:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Telekom und SAP entwickeln mit dezentraler Softwarearchitektur Anhaltende Diskussion um Corona-Tracing
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Das Ringen um die geplante Tracing-App zur Eindämmung des Corona-Virus geht weiter. Das Bundesministerium für Gesundheit (BMG) setzt mittlerweile auf Freiwilligkeit und verschlüsselte Identitäten; der Deutsche Landkreistag fordert dagegen verpflichtende Installationen und Tracking per Geodaten für die Gesundheitsämter.
Wie schwer wiegt das Gut Gesundheit? Diese Frage stellt sich dieser Tage immer wieder aufs Neue und statt finaler Antworten sehen wir, wie Wirtschaft und Gesellschaft ihr Wertesystem tagtäglich neu austarieren. Das zeigt sich insbesondere an der von der Bundesregierung geplanten Corona-Tracing-App – einer mobilen Anwendung, die mögliche Infektionsketten per Bluetooth nachvollziehen und so die Pandemie eindämmen soll.
Kritik an zentralem Ansatz
Der zunächst vom Bundesgesundheitsministerium verfolgte Ansatz stieß dabei auf deutlichen Gegenwind. In einem offenen Brief vom 24. April bezeichneten mehrere netzpolitische Organisationen die geplante Corona-App dabei noch als „höchst problematisch“. Unterzeichnet ist das Schreiben von D64 – Zentrum für digitalen Fortschritt e. V., Chaos Computer Club e. V. (CCC), LOAD e. V., Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V., Gesellschaft für Informatik (GI) e. V. und Stiftung Datenschutz.
Die Kritik richtete sich dabei insbesondere gegen das Softwaregerüst der Initiative PEPP-PT (Pan-European Privcay-Preserving Proximity Tracing). Die nutze ein zentrales Matching und sei nicht in der Lage gewesen, „schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern“.
Alternativ empfehlen die Verfasser des offenen Briefes einen dezentralen Ansatz wie DP-3T (Decentralized Privacy-Preserving Proximity Tracing). Dies ist freilich nicht der einzige dezentrale Ansatz. In einem weiteren offenen Brief vom 19. April bringen zahlreiche internationale Wissenschaftler ebenfalls die Methoden der TCN Coalition sowie PACT (MIT) und PACT (UW) ins Gespräch.
Einlenken der Regierung
Der Kritik haben nun anscheinend auch Kanzleramtsminister Helge Braun und Bundesgesundheitsminister Jens Spahn nachgegeben. Laut einer gemeinsamen Mitteilung vom 26. April setze die Bundesregierung auf „temporäre verschlüsselte Identitäten“ und „eine dezentrale Softwarearchitektur, die die in Kürze zur Verfügung stehenden Programmierschnittstellen der wesentlichen Anbieter von mobilen Betriebssystemen nutzt und gleichzeitig die epidemiologische Qualitätssicherung bestmöglich integriert.“
Ausgleichender Ansätze
Beim Namen genannt wird dieser zentrale Ansatz jedoch weder in der Mitteilung noch auf unsere explizite Nachfrage hin. Ganz aus dem Rennen könnte damit auch PEPP-PT noch nicht sein. Denn auf der Homepage gibt sich die Initiative offen für dezentrale Techniken:
„In accordance with the recently published EU Toolbox, PEPP-PT currently considers two privacy-preserving approaches: “centralized” and “decentralized”, and continues to be open for further ideas for improvement that support PEPP-PT goals.“
Um einen ausgleichenden Ansatz der verschiedenen Ansätze bemüht sich auch Professor Thorsten Strufe, Leiter der Forschungsgruppe „Praktische IT-Sicherheit“ am Karlsruhe Institut für Technologie (KIT). Gemeinsam mit seinem Team hat Strufe untersucht, wie datenschutzkonform dezentraler und zentraler Ansatz tatsächlich sind.
Seine vorläufige Einschätzung: „Bisher hat man den Eindruck, dass es ein Wettlauf unterschiedlicher Initiativen war. Es wäre aber besser, zunächst die notwendige Funktion zu verstehen, die potenziellen Bedrohungen klar zu benennen und anschließend gemeinsam ein umfassend sicheres System zu entwickeln.“ Dabei gelte es darauf zu achten, dass keine großen Firmen als Treuhänder der Daten auftreten.
Kritische Geister könnten Strufe jedoch eine gewisse Nähe zu PEPP-PT unterstellen. Bis 2019 begleitete laut Vita er eine Professor für Datenschutz und Datensicherheit (W3) an der TU Dresden – die wird von PEPP-PT als Mitglied geführt. Gleiches gilt für verschiedene Institute der Fraunhofer-Gesellschaft; für die trat Strufe schon als Vortragender auf.
:quality(80)/images.vogel.de/shared/infinity/content-defaultimage.jpg "()")
Dezentrale vs zentrale Ansätze
Streitpunkt Datenschutz bei Corona-Apps
Zwischen Freiwilligkeit und Pflicht
Während die Bundesregierung mittlerweile mit „Freiwilligkeit“ und „dezentraler Softwarearchitektur“ um eine „Akzeptanz“ bei der Bevölkerung wirbt, betrachtet der Deutsche Landkreistag (DLT) den Datenschutz offenbar als nachgeordnete Prämisse.
So wird DLT-Präsident Landrat Reinhard Sager in einer am 26. April publizierten Mitteilung wie folgt zitiert: „Dabei sollte uns der Datenschutz zwar wie auch bei anderen Projekten beschäftigen, aber aufhalten dürfen solche Fragen die Entwicklung nicht.“
Zudem sei man skeptisch, ob eine Freiwilligkeit ausreiche: „Wir benötigen für eine wirksame Nachverfolgbarkeit nach Meinung der Experten ca. 60 % der Bevölkerung, die eine solche App nutzen müssten. Das sind 50 Mio. Menschen. Wir halten deshalb für einen vorübergehenden Zeitraum auch eine verpflichtende Installation für begründbar.“
Zwang verfassungsrechtlich zulässig
Derlei Aussagen zu einem Zwang hatten in der Vergangenheit bereits für einigen Wirbel in sozialen Netzwerken gesorgt. So soll etwa der Vorsitzende der Gesellschaft für Freiheitsrechte (GFF) Dr. Ulf Buermeyer öffentlich über „irrationale Ängste“ der Bürger und eine „Zwangsapp“ nachgedacht haben.
Auf unsere Nachfrage spricht Buermeyer allerdings von einem verkürzt und verfälscht widergegebenen Zitat. Richtig sei vielmehr Folgendes: „Ich habe der Welt gesagt, dass eine Zwangsapp zwar verfassungsrechtlich zulässig wäre, was so weit ich sehe auch juristisch nicht umstritten ist, dass ich einen solchen Zwang aber rechtspolitisch ablehne.“
Zeitplan: Mehrere Wochen
Im Gewirr guter Ratschläge will Spahn die Corona-Tracing-App nun so schnell und sicher wie möglich auf den Weg bringen. Die Entwicklung könne aber noch mehrere Woche dauern.
Telekom und SAP entwickeln, Fraunhofer und Helmholtz beraten
Weitere Details dazu gaben Bundesministeriums für Gesundheit (BMG), Bundesministerium des Innern, für Bau und Heimat (BMI) sowie Bundeskanzleramt am 28. April bekannt: „Basierend auf einer dezentralen Softwarearchitektur wird angestrebt, sie durch die Deutsche Telekom und die SAP zu entwickeln und zur Marktreife zu bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA stehen bei der Entwicklung beratend zur Seite.“
Die zitierte Formulierung um das Prädikat „anstreben“ lässt freilich Interpretationsspielraum zu Zeitplan und schließlich genutztem Framework. Wie bereits zuvor erwähnt, tat sich die beratende Fraunhofer-Gesellschaft bislang als Unterstützer von PEPP-PT hervor.
Nichtsdestotrotz wolle man auf staatlicher Seite die notwendigen Anforderungen an Datenschutz und Datensicherheit zu gewährleisten. Darum würden Bundesamt für Sicherheit in der Informationstechnik (BSI) und Beauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von Beginn an eingebunden.
Funktionsweise
Die angestrebte Funktionsweise der geplanten App beschreiben BMG, BMI und Bundeskanzleramt in ihrer gemeinsamen Mitteilung wie folgt:
“Hierfür soll die Corona-App unter Nutzung von Bluetooth-Low-Energy den Abstand zwischen Personen messen und ermöglichen, dass die Mobilgeräte sich die Kontakte merken, die die vom RKI [Robert Koch-Institut] festgelegten Kriterien (Nähe und Zeit) erfüllt haben. Hierbei tauschen sie untereinander temporäre verschlüsselte Identitäten aus. Werden Nutzer der Corona-App positiv auf das Corona-Virus getestet, können sie auf freiwilliger Basis ihre Kontakte durch die App informieren lassen. Dabei werden im Infektionsfall die verschlüsselten IDs des Infizierten allen Mobiltelefonen der App-Nutzer zur Verfügung gestellt. Diese können daraufhin überprüfen, ob sie mit den übermittelten IDs in Kontakt waren. Im Falle einer Übereinstimmung wird der Nutzer über den kritischen Kontakt gewarnt.“
RKI gibt App heraus und sammelt Datenspenden
Nach Fertigstellung durch die Telekom und die SAP soll die Corona-App dann durch das Robert-Koch-Institut herausgegeben werden. In einer nachfolgenden, zweiten Stufe ist zudem geplant, einen Forschungsserver einzurichten. Der solle auf Basis freiwilliger Datenspenden der Nutzer pseudonymisierte Daten zur qualitätssichernden Analyse der Corona-App nutzen.
(ID:46547164)