Der IT-Sicherheitsblog

Am heutigen 21.5. hat der Bundestag in 3. Lesung das Betriebsrätemodernisierungsgesetz beschlossen. Der neue § 79a zum Thema Datenschutz wurde in der Empfehlung des Ausschusses für Arbeit und Soziales um zwei Sätze ergänzt. Er hat jetzt Wortlaut:

„¹Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. ²Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. ³Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. ⁴Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. ⁵Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

Hieraus ergeben sich interessante Fragen. Nach der Formulierung ist der Betriebsrat nicht Adressat datenschutzrechtlicher Verpflichtungen ist, welche sich an den Verantwortlichen i.S.v. Art. 4 Nr. 7 DS‐GVO richten. Der Betriebsrat ist damit nicht Adressat der Verpflichtung, bei Vorliegen der Voraussetzungen nach Art. 37 DS‐GVO, § 38 Abs. 1 BDSG einen Datenschutzbeauftragten zu benennen, der Melde‐ bzw. Benachrichtigungspflichten bei Datenschutzverletzungen (Art. 33 f. DS‐GVO) oder der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS‐GVO zu führen. Auch wäre der Betriebsrat nicht unmittelbarer Adressat der Transparenzpflichten bzw. Betroffenenrechte (Art. 12 ff. DS‐GVO). So auch die GDD in ihrer Stellungnahme zu dem Gesetzesentwurf.

Der zum ursprünglichen Entwurf ergänzte Satz 4 legt nahe, dass schon von Kontrollrechten der oder des Datenschutzbeauftragten ausgegangen werden kann, denn ohne Kontrolle hätte sie oder er keine Kenntnis vom Meinungsbildungsprozess des Betriebsrates. Aus der Begründung dieses Änderungsvorschlages ergibt, sich dass sich die Schweigepflicht der oder des Datenschutzbeauftragten auf alle Kenntnisse und nicht nur auf personenbezogene Daten beziehen soll: „Der erste Satz (§ 79a Satz 4 BetrVG-E) bezieht sich auf alle Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats ermöglichen und deren Kenntnis eine frei von Beobachtung durch den Arbeitgeber stattfindende Meinungsbildung im Betriebsrat gefährden würden. Dabei kommt es nicht darauf an, ob es sich um personenbezogene Daten handelt.“

Es wird auch nochmal deutlich darauf abgehoben, dass die Schweigepflicht der oder des Datenschutzbeauftragten nach § 6 Abs. 5 Satz 2 insbesondere auch gegen den Arbeitgeber gilt.

Der Ausschuss empfiehlt in der Begründung zu dem Thema der vertrauensvollen Zusammenarbeit im Datenschutz eine Betriebsvereinbarung abzuschließen. Im Grunde drückt sich der Gesetzgeber damit vor eine Regelung und legt den Betriebsparteien nahe, das selbst zu regeln. Viele Betriebsparteien, vor allem in KMUs, dürften damit überfordert sein.

Am 25. Novmber 2009 stellte John L. Young von cryptome eine Anfrage nach dem “Fredom of Information Act” der USA an die National Security Agency (NSA) bezüglich „… all documents pertaining to a letter written by Joseph A Meyer to the IEEE in August 1977 concerning possible ITAR violations of cryptographic research exported to countries outside the United States unless by export license.” (“… alle Dokumente, die sich auf den Brief von Joseph A. Meyer an das IEEE im August 1977 beziehen, in dem es um mögliche ITAR-Verletzungen von kryptographischer Forschung geht, die in Länder außerhalb der Vereinigten Staaten exportiert wird, sofern keine Exportlizenz vorliegt.“) Dieser Brief wurde geschrieben, da das IEEE 1977 ein Symposium zum Thema Verschlüsslung plante. Es sollte erreicht werden, dass die wissenschaftlichen Veröffentlichungen vorab durch die NSA zu genehmigen seien. Dies wurde als Bedrohung der Wissenschaftler angesehen und die Journalistin Deborah Shapley veröffentlcihte dazu einen Artikel im „Science“.

Als Antwort erhielt er mit Datum 26. April 2021 ein Dokument „NSA comes out of the closet: The Debate over public Cryptography in the Imman Era” aus dem September 1991, das im Cryptologic Quartely, Spring 1996 erschien. Cryptoligc Quartely ist eine interne “Zeitschrift” der NSA, aus der einige Artikel online verfügbar sind. Der jetzt an J.L. Young herausgegebene Artikel ist als „Top Secret Umbra“, der höchsten Geheimhaltungsstufe der USA, klassifiziert. In dem Dokument sind immer noch etliche Stellen aus Gründen der nationalen Sicherheit geschwärzt.

Im Wesentlichen geht es in dem Dokument um die Tatsache, dass in den späten 70er Jahren des vergangenen Jahrhunderts die freie wissenschaftliche Forschung begann, sich mit Kryptographie zu beschäftigen und damit das Monopol der NSA auf das Krypto-Know-How in den USA in Farge zu stellen. Die NSA versuchte dies zu verhindern und dieser Prozess wird in dem Dokument beschrieben.

So ganz nebenbei erfährt man einige Details zu Verschlüsselungsentwicklung. Dr. Ruth Davis, Leiterin des Instituts for Computers Sciences and Technology am National Büro of Standards (NBS) versucht ab 1968 die IT-Sicherheit voranzubringen und forderte von der NSA ein Verschlüsslungssystem für Regierungsbehörden, um vertrauliche Daten austauschen zu können. Dies führte letztendlich zur Entwicklung des DES-Algorithmus.

Da IBM für die Lloyds Bank of London 1971 den Lucifer Algorithmus entwickelt hatte und noch an der Weiterentwicklung arbeitete, kontaktierte die NSA Walter Tuchman bei IBM, der Lucifer zu DSD-1 verbessert hatte. Das war die Basis für die DES Entwicklung. Die NSA versprach eine „sichere Version von DSD-1“ zu evaluieren und ihn für alle Angriffe bis auf Brute Force abzusichern. Dabei wurde IBM vorgeschlagen die Schlüssellänge von 64 Bit auf 48 Bit zu reduzieren. Letztendlich einige man sich auf 56 Bit Schlüssellänge, 16 Runden und auf „sichere S-Boxen“. Leider sind einige Design-Entscheidungen geschwärzt. Da gibt es also noch unbekannte spannende Informationen.

Die kritische öffentliche Diskussion über die Sicherheit und eventuelle Hintertüren von DES, angeführt von dem Wissenschaftler Martin Hellman und dem Journalisten David Kahn, wird auch dargestellt.

Die NSA wurde dann wohl 1976 völlig überrascht von der Veröffentlichung des Papers „New Directions in Cryptography“ von Witfield Diffie und Martin Hellman. Der Kommentar dazu „This first public work on the topic of public-key cryptography was supported by NSF funds and discovered results that were both known and classified by NSA” („Diese erste öffentliche Arbeit zum Thema Public-Key-Kryptographie wurde mit Mitteln der NSF unterstützt und brachte Ergebnisse, die sowohl bekannt als auch von der NSA als geheim eingestuft waren.”)

Im April 1977 erschien dann das berühmte RSA-Paper von Ronald Rivest, Adi Shamir und Leonard Adleman. Der Kommentar aus dem Dokument: „The research was supported by grants from NSF and the Office of Naval Research (ONR), and it duplicated NSA research results obtained more than five years earlier. NSA did not receive any indications that this research was occurring until May 1976 when it received a copy of the published paper.” („Das Forschungsprojekt wurde durch Mittel der NSF und des Office of Naval Research (ONR) unterstützt und duplizierte Forschungsergebnisse der NSA, die mehr als fünf Jahre zuvor erzielt worden waren. Die NSA hatte bis Mai 1976 keine Hinweise darauf, dass diese Forschung durchgeführt wurde, bis sie eine Kopie der veröffentlichten Arbeit erhielt.“).

Dass eine Regierungsbehörde die National Science Foundation (NSF) kryptographische Forschung förderte, die die NSA gerne geheim gehalten hätte, das wollte die NSA verhindern. Zum Glück gelang das nicht. Die Versuche der NSA die Kontrolle über die Vergabe von Forschungsmitteln zur Krypto-Forschung zu erlangen, Export-Vorschriften für Kriegswaffen und sogar das Patentrecht für die Zwecke freie Krypto-Forschung zu verhindern einzusetzen, sind jetzt gut dokumentiert.

Es ist schon lange bekannt, dass Philip Zimmerman wegen Pretty Good Privacy Probleme mit amerikanischem Kriegswaffenexport hatte.

Insgesamt ist das Dokument ein wichtiger Einblick in die Krypto-Geschichte. Einige kleine Informationen zur DES-Entwicklung und zur Public-Key-Kryptographie sind auch enthalten und zeigen, dass das Krypto-Know-How der NSA der freien Forschung voraus ist.

Ein Hintergrundartikel aus der Perspektive der Wissenschaft erschein 2014 im Stanford Magazin.

Das Bundeskabinett hat am 31. März einen Entwurf eines Gesetzes zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) beschlossen. Neben zahlreichen Regelungen zur Betriebsratswahl und zu rechtlichen Fragen in der Beziehung Betriebsrat – Arbeitgeber werden auch in wesentlichen Bereichen der Betriebsratsarbeit Datenschutz- und IT-relevante Regelungen getroffen.

Online Betriebsratssitzungen

Nach den beschlossenen Regelungen dürfen Betriebsräte dann auch per „Video- und Telefonkonferenz“ an der Betriebsratssitzung teilnehmen. Der Entwurf regelt ausdrücklich, dass Betriebsrats- oder Gesamtbetriebsratsmitglieder, „die mittels Video- und Telefonkonferenz an der Beschlussfassung teilnehmen“, als anwesend gelten. Dazu müssen sie gegenüber dem Vorsitzeden ihre Anwesenheit in Textform betätigen.

Die Durchführung eine Online-Sitzung ist nur zulässig, wenn

1. die Geschäftsordnung des Betriebsrats Online-Sitzungen vorsieht und klarstellt, dass eine Präsenzsitzung zu bevorzugen ist,
2. nicht mindestens ein Viertel der Mitglieder des Betriebsrats Widerspruch gegen eine geplante Online-Sitzung einlegt, und
3. sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können.

Es wird explizit verboten eine Aufzeichnung einer Betriebsrats-Sitzung zu erstellen.

Elektronische Signaturen

Entscheidungen von Einigungsstellen und Betriebsvereinbarungen können auch elektronisch niedergelegt bzw. abgeschlossen werden. Sie sind dann vom Einigungsstellenvorsitzenden bzw. von beiden Betriebsparteien elektronisch zu signieren. Nur Einigungsstellensprüche müssen dabei mit einer qualifizierten elektronischen Signatur versehen werden. Bei einer Betriebsvereinbarung müssen beide Parteien das gleiche Dokument elektronisch signieren. Da die Beschäftigen ein besonderes Interesse daran haben, nachvollziehen zu können, dass Arbeitgeber und Betriebsrat einen gleichlautenden Text unterzeichnet haben soll eine Betriebsvereinbarung daher die elektronischen Signaturen beider Betriebsparteien tragen.

Datenschutz

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.“ Eigentlich selbstverständlich.“

Da es in der Datenschutzliteratur strittig ist, wer verantwortliche Stelle für die Verarbeitung personenbezogener Daten ist, wird im neuen § 79a klargestellt, dass „der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften“ ist. Dies hat erhebliche Konsequenzen für den Arbeitgeber. Als verantwortliche Stelle ist er Ansprechpartner für die Ausübung von Betroffenenrechten (Auskunft. Korrektur Löschung usw.) und für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Dies ist ausweislich der Gesetzesbegründung auch vom Gesetzgeber so gesehen (zu Nummer 14, Seite 23 des Entwurfs). Der Arbeitgeber hat aber keine Kontroll-, Auskunfts- oder Zugriffsrechte bezüglich der Verarbeitung der personenbezogenen Daten beim Betriebsrat. Das mit dem Satz „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ eine ausbalancierte Beziehung bezüglich der Datenschutzfragen zwischen den Betriebsparteien geschaffen wird, darf bezweifelt werden. Hier muss eine detaillierte Regelung geschaffen werden. Ein Satz reicht nicht.

Mitbestimmung und IT

In die Mitbestimmungstatbestände des § 87 BetrVG wird eine neue Nr. 14 die „Ausgestaltung von mobiler Arbeit, die mittels Informations- und Kommunikationstechnik erbracht wird“ eingefügt. Hier geht es nach der offiziellen Begründung um folgendes „Es wird ein eigenes Mitbestimmungsrecht lediglich bezogen auf die Ausgestaltung („wie“) von mobiler Arbeit geschaffen. Die Einführung der mobilen Arbeit („ob“) verbleibt damit in der Entscheidungsbefugnis des Arbeitgebers.“ ((zu Nummer 16, Seite 24 des Entwurfs). Hier wird verkannt, dass ein Betriebsrat durchaus durch überzogene technische Mindestanforderungen beim „wie“ das „ob“ erheblich beeinflussen kann.

Häufig streiten sich Arbeitgeber und Betriebsrat, ob ein Sachverständiger zur ordnungsgemäßen Erfüllung der Aufgaben des Betriebsrats erforderlich ist. Hier stellt der Gesetzgeber klar, dass bei der Beurteilung von KI die Erforderlichkeit geben ist. Arbeitgeber und Betriebsrat müssen trotzdem über die Hinzuziehung des Sachverständigen weiter die nach § 80 Absatz 3 erster Halbsatz vorgeschriebene nähere Vereinbarung treffen.

Der Gesetzentwurf macht vergleichbare Änderungen auch für das „Gesetz über Sprecherausschüsse der leitenden Angestellten - Sprecherausschussgesetz“ und für die „Werkstätten-Mitwirkungsverordnung“.

Nach dem Beschluss des Bundeskabinetts beginnt jetzt das parlamentarische Verfahren.

Das Bundesverfassungsgericht (BVerfG) hatte durch den Beschluss vom 27. Mai 2020 (veröffentlicht am 17. Juli 2020; Bestandsdatenauskunft II) den § 113 TKG und die korrespondierenden Paragrafen (§ 22a Bundespolizeigesetz, § 8d Bundesverfassungsschutzgesetz, § 4b MAD-Gesetz, § 7 Absatz 5 - 9, § 15 Absatz 2 - 6 Zollfahnungsdienstgesetz, § 4 BND-Gesetz und die §§ 10 und 40 Bundeskriminalamtgesetz) für verfassungswidrig erklärt. Nach dem sog. „Doppeltürmodell“ des BVerfG muss es für jede Berechtigung einer Behörde, Daten zu erheben, auch eine Zulässigkeit der Gegenseite (hier TK-Dienste Anbieter) zum Liefern der Daten geben.

Dies führte dazu, dass der Bundespräsident das am 18. Juni 2020 in 3. Lesung vom Bundestag beschlossene Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität wegen verfassungsrechtlicher Bedenken nicht ausgefertigt hat. Dieses Gesetz sollte u.a. die Regelungen des § 113 TKG in entsprechender Form in das Telemediengesetz einbringen und ist damit von dem Urteil des BVerG unmittelbar betroffen.

Die Bundesregierung hat nun den Entwurf eines „Gesetzes zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020“ in des Gesetzgebungsverfahren eingebracht, um das Urteil des BVerfG umzusetzen. Am 13. Januar steht dieser Gesetzentwurf zur ersten Beratung auf der Tagesordnung des Bundestages.

Auskünfte dürfen nur einzelfallbezogen und zweckgebunden erteilt werden und es bedarf "begrenzender Eingriffsschwellen, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten Eingriffsanlass eingeholt werden können", wie es in der Pressemeldung des BVerfG vom 17. Juli 2020 heißt.

Meine Synopse zu diesen Regelungen stellt die aktuell geltende Fassung des § 113 TKG neben die geplanten neuen Regelungen aus der BT-Drs. 19/25294 und verglicht sie außerdem mit den Regelungen, die das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität in das TMG einfügen sollte. Auch wird der Vergleich mit den neuen geplanten Regelungen gezogen. Der Vollständigkeit sind auch die Regelungen des geplanten Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG, Referentenentwurf vom 14.7.2020) enthalten. Diese werden sicherlich an die neuen Regelungen angepasst.

Auch wenn die Datenschutzreglungen des TKG und des TMG in dem TTDSG zusammengeführt werden sollen, bleibt eine Asymmetrie. Der § 113 bleibt im TKG, die entsprechenden Regelungen im § 15a TMG sollen aber in das TTDSG wandern.

Auskünfte dürfen nach TKG-E und TMG-E nur erteilt werden an:

• Behörden, die für die Verfolgung von Straftaten und Ordnungswidrigkeiten zuständig sind

• Behörden, die für Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständig sind.

• das Bundeskriminalamt

• das Zollkriminalamt

• die Verfassungsschutzbehörden des Bundes und der Länder

• den Militärischen Abschirmdienst

• den Bundesnachrichtendienst

Im Bereich der Telemeiden sind auch Auskünfte an Behörden der Zollverwaltung und die nach Landes-recht zuständigen Behörden, um beim Vorliegen tatsächlicher Anhaltspunkte für Schwarzarbeit oder illegale Beschäftigung den Auftraggeber zu ermitteln, zulässig.

Nach § 113 Abs. 1 Satz 2 TKG dürfen „Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird“, herausgegeben werden. Hiermit sind eindeutig Passworte gemeint. Voraussetzung für die Herausgabe sind die Regelungen des § 113 Abs. 3 TKG. Zur Frage, ob die Passwörter vor der Herausgabe entschlüsselt werden müssen gibt es im TKG keine Aussage.

Nach dem § 15a Abs. 1 Satz 2 TMG-E dürfen „Passwörter oder andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speicher-einrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird“ auf Basis des § 15a Abs. 2 TMG-E nicht herausgeben werden. Die Herausgabe von Passworten ist in § 15b TMG-E geregelt. Die Herausgabe von „Passwörtern und anderen Zugangsdaten“ ist auf die „Verfolgung besonders schwerer Straftaten nach § 100b Absatz 2 der Strafprozessordnung“ (§ 15b Abs. 2 Nr. 1 TMG-E) und die „Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person [oder] für den Bestand des Bundes oder eines Landes“ (§ 15b Abs. 2 Nr. 2 TMG-E) beschränkt. Die Herausgabe muss außerdem in beiden Fällen durch ein Gericht angeordnet werden.

In § 15b Abs. 3 Satz 2 TMG-E wird eindeutig klargestellt, dass „Passwörter und andere Zugangsdaten“ nicht entschlüsselt werden müssen: „Eine Verschlüsselung der Daten bleibt unberührt.“

Dass die rechtliche Barriere für die Herausgabe von Passwörtern im TKG niedriger ist, als in den geplanten Regelungen im TMG ist verwunderlich. Hier würde man sich eine größere Synchronität der Regelungen wünschen.

Welchen Fortschritt hat die Sicherheit bei der Verschlüsslung zwischen 2008 und 2020, also in 12 Jahren gemacht? Glaubt man dem BREXIT-Handels- und Zusammenarbeitsabkommen: keinen! In dem Beschluss 2008/616/JI des Rates der Europäischen Union vom 23. Juni 2008 werden IT-Sicherheitsstandards zum Datenaustausch bei der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität festgeschrieben. Diese sind 256-Bit AES, 1024-Bit RSA und SHA-1. Über zwölf Jahre später werden im BREXIT-Handels- und Zusammenarbeitsabkommen (Entwurf vom 24.12.2020) IT-Sicherheitsstandards zum Austausch von DNS-Profilen, Fingerabdruck-Daten und Fahrzeug Registrierungen („Exchanges of DNA, Fingerprints and vehicle registration data“) festgeschrieben. Es ist kaum zu glauben, was dort steht: 256-Bit AES, 1024-Bit RSA und SHA-1. Als Begründung wird 2020 die gleiche Argumentation wie 2008 verwendet: „Die s/MIME-Funktionalität ist bereits Bestandteil der überwiegenden Mehrzahl moderner E-Mail-Softwarepakete einschließlich Outlook, Mozilla Mail sowie Netscape Communicator 4.x und bietet eine Interoperabilität mit allen gängigen E-Mail-Softwarepaketen.“ Was 2008 „modern“ war, ist 2020 auch noch „modern“.

„Copy and Paste“ ist ja grundsätzlich okay. Wer macht das nicht. Bei Grundschülern passiert es vielleicht auch mal, dass man etwas kopiert, was man nicht wirklich versteht. Aber bei politischen Verhandlungen auf dem „Kompetenzlevel“? Bleibt nur zu hoffen, dass im Rahmen der Ratifizierung jemand den Text liest und aktualisiert.

Aber auch 2008 waren die Empfehlungen nicht auf der Höhe der Zeit. Mozilla Mail (Bestandteil der Mozilla Suite) wurde 2006 eingestellt. Seit 2004 gab es den Mozilla Thunderbird. Die letzte Version des Netscape Communicators 4.x erschien 2002. Das NIST (Special Publication 800-131A; mittlerweile auch schon außer Kraft) sieht RSA mit Schlüssellänge 1024 Bit als akzeptierbar (“acceptable“) bis Ende 2010 und ab Anfang 2014 als verboten („disallowed“) an. Gleiches gilt für den Hash-Algorithmus SHA-1.

Wenn dieser Text die neue Messlatte ist, muss man sich in Datenschutzseminaren gut überlegen, wie man bei „Was ist Stand der Technik?“ argumentiert. Der Austausch sensibler Daten zwischen Behörden scheint hier um Jahrzehnte zurück zu sein.

Die kleine Synopse stellt die beiden Fassungen gegenüber.

Einhörner haben bekannter Weise magische Fähigkeiten und die werden auch gebraucht, um die Forderungen der Europäischen Union aus der Entschließung des Rates zur Verschlüsselung "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" umzusetzen.

Die widersprüchliche Forderung aus dem Titel des Papiers verwenden das Wort Sicherheit in einer nicht synonymen Art. Das erste "Sicherheit" ist als Informations- und IT-Sicherheit gemeint. Wir schützen unsere Daten und Systeme durch Verschlüsselung. Das zweite "Sicherheit" ist im Sinne öffentlicher Sicherheit und Schutz vor Kriminalität gemeint. Dass "Terrorismus, organisierte Kriminalität, sexueller Missbrauch von Kindern" und andere schwere Cyberkriminalität zu bekämpfen ist, findet unser aller Zustimmung.

Nur die Vorstellung der Politiker man könne in die Verschlüsselung eine Art von Magie einbauen, so dass die Bösen durch die Verschlüsslung abgehalten werden, die Guten aber für einen rechtmäßigen, transparenten, notwendigen und verhältnismäßigen Zugang durch die Verschlüsselung nicht aufgehalten werden, das funktioniert nicht. Solche Lösungen können nur Einhörner finden und die gibt es ja bekannter Weise nicht.

Eine bekannte Lösung für eine (halb)staatliche Hintertür sind die TSA-Schlösser an unserem Gepäck. Nur die Berechtigten im Bereich der Sicherheitskontrollen an Flughäfen haben die erforderlichen Schlüssel. Und damit ist kein Missbrauch möglich. Dumm nur, das ein Foto der Schlüssel im November 2014 in der Washington Post in dem Artikel „The secret life of baggage: Where does your luggage go at the airport?” und damit im Internet erschienen ist, Dadurch existieren jetzt 3D-Druckvorlagen, die es jedem erlauben TSA-Schlüssel zu drucken. Details in meinem Kurzvortrag auf der 25. Konferenz "Sicherheit in vernetzten Systemen" des DFN-CERT.

Sicherlich wird die ETSI jetzt ihren kaputten Standard Enterprise Transport Security (ETS), als unsichere Alternative zu TLS 1.3, wieder ins Spiel bringen. Der ursprünglich mal eTLS genannte Standard hat sogar offiziell eine Schwachstellenummer: CVE 2019-9191. Dieser Standard bietet aber keine Lösung für das Problem, sondern entfernt lediglich Perfect Forward Secrecy aus dem TLS 1.3.

Die Frage ist nicht, ob eine Hintertür missbraucht wird, sondern nur wann eine Hintertür missbraucht wird!

Microsoft hat mit Datum 8. Juli 2020 die Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) als Reaktion auf das Urteil des EuGH vom aktualisiert. Wir haben die Änderungen gegenüber der Version vom Januar (Stand 9. Juni 2020) dokumentiert.

Die stillschweigende vermeintliche Änderung der Standardvertragsklauseln hate im Juni des Jahres auf Grund der Diskussion zwischen Microsoft und der Berliner Beauftragten für Datenschutz und Informationsfreiheit für einiges Aufsehen und Irritationen gesorgt.

Diesmal werden in den Standardvertragsklauseln (Anlage 2) nur ein paar kleinere sprachliche Fehler korrigiert. Die eigentlichen Änderungen finden in den anderen Teilen statt.

Die erste spannende Änderung ist der Absatz "Behördliche Vorschriften und Verpflichtungen". Microsoft behält sich vor einen Onlinedienst zu kündigen, wenn er in einem Land nicht rechtskonform angeboten werden kann.

Es werden "Diagnosedaten" (umgangssprachlich auch Telemetriedaten) definiert und zu Kundendaten und Dienstgenerierten Daten abgegrenzt.

Auch zum Thema Datenverschlüsslung von im Netz übertragen und von gespeicherten Daten ("in Ruhe") gibt es Aussagen. Leider wird nicht gesagt, wer über die Schlüssel verfügt. Es wird wohl Microsoft sein.

Der Zugriff auf Daten des Kunden erfolgt nur soweit wie erforderlich ("Grundsatz der geringsten Berechtigung").

Ein Thema ist auch der Speicherort der Daten ("Ort der ruhenden Kundendaten").

Eine unmittelbare Reaktion auf das EuGH-Urteil dürfte der folgende Absatz sein: "Microsoft hält sich an die datenschutzrechtlichen Anforderungen des Europäischen Wirtschaftsraums und der Schweiz in Bezug auf die Erhebung, Nutzung, Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz. Alle Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen geeigneten Garantien, wie sie in Artikel 46 DSGVO beschrieben sind, und solche Übertragungen und Garantien werden nach Artikel 30 Absatz 2 DSGVO dokumentiert." Ob die deutschen Aufsichtsbehörden damit zufrieden sind?

Neu sind auch Absätze zum Thema "Biometrie".

Die Datenschutzbestimmungen für Microsoft Online Dienste entwickeln sich in die richtige Richtung. Ein von den Datenschutzaufsichtsbehörden als unbedenklich eingestufter Einsatz von Office 365 bedarf allerdings immer noch begleitender technisch-organisatorischer Maßnahmen durch die Unternehmen.

Das „saubere Internet“ ist in den USA ein Internet ohne chinesische Komponente, Software und Dienstleistungen. China, Russland und andere Staaten statten haben den Schritt zum sicheren nationalen Netzwerk schon vor längerer Zeit gemacht.

In einer Vorlesung über Netzwerke stellt man typisch die verschiedenen Netze in einer Klassifizierung nach der Reichweite dar:

• PAN: Personal Area Networks sind kurzreichweitig (kleiner zehn Meter) und verwenden Techniken wie Bluetooth und USB zur Vernetzung.
• LAN: Local Area Networks beschränken sich auf eine Wohnung oder Liegenschaft. Die Vernetzung erfolgt über Kupfer, Glasfaser oder WLAN.
• MAN: Metropolitan Area Networks sind Netze von der typischen Ausdehnung einer Stadt und stellen den Nutzern in dieser Reichweite Netzwerkdienste (vor allen Netzwerkzugang) zur Verfügung
• WAN: Wide Area Networks stellen die Weitverkehrsverbindungen in aller Regel über Glasfaserkabel her.

Der Plan der Trump-Administration zur „Expansion of the Clean Network to Safeguard America’s Assets“ will die nationale US-amerikanische Netzinfrastruktur von Teilen der Welt abkoppeln. Damit muss man wohl hierarchisch zwischen MAN und WAN noch ein NAN (National Area Network) einfügen. Ein NAN (nicht zu verwechseln mit NaN: Not a Number) ist auf das Gebiet eines Staates beschränkt und aus Gründen der Nationalen Sicherheit entweder überhaupt nicht oder nur stark kontrolliert (Nationale Firewall) mit anderen Netzen verbunden.

Die netzwerktechnische Kontrolle wird – wie die PC Welt, offensichtlich besser informiert als andere, berichtet – dadurch ausgehebelt, dass die Datenpakete in Flugzeugen transportiert werden. Werden die Flugzeuge dann nach der Landung mit der Telekommunikationsinfrastruktur des Ziellandes verbunden, können die Datenpakete offensichtlich unkontrolliert ins NAN.

Die Trump-Administration will deshalb – ebenfalls laut PC Welt – sicherstellen, „dass chinesische Fluggesellschaften nicht aus Gründen der nationalen Sicherheit an US-Netzwerke angeschlossen werden“ (siehe Punkt 4 in dem Screenshot von PC Welt Online links.)

Eigentlich ist das doch technischer Blödsinn, oder? Ich empfehle in meinen Seminaren immer, wenn man eine Übersetzung nicht versteht, den Original Text anzuschauen. Dort steht: „Clean Carrier: To ensure untrusted People’s Republic of China (PRC) carriers are not connected with U.S. telecommunications networks. Such companies pose a danger to U.S. national security and should not provide international telecommunications services to and from the United States.”

Der Übersetzungsdienst Deepl übersetzt das zu: “Sauberer Träger: Um sicherzustellen, dass nicht vertrauenswürdige Netzbetreiber der Volksrepublik China (VR China) nicht mit US-Telekommunikationsnetzen verbunden sind. Solche Unternehmen stellen eine Gefahr für die nationale Sicherheit der Vereinigten Staaten dar und sollten keine internationalen Telekommunikationsdienste von und nach den Vereinigten Staaten anbieten.“ Zur Optimierung könnte man „Sauberer Träger“ noch mit „Sauberer Provider“ übersetzen und die Grammatik etwas optimieren. Auch der Google Übersetzer übersetzt den Text im Wesentlichen richtig.

Korrekturlesen ist zeitaufwendig und nervig, macht aber – wie man sieht – durchaus Sinn.

Wenn der Aktionismus der Trump Administration nicht so unsäglich dumm und traurig wäre, könnte das zum Lachen sein. Leute, lasst das Internet in Ruhe. Sobald die Politik sich da einmischt, wird das nichts Gutes mehr. Dabei wäre eine kluge Regulierung der Informationsicherheit zur Verbesserung der Sicherheit etwas extrem sinnvolles.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte sich neben konkreter Kritik an Produkten der Fa. Microsoft (insb. Teams und Skype) auch zu der Auftragsverarbeitung in dem „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“ (Data Protection Addendum, DPA) geäußert. In der anschließenden Auseinandersetzung mit Microsoft wurde in einem Schreiben vom 27. Mai 2020 an die Fa. Microsoft von der BLnBDI unter anderem ein „Rechtswidriger Datenexport wegen unzulässig abgeänderter Standardvertragsklauseln“ statuiert. Dieses Schreiben kann bei FragDenStaat eingesehen werden.

Microsoft hat diese Kritik offensichtlich zum Anlass genommen, das DPA stillschweigend zu ändern. Jedenfalls ist die derzeit (1.7.2020) herunterladbare Version gegenüber der kritisierten Version zum Jahresbeginn verändert. Paulina Jopes hat die Änderungen in einer PDF-Datei dokumentiert.

<Update> Mittlerweile hat der Autor erfahren, dass der Hintergrund dieser Änderungen das Beheben eines Übersetzungproblems ist. Das DPA enstand in englischer Sprache und wurde dann von einem Übersetzungsbüro übersetzt. Dabei wurden die Standardsvertragsklauseln neu übersetzt und nicht etwa die amtliche Übersetzung der EU verwendet. Diese Übersetzungspanne wurde stillschweigend ausgebügelt. Die englische Version wurde Anfang Juni nicht geändert.</Update>

Es gibt gerade eine neue Version der „Bestimmungen für Onlinedienste“ mit Stand Juli 2020.

<2. Update>Microsoft hat am 6.7.2020 einen Blog-Beitrag zu "Datenschutz und Datensicherheit in Bildungseinrichtungen" veröffentlciht. Die Aussagen sind durchaus allgemein gültig. Auch der Europäische Datenschutzbeauftragte hat sich negativ zum Vertrag zwischen der EU und Microsoft geäußert.</2. Update>

<3. Update>Am 8.7.2020 hat Microsoft eine Stellungnahme zu den "Hinweisen für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten" geäußert. Darin wird betont, dass es zu den Abweichungen von den Standardvertagsklauseln in den Jahren 2013/14 ein Konsultationsverfahren mit der Art. 29-Gruppe gab. Die Art. 29-Gruppe war mit den Abweichungen einverstanden. Hierbei ging es insbesondere um das Verfahren bei der Änderung von Unterauftragnehmern.</3. Update>

Vergleicht man die aktuelle Version der Anlage 2 des DPA mit den offiziellen Standardvertragsklausel der Europäischen Kommission, findet man nur noch marginale Unterschiede, die nicht mehr zu der Kritik berechtigen, dass Microsoft „die Standardvertragsklauseln negativ abgeändert hat“.

Am 3. Juli hat die BlnBDI eine "Kurzprüfung von Videokonferenzdiensten" vorgelegt. Danach werden 17 Videokonferenzanbieter rechtlich und fünf zusätzlich technisch nach einem Ampel-System bewertet. Rechtlich gibt es zehnmal Rot, zweimal Gelb und fünfmal Grün sowie technisch fünfmal Gelb. Manche Bewertungen erschließen sich dem Leser nicht. Warum "frei verfügbare Jitsi-Angebote" mit Gelb bewertet werden, wenn es doch zu den Verstößen heisst "in der Regel ja, da kein Auftragsverarbeitungsvertrag". Ist kein Auftragsverarbeitungsvertrag besser als einer mit Mängeln? Während die rechtlichen Mängel mehr oder weniger begründet werden, gibt es zu der technischen Prüfung praktisch keine Aussagen. Hier wurden bestimmt keine technischen Maßnahmen wie z.B. Verschlüsslungsprotokolle oder Passwortspeicherung geprüft.

Da Aufsichtsbehörden - völlig zu Recht - immer auf dem Stand der Technik bei den technisch-organisatorischen Maßnahmen bestehen, müsste eine Aufsichtsbehörde sich mal zum Stand der Technik bei Videokonferenzen äußern. Der Autor hat erhebliche Bedenken, dass Ende-zu-Ende-Verschlüsselung bei Videokonferenzen Stand der Technik ist. Nur wenige Anbieter (z.B. Apple FaceTime, Google Duo, Jitsi) bieten überhaupt Ende-zu-Ende-Verschlüsslung für kleine Gruppen an. Zoom hat Ende-zu-Ende-Verschlüsselung immerhin angekündigt. Eine Transportveschlüsselung mit guter, aktueller Verschlüsselung (z.B. TLS 1.2 oder TLS 1.3) zwischen den beteiligten Geräten (Clients und Server) kann dagegen als Stand der Technik angesehen werden.

Bleibt natürlich nach wie vor die Frage, ob die Verarbeitung der Daten zu eignen Zwecken durch Microsoft durch eine Auftragsverarbeitung geregelt werden sollte. Der Kern des Art. 28 Abs. 3 Lit. a DSGVO, dass personenbezogene Daten „nur auf dokumentierte Weisung des Verantwortlichen … verarbeitet“ werden dürfen, widerspricht der Verarbeitung zu eigenen Zwecken durch den Auftragsverarbeiter. Hier wäre sicherlich das Konzept der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (siehe z.B. die Praxishilfe der GDD zu Details) tragfähiger. Der Auftraggeber verantwortet die Verarbeitung der Daten zu seinen Zwecken und Microsoft verantwortet die Verarbeitung der Daten zu den eigenen Zwecken. Dies bedarf natürlich auch einer vertraglichen Regelung, die inhaltlich einem Vertag zur Auftragsverarbeitung ähnelt. Den Teil zu den Zwecken der Verarbeitung würde es doppelt geben, da beide Vertragsparteien ihre jeweilige Verarbeitung festlegen.

Hierzu müsste Microsoft sehr deutlich und verständlich („in transparenter Form“) festlegen, was mit den personenbezogenen Daten im Verantwortungsbereich von Microsoft passiert. Ständige schleichende Veränderungen der Verarbeitung wären dann nicht möglich.

Würde man in dieser speziellen Konstellation die Auftragsverarbeitung und die gemeinsame Verantwortung verneinen, stünden zwei alleinig Verantwortliche nebeneinander. Dann käme als datenschutzrechtliches Instrument nur noch die Übermittlung der personenbezogenen Daten vom Kunden an Microsoft oder einen entsprechenden anderen Anbieter in Frage.

(Ich danke Stefan Hessel für den Hinweis auf das Dokument von Paulina Jopes.)

Microsoft stellt im Insider-Build 19628 des Betriebssystems Windows 10 erstmalig eine DNS over HTTPS (DoH)-Implementierung im Betriebssystem zur Verfügung. Bisher waren Mozilla Firefox und Google Chrome/Microsoft Edge die relevantesten Implementierungen.

Damit dürfte DoH einen erheblichen Sprung nach vorne gegenüber DNS over TLS (DoT) gemacht haben. DoT wird in Deutschland im Wesentlichen durch AVM (Hersteller der Fritzboxen) gepusht. Auch Hersteller von preiswerten OpenWRT-basierten Routern (z.B. GL-inet) unterstützen DoT.

DoH/DoT der Absicherung des DNS dienen. Wenn es nur um die Sicherheit des DNS geht, gibt es bereits eine etablierte Möglichkeit. DNSSEC, das sind signierte DNS-Antworten, ist in der Praxis bewährt und funktioniert. Die Durchdringung ist leider ähnlich langsam wie die Einführung von IPv6. Mit deSEC gibt es in Deutschland auch eine Organisation die DNSSEC (ähnlich Let’s Encrypt für Serverzertifikate) pusht. Niemand muss auf DNSsec verzichten. Die großen Provider sollten es endlich einführen.

DoH/DoT sollen auch den Datenschutz bei DNS sicherstellen, damit niemand den DNS-Verkehr mitlesen oder filtern kann. Bisher nutzen die meisten DNS über ihren Provider. Das kommt der Idee des DNS, eine verteilte Ressource zu sein, sehr nahe. Da es im Moment nur drei große DoH-Anbieter (Google, Cloudflare und Quad9) gibt, wird DNS durch DoH zu einer zentralen Ressource. Google reibt sich schon begeistert die Hände, wenn sie nicht nur die Suchanfragen der Nutzer und die ausgespielte Internet-Werbung, sondern jetzt auch noch die DNS-Anfragen der Nutzer unter ihre Kontrolle bekommen. Das erlaubt es manches Nutzer-Profile abzurunden.

In Unternehmen und Organisationen führt DoH auch zu erheblichen Problemen. Mit DoH wird nicht mehr der interne DNS-Server, sondern ein externer DNS-Server genutzt. Damit entfallen wichtige und erforderliche Möglichkeiten. Ein Split-DNS (der DNS-Server beantwortet externe und interne DFNS-Anfragen unterschiedlich) ist nicht mehr möglich. Interne Strukturen (Intranet-Server, Produktionsserver etc.), die nach außen nicht offengelegt werden sollen, sind nicht mehr zugreifbar, da nur der interne DNS-Server diese kennt.

Der zentrale DNS-Server eines Unternehmens bzw. Providers hat auch eine gewisse Anonymisierungsfunktion, in dem er die DNS-Fragen der Beschäftigten bzw. Kunden bündelt und unter seiner IP-Adresse weiter reicht. Damit sehen die höheren DNS-Strukturen nicht mehr die IP-Adresse des Endnutzers, sondern die IP-Adresse des DNS-Servers des Unternehmens bzw. Providers.

Das Ausfiltern von Domain-Namen, über die Malware verteilt wird, zum Schutz der Beschäftigten funktioniert nicht mehr, da der interne DNS-Server nicht mehr benutzt wird. Selbst Privatanwender, die sich z.B. mit Pi-hole einen praktischen Werbe-Filter gebaut haben, haben verloren, da Windows DoH direkt mit einem externen DNS-Giganten redet.

Was kann man tun? DoH und DoT blockieren! Da DoT einen eigenen Port (TCP/853) nutzt ist das einfach. DoH ist schon schwieriger, da eine solche Anfrage wie normaler https-Verkehr aussieht. Auf gemanagten Unternehmensrechnern sollte DoH über GPOs abgeschaltet werden. BYOD wird zu einem Problem, da die Konfiguration dieser Rechner hat man nicht unter Kontrolle.

Einige Anregungen finden Sie in meinem Vortrag auf der 27. IT-Sicherheitskonferenz des DFN und in meinen Artikeln (hinter Bezahlschranken) im Linux Magazin, in der Datenschutz Praxis und im ADMIN - Network & Security.

DNS muss eine dezentrale Ressource bleiben und darf nicht in die Hände einiger weniger (US-amerikanischer) globaler Player gelegt werden. Zentrales DNS und Hintertüren in der Verschlüsslung sind der falsche Weg!

Aktuell geben, auf Grund der aktuellen Covid-19-Epedemie, fast alle Computer-Zeitschriften Tipps, wie man am effektivsten aus dem Home Office arbeitet. Die meisten Zeitschriften sehen dabei nur die Mitarbeiterin oder den Mitarbeiter und vergessen dabei die Sicht der Unternehmen.

Die Tipps der PC-Welt schießen etwas über das Ziel hinaus, wenn empfohlen wird, auf dem Büro PC TeamViewer zu installieren und diesen von daheim zu nutzen oder einfach das Microsoft Office 365 in der kostenlosen Cloud-Version zu nutzen. Dass es im Unternehmen Compliance-Regeln gibt, die z.B. die eigenmächtige Installation von Software oder die Cloud-Nutzung mit Unternehmensdaten verbieten, wird leider vergessen. Man kann sich also schnell Probleme einhandeln, wenn man zu leichtfertig irgendwelchen Tipps folgt.

Tipps für Beschäftige

Beachten Sie die Vorgaben Ihres Unternehmens oder Ihrer Behörde. Klären Sie, ob Sie gegeben falls Ihren privaten Rechnern ausnahmsweise für den Job nutzen dürfen. Haben Sie noch Windows 7 (oder ein anders altes Betriebssystem ohne Hersteller Support) auf Ihrem Privatrechner ist eine berufliche Nutzung aus IT-Sicherheitsgründen auf keinen Fall zu empfehlen.

Nutzen Sie zum Lesen Ihrer E-Mails nach Möglichkeit die Web-Mail-Oberfläche Ihres Arbeitgebers. Nutzen Sie auf keinen Fall irgendwelche E-Mail-Sammeldienste (z.B. Google Mail oder auch GMX/Web.de), da Sie dazu Ihr Mail-Passwort in Systemen Dritter speichern müssten.

Speichern Sie Unternehmens-Daten auf einem verschlüsselten USB-Stick. Den USB-Stick können Sie abziehen und wegschließen, wenn andere Familienmitglieder den Familienrechner nutzen. Bitlocker To Go oder VeraCrypt sind in der Windows-Welt einfach einsetzbare Lösungen. Schreiben Sie das Passwort auf und bewahren Sie den Zettel an einem sicheren Ort auf. Ohne das Passwort sind die verschlüsselten Daten dauerhaft verloren.

Wenn Sie Ihren privaten Rechner nutzen dürfen, aber kein Office Paket besitzen, fragen Sie in Ihrer IT-Abteilung nach der Möglichkeit eine Firmenlizenz zu bekommen. Ansonsten nutzen Sie eine lokal installierte Version von Libre-Office oder Softmaker Freeoffice. Beide Softwarepakete dürfen auch geschäftlich kostenfrei genutzt werden. Auf keinen Fall nutzen Sie ohne Erlaubnis des Unternehmens eine Office-Version in der Cloud (z.B. Microsoft Office 365 Web).

Nutzen Sie ohne Freigabe durch Ihr Unternehmen oder Ihre Behörde keine Cloud-Dienste.

Versuchen Sie die Nutzung von Videokonferenzen zu minimieren. Häufig reicht bei wenigen Personen eine Telefonkonferenz. Videokonferenzen benötigen mehr Bandbreite und belasten die Netze.

Tipps für Unternehmen und Behörden

Zuerst sollten Sie sich ein paar grundsätzliche Fragen überlegen. Wie groß ist die Kapazität ihres Internetanschlusses? Kann der Anschluss den zusätzlichen Datenverkehr aus den Home-Offices verkraften?

Wie viele gleichzeitige Nutzer erlaubt Ihr VPN-Gateway? Auch wenn die Hersteller kurzfristig die Lizenzierungsregeln lockern, auch die Hardware legt Beschränkungen auf.

Haben Sie hinreichend viele tragbare Rechner, um alle Beschäftigten im Home-Office mit einem Dienstrechner auszustatten?

Vielleicht können Sie vorübergehend den Zugriff auf das https-geschütze Web-Mail-Portal des Unternehmens ohne VPN freigegeben. Sie sollten vorher prüfen, ob alle Updates eingespielt sind und die Sicherheitseinstellungen in Ordnung sind. Das entlastet das VPN-Gateway.

Erstellen Sie ein Merkblatt für die IT-Nutzung im Home-Office. Insbesondere, wenn die Beschäftigten jetzt erstmalig mit eigenen Geräten arbeiten, sollten sie wissen, was erlaubt und was nicht erlaubt ist.

Geben Sie, wenn möglich, für die Beschäftigten eine Plattform für die Kollaboration frei. Chatten undgemeinsam an Dateien arbeiten zu können erleichtert das Home-Office.

Vergessen Sie nicht (falls vorhanden) die Personalvertretung ins Boot zu holen. Etliche der Notmaßnahmen unterliegen der Mitbestimmung.

Allgemeine Tipps zum Datenschutz im Home-Office gibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Eine Argumentation wie bei Covid-19 über eine Risikobetrachtung der besonderen Umstände eventuell argumentiert werden kann, finden Sie in dem Beitrag "Spontanes Homeoffice gegen Coronavirus – geht das unter der DSGVO?".

Das ZDF (Frontal21), die Washington Post und das Schweizer Fernsehen (Rundschau) berichten unter dem Label #Cryptoleaks über die wahrscheinlich laut Richard Aldrich, Professor für Internationale Sicherheitspolitik an der Universität Warwick, „wichtigste Geheimdienstoperation der Geschichte“. Es geht um die Tatsache, dass die von Boris Hägelin 1952 gegründete Crypto AG, ein Schweizer Hersteller von Cryptohardware, im Besitz der CIA und des BND gewesen sei. Neu ist die Untermauerung der Geschichte mit Dokumenten, die auch den Umfang der Abhörmaßnahmen zeigen.

Bekannt ist diese Geschichte mindestens seit der Verhaftung des Vertriebsingenieurs der Crypto AG Hans Bühler im Jahr 1992 im Iran. Der Spiegel berichtete in der Ausgabe 36/1996 unter dem Titel: „Wer ist der unbefugte Vierte“ darüber. Noch davor hatte der Focus im März 1994 darüber berichtet. Anlass war das Buch „Verschlüsselt: Der Fall Hans Bühler“ des Schweizer Journalisten Res Strehle aus dem gleichen Jahr. Es soll übrigens im März 2020 in zweiter Auflage erscheinen.

2015 berichtete das Schwizer Nachrichtenportal Infosperber ausführlich über die Spionageaffäre um die Crypto AG. In dem Beitrag wird auf die Freundschaft von Boris Hägelin, Gründer der Crypto AG und William F. Friedman, Krypto-Papst der NSA, eingegangen. Ein beeindruckendes Dokument ist ein Bericht von Friedman über einen Besuch bei der Crypto AG im Februar 1955. Dieses Dokument ist ein Teil der "William F. Friedman Collection of Official Papers", die die NSA im April 2015 veröffentlichte. Mit über 52.000 Seiten gescannter Dokumente eine der größten und relevantesten Sammlungen ehemals geheimer Dokumente zu Thema Verschlüsslung und Geheimdienste.

Im Umfeld der Österreicher Linz Textil entstand die Safeware GmbH, ein Unternehmen, das zu MS-DOS-Zeiten Hardware-Boards zur Verschlüsslung von Dateien auf der Festplatte herstellte. Diese Boards waren mit einem DES-Chip und einem externen Kartenleser (von Anwendern auf Grund von Form und Größe liebevoll Cola Dose genannt) ausgestattet. Der DES-Chip war Pin-Kompatibel mit einem Chip der Crypto AG. Die Crypto AG vertrieb die Safeware Lösung mit dem eignen Chip als eigene Lösung. Die Mitarbeiter der Safeware GmbH reagierten damals ausgesprochen allergisch, wenn sie auf die Crypto AG und den BND angesprochen wurden.

Der Verfasser erinnert sich an Kundentagungen der Utimaco Safeware AG in München, an denen auch Mitarbeiter der Bundesstelle für Fernmeldestatistik teilnahmen.

Die Safeware GmbH aus Linz wird in den Neunzigern mit der Uitmaco aus Oberursel zur Utimaco Safeware verschmolzen, die dann 1999 als Utimaco Safeware AG an die Börse ging.

Der Chipkartenleserbereich wurde aus der Safeware GmbH ausgegliedert und unter dem Namen Omnikey verselbständigt.

2009 kaufte dann Sophos die Utimaco Safeware AG. Der heute noch existierende Entwicklungsstandort Linz der Sophos zeugt noch von den Wurzeln des Unternehmens.

Der Verkauf der Utimaco Safeware AG an Sophos wurde unter Gesichtspunkten der nationalen Sicherheit vom Bundesministerium für Wirtschaft und Technologie auf Grund der Brisanz nur unter Auflagen genehmigt. Hintergrund ist die Tatsache, dass die Safeguard Lancrypt Produktfamilie (das Produkt hat seine Wurzeln in der Safeware GmbH) zur Verschlüsslung vielfach im Sicherheitsbereichen deutscher Behörden eingesetzt wird. Auch die Studie „Die IT-Sicherheitsbranche in Deutschland – Aktuelle Lage und ordnungspolitische Handlungsoptionen“ des Bundesministeriums für Wirtschaft und Technologie bedauert (Seite 82) den Abfluss des Crypto-Know-Hows aus Deutschland.

Ende 2018 wurde SafeGuard Lancrypt von Sophos an die conpal GmbH übertragen. Die conpal GmbH entstand als Technologieausgründung ehemaliger Mitarbeiter der Utimaco Safeware AG.

Spiegel Online und Golem.de berichten heute (16.12.19) über ein als VS-NfD (Verschlusssache – Nur für den Dienstgebrauch; die niedrigste behördliche Geheimhaltungsstufe in Deutschland) eingestuftes Sicherheitsaudit der veralteten Software TrueCrypt. Es wird sich ein bisschen echauffiert, dass niemand von diesem Audit wusste. Dabei war die Existenz des Audits bekannt, es wurde nämlich schon im Juni 2014 in einer Pressemeldung der Fa. Sirrix AG (2015 von Rhode und Schwarz aufgekauft) erwähnt. Leider sind die Web-Seiten der Sirrix AG nicht mehr verfügbar. Der Autor ist sich aber sicher, dass dort auch die Einstufung des Audits-Reports als VS-NfD erwähnt wurde.

Die Sirrix AG hatte gemeinsam mit der escrypt GmbH im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TrueCrypt einem umfassenden Audit unterzogen. Der Hintergrund des Audits war die Entwicklung der Software TrustedDisk Enterprise. Noch heute im Kaufhaus des Bundes für Behördenbeschäftigte verfügbar. TrustedDisk basiert wohl auf dem Code von TrueCrypt und ist eine deutlich aufgebohrte Lösung mit zusätzlichen Funktionen. TrustedDisk ist seit 2013 für Dokumente der untersten Vertraulichkeitsstufe VS-NfD (und entsprechend seit 2015 für RESTREINT UE / EU RESTRICTED sowie NATO RESTRICTED) unter Windows 7/8/10 zugelassen.

In der Pressemeldung wird auch – allerdings sehr abstrakt – auf die gefundenen Schwachstellen eingegangen. „Die im Audit gesammelten Erkenntnisse sind in die neue Verschlüsselungssoftware eingeflossen und haben die bisherige TrueCrypt-Sicherheits-Architektur und -Implementierung deutlich verbessert. Hierzu gehören beispielsweise ein verbesserter Bootloader, die Zufallszahlenerzeugung oder der Schutz des Schlüsselmaterials.“ Mit der neuen Verschlüsselungssoftware ist TrustedDisk gemeint.

Anlass der Pressemeldung von 2014 war die (bis heute nicht erfüllte) Ankündigung eine OpenSource Version von TrustedDisk als TrueCrypt-Nachfolger zu entwickeln und zur Verfügung zu stellen. Die Probleme liegen in der sehr eigenwilligen Lizenz von TrueCrypt, die nicht als freie Lizenz angesehen wird.

Das mittlerweile der Audit-Report bei FragDenStaat veröffentlicht wurde, ist natürlich zu begrüßen. Insbesondere VeraCrypt als legitimer TrueCrypt-Nachfolger hat schon und wird auch weiter davon profitieren, indem vorhandene Sicherheitslücken geschlossen wurden und werden.

Mittlerweile (18.12.) hat Golem.de diesen Blogeintrag aufgegriffen und den Sachverhalt entsprechend dargestellt.

Der federführende Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates haben den Plenum des Bundesrates empfohlen die Regeln für die Bestellpflicht eines betrieblichen Datenschutzbeauftragten zu streichen. Damit würde eine seit vielen Jahren bestehende bewährte Regelung gekippt.

Die offensichtliche Unkenntnis über die Regelungen der DS-GVO hat ja bekannterweise ziemliche Blüten getrieben. Aber auch organisationen die es besser wissen sollten, versuchen sich an einer Schwächung des Datenschutzes. Der Branchenverband bitcom hat schon im Juli 2018 in einer Stellungnahme gefordert, die Grenze für die Bestellpflicht eines Datenschutzbeauftragten von zehn Beschäftigte auf 250 Beschäftigte anzuheben. Diese Zahl 250 stammt übrigens aus einer EU-Definition für KMUs. Nach diese Definition sind über 99% aller Unternehmen in Deutschland KMUs.

Die wirtschaftspolitischen Vereinigungen, die der CDU, CSU, SPD und FDP nahestehen fordern sogar die völlige Abschaffung deutscher Regelungen zur Bestellpflicht eines Datenschutzbeaufttagten.

Die Bundesratsdrucksache ist nicht lesefreundlich, deshalb hier eine Synopse der vier unterschiedlich prioriiserten Ausschussvorschläge zur Änderung des § 38 Abs. 1 BDSG. Dabei hat Vorschlag 1 die höchste Priorität.

Die Abschaffung der Regelungen für die Bestellpflicht des Datenschutzbeauftragten ist der falsche Weg. Die (offensichtliche falsche) Wahrnehnung bei den Unternehmen war schon immer: wer keinen Datenschutzbeauftragten bestellen muss, für den gelten die Vorschriften der Datenschutzgesetze auch nicht. In Unternehmemn, die keinen Datenschutzbeauftargten haben, kümmert sich dann auch niemand mehr um den Datenschutz. Hier darf die Politik kein falsches Signal setzen.

Am 19. Oktober 2018 steht der "Entwurf des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)" als TOP 29 auf der Tagesordnung des Bundesrates.

Update: 1:0 für den Datenschutzbeauftragten; der Bundesrat ist in seiner Sitzung am 19.10.2018 dem Vorschlag der Ausschüsse nicht gefolgt und hat § 38 BDSG unverändert gelassen (Seite 377). Jetzt folgt die Behandlung des Gesetzes im Bundestag.

Bisher war die herrschende Meinung, dass freies WLAN wegen der Störerhaftung für den Betreiber ein Risiko darstellt. Jetzt hat die Regierung von Oberbayern klargemacht, dass freies WLAN an bestimmten Orten eine Gefahr für Leib und Leben der Bürger ist, und deshalb nicht genehmigungsfähig ist. Durch einen Antrag der Münchener Stadtratsfraktion Die Grünen - Rosa Liste und die jetzt veröffentlichte Antwort darauf brachte es ans Licht.

„Insbesondere würde die Bereitstellung von WLAN in Sperrengeschossen mit einem Anwachsen von Personenzahlen einhergehen, da hier ein Wetterschutz und im Winter ein gewisser Schutz vor Kälte gegeben ist. In Abhängigkeit von der Anlage und Ausdehnung des Sperrengeschosses der jeweiligen U-Bahn-Haltestelle sei es möglich, dass zusätzlich anwesende Personenansammlungen zu den maximal zu erwartenden Fahrgastströmen im Gefahrfall negative Auswirkungen auf die Sicherheit der in der Haltestelle anwesenden Personen haben und somit ein erhöhtes Gefährdungspotential für alle darstellen.“

Grünen-Fraktionschef Dr. Florian Roth reagierte auf die Mitteilung mit scharfer Kritik: „Die Unterstellung, es könne durch ein WLAN-Angebot auf den Bahnsteigen zu ‚Personenansammlungen‘ kommen, da dort ein ‚Wetterschutz‘ gegeben sei, ist an den Haaren herbeigezogen. Wie wäre vor diesem Hintergrund das Betreiben von Verkaufsständen für Backwaren und Getränken etc. in Sperrengeschossen und sogar auf Bahnsteigen zu rechtfertigen? WLAN im Öffentlichen Nahverkehr wird auch im Masterplan zur Luftreinhaltung als Anreiz zum Umsteigen auf den ÖV genannt. Laut Regierung von Oberbayern ist das aber offenkundig unerwünscht. Die CSU-Staatsregierung brüstet sich gern damit, bei der Digitalisierung an der Spitze des Forstschritts zu marschieren – in der Praxis wird behindert und blockiert.“

Vor diesem Hintergrund sollten alle Betreiber von Verkehrsmitteln mit unterirdischen Bahnsteigen und darüberliegenden Sperrengeschossen eine Neubewertung der Sicherheit vornehmen. Führt neben dem freien WLAN möglicherweise auch der Verkauf von Backwaren, Getränken, Zeitschriften und anderen Dingen an diesen Orten zu einer erhöhten Nutzung der Infrastruktur von „Personen, die nicht an der Nutzung der … Bahnen interessiert sind“?

Am 31. Juli 2018 erschien im Allgemeinen Ministerialblatt der Bayerischen Staatsregierung eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018 "Datenschutz-Grundverordnung (DSGVO): Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung.

Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:

• Kein Amateursportverein, keine Musikkapelle oder sonstige vor allem durch ehrenamtliches Engagement getragene Vereine müssen einen Datenschutzbeauftragten bestellen.
• Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.
• Wir werden eine Praxis von Abmahnanwälten, die glauben bei Unternehmen formelle Datenschutzverstöße rechtsmissbräuchlich abmahnen und abkassieren zu können, nicht hinnehmen.
• Wir werden mit den Betroffenen weitere Bestimmungen im Datenschutzrecht identifzieren, bei deren Anwendung im Besonderen darauf hinzuwirken ist, dass die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt werden.
• Hierzu werden wir weitere Gespräche mit Vereinen und Mittelständlern anbieten."

Sehr viel mehr als ein Datenschutz-Placebo ist das allerding nicht. Auch wenn Heise schreibt: "Damit gilt in Bayern die ausdrücklich die Vorgabe etwa an die für den Datenschutz zuständigen Landesbehörden, die Ziele der DSGVO 'sachgerecht und mit Augenmaß' zu verfolgen." [Link], so ist dem nicht so, denn nach Art. 52 Abs. 1 DS-GVO handeln die Aufsichtsbehörden "bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig." Eine Weisung durch den Ministerrat ist also europarechtswidrig, da nicht mit der Unabhängigkeit der Aufischtsbehörden vereinbar. Wer als Amateursportverein, Musikkapelle oder sonstiger vor allem durch ehrenamtliches Engagement getragene Verein nach § 38 Abs. 1 Satz 1 BDSG eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen muss, da er in "der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt", sollte das tun. Die meisten angesprochen Vereinen dürften aber so klein oder so wenig IT-durchdrungens ein, dass die Vorschriften zur Betsellung einer oder eines DSB soweiso nicht greifen.

Also letztendlich ein Placebo, da nichts geregelt wird.

Bundesinnenminister Thomas de Maizière äußert sich durchaus widersprüchlich, wenn es um den Konflikt von Grundrechten und Sicherheit (gerade auch vor dem Hintergrund Terrorismus) geht. Die Europäische Menschrechtskonvention sagt in Art. 5 Abs. 1 Satz 1 "Jede Person hat das Recht auf Freiheit und Sicherheit." Freiheit und Sicherheit sind Grundrecht die gelichberechtigt nebeneinander stehen. Zitate unseres Inneministers wie "Datenschutz ist schön, aber Sicherheit hat Vorrang" (genau hat er in den Tagesthemen vom 22.3.1026 gesagt: "Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.") legen nahe, dass Datenschutz ein Grundrecht zweiter Ordnung und die Sicherheit ein Grundrecht erster Ordnung ist. Bei einem Konflikt von Grundrecht gewinnt dann automatisch das Grundrecht erster Ordnung.

Unsere Rechtsordnung kennt nur Grundrechte und keine Rangfolge der Grudnrechte. Alle Grundrechte stehen gleichberechtigt neben einander! Natürlich kommt es immer wieder zu Konflikten zwischen Grundrechten. Diese müssen dann im Einzelfall gegeneinader abgewogen werden. Dabei kommen unterschiedliche gesellschaftliche Gruppierungen durchaus auch zu unterschiedlichen Bewertungen. Diese unterschiedlichen Bewertungen müssen ausdiskutiert werden.

Die finale Messlatte sind das Grundgesetz, die Europäische Menschrechtskonvention und Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen. Die Messlatte wird ultimativ angelegt von den dafür zuständigen Gerichten, also in Deutschland dem Bundesverfassungsgericht und auf europäischer Ebene dem Europäischen Gerichtshof. Und diese Urteile gelten final. Es steht einer Regierung nicht frei, die Urteille des jeweiligen Verfassugsgerichts zu ignorieren, da sie ihr nicht passen. Eine Regierung (so geschehen in Europa), die dies versucht hat die Grundidee von Demokratie und Gewaltentrennung nicht verstanden.

Einer der Gründerväter der Vereinigten Staaten, Benjamin Franklin, formulierte bereits 1775 eine noch heute gültige Maxime: "Wer wesentliche Freiheit aufgeben kann um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit." (Zitiert nach Dr. Benjamin Franklin's nachgelassene Schriften und Correspondenz, nebst seinem Leben. Band 3. Franklin's Leben ersten Theil enthaltend. Weimar 1818).

(Abbildung: Screenshot der Homepage des BMI; abgerufen am 28.3.2016)

Am 15. April 2015 hatte das Bundesministerium für Justiz und Verbraucherschutz Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vorgestellt. Die Leitlinie sollte den Rahmen abstecken, in dem ein neuer Versuch (Referentenentwurf) eine Vorratsdatenspeicherung einzuführen, bleiben muss, um nicht wieder für ungültig erklärt zu werden.

Das Bundesverfassungsgericht hatte mit Urteil vom 2. März 2010 (BVerfGE 125, 260) die Regelungen der §§ 113a und 113b TKG und auch § 100g Absatz 1 Satz 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG erhoben werden durften, wegen Verstoßes gegen Artikel 10 Absatz 1 des Grundgesetzes (GG) für nichtig erklärt.

Der Gerichtshof der Europäischen Union hat am 8. April 2014 die Richtlinie 2006/24/EG (ABl. L 105 vom 13.4.2006, S. 54) für ungültig erklärt (verbundene Rechtssachen C-293/12 und C-594/12, EuZW 2014, 459), weil sie die Grundrechte aus den Artikeln 7 und 8 der Grundrechtecharta der Europäischen Union in unverhältnismäßigem Umfang einschränkte.

Nun wurde ein erster Referentenentwurf (Stand 15.5.2015) eines "Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten" bekannt und auf netzpolitik.org veröffentlicht.

Laut Heise Newsticker soll ein Zugriff auch erlaubt sein, um beim Verdacht auf "mittels Telekommunikation begangene" Straftaten tätig werden zu können. Dies ist so nicht korrekt. Das Bundesverfassungsgericht hatte mit seinem Urteil zur Vorratsdatenspeicherung den § 100g Absatz 1 Satz 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG erhoben werden dürfen, wegen Verstoßes gegen Artikel 10 Absatz 1 GG für nichtig erklärt.

Der Entwurf des § 100g Absatz 1 Satz 1 StPO sieht eine Verwendnung von Verkehrsdaten, die nach §113a bzw. § 113b TKG gespeichert wurden nicht mehr vor:

"(1) Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer ...

2. eine Straftat mittels Telekommunikation begangen hat,

so dürfen Verkehrsdaten (§ 96 Absatz 1 des Telekommunikationsgesetzes) erhoben werden, soweit dies für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Im Fall des Satzes 1 Nummer 2 ist die Maßnahme nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos wäre. ..."

Dies ist also keine Ermächtigung für die Nutzung von Vorratsdaten. Dies ist in §109 Abs. 2 StPO geregelt. Über die dort aufgelisteten schweren Straftaten kann man sicherlich diskutieren. Aber die von Polizeivertretern immer wieder kolportierte "Beleidigung per E-Mail" ist jedenfalls nicht dabei.

Jedenfalls sind damit konkretere Vorstellungen der Bundesregierung zur erneuten Gestaltung der Vorratsdatenspeicherung "auf dem Markt". Nun kann die Diskussion über die Inhalte ernsthaft beginnen.

In den Verfassungen aller demokratischer Staaten ist die Unverletzlichkeit des Kommunikationsgeheimnisses festgeschrieben (in Deutschland z.B. konkret als Brief-, Post und Fernmeldegeheimnis). Es werden dann noch Feinheiten unterschieden, ob das Kommunikationsgeheimnis für alle Menschen (z.B. in Deutschland) oder nur für die eigenen Bürger (z.B. in den USA) gilt.

In der „guten alten Zeit“ waren dies organisatorische Regeln. Der Staat garantierte das Kommunikationsgeheimnis durch Gesetze, konnte es aber selber jederzeit durchbrechen. Als die Post in Deutschland noch als staatliches Unternehmen die komplette Kommunikation abwickelte, war das unproblematisch: der Beamte der Sicherheitsbehörde ging zu dem Beamten des Kommunikationsunternehmens und gut war's. Die Kommunikationsüberwachung fand innerhalb von oder zwischen Behörden statt.

Mit dem Aufkommen von guter Verschlüsselung (z.B. Pretty Good Privacy, Encryption for the Masses) konnte endlich ein Bürger seine Kommunikation mit eigenen technischen Mittel schützen und er war nicht mehr auf die organisatorischen Regeln des Staates angewiesen. Und plötzlich waren sich Regierungen dieser Welt einig, so was das aber nicht gemeint mit dem Kommunikationsgeheimnis. Die Krypto-Debatte war geboren. Unter Innenminister Kanther war die erste große Runde in Deutschland. David Cameron hat im Januar 2014 die derzeit letzte Runde in Europa eröffnet.

Die heute verfügbaren Krypto-Algorithmen sind so gut, dass auch potente Dienste wie die NSA diese nicht ohne weiteres brechen können. Deshalb müssen die Dienste ausweichen. Wenn die Schlüssel bekannt sind, muss man die Algorithmen nicht knacken. Wie kommt man an den Schlüssel? Man „bittet“ jemanden, der ihn hat, ihn herauszugeben. Man sorgt dafür, dass nur Schlüssel generiert werden, die man kennt (d.h. man beeinflusst die Generierung der Zufallszahlen, aus denen die Schlüssel erzeugt werden). Man nimmt sich die Schlüssel einfach bei jemanden, der sie hat.

Gerade auch letzteres wird, wie wir heute wieder lernen mussten, intensiv gemacht. Ob eine Firma wie RSA, die geheimen Schlüssel aller Einmal-Passwort-Token (SecureID) speichert (Warum eigentlich?) oder ob man bei Chip(karten)-Herstellern einbricht, um sich die Schlüssel zu nehmen, wird letztendlich dann glücklicherweise doch bekannt.

Wir brauchen deutlich mehr asymmetrische Verschlüsselung mit dezentraler Erzeugung der Schlüsselpaare, so dass man die geheimen Schlüssel nicht gesammelt an einer Stelle abgreifen kann. Insofern ist der neue Personalausweis (nPA) ein guter Schritt. Er wird ohne Schlüsselpaar ausgeliefert und das Schlüsselpaar wird erst bei mir erstellt. Aber die Zertifizierer zieren sich noch das Verfahren zu unterstützen. Nur die Bundesdruckerei macht einen vorsichtigen Pilot-Test (sign-me).