Kategorie: b.r.m.

DNSSEC – kein Gift im Speicher

Die ‚Domain Name System Security Extensions‘ (DNSSEC) wurden eingeführt, um einen besseren Schutz vor ‚Cache Poisoning‘ (‚Temporärspeichervergiftung‘) zu bieten. Ein Angriff auf das Domain Name System (DNS) sollte abgewehrt werden, ein Missbrauch, der den Datenverkehr auf einen fremden Rechner umleitet. Denial-of-Service-Attacken (DoS), das IP-Spoofing wie auch das DNS-Hijacking nutzen diese Sicherheitslücke.

Das DNSSEC sichert den Datenverkehr durch eine Verschlüsselung ab. Der Besitzer einer Information unterzeichnet – verkürzt dargestellt – auf dem Master-Server jeden Datenverkehr mit seinem geheimen Schlüssel (‚private key‘), den wiederum nur der Empfänger mit seinem ‚public key‘ auflösen kann. Die verwendeten Schlüssel haben nur eine begrenzte zeitliche Gültigkeit. Zur Teilnahme an dem Verfahren ist die EDNS-Fähigkeit eines Rechners erforderlich. Diese ‚extended DNS‘ gestattet Protokoll-Erweiterungen beim Domain Name System (DNS).

Klar ist aber auch, dass beim DNSSEC-Verfahren nur die ‚Verkehrswege‘ über die beteiligten Server verschlüsselt sind. Die Daten bzw. die ‚Inhalte‘ einer Nachricht bleiben weiterhin unverschlüsselt.

Ausgezeichnet als Ausbilder

Im digitalen Bereich führen viele Wege ins ROM. Es gibt Quereinsteiger, Online-Studenten oder Do-it-Yourself-Experten. Als eines der ersten regionalen IT-Unternehmen wurde jetzt b.r.m. für seine „hervorragenden Leistungen in der Berufsausbildung“ von der Industrie- und Handelskammer in Oldenburg ausgezeichnet. Wir bedanken uns für diese Ehrung, auch stellvertretend für jene vielen Partner, mit deren Hilfe wir jungen Menschen den Weg in eine erfolgreiche Zukunft ebnen konnten. Die Urkunde finden Sie hier …

DSGVO: Visitenkarten zur Visite

Ein altgewohntes Bild: Am Ende eines Kundengesprächs tauschen die Partner ihre Visitenkarten aus. Beide pflegen später die darauf enthaltenen Daten auch in ihre jeweilige Kundendatenbank ein, Schon aber hätten sie beide gleich mehrfach gegen die neue Datenschutzgrundverordnung (DSGVO) verstoßen. Jedenfalls dann, wenn man den Wortlaut des Gesetzes mal beim Wort nimmt. Denn die DSGVO soll vor allem ‚mehr Datentransparenz‘ schaffen. Jeder Partner müsste also unverzüglich darüber informiert werden, welche personenbezogenen Visitenkarten-Daten auf welche Weise verarbeitet werden, und welche Widerspruchsrechte dieser Person im Zuge der Datenverarbeitung zustehen.

Wie diese Informationspflichten zu erfüllen sind, das beschreiben insbesondere die Art. 13 und 14 der DSGVO. Dort steht auch, dass diese Belehrung unverzüglich zu erfolgen habe. Überreichen sich also zwei Personen ihre Visitenkarten, beispielsweise auf einer Messe, dann müssten sich beide gemäß Art. 13 DSGVO über den wechselseitigen Umgang mit den Daten informieren. Dazu genügt dann aber keinesfalls ein kurzer Satz, sondern die erforderliche datenschutzrechtliche Belehrung fände selbst auf einer DIN-A4-Seite kaum genügend Platz. In der Realität gliche die Beachtung der DSGVO daher eher einer Slapstick-Nummer, wo beide Gesprächspartner einander seitenlang ‚zutexten‘. Fern der Realität wäre es auch, bei der Übergabe von Visitenkarten dem anderen ein Papier mit Datenschutz-Hinweisen in die Hand zu drücken. Verbunden mit der Bitte, diese Kenntnisnahme schriftlich zu bestätigen. Zumal sich hierbei ein Problem bezüglich der späteren Nachweisbarkeit ergeben würde.

Die Politik eiert angesichts der Undurchführbarkeiten der DSGVO nicht nur in diesem Punkt bereits kräftig herum. Ein Sprecher der Berliner Aufsichtsbehörde sagte, dass die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslöse“. Diese ‚Informationspflicht‘ würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert werden. Das käme zwar einer Erleichterung gleich, es widerspräche aber immer noch der Absicht, weshalb Visitenkarten überhaupt ausgetauscht werden. Unternehmen hinterlegen die Daten aus übergebenen Visitenkarten in ihrem Kundendatenverwaltungs-Programm, damit sie in Geschäftsinteresse beider Seiten das eigene Partnernetzwerk ausbauen können. Ganz abgesehen davon, nennt die Aufsichtsbehörde auch nicht die rechtliche Grundlage, wie sie zu ihrer aparten Ansicht gelangte. Denn die Aussage des oben genannten Mitarbeiters steht im Widerspruch zum Wortlaut der Verordnung. Mit anderen Worten: Die DSGVO steht in vielen Punkten noch im Konflikt mit der Realität.

Die Bitkom-Geschäftsleiterin Dehmel empfiehlt, jeder Person, welche eine Visitenkarte überreicht hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären, um ihr so nachträglich eine Möglichkeit zu bieten, der Datenverarbeitung zu widersprechen. Eine solche Lösung widerstritte zwar immer noch dem direkten Wortlaut des Gesetzes, immerhin aber scheint sie bereits ‚praktikabler‘. Woran es der DSGVO aber vor allem mangelt, das sind konkrete und rechtssichere Stellungnahmen und Hilfestellungen der Aufsichtsbehörden. Die DSGVO bedarf dringend praxisnaher ‚Ausführungsbestimmungen‘.

CTR: Die Währung im Netz

Zur Zeit der ‚Holzmedien‘ mussten Werbetreibende noch mit den guten alten ‚Anzeigenpreisen‘ rechnen. Die befinden sich überall auf dem Rückzug. Werbung erfolgt heute im Netz, mit Hilfe von Bannern. Bezahlt werden ‚Mausklicks‘. Die Click-Through-Rate (CTR) ist die neue Kennzahl im Internet-Marketing. Würde bspw. eine Seite mit einem Werbebanner hundertmal aufgerufen, und wird das Banner dabei einmal angeklickt, dann betrüge diese ‚Klickrate‘ ein Prozent. Was allerdings schon ‚sensationell‘ wäre. Meist bewegt sich diese CTR-Zahl im Promillebereich. Im E-Mail-Marketing gelten etwas andere Verhältnisse, weil sich die Klickrate hier aus dem Verhältnis von geöffneter Mail und den Klicks auf die mailinternen Links definiert (sog. ‚Nettoklickrate‘).

Glasfaser – der Weg des Lichts

Zieht man aus einer Silikatschmelze lange dünne Fasern heraus, erhält man Glasfasern. Lichtleitende Medien kamen zunächst in der Optik und in der Lasertechnik zum Einsatz, verstärkt aber dann auch in der Datentechnik. Vor allem die unerhörte ‚Bandbreite‘ bis zu 100 TBit/s ist es, die Glasfaserkabel zum idealen Datenübertragungsmedium macht. Glasfasern für den Einsatz in der Datentechnik bestehen aus einem lichtleitenden Kern (‚core‘), aus einem abschirmenden Mantel (‚cladding‘) und aus einer robusten Schutzhülle (‚jacket‘). Glasfaserkabel können heute Strecken von bis zu 100 km ohne jede Zwischenverstärkung überbrücken.

Nicht nur die gewaltige Kapazität von Glasfaserleitungen macht sie zum künftigen Standard allen Datenverkehrs beim Breitbandausbau. Glasfaserkabel sind darüber hinaus unempfindlich gegen elektrische und magnetische Störfaktoren. Nicht zuletzt sind sie bis heute nahezu ‚abhörsicher‘. Ein bestehendes Problem ist die mechanische Empfindlichkeit offen verlaufender Glasfaserkabel, zum Beispiel in Büros.

Das Geld sind die Mäuse

Die Möglichkeit, im Netz Geld zu generieren, hält jeder Computer-Nutzer täglich in der Hand. Dass aus einem einzigen Klick mit dem Finger auf die Maus einmal die wichtigste Kennzahl im Internet werden könnte, das hätte vor zwanzig Jahren wohl niemand gedacht. Der Mausklick als Navigator führt die Nutzer nicht nur durch den weiten Raum des Internet, er ist zugleich zur allseits akzeptierten ‚Währung‘ im E-Commerce geworden, weil er einerseits zumindest ‚Interesse‘ signalisiert, und andererseits sogar Kaufabschlüsse ermöglicht. Inzwischen wird nahezu jede Oberfläche im Netz intuitiv mit der Maus bedient. Das gilt solange, bis uns die Weiterentwicklung der Spracherkennungssoftware sogar diese lästige Handarbeit abnehmen könnte …

SPF: Der ‘Enkeltrick’ im Netz

Um das unbefugte ‚Herumdoktern an Mailadressen‘ einzudämmen, entstand das Sender Policy Framework (SPF). Der Administrator einer Domain hinterlegt hierbei die IP-Adressen aller sendeberechtigten Personen (‚Mail Transfer Agents‘ – MTA) einsehbar. Für eine angegebene Domain ruft das empfangende System diese SPF-Informationen über das Domain Name System (DNS) auf. Es vergleicht die IP-Adresse des sendenden MTAs mit den erlaubten Adressen. Stimmt die IP-Adresse mit den verifizierten MTAs überein, gilt der Absender als authentisch. Andernfalls wandert die E-Mail in die Tonne, zumindest aber wird der Empfänger vor ihr gewarnt. Die Teilnahme am SPF-System und die Einsicht in SPF-Records erfolgt auf freiwilliger Basis. Obwohl das SPF auch Müll und Phishing eindämmt, ist das ‚Sender Policy Framework‘ kein Spam-Abwehr-Programm. Es dient lediglich dazu, Fälschungen von Absenderadressen quasi ‚auf dem Umschlag‘ einer Mail zu erkennen. Der Inhalt aber wird davon nicht tangiert.

Ohne CPU geht nichts

Nicht ohne Grund gilt die CPU als das ‚Herz‘ jeden Rechners. Diese Central Processing Unit (CPU) – oder zentrale Verarbeitungseinheit (ZVE) – ist ein miniaturisierter Rechen-Chip, der aufgrund seiner ‚Architektur‘ aus Halbleitern (bzw. ‚Transistoren‘) definierte Rechenaufgaben (‚Algorithmen‘) abarbeiten kann. Heute finden sich CPU’s nicht nur in Computern, sondern bspw. auch in Waschmaschinen, TV-Geräten, Autos oder Fahrkartenautomaten.

Hauptbestandteile eines solchen Rechenkerns (oder Prozessors) sind ‚Module‘, die unterschiedliche Aufgaben übernehmen. Im Zentrum steht immer das Rechenwerk, die arithmetisch-logische Einheit (ALU). Hinzu kommt das Steuerwerk, das vor allem über die Adressen wacht, dazu mehrere Register und ein Speichermanager (Memory Management Unit oder MMU). Co-Prozessoren unterstützen die Zentraleinheit bei ihren Aufgaben wie ‚Dienstleister‘ – indem sie bspw. rechenintensive Gleitkomma-Operationen übernehmen.

Moderne CPU’s sind als Mehrkern-Einheiten (‚Multi-Core-Units‘) ausgelegt, was die Parallelverarbeitung und die Geschwindigkeit bei der Lösung von Aufgaben unterstützt. Datenleitungen (‚Busse‘) ermöglichen die Kommunikation mit anderen Bestandteilen des Rechensystems, insbesondere mit dem Arbeitsspeicher. Die ‚Caches‘ (Zwischenspeicher) ermöglichen dabei eine rasche Weiterverarbeitung von Teilergebnissen.

Die Auswahl der verwendeten CPUs in einem Unternehmen sollte sich an den anfallenden Aufgaben orientieren. Keineswegs ist die teuerste Lösung immer die beste oder effizienteste.

Digital: Zu doof bis zwei zu zählen …

Ein Transistor kennt im Prinzip nur zwei Zustände: entweder ‚Ein‘ oder ‚Aus‘. Bestünde die Welt tatsächlich nur aus digitalen Daten, könnte kein Mensch diese langen Ketten aus Nullen und Einsen lesen, die Ergebnisse aller Suchmaschinen wären uns unverständlich. Die ‚digitale Welt‘ ist im Kern jener geheimnisvolle Ort, wo sich nur noch Computer zurechtfinden. Dies ist die Kernbedeutung des Wortes ‚digital‘, es bezeichnet jene binäre Welt, wo die Sprache der Transistoren mit ihren zwei Zuständen regiert.

Umgangssprachlich fassen wir das Wort ‚digital‘ längst sehr viel weiter. Wir verwenden es, um die ‚digitale Technik‘ insgesamt zu benennen, also jene Maschinen und Rechenknechte, die mit Hilfe von Gattern, Zählern und Flipflops aus Nullen und Einsen verständliche und logische Ergebnisse erzeugen, welche wir dann auf dem Monitor bewundern dürfen.

Finger weg von WhatsApp!

Der Messenger-Dienst WhatsApp ist mit der Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Seine Nutzung in Job und Beruf sollte daher unterbleiben. In den Worten des niedersächsischen Landesamtes für Datenschutz: „Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.“

Der Grund für die Rechtsverletzung liegt vor allem an dem technischen Verfahren, welches die Facebook-Tochter WhatsApp Inc. in Kalifornien verwendet. Ein Nutzer registriert sich dort mit seiner Mobilfunknummer, der Messenger-Dienst liest daraufhin unbemerkt das Adressbuch der Nutzer auf deren Smartphones aus. Vorgeblich, um so andere WhatsApp-Nutzer ausfindig zu machen. Dieser Abgleich wird in Intervallen regelmäßig wiederholt.

Bei aller Daten-Sammelwut versucht das Unternehmen sich selbst einen ‚schlanken Fuß‘ zu machen: Allein die Nutzer seien für die Rechtmäßigkeit der Datenübertragung verantwortlich. Im Falle eines Falles würden damit dann auch die Strafbestimmungen der DSGVO allein die Anwender treffen. Ausweislich seiner ‚Datenschutzrichtlinie‘ nutzt WhatsApp die gewonnenen Daten auch zu eigenen Zwecken: Das Unternehmen behält sich eine umfassende Verwendung der gesammelten Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

Das Fazit der deutschen Datenschützer: „Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig.“ Erschwerend kommt hinzu, dass mögliche Sanktionen gemäß DSGVO allein jenes Unternehmen träfen, das den Einsatz von WhatsApp in seinem Zuständigkeitsbereich erlaubt hat.

Der Ratschlag an Unternehmen und Organisationen kann daher nur lauten: Verbieten Sie den Einsatz von WhatsApp auf allen betrieblichen Ebenen.