird klar, dass nahezu weltweit kein Router, keine Festplatte, PC oder Smartphone vor den Aktivitäten der Behörden sicher ist. Jeder Hersteller, der seine Hardware oder Software zum Verkauf anbieten will, muss nach den Vorgaben der US-Gesetze kooperieren. Man muss kein Verschwörungstheoretiker sein um zu erkennen, dass die Geheimdienste dabei grundsätzlich keine Ausnahmen machen. Vor ihren Aktivitäten ist nichts und niemand sicher.

datenschutz-kopp

Was tun?

Die einzige Möglichkeit sich davor zu schützen besteht darin, selbst so wenig Daten wie möglich zu erstellen. Das ist aber in unserer zunehmend von Technik dominierten Welt leichter gesagt als getan. Jedes moderne Smartphone schleudert seine Daten drahtlos im Minutentakt über den „Äther“. Jede App und jeder Dienst will ständig wissen, wo wir uns gerade aufhalten. Wer das abschaltet, kann sein Gerät nur noch sehr eingeschränkt benutzen. Doch selbst das wäre keine Lösung. Auch ohne Handy oder Tablet-PC werden wir unterwegs von Mautbrücken und Überwachungskameras aufgenommen.

Letztlich bleibt einem nur die Option, bei der Produktion der eigenen Spuren so sorgsam und bewusst wie möglich vorzugehen. Das mag einfach klingen, das ist es aber nicht. Sollten wir bis zum nächsten Datenschutzrückblick einen geeigneten Weg finden, ohne wie die Verschwörungstheoretiker einen Aluhut aufzusetzen, werden wir Sie es gerne wissen lassen.

Kategorien
Essentials Freebies, Tools und Templates

Weg von amerikanischen Cloud-Speichern? Avira Secure Backup bietet Online-Backup auf deutsch

PRISM wird zu einem veränderten Umgang mit Daten führen. Das wird man schon als sicher erachten dürfen. Vielleicht spielt sich der Wechsel weniger im Privaten ab, aber Unternehmen und öffentliche Einrichtungen stehen in großer Zahl vor Strategiewechseln. Der Trend dürfte ganz klar und eindeutig lauten: Weg von amerikanischen Servern. Der deutsche Anbieter Avira, bekannt für seine Antiviren-Software, bietet neuerdings auch eine sichere Backup-Lösung mit Cloud-Speicher an. Wir haben uns das Produkt angeschaut.

Avira Secure Backup: Bislang ohne aggressives Marketing

Welcher private Windows-Anwender kennt FreeAV nicht? Die kostenlose, dabei durchaus zuverlässige Antiviren-Lösung aus dem Hause Avira erfreut sich Jahren großer Beliebtheit. Auch die größeren Pakete Antivir Premium oder Internet Security, die dann lizenzrechtlich den Einsatz in kommerziellen Umgebungen erlauben, sind vielfach im Einsatz. Ich persönlich bin seit rund 8 Jahren Premium-Kunde, soweit es den Windows-Teil meiner Tätigkeit betrifft.

avira-landing-page

Seit einigen Monaten bietet Avira mit Secure Backup eine automatische Backuplösung mit Cloud-Speicher an. Aggressiv beworben wird das Produkt bislang nicht. Selbst als jahrelangem Kunden blieb mir der Dienst bis vor wenigen Tagen komplett verborgen. Bis mir Avira nämlich eine E-Mail schickte, um just auf diesen Dienst aufmerksam zu machen.

Avira Secure Backup: 5 GB Speicherplatz kostenlos

Mit dem gängigen Angebot, 5 GB Speicher kostenlos zu erhalten, wurde mir die Eröffnung eines Accounts nahegelegt. Avira erlaubt sich keine Schwächen. Das Anlegen des Accounts geht konkurrenzfähig schnell vonstatten. Clients gibt es sowohl für Windows als auch für Mac OS und die mobilen Betriebssysteme Android und iOS.

avira-client-login

Unter Mac OS bietet Secure Backup die automatische Sicherung des kompletten Benutzerordners, in dem sich sämtliche Bewegungsdaten befinden sollten, an. Es ist aber auch möglich, den Pfad anzupassen und so beliebige Ordner in das Backup einzubeziehen.

avira-select-folder

Die erste Sicherung dauert naheliegenderweise etwas, wobei man in den Einstellungen des Clients noch Parameter zur Upload-Geschwindigkeit anpassen kann. Ich beließ es bei “Automatik” und kann im laufenden Betrieb bisher keine Einschränkungen feststellen.

avira-initial-backup

Secure Backup ist eine automatisierte Lösung, die nach dem initialen Backup den Ursprungsordner überwacht und Dateien direkt im Zeitpunkt der Änderung nachsichert. Der Zugriff auf die gesicherten Daten erfolgt über ein SSL-gesichertes Web-Interface.

avira-account-login

Avira Secure Backup: Mit knapp 50 Euro deutlich billiger als Dropbox, aber kein echter Wettbewerb

Reichen die 5 GB kostenloser Speicherplatz nicht aus, so kann jederzeit für vergleichsweise günstige 49,95 Euro im Jahr auf einen Account mit 200 GB Speicherplatz gewechselt werden. Bei Dropbox bezahle ich 75 Euro für 100 GB. Also 50 % mehr für 50 % weniger…

avira-200gb-upgrade

Wo wir gerade bei Dropbox sind. Im Grunde ist es nicht ganz korrekt, Dropbox als Wettbewerber zu betrachten, denn Dropbox ist ja in erster Linie eine Lösung, die Dateien zwischen mehreren Rechnern synchron hält und dabei nur quasi zwangsläufig ein Backup anlegt. Mit Avira Secure Backup ist es nicht möglich, Dateien zwischen verschiedenen Rechnern zu synchronisieren. Secure Backup ist in der Tat eine reine Backup-Lösung.

Avira verspricht, man entnimmt es schon dem Namen, eine besonders sichere Art der Speicherung. Zunächst erfolgt bereits clientseitig eine Verschlüsselung der zu übertragenden Daten und auch sämtlicher Datenverkehr danach erfolgt lückenlos verschlüsselt. Die Daten werden über mehrere Server verteilt abgelegt, so dass ein missbräuchlicher Zugriff auf einen einzelnen Server nicht dazu führt, dass ein Zugriff auf Ihre Daten möglich ist. Avira beschreibt die Übertragungsverfahren als zu denen identisch, die auch für Finanztransaktionen zum Einsatz kommen.

Wie bei anderen Cloud-Speichern ist es auch bei Secure Backup möglich, einzelne Dateien oder Ordner für andere freizugeben. Empfehlen Sie Secure Backup einem Freund und eröffnet dieser daraufhin einen Account, erhalten Sie beide 500 MB Speicherplatz gratis dazu. Avira hat sich offenbar inspirieren lassen.

Wollen Sie also 500 MB Speicherplatz zu Ihren 5 GB kostenlos dazu erhalten, dann eröffnen Sie Ihren Account über diesen Invite-Link. So haben wir beide was davon ;-)

Das Backend des Dienstes wirkt aufgeräumt, wenn auch nicht topmodern. Für den mobilen Zugriff auf die eigenen Daten stehen Clients für Android und iOS zur Verfügung, die optisch ebenfalls sehr stark an den mehrfach erwähnten Mitbewerber, der ja wiederum keiner ist, erinnern.

Fazit: Wer auf die Synchronisation seiner Daten verzichten kann und ein reines Online-Backup sucht, dabei aber nicht mit NSA-Backdoors auf amerikanischen Servern leben will, sollte sich Avira Secure Backup auf jeden Fall ansehen. Nennenswerte Schwächen sind mir während der letzten Tage nicht aufgefallen. Insofern kann ich das Produkt sowohl vom Leistungsumfang, wie auch vom Preis her, voll empfehlen.

Links zum Beitrag:

Kategorien
E-Business Workflow

Backdoor Adé: der NSA ein Schnippchen schlagen mit Seafile

Wenn es nicht so mühsam wäre, eine private Cloud zu erstellen und zu unterhalten, dann würden es vermutlich weit mehr Teams und kleine Organisationen tun. In der Vergangenheit habe ich mich mit OwnCloud auseinandergesetzt, mit dem festen Vorsatz, wirklich damit arbeiten zu wollen. Letztlich konnte mich das Produkt nicht überzeugen. Die relativ neue Lösung Seafile macht da schon einen deutlich besseren ersten Eindruck…

seafile

Seafile: Chinesisch, aber Open Source

Seafile, ein direkter Wettbewerber zu den gängigen Synchronisationslösungen wie Dropbox, SugarSync und wie sie alle heißen, kommt mit einem gewichtigen Vorteil. Man kann die Software auf seinem eigenen Server installieren und ist damit, je nach Serverstandort, zumindest nicht im direkten Zugriff der noch nicht geläuterten Snowdens dieser Erde.

Auf den ersten Blick etwas unangenehm mag auf westliche Nutzer der Umstand wirken, dass Seafile von chinesischen Entwicklern, mithin auch nicht unbedingt aus der unverdächtigsten Ecke der Welt, stammt. Immerhin wird Seafile unter Open Source Lizenz entwickelt und abgegeben. Dahinter steckt eine bereits sehr aktive Community aus aller Welt.

seafile-homepage

Zusätzlich zur kostenlosen sog. Community-Edition vertreiben die Entwickler eine kostenpflichtige Pro-Version, die ein mehr an Möglichkeiten und Komfort bietet. Nennenswert dürfte hier insbesondere der Zugriff via WebDAV sein, der mit der kostenlosen Variante nicht möglich ist. Auch die Pro-Version ist für Selbsthoster gedacht.

Wer nicht selber hosten kann oder will, dem steht seit recht kurzer Zeit auch eine Cloud-Variante unter der Bezeichnung Seacloud zur Verfügung. In der Seacloud erhält man einen Account mit 1GB Speicherplatz kostenlos, in den größeren Varianten mit 100 oder 500 GB kostet das GB zehn Dollarcent pro Monat. Damit ist die Seacloud durchaus wettbewerbsfähig.

Die Seacloud wird in der Amazon-Cloud gehostet und fällt damit unter dem Gesichtspunkt, der NSA ein Schnippchen schlagen zu wollen, natürlich total aus. Man kann zwar in der Seacloud, wie in Seafile allgemein, jeden Ordner direkt verschlüsselt anlegen, was das allerdings für eine Wirkung hat, wenn die NSA mit den entsprechenden Geheimbeschlüssen winkt, ist ja hinlänglich bekannt.

Seafile, Seahub, Seafile Client – Quer über alle Plattformen

Der Seafile-Server steht derzeit nur für die Linux-Plattform, genauer für Debian, Ubuntu und CentOS, zur Verfügung. Eine Windows-Variante soll in Kürze folgen. Der Server ist recht einfach zu installieren und muss auf den unterstützten OS lediglich entpackt und gestartet werden. An der Konfiguration der Speicherumgebung führt natürlich dennoch kein Weg vorbei.

Seafile ist lediglich der Name des eigentlichen Servers. Um per Browser auf den Server sinnvoll zugreifen zu können, bedurfte es daher einer entsprechenden GUI. Diese hört auf den Namen Seahub und darf mit Fug und Recht als modern und elegant bezeichnet werden.

Sowohl für Linux, wie auch für Windows und Mac OS, insbesondere aber auch für die mobilen Betriebssysteme Android und iOS stehen Clients bereit, die im Falle der Desktop-OS eine echte Synchronisation bieten.

Die Vorgehensweise ist dabei etwas ungewöhnlich, aber schnell erlernt. Der zentrale Dreh- und Angelpunkt des Systems ist der Seahub. Hier werden Bibliotheken, im Grunde Hauptordner, erstellt, die dann aus dem Web nach der Installation des Clients in das entsprechende Seafile-Verzeichnis auf der lokalen Festplatte heruntergeladen werden. Nach diesem ersten initialen Download überwacht der Client sowohl das lokale Verzeichnis wie den Server und gleicht Änderungen schnell und zuverlässig ab. Der Client läuft dabei als Web-Service unter localhost.

seafile-client-working

Auf den ersten Blick sind die Abweichungen im Vergleich etwa zum Platzhirschen, der Dropbox, aus User-Sicht nur marginal, wenn man den größten Unterschied, die Möglichkeit des Selberhostens mal außer Betracht lässt. Bei näherem Hinsehen zeigen sich konzeptionelle Unterschiede.

Seafile – zunächst ein Kollaborationstool, dann erst Speicherservice

Seafile ist in erster Linie ein Kollaborationstool für Teams und erst in zweiter Linie ein Speicherdienst. Dropbox hingegen ist ein reiner Speicherdienst, der den Zugriff auf Dateien und Ordner im Wege der Freigabe erlaubt. In der Seacloud zahlt ein Mitglied den Speicherplatz geteilter Bibliotheken, in der Dropbox zahlt für einen 5 GB großen Ordner jeder Kollaborateur diesen Speicherplatz – bei fünf Teammitgliedern lässt sich Dropbox so 25 GB bezahlen. Das widerstrebt mir schon von Beginn an…

In Seafile gibt es das Konzept der Gruppen und der Bibliotheken. Gruppen sind Teams, die wiederum Zugriff auf Bibliotheken haben können, aber nicht grundsätzlich müssen. Gruppen können auch genutzt werden, um nach Twitter-Manier zu diskutieren oder gemeinsam an einem Wiki zu schreiben. Den vollen Nutzen erzielt man natürlich auch hier nur mit einer oder mehreren zur Gruppe hinzugefügten Bibliotheken.

seafile-share-gruppe

Dateien und Ordner können neben dieser gruppen-orientierten Vorgehensweise aber auch ganz klassisch per öffentlichem Link oder unter Eingabe einer Reihe von Mail-Adressen zugänglich gemacht werden. Alle Arten der Freigabe werden fein säuberlich katalogisiert und sind so jederzeit nachvollziehbar. Insgesamt erscheint Seahub, die GUI von Seafile sehr gut durchdacht. Einige Bereiche der Software können bereits mit deutscher Übersetzung verwendet werden, überall steht natürlich Englisch als UI-Sprache bereit.

Ein echter Knüller wäre es noch, wenn Seafile die Hojoki-Funktionalität, Dateien als Elemente zu verwalten und mit Kommentar- und/oder Task-Funktionen zu erweitern, implementieren würde. Das ist allerdings zum jetzigen Zeitpunkt Wunschdenken, wenn man dem Team auch rege Aktivität bescheinigen muss. Zusatzfeatures könnten also schneller Wirklichkeit werden, als man derzeit annehmen würde.

Im Ergebnis ist Seafile ein sich schnell entwickelnder Service, den man sich spätestens in Zeiten der totalen Überwachung näher ansehen muss. Die Seacloud bietet einen schönen Einstieg, um sich zunächst einmal mit dem Konzept vertraut zu machen und zu erkunden, ob die Installation auf dem eigenen Server überhaupt in Betracht gezogen werden sollte. So etwas ist ja schließlich auch immer eine Frage der persönlichen Vorlieben, des Bedienkonzepts und so weiter.

Was halten Sie von Seafile? Schon im Einsatz, noch in Planung oder nicht zu gebrauchen?

Links zum Beitrag:

Kategorien
E-Business Rechtliches

Was tun in Sachen Cloud-Computing? Konsequenzen aus PRISM & Co.

In den letzten Wochen haben die Enthüllungen über das US-amerikanische Überwachungsprogramm PRISM und das britische Tempora für große Aufregung gesorgt. Bürger, Behörden und Unternehmen fragen sich hierzulande nun, welche Konsequenzen sie aus den Enthüllungen ziehen sollen. Besonders drängend ist die Frage für diejenigen Unternehmen, die ihre Daten bereits auf Server US-amerikanischer Cloud-Anbieter ausgelagert haben oder dies in Zukunft vorhaben.

california-106943_640

Konsequenzen für deutsche Unternehmen

Die datenschutzrechtliche Relevanz von PRISM & Co. für deutsche Unternehmen verdeutlichte zuletzt die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013. Darin verkünden Deutschlands oberste Datenschützer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sog. Drittstaaten (das sind alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) zu erteilen. Ausdrücklich betreffe dies auch Genehmigungen zur Nutzung „bestimmter Cloud-Dienste“. Es sei nicht gewährleistet, dass personenbezogene Daten, die deutsche Unternehmen in die USA und andere Drittstaaten übermitteln, dort einem angemessenem Datenschutzniveau unterliegen.

Außerdem wollen die Datenschutzbeauftragten nun prüfen, ob alle Datenübermittlungen auf Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind, solange die Bundesregierung nicht dargelegt hat, „dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland im Sinne der genannten Grundsätze begrenzt wird.“

flag-129531_640

Die Entscheidung erscheint zunächst wie ein Paukenschlag. In der Presseberichterstattung wird zuweilen der Eindruck erweckt, als ob der Datenstrom in die USA nun versiege. So heißt es etwa: „Datenschützer stoppen neue Datentransfers von Firmen in die USA“ (heise Security) oder „Deutsche Datenschützer untersagen Datentransfers in die USA“ (Golem.de). Bei näherer Betrachtung relativiert sich dieser Eindruck jedoch.

Genehmigung nicht immer erforderlich

Die Ankündigung der Datenschützer verliert an Schärfe, betrachtet man sie vor dem datenschutzrechtlichen Hintergrund. Denn häufig ist für die Übermittlung von personenbezogenen Daten in das Ausland überhaupt keine Genehmigung der Datenschutzbehörden erforderlich. So ist nach den Vorschriften des Bundesdatenschutzgesetzes eine Genehmigung nicht erforderlich, wenn die Daten an einen Datenimporteur innerhalb des europäischen Wirtschaftsraumes oder in einem sogenannten „sicheren Drittstaat“ übermittelt werden sollen.

Welche Staaten als sichere Drittstaaten anzusehen sind, wird für die EU-Mitgliedsstaaten – und damit auch für die deutschen Datenschutzbehörden – verbindlich von der EU-Kommission festgelegt. Dazu gehören zum Beispiel Australien, Kanada, die Schweiz und Israel. Eine Sonderlage besteht für die USA: Die USA gelten an sich zwar nicht als sicherer Drittstaat.

camera-19223_640

Aufgrund des Safe-Harbor-Abkommens zwischen der EU-Kommission und dem US-Handelsministerium kann sich der Datenimporteur in den USA jedoch gegenüber der zuständigen US-Behörde zur Einhaltung der im Safe-Harbor-Abkommen enthaltenen Regelungen verpflichten. In diesem Fall gilt ausnahmsweise auch der Datentransfer in die USA als „sicher“, so dass die Genehmigung der deutschen Datenschutzbehörden nicht erforderlich ist. Eine aktuelle Übersichtüber die „sicheren Drittstaaten“ stellt die EU-Kommission auf ihrer Website bereit.

Eine Genehmigung ist ferner nicht erforderlich, wenn die Datenübermittlungen auf Grundlage der (unveränderten) EU-Standardvertragsklauseln erfolgen. Denn auch in diesem Fall hat die EU-Kommission für die Mitgliedsstaaten verbindlich festgestellt, dass in diesem Fall ein ausreichendes Datenschutzniveau gewährleistet ist.

Zusammenfassend kann daher festgestellt werden, dass Datenübermittlungen in die meisten für deutsche Unternehmen bedeutsamen Zielländer von Datenübermittlungen ohnehin keiner Genehmigung bedürfen. Insoweit geht die Ankündigung der Datenschützer, vorerst keine neuen Genehmigungen mehr zu erteilen, ins Leere.

Allerdings hat die Europäische Kommission am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen aus Anlass der jüngsten Enthüllungen einer Prüfung unterziehen wird. Die Prüfung soll bis Ende 2013 abgeschlossen sein. 

Untersagung von Datenübermittlungen

Soweit deutsche Unternehmen personenbezogene Daten aufgrund einer Genehmigung der Datenschutzbehörden in „unsichere Drittstaaten“ übermitteln, kann die zuständige Aufsichtsbehörde die von ihr erteilten Genehmigungen grundsätzlich zurücknehmen oder widerrufen. Die Datenschutzbehörden sind grundsätzlich auch befugt, bei Verstößen gegen das Bundesdatenschutzgesetz einzugreifen und Datenübermittlungen in das Ausland zu untersagen.

shredder-71775_640

In der Praxis dürfte sich ein solches Vorgehen jedoch schwierig gestalten, da die Behörden an die bindenden Feststellungen der EU-Kommission gebunden sind und darlegen müssten, inwiefern deutsches Datenschutzrecht durch die Datenübermittlungen verletzt wird bzw. die Gefahr eines Schadens besteht.

Die deutschen Behörden können das Safe-Harbor-Abkommen auch nicht außer Kraft setzen. Es können lediglich Datenübermittlungen an bestimmte US-Unternehmen auf Grundlage des Safe-Harbor-Abkommens untersagt werden. Auch hierzu müsste dargelegt werden, dass aufgrund der Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweres Schadens“ besteht.

Dies dürfte in der Praxis schwierig sein. Ferner müsste das betroffene US-Unternehmen vor einer Verbotsmaßnahme angehört werden.

Ausblick

Es ist kaum vorstellbar, dass die deutschen Datenschutzbehörden ihre Androhung in die Tat umsetzen werden und gegen Datenübermittlungen in die USA und andere Drittstaaten vorgehen werden. Zum einen würde dies empfindliche und unvorhersehbare Folgen für die deutsche Wirtschaft zur Folge haben. Zum anderen ist bereits zweifelhaft, ob die gesetzlichen Voraussetzungen für solch einen massiven Eingriff vorliegen.

telescope-122960_640

Die Ankündigung der Datenschützer ist daher wohl vor allem als politisches Signal zu verstehen – insbesondere in Richtung der Bundesregierung und der EU-Kommission. Es wäre jedenfalls nicht das erste Mal, dass die Datenschützer zu solchen Mitteln greifen. Auf jeden Fall sollten deutsche Unternehmen die weiteren Entwicklungen im Blick behalten.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Der obige Beitrag wurde unter tätiger Mithilfe eines wissenschaftlichen Mitarbeiters realisiert.