Fortschritte bei SSL

Drei primär browserbasierte Weiterentwicklung in Bezug auf SSL, die aus meiner Sicht mehr zum Einsatz kommen sollten: SNI, HSTS und DNSSEC-basierte Validierung von SSL-Zertifikaten.

SNI

Server Name Indication (vgl. RFC 3546, Kapitel 3.1) ermöglicht das Bereitstellen von SSL-gesicherten Webseiten über HTTPS unter einer IP-Adresse. Ohne SNI benötigt man für jede SSL-gesicherte Webseite eine eigene IP-Adresse. Das ist aktuell mit IPv4 bei vielen Anbietern nicht möglich oder mit zusätzlichen Kosten verbunden. IPv6 wird dieses Problem lösen, das kann aber noch ein wenig dauern.

SNI wird von vielen Browsern unterstützt, aber noch nicht von allen. Nutzer des Internet Explorers unter Windows XP sowie beispielsweise auch Nutzer von Android-basierten Geräten, die nicht bereits Version 4 installiert haben, bekommen weiterhin eher abschreckende Zertifikatswarnungen. Dieses Problem wird sich erfahrungsgemäß innerhalb der kommenden Jahre lösen, schöner wäre es aber, wenn Hersteller grundsätzlich hachhaltig arbeiten würden und auch bei älteren Plattformen noch Aktualisierungen einpflegen würden.

HSTS

HTTP Strict Transport Security (vgl. RFC 6797) ermöglicht es, für Domänen die Nutzung von HTTPS zu erzwingen und gleichzeitig die zu akzeptierenden Zertifikate festzulegen.

Dies kann zum einen auf Browser-Seite konfiguriert werden. Benutzt man Google Chrome, so kann man diesen Mechanismus über die Eingabe von "chrome://net-internals/#hsts" manuell konfigurieren.

Zum anderen kann dies die Betreiberin einer Webseite einfach durch zusätzliche Header aktivieren, z.B. "Strict-Transport-Security: max-age=16070400; includeSubDomains"

Firefox, Chrome und Opera unterstützten HSTS schon seit mehreren Jahren, für den "typischen Endanwender" ist diese Funktion jedoch immer noch zu schwierig zu konfigurieren. Der Internet-Explorer unterstützt dies leider noch nicht. Wünschenswert wäre eine einfach Einbindung in die "Smartbar" der Browser. Ein einfacher Rechts-Klick auf "Feste SSL-Sicherheit aktivieren" und sprechende Warnmeldungen, wenn sich das SSL-Zertifikat ändert, wären ein Schritt in die richtige Richtung. Momentan bieten Plugins wie HTTPS-Everywhere oder NoScript ähnliche Funktionen.

DNSSEC-basierte Validierung von SSL-Zertifikaten

Noch nicht standardisiert und auch bisher nur als Prototyp umgesetzt ist die Validierung von SSL-Zertifikaten auf Basis von DNSSEC (vgl. Blog-Beitrag von Jan-Piet Mens).

Momentan verlässt man sich auf "vertrauenswürdige Stammzertifizierungsstellen", die auf mehr oder minder nachvollziehbare Art ihre eigene Vertrauenswürdigkeit nachweisen und dies dann auch für die Betreiber von Webseiten anbieten, die SSL-Zertifikate verwenden wollen. Aktuell zeigen alle Browser eine Warnmeldung an, wenn die Betreiberin einer Webseite ein Zertifikat einsetzt, welches nicht von einer "vertrauenswürdigen Stammzertifizierungstelle" bestätigt wurde. Eine detaillierte Auseinandersetzung mit den Vorteilen und Nachteilen dieses "Vertrauens"-Modells würde diesen Blog-Beitrag sprengen, deswegen nur soviel: Das muss auch anders gehen. Ich hatte hierzu auch was für die bpb geschrieben.

Ein Weg wäre die Nutzung von DNSSEC. Die Betreiber von Webseiten könnten im DNS die Prüfsummen Ihrer Zertifikate veröffentlichen. Browser prüfen dann beim Aufbau einer HTTPS-Verbindung, ob die Prüfsumme des aktuellen Zertifikats mit der im DNS veröffentlichten Prüfsumme übereinstimmt. Wenn dies der Fall ist, sind auch "selbst-signierte" Zertifikate vertrauenswürdig.

Aktuell ist dies in den Browsern noch nicht umgesetzt. Es gibt aber schon einzelne Plugins, die dies ermöglichen würden. Dies wäre meiner Meinung nach ein guter Weg, um die Nutzung von SSL weiter voranzutreiben. Ob dies mit den Geschäftsinteressen der Betreiber von "vertrauenswürdigen" Zertifizierungsstellen vereinbar ist, ist fraglich, aber letztendlich auch: egal.

Umgang mit Sicherheitsvorfällen

Häufig geht im täglichen Datenschutz- und Datensicherheits-Geschäft ein Bereich ein wenig unter, der einen wesentlichen Einfluss auf das wirklich erreichte Sicherheits- und Datenschutzniveau hat: der Umgang mit Sicherheits- und Datenschutzvorfällen.

In der Praxis fehlt es leider an mustergültigen, öffentlich einsehbaren Vorfällen, an denen man lernen und seine eigene Organisation trimmen kann. Aktuell gibt es ein gutes Beispiel, an dem man einiges lernen kann:

Am 17. November 2012 hat der FreeBSD Security Officer einen Sicherheitsvorfall veröffentlicht: http://www.freebsd.org/news/2012-compromise.html

FreeBSD ist ein freies Unix, dass von einer Vielzahl von Entwicklern weiterentwickelt wird. Hierzu werden zentrale Systeme zur Quellcodeverwaltung und zur Koordinierung der Entwicklungsarbeit betrieben. Zwei von diesen Systemen sind kompromittiert worden.

Die genaueren Umstände der Sicherheitslücke kann man im Report nachlesen. Anhand des guten Reports kann man einige wesentliche Erfolgsfaktoren herausarbeiten, die man beachten sollte, wenn man als Sicherheits- oder Datenschutzbeauftragter einen Sicherheitsvorfall bearbeiten muss.

Vorab: Der Baustein 1.8 "Behandlung von Sicherheitsvorfällen" der IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnologie (BSI) ist eine gute Ausgangsbasis.

Kein Fingerpointing, keine Zuweisung von Schuld: Natürlich hat irgendjemand einen Fehler gemacht, wenn es einen Vorfall gab. Sich primär auf die Schuld-Frage zu konzentrieren behindert jedoch ein erfolgreiches Sicherheits- und Datenschutzmanagement. Wenn die "schuldige Person" ordentlich "eins auf den Deckel" bekommt, man evtl. sogar das Verhalten noch innerhalb der Organisation "an den Pranger" stellt dann erreicht man genau eins: Eine Kultur des Vertuschens und "unter-den-Teppich-kehrens". Natürlich ist es wichtig, die Ursachen des Vorfalls so klar und deutlich wie möglich herauszuarbeiten. Aber nicht auf Kosten der betroffenen Mitarbeiterinnen und Mitarbeiter. Das korrekte Melden und saubere Bearbeiten eines Vorfalls muss honoriert und nicht bestraft werden.

Kultur der kontinuierlichen Verbesserung: Vorfälle sind ein wichtiger Indikator, wo es technische und häufiger: organisatorische Mängel gibt. Ziel der Bearbeitung des Vorfalls ist die Mängelbehebung. Hier ist es wichtig, dass man bei jedem Vorfall prüft, ob es ein Einzelfall ist oder ob dahinter ein grundsätzlicheres Problem besteht. Als Sicherheits- oder Datenschutzbeauftragter, aber auch als Vorgesetzter muss man diese Kultur des Hinterfragens und Analysierens unterstützen. Natürlich ist es wichtig, die Lücke schnell zu schließen und weitere, schadhafte Auswirkungen eines Vorfalls zu begrenzen. Das Ergreifen von Sofortmaßnahmen ist aber nur der erste Schritt. Wirkliche Tiefenwirkung erreicht man erst durch eine umfassende Analyse.

Aufklärung so detailliert wie möglich: Für die Bewertung und das Ergreifen von wirksamen Sofortmaßnahmen ist es wichtig, den Sicherheitsvorfall so genau wie möglich zu analysieren. Es ist wichtig, alle Ereignisse möglichst genau zeitlich einzuordnen. Erst mit einer zeitlichen Komponente findet man Abhängigkeiten und auch mögliche Drittwirkungen auf andere Systeme und Komponenten. Gerade die "Zeitfindung" führt bei Sicherheitsvorfällen zu einer ersten, entscheidenden Abgrenzung und ist eine gute Ausgangsbasis für die Bewertung möglicher Auswirkungen.

Abgrenzung, Abgrenzung, Abgrenzung: Zur Bewertung eines Sicherheits- oder Datenschutzvorfalls muss man ein Modell über die möglichen Auswirkungen des Vorfalls erarbeiten. Diese Modellbildung funktioniert nur, wenn man die Grenzen des Vorfalls und seiner möglichen Auswirkungen klar umreissen kann. Erst durch das Festlegen auf möglicherweise betroffene Komponenten, Systeme, Daten, Personen... kann man die weiteren Schritte zur Mängelbehebung und Information planen. Die Kernfrage hierbei ist nicht, welche Systeme möglicherweise betroffen sind, sondern vielmehr, für welche Systeme man nachweisen kann, dass sie nicht betroffen sind.

Wiederholbare Installation- und Konfiguration von Systemen: Ist für ein System nicht nachweisbar, ob es von einem Sicherheitsvorfall betroffen ist oder nicht, muss das System neu aufgesetzt werden. Dies ist umso schmerzhafter, je weniger Dokumentation vorhanden ist und je mehr händische Arbeit notwendig ist. Organisationen, die ihre Systeme als "dokumentationsfreie Manufaktur" betreiben, tun sich hiermit erfahrungsgemäß sehr schwer. Für Organisationen, die verlässliche Build- und Restore-Prozesse haben, ist die Neu-Installation und Neu-Konfiguration von Systemen nur lästig, aber nicht existenziell bedrohend. Aus der Erfahrung mehrerer Sicherheitsvorfälle: Es ist einfacher neu aufzusetzen als zu flicken.

Fokus auf Maßnahmenenpfehlung: Die korrekte Aufarbeitung des Vorfalls ist wichtig, keine Frage. Wichtiger ist jedoch, konkrete Handlungsempfehlungen auszusprechen. Je konkreter, desto besser. Das gilt insbesondere für die Fälle, wo es eine Plicht zur Information der Betroffenen gibt (vgl. z.B. § 42a BDSG oder § 27a LDSG Schleswig-Holstein

Und abschließend noch eine Klarstellung zu einem häufigen Mythos: Die Anzahl der Vorfälle ist keine geeignete Kennzahl für ein Managementsystem. Weder die absolute Anzahl, noch die Tendenz ("10% weniger Vorfälle als im Vorjahr") sagt etwas über das Niveau und das Funktionieren des Datenschutz- oder Sicherheitsmanagements aus. Wenn man dringend Kennzahlen hierzu braucht, sollte man diese eher auf die Qualität der Sicherheitsvorfälle beziehen, z.B. die durchschnittliche Anzahl der betroffenen Systeme, ob personenbezogene Daten von Kunden betroffen waren,....

Die bisherige Erfahrung zeigt, dass die Qualität im Umgang mit Sicherheits- und Datenschutzvorfällen ein guter Indikator dafür ist, wie gut das Datenschutz-. und Sicherheitsmanagement einer Organisation funktioniert.


Vertrauliche Kommunikation ist Grundbedingung der Informationsgesellschaft

Da musste das (kaum existente) Sommerloch gefüllt werden und Sascha Lobo springt ein: Facebook sei verfassungswidrig, titelt er auf SPON, weil es Chatinhalte auswertet. Was fogt ist eine Parforceritt durch die Grundlagen des Datenschutzes und der verfassungsrechtlichen Verankerung des Fernmeldegeheimnisses im Grundgesetz. Das beide zwar einander bedingen aber eigentlich zwei grundlegend unterschiedliche Schutzgedanken haben, fällt dabei unter den Tisch. Gekrönt wird das Ganze dann mit der Forderung, dass auch in Telemedien, also Informationsdiensten im Internet, die nicht Telekommunikation sind, z.B. Sozialen Medien, ein Telemediengeheimnis eingerichtet werden soll.
Nun muss nicht jeder, der sich zum Thema äußert die bis an die Verfassungswidrigkeit heranreichende intransparente Gesetzgebung in diesem Bereich kennen. Doch der einfache Blick in § 7 Absatz 2 Telemediengesetz oder in Art 5 Absatz 1 der Richtlinie 2002/58/EG hätte viel Licht ins künstlich geschaffene Dunkel gebracht. Denn sowohl die deutsche als auch die europäische Gesetzgebung bietet, was Sascha Lobo fordert. Die Kommunikation auch mittels, auf und in sozialen Medien muss vertraulich erfolgen. Anbieter haben sicherzustellen, dass nur mit ausdrücklicher Einwilligung der Betroffenen dieses Vertraulichkeit verletzt werden darf.
Noch ärgerlicher sind die dazu ergehenden Kommentare. Die Platitüde: "Im Internet ist eben nichts geheim" war allenthalben zu lesen. Auch wenn sie technisch und faktisch zutrifft, so kann sie doch nicht allen Ernstes eine Rechtfertigung für eine offensichtliche, massenweise und krasse Missachtung eines der fundamentalsten Grundsätze einer freiheitlichen Informationsgesellschaft sein. Die verfassungsrechtliche Verankerung des Fernmeldegeheimnisses und des Grundsatzes, dass nichtkörperliche Kommunikation vertraulich sein muss, ist doch keine alleinige Erfindung der Eltern des Grundgesetzes aus den Erfahrungen der Nazizeit. Sämtliche freiheitlichen Gesellschaften auf allen Kontinenten kennen dieses Prinzip. Und das aus gutem Grund. Denn nur so ist gewährleistet, dass die Fernkommunikationstechnologie durch die Nutzerinnen und Nutzer akzeptiert und zum Wohle der gesamten Gesellschaft genutzt wird. Informationsaustausch ist das Rückgrat der modernen Informationsgesellschaft. Dieser muss nicht nur aus Gründen des Schutzes der Privatssphäre des Einzelnen vertraulich erfolgen. Auch die Wirtschaft hat ein vitales Interesse daran, dass nur die Personen mitlesen, die dazu berechtigt sind. Und letztlich ist der Staat ebenfalls aus eigenem Interesse an der Wahrung der Vertraulichkeit der Kommunikation interessiert.
Es geht nicht (nur) um eine datenschutzrechtliches Thema. Sondern um die Frage, wie entwickelt sich die Nutzung sozialer Medien. Es muss Ziel sein, dass die unbestreitbaren Vorteile der weltweiten Vernetzung und des dadurch ermöglichten Informationsaustausches nicht dadurch gefährdet werden, dass aus egoistischen, betriebswirtschaftlichen Motiven das Vertrauen der Nutzerinnen und Nutzer in die Integrität und Vertraulichkeit der Kommunikation entäuscht wird. Mittelfristig bestünde die Gefahr, dass dann lediglich Trivialitäten den weltweiten Gedankenaustausch bestimmen, da kaum jemand ernsthafte Gedanken und Ideen einem System anvertrauen wird, bei dem er nicht sicher sein kann, ob zum einen die Information so beim Empfänger ankommt wie sie abgeschickt wurde und unsicher ist, wer noch an der Kommunikation teilhat. Insoweit ist Sascha Lobo zuzustimmen, dass es Zeit für eine ernsthafte und breite Diskussion über die Bedingungen der modernen Kommunikation ist.
Der Verlust der Vertraulickeitsanforderung wäre ein Rückschritt, der schlimmer als die Bespitzelung durch die Staatssicherheit in der DDR wäre. Denn da wusste man wenigstens aufgrund des Klackens in der Telefonleitung, dass man nicht nur mit der Tante im Westen telefonierte und grüßte daher auch ganz formvollendet die Genossin oder den Genossen von "Horch und Guck".

Ist Facebook ein öffentlicher Raum?

Immer wieder trifft Facebook der Vorwurf, Zensur zu betreiben, das Posten von Links nicht zuzulassen oder schlicht Profile wegen Verstoßes gegen die eigenen Richtlinien zu löschen. Nicht nur Private sind scheinbar betroffen. So verlor die Stadt München Anfang diesen Jahres ihre sorgsam gepflegte Fanpage.

Nun kann zwar Facebook schon aufgrund der Defintion von Zensur, eine solche nicht betreiben. Denn Zensur ist in der Regel die staatliche Unterdrückung, Veränderung oder Beeinflussung der Kommuniaktion von Inhalten und, nur der formhalber erwähne ich es, Facebook ist nicht der Staat. Aber unterschwellig schwingt in dieser Kritik auch der Vorwurf mit, wie es sich Facebook erlauben kann, in "unseren" Kommunikationsraum einzudringen.

Aber ist denn der auf Facebook oder in anderen sozialen Netzwerken geführte Diskurs ein Diskurs an dem man als, z.B. Partei, teilnehmen muss. Und wenn dies so sein sollte, ist denn dieser Diskurs fair geführt?

Folgendes Bild soll einen Vergleich ermöglichen: Wie würde der politische Diskurs bei - sagen wir mal - Karstadt in der Schmuckwarenabteilung bewertet werden, wenn dort ein Lobbyist der Diamantenindustrie auftritt und sich vehement für die Aufhebung des Handelsverbotes für Blutdiamanten einsetzt? Die Legitimität einer derartigen Veranstaltung in einer Demokratie sei nich bestritten. Jedoch müsste wohl die Interessensfreiheit des Veranstalters am Diskurs zu bezweifeln sein.

Nach europäischem Demokratieverständnis setzt der Austausch von Meinungen einen neutralen Raum voraus. Die Neutralität des Raumes erlaubt nicht nur die Gewissheit eines vom Betreiber des Raumes gewährleistete Interessensfreiheit. Dieser Raum gibt auch die Gewähr für einen in den Grundstrukturen fairen Diskurs. Ist derjenige, der die Hoheit über Zulassung zum Diskurs und die Bestimmung der Verfahrensregeln hat, uninteressiert am Ausgang des Wettstreits der Ideen, verringert sich die Gefahr die Übervorteilung eines oder mehrerer Nutzer. Kommunikation erfolgt danach aus Sicht des Betreibers zum Selbstzweck und nicht aus der Verfolgung eigener Interessen heraus.

Derartige Räumen werden in unsere Gesellschaft durch die "öffentliche Sphäre" gewährleistet. Ein gutes Beispiel dafür ist der öffentlich-rechtliche Rundfunk. Diese staatlich gewährleistete aber staatsferne Sphäre ist Garant für einen (in der Regel) neutralen Diskursraum. Alle vier Jahre wird diese Neutralität auf die Probe gestellt, wenn zu Bundestagswahlen auch demokratie- und pluralitätsfeindliche Parteien diesen Raum zur Verbreitung ihrer Meinungen nutzen.

Auch reguliert der Staat bestehende Sphären dahingehend, dass diese zwangsweise "neutral" und damit "öffentlich" sind. Ebenfalls ein Klassiker aus diesem Bereich ist die Zurverfügungstellung von Gemeindehallen für politische Parteien und das diesbezüglich geltende Gleichheitsgebot. Über dieses wird die Gewährung dieser Art von Öffentlichkeit zu gleichen Teilen sämtlichen Parteien ohne Ansehen der politischen Ausrichtung sichergestellt.

Die staatliche Regulierung und damit auch die Neutralität endet mit dem Beginn des privaten Raums. Auch wenn z.B. Inhaber von Handelsgewerben ein Interesse daran haben, möglichst viele Kundinnen und Kunden in die Verkaufsräume zu locken, geben sie vor, welche Regeln dort gelten. So besteht eben kein Anspruch eines jeden x-beliebigen Autors im "Hugendubel" (dieser Blog wird nicht gesponsert) eine Lesung halten zu können, nur weil Hugendubel ganz allgemein Lesungen in den Filialen durchführt. Auch diese Begrenzung ist ein wichtiges und richtiges Prinzip in der Demokratie. Private Räume sichern individuelle Entfaltungsmöglichkeit. Das gilt für Menschen wie für Unternehmen.

Das Verständnisproblem bezüglich Sozialen Netzwerken lieht oft in der Gleichsetzung des eigentliche Netzwerk (Verknüpfung von Personen und deren Inhalte) mit dem Netzwerkbetreiber (Zurverfügungstellung des technischen Fundaments). Nicht "Wir" die Nutzerinnen und Nutzer z.B. von "Facebook" sind "Facebook". "Wir" sind auch nicht Twitter, G+, Xing, Flatr, youtube, Blogger etc. Wir füllen lediglich den (technisch) zur Verfügung gestellten Raum. Die englische Sprache ist da genauer. Sie spricht von Social Network Services (SNS) also Sozialen Netzwerk Diensten. Dies ist der Schlüssel zum Verständnis für die Frage nach der Legitimität der Inhalts- und Kommunikationskontrolle durch Betreiber sozialer Netzwerke.
Ja sie tun es! Sie tun es, weil es "ihr" Raum, "ihre" Sphäre ist. Die Facebook Inc. kann, darf und bis zu einem gewissen Grad muss sie es sogar die Inhalte der Nutzerinnen und Nutzer kontrollieren. Dass diese Kontrolle natürlich auch seine Grenzen, z.B. im Fernmeldegeheimnis hat, ist selbstverständlich. Leider scheint dies nicht ganz so selbstverständlich für einige dieser Betreiber sozialer Netzwerke zu sein. Denn sie überschreiten regelmäßig diesen Rubikon. Sie tun es aber in dem scheinbaren Selbstverständnis, dass dies eben keine "öffentliche" i.S. einer neutralen Sphäre ist. Es ist bildlich gesprochen, ihr Verkaufsraum, in dem sie den Rahmen des Gewünschten vorgeben.

Echter, fairer, der Demokratie dienender und sie stützender Diskurs ist daher nur in Räumen möglich, die ein an den Inhalten des Diskurses organisatorisch und gesellschaftlich uninteressierter Dritter zur Verfügung stellt. Das muss nicht der Staat sein, aber bisher ist keine andere Instanzen erkennbar, die derartige Anforderungen erfüllen würde.

Facebook ist für Jede und Jeden offen aber es ist kein öffentlich-neutraler sondern ein privat-interessensgesteuerter Raum.
(moka)

Datenthemen: Und so fängt es an.

Ein neues Projekt, neue Ideen und gute Vorsätze.

Datenthemen soll Neuigkeiten und interessante Themen rund um den Umgang mit Daten zusammenfassen und darstellen.

Ein Schwerpunkt wird auf dem Bereich der informationellen Selbstbestimmung liegen. Der zweite Schwerpunkt wird auf dem Bereich der offenen, freien Datenbereitstellung und -verarbeitung (Open Data und Informationsfreiheit) liegen. Diese beiden Themen liegen häufig in einem Spannungsfeld. Hier hoffe ich, beide Themenbereiche bedienen zu können.

Ich befasse mich beruflich mit diesen beiden Themenbereichen, möchte auf diesen Seiten aber die Aspekte etwas genauer darstellen, die in der beruflichen Praxis häufig zu kurz kommen oder dann doch nicht genau den eigenen Aufgabenbereich treffen.

Fester Bestandteil dieses Blogs wird ein Podcast sein. Der Podcast wird regelmäßig einen Überblick über Themen und Neuigkeiten aus den Bereichen Datenschutz, Datensicherheit und Informationsfreiheit bieten. Unregelmäßig werde ich einzelne Themen vertiefen und hierzu eventuell Kollegen zum Interview bitten.

Also: Ich habe viel vor. Ein Anfang ist hiermit gemacht.