Datenschutz im Haifischteich
Die anhaltende Diskussion um transatlantische und innereuropäische Ausspähaktionen fordert auch Privatpersonen, Projektverantwortliche oder Startup-Firmen heraus.
Wie kann die produktive Nutzung von Services über das Internet mit einem hinreichenden Schutz von Vertraulichkeit und Privatsphäre verbunden werden? Gibt es überhaupt Handlungsspielraum?
Sicher wäre alles etwas einfacher, wenn sich Enduser darauf verlassen könnten, dass Grundrechte in nur selektiv und im Rahmen rechtsstaatlicher Prozeduren tangiert werden. Diesbezüglich können öffentliche Diskussionen und politische Auseinandersetzungen helfen, das Gleichgewicht von Sicherheitsbedürfnissen und individuellen Rechten wieder neu zu optimieren. Auf Ebene des individuellen Handelns besteht gerade in einem suboptimalen Umfeld grosser Spielraum. Je nach Wahl variiert das Privatheits-Risiko in der Grössenordnung mehrerer Zehnerpotenzen. Wer seine Privatsphäre schützen möchte, sollte vor allem eines unterlassen: Datengierigen staatlichen Diensten und privaten Konzernen entsprechende Informationen in Grossportionen «vors Maul zu halten». Das mag einleuchten. Doch wie lassen digitale Angebote beurteilen, wenn man nicht einfach den Stecker rausziehen möchte? Eine Risikoabschätzung muss verschiedene Fragen einbeziehen.
Welche Services wie nutzen?
Bei der Beurteilung eines Services stellt sich als erste wichtige Frage, ob und welche persönlichen Daten die eigene Hardware verlassen. Da geht es nicht nur um Inhalt im engeren Sinn, sondern auch um Benutzungsmuster oder Lokalisierungsdaten. Momentan werden solche Nutzerdaten, die zu Konsumenten-Profilen zusammengefasst und gehandelt werden, neben der Werbung zu einer wichtigen Geldquelle für «Gratis»- Services.
Nun stellt sich die zentrale Frage, ob ein bestimmter Service wirklich einen relevanten Mehrwert für das eigene Leben bietet – verglichen mit den Risiken. Wenn auf einen Service nicht verzichtet werden kann, gibt es vielleicht eine passende Offline- oder Bezahllösung.
Wenn ein Service gewählt wird oder schlicht unverzichtbar ist, können die Einstellungen angesehen und optimiert werden. Und es muss überlegt werden, in welchem Ausmass Inhalte platziert oder publiziert werden. Etwa auf Publikationsplattformen wie die sogenannten Sozialen Netzwerken.
Qualität und Triebkräfte des Providers
Das Geschäftsmodell eines Serviceproviders kann aus einer Kombination von Werbung + Randdaten + Nutzung von Usercontent bestehen. Damit wird dem User ein Deal ein Deal «Mein Service gegen Deine Daten und Deine Aufmerksamkeit» angeboten. Dass sich da eine Diskrepanz zwischen Geschäftsmodell und Datenschutz auftut, muss nicht gross ausgeführt werden.
Konzerne wie Apple oder Microsoft haben ein anderes Modell, das wesentlich auf der Bezahlung von Diensten und Systemen basiert. Doch auch hier besteht ein Interesse, Userinformationen über die Benutzung des Stores und anderer Systemkomponenten zu sammeln.
Weitere Mitspieler sind zu betrachten, wenn etwa ein E-Mail Provider gewählt werden soll. Hier stellt sich die Frage nach der Seriosität und öffentlichen Sichtbarkeit eines Unternehmens. Von der Swisscom darf der Benutzer ein etwas anderes Risikoprofil erwarten als von einem Startup in einem Emerging Market. Damit ist das Thema Standort angesprochen. Es ist eben auch im Cloudzeitalter höchst relevant, wo Firmensitz, Server und Netzwerkknoten liegen.
Territoriale Feinheiten
Wer repressive und korrumpierte Staaten als eher suboptimales Ökosystem für sensitive Dienste und Daten ansieht, bleibt mit einer ziemlich kurzen Liste von Rechtsstaaten zurück. Der anspruchsvolle Betrachter wird in einer nächsten Runde auch westliche Grossmächte streichen, die im Umgang mit den Daten von Dritten schlechte Manieren zeigen.
Übrig bleibt eine überschaubare Gruppe von Standorten, manche davon zwischen Poebene und Polarkreis. Für einen sicheren Hafen könnte man die Gegend nördlich des Rheins halten, aufgrund einer ausgeprägten Kultur von Rechtsstaatlichkeit und parlamentarischer Kontrolle. Nun ist aber in den letzten Monaten deutlich geworden, dass ausländische Dienste einen enormen Freiraum zum Sammeln von Daten geniessen. Weniger problematisch sieht das in den nordischen Ländern aus. Hier wäre die Frage zu klären, wie weit die einheimischen Dienste als Erbe des Kalten Krieges noch immer in einer Dunkelkammer unbekannten Ausmasses agieren.
Die Schweiz hat einen Wettbewerbsvorteil. Mit der Fichenaffäre wurden die Übertreibungen der einheimischen Datensammler aufgearbeitet. Und das Risiko erscheint gering, dass hier die Regierung ausländischen Akteuren ein direktes Abgreifen von Datenströmen erlaubt. Mit der einsetzenden Ansiedlung von Datencentern und verbundenen Services zeichnet sich eher das vom Bankgeheimnis her bekannte Problem ab, dass dubiose Player im Freiraum von Bürgerrechten Deckung suchen.
Schlankheitskur für Schnüffelmonster
Wie die eigene Privatsphäre zu gewichten ist, muss jede und jeder für sich entscheiden. Wer sich entschliesst, die Schnüffelmonster nur mit einzelnen Nüsschen zu füttern, tut seiner Privatsphäre etwas Gutes. Und ein wenig auch der Allgemeinheit: In dem Mass, wie illegitimes Schnüffeln ein Standort- und Imagenachteil wird, darf mehr Respekt für Grundrechte erwartet werden.
Kontakt
ID NET Netzwerk-Sicherheit, http://www.id.ethz.ch/services/list/security/comp_sec/windows
Posted on
in Kommunikation, Mail, Web, News, Passwort, Applikationen, Software, Arbeitsplätze, Support
Die Schweiz wird bei der NSA als Tier B Partner geführt [ Ref: http://www.elmundo.es/espana/2013/10/30/5270985d63fd3d7d778b4576.html ]. Die Datenhaltung in der Schweiz garantiert alleine nicht für die Sicherheit. Jeder ist selbst dafür verantwortlich geeignete technische Mittel anzuwenden, diese Sicherheit zu erhöhen. Alternativ/ergänzend besteht natürlich die Möglichkeit, die Speicherung und Übermittlung von Daten im Internet auf ein notwendiges Minimum zu reduzieren.
Richtig, von Garantien oder absluter Sicherheit kann auch bei einer Datenhaltung in der Schweiz keine Rede sein. Bei einem Risikoranking schneidet aber die die Schweiz erheblich besser ab, als etwa das ebenfalls als seriös geltende Deutschland. Die letzten Wochen haben gezeigt, dass ausländischen Diensten einer grosser legaler und illegaler Handlungsspielraum gewährt wird. Das kann nun aber nicht heissen, dass Enduser sich völlig auf eigene Faust um Sicherheit kümmern sollen oder können. In modernen arbeitsteiligen Gesellschaften sollen die BürgerInnen ja auch nicht mit dem Sackmesser Operationen durchführen oder mit der eigenen Waffe im öffentlichen Raum für Sicherheit sorgen. Von Rechtsstaaten darf und muss verlangt werden, dass sie Bürgerrechte garantieren und sich an Regeln halten. Parallel dazu ist selbstverständlich jede und jeder für die Grenzziehung seiner Privatsphäre mit verantwortlich.