EU Datenschutz Grundverordnung 2018

KW 11: Gefährdungen können zu zeitkritischen ad-hoc Mitteilungen führen

Autor:

Joachim Jakobs

Outlook gefährdet Anwender, verheerende Folgen durch kriminelle künstliche Intelligenz verlangen nach einer Überprüfung Ihres Risikomanagements: Sie müssen den Stand der Technik nachweisen können, sonst drohen Sanktionen – und Pflichtmitteilungen an Ihre Anteilseigner! Mit kryptographischer Verschlüsselung und elektronischen Signaturen Ihrer elektronischen Post beginnen Sie mit der Lösung Ihres Problems.

„Spearphishing: Kann ein KMU noch seinem Posteingang vertrauen ?“ fragte The Telegraph im August 2017. Heute muss man sagen: Nein! Zumindest dann nicht, wenn Sie die Software verwenden, die 80 Prozent der elektronischen Post sortiert: Outlook.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Die Herren der Löcher aus Redmond


Am 6. März wurde bekannt , dass das Regierungsnetz, der angeblich besonders gut geschützte „Informationsverbund Berlin-Bonn“ mit Hilfe von Outlook angezapft worden sein soll. Kurz zuvor, im Februar 2018 berichtete Heise Security von zwei Lücken in Outlook:

Zum Ausnutzen der einen soll es nicht nötig sein, diese zu öffnen, sondern ausreichen, sich die Vorschau anzusehen. Anschließend könne Schadcode ausgeführt werden. Bei der zweiten Lücke soll allein der Empfang einer entsprechend präparierten Mail ausreichen, um das System zu infizieren – behauptet Heise. Bis März 2018 hatte die National Vulnerability Database (NVD) der US-Bundesregierung die Lücken noch nicht bezüglich ihrer Kritikalität bewertet. Auch von Microsoft war keine Stellungnahme dazu zu erhalten.

Mittlerweile soll der Konzern die Lücken gestopft haben. Weitere Überaschungen sind allerdings nicht auszuschließen: 15 Löcher stehen in der NVD, 13 davon aus diesem und letzten Jahr, 9 wurde eine hohe Kritikalität beschieden. Zum Vergleich: Der „Thunderbird“ – Outlooks Wettbewerber aus dem Hause Mozilla weist 705 Lücken auf – die letzte in der NVD ist jedoch bereits zwei Jahre alt. Von Gnome‘s Evolution wurden 13 Fehler gezählt, der Letzte stammt aus 2013.

Ein Microsoft Sicherheits-Alptraum


Soweit zur Theorie – jetzt zur Praxis: Mitch Garvis ist ein treuer Microsoft-Fan – er bezeichnet sich in seinem Blog als „IT Professional“ und missioniert „seit vielen Jahren“ als „Microsoft Evangelist“. Garvis ist aber auch ein Freund klarer Worte – und beschwert sich im März 2017 lautstark über ein „großes, RIESIGES Microsoft Sicherheitsversagen“ – seiner Ansicht nach ein „Microsoft Sicherheits-Alptraum“: Nachdem ihm sein Passwort (auf nicht näher beschriebene Weise) abhanden gekommen sei, soll es mindestens vier Tage gedauert haben, bis er endlich wieder Kontrolle über seine digitale Identität hatte.

Vier Tage keine Kontrolle über das elektronische Ich…! Das wäre für mich als schlichten Anwender schon sehr bedrohlich; für einen Administrator, der eine beliebige Anzahl von Benutzern unterstützen und Systeme aller Art betreiben soll, ist das eine Katastrophe!

Garvis scheint das Thema Sicherheit dabei tatsächlich wichtig zu sein: So betont er die Bedeutung der Multi-Faktor-Authentifizierung (MFA) und kritisierte, dass Microsoft zum damaligen Zeitpunkt keine solche MFA „bei den meisten“ seiner Systeme angeboten habe. Garvis Enttäuschung jedenfalls hielt bis März 2017 an: In einem Dutzend Ländern auf fünf Kontinenten habe er Microsofts Fahne hochgehalten und die Sicherheit der Systeme des Konzerns verteidigt. Es würde lange Zeit brauchen, bis dieses Vertrauen wiederhergestellt sei.

Sollten die erwähnten 80 Prozent der Benutzer elektronischer Postfächer, die Outlook in Gestalt von Office 365 Business, Office 365 Business Premium und Office 365 Business Essentials erworben haben, nach ihrer Rechenschaftspflicht gefragt werden, sollten die sich schon mal eine gute Erklärung einfallen lassen: Schließlich muss die eingesetzte Software dem „Stand der Technik“ entsprechen.

IO Active hat Vertrauen in die menschliche „Dummheit“


Dieses Niveau müssen dabei Organisation, Menschen und Technik befinden. Organisation, Menschen und Technik! Eine Herausforderung – irgendwo hakt‘s schließlich immer: Vor Jahren hatte der Sicherheitsberater IO Active volles Vertrauen in die „menschliche Dummheit": „Es ist egal, wie sicher Du einen Computer machst, Du kannst Dich drauf verlassen, ein Mensch wird einen finden, der diesen Computer kompromittiert.“

Beispiel Hotel: David Jacoby, Mitarbeiter beim digitalen Kammerjäger Kaspersky ist mit einem präparierten USB-Stift unter anderem in drei Hotels spaziert und hat gefragt, ob man ihm da wohl seinen Lebenslauf für ein Vorstellungsgespräch ausdrucken könne – in einem davon war er erfolgreich . Wussten Sie schon, dass ein infizierter USB-Speicher ausreicht , um ein ganzes Unternehmensnetz zu verseuchen? Die nicht-kooperativen beiden anderen Hotels hatten das „DHCP“-Protokoll aktiviert. Wikipedia erklärt : „Die versehentliche Aktivierung eines DHCP-Servers kann ein Netz weitgehend lahmlegen.“

Zum Unternehmensnetz gehört auch das WLan. Im November 2014 warnte Kaspersky Geschäftsreisende vor der Operation „Darkhotel“: Kriminelle machten gezielt Jagd auf Vorstandschefs, hochrangige Manager, Vertriebs- und Marketingleiter sowie Führungskräfte aus dem Bereich Forschung und Entwicklung in Luxus-Hotels. Die Angreifer sollen „äußerst präzise“ vorgehen: Beim Zugriff über den WLAN-Router eines kompromittierten Hotels würden alle wertvollen Daten eingesammelt. „Anschließend löschen die Angreifer alle Spuren, ziehen sich zurück und warten auf das nächste hochrangige Opfer.“ Wenn alle Stricke reißen, das Beschwatzen des Personals unangenehm ist und DHCP deaktiviert ist, kann man sich auch vorm Hotel gemütlich ins Auto setzen und baut dort selbst einen eigenen Wlan-Router auf.

Die „PC“ fragt : „Haben Sie jemals versucht, über ein öffentliches WLan ins Netz zu gehen und dabei zahlreiche Zugangsmöglichkeiten entdeckt? Haben Sie die Unterschiede zwischen EricsCoffeeHaus und EriksCoffeeHaus oder HiltonGuest und HiltonGuests festgestellt? Das ist der altbewährte Mann-in-der-Mitte-Angriff , um Sie dazu zu verleiten, sich ins falsche Netz einzuloggen. Die meisten Menschen nehmen sich zur Prüfung nicht die Zeit und wählen das stärkste offene Signal. Sie sollten immer aufpassen, sich beim richtigen Netz anzumelden.“ Zur Infektion mit Schadsoftware soll es ausreichen sich mit einem infizierten öffentlichen WLan zu verbinden .

Verheerende Folgen


Wenige Tage nach der Alarm-Meldung von Kaspersky machte der Sicherheitsberater Fireeye deutlich , wie die Beute verwertet werden kann: Kriminelle würden gezielt in die Kommunikation zwischen Hundert Pharma- und Gesundheitsunternehmen, deren Anwälten und Unternehmensberatern eingreifen. Das Ziel sei, Insiderinformationen von den Opfern zu erhalten, um damit lukrative Börsengeschäfte zu machen. Um möglichst lang unerkannt auf den Rechnern ihrer Opfer zu bleiben, würden auch die Filterregeln im Mailprogramm Outlook manipuliert und Mails mit Begriffen wie „Virus“ oder „Phishing“ automatisch gelöscht.

Noch perfider ist es, die Post nicht einfach zu löschen, sondern zu verändern – und zwar nachdem die Post beim Empfänger angekommen ist . Das ist cooolll!! Früher mussten die Angreifer den Angegriffenen noch den Zugriff zur Mailbox abnehmen , um einen Identitätsdiebstahl zu begehen, heute lässt man das Opfer in dem Glauben, es habe die alleinige Verfügungsgewalt über sein Postfach. Die damit verbundenen Möglichkeiten und Perspektiven sind nicht hoch genug einzuschätzen: So könnte man dem Opfer etwa einen Erpressungstrojaner im Namen eines Dritten unterschieben – und zwar in einem tatsächlich existierenden Gesprächsfaden.

John Chambers, der frühere Chef von Cisco, soll 2015 bereits erkannt haben, es gebe zwei Gruppen von Unternehmen – die einen, die bereits Opfer eines Angriffs wurden und die Anderen, die das nur noch nicht gemerkt hätten. Der bisherige Innenminister Thomas de Maiziere beklagt das als „digitale Sorglosigkeit“. Davon waren vor einem Jahr die Entscheider in Österreich noch befallen – das österreichische Wirtschaftsmagazin WKO berichtete, drei von vier Unternehmenschefs glaubten nicht, dass ihr Unternehmen betroffen sein könnte. Wenige Monate später will die Unternehmensberatung Sopra Steria herausgefunden haben, dass an die Stelle digitaler Sorglosigkeit die Entschlossenheit zum Handeln trete.

Wie weit der Weg von der Erkenntnis bis zum Handeln tatsächlich ist, zeigte sich schon einen Monat nach der veröffentlichten Erkenntnis des Unternehmensberaters: Der Internet Dienste-Anbieter Purple bot kostenloses WLan in Manchester an; die einzige Bedingung war in den Geschäftsbedingungen versteckt: Die Nutzer sollten 1000 Stunden gemeinnützige Arbeit leisten: Öffentliche Toiletten putzen, Parks von Müll befreien oder Kaugummi von der Straße auflesen. Von „Zehntausenden“ soll nur Einer die Klausel entdeckt haben.

Neben der Entschlossenheit benötigt der Mensch Handlungsfreiheit: Die Firma EclecticIQ soll in einer Umfrage unter 247 Sicherheitsmanagern festgestellt haben, dass 98 Prozent glauben, die Risiken würden „(stark) zunehmen“. Gleichzeitig fehlten diesen Entscheidern jedoch die entsprechenden Mittel und Fähigkeiten.

Speerfischerei – früher Handarbeit, bald ein Massenphänomen?


Womöglich vermissen Sie schon sehnsüchtig die Erklärung für das „Spear-Phishing“ – den ersten Begriff in diesem Text. Die kommt jetzt: Der erfolgreiche Angriff auf das Hotel per USB-Speicher war ein Zufallstreffer. Auf Zufälle verlassen sich die Angreifer aber schon lange nicht mehr und bereiten ihre zielgerichteten Angriffe auf die Großkopferten in Wirtschaft und Politik präzise vor – dabei werden Informationen aus den „sozialen“ Netzen und beliebig vielen anderen Quellen genutzt, um das Opfer zu übertölpeln: „Weißt Du noch damals im Sandkasten …?“ Solche gezielten Angriffe nennt man „Speerfischen“ . Und die Massen der personenbezogenen Daten aus Facebook, Twitter, Unternehmensdatenbanken, öffentlichen Verzeichnissen und dem Dunklen Netz verlangen nach Automatisierung. Bereits vor acht Jahren fürchtete Jeff Jonas, damals Chefwissenschaftler bei IBM, ein „Speerfischen der Massen“. Jetzt ist es soweit: 2015 wurde Selmer Bingsjord, dem Direktor des US-Amerikanischen Rensselaer Artificial Intelligence and Reasoning Lab (RAIR) ein Patent für ein „automatisiertes Spear Phishing System“ zuerkannt : Um eine weitere Quelle mit „strukturierten“ Daten aus den oben genannten Quellen an Bringsjord‘s System anzuschließen, ist lediglich eine Woche notwendig. Ist die jeweilige Datenquelle einmal mit dem System verbunden, dauert es angeblich nur "Sekunden", um "hunderte" überzeugende Betrugsnachrichten zu verschicken, so der Professor.

2016 warnte ZDnet vor krimineller künstlicher Intelligenz (kI), 2017 berichtete Gizmodo davon, dass Wissenschaftler eine solche kI namens SNAP_R darauf trainiert hätten, die Persönlichkeiten von Twitter-Nutzern zu studieren – im Anschluss seien diese Nutzer mit personalisierten Tweets konfrontiert worden. Das Ergebnis: Die Maschine soll nicht nur in der Lage gewesen sein, mehr Tweets als menschliche Angreifer zu verbreiten – auch die Qualität soll „substanziell“ höher gewesen sein: 800 Anwender sollen mit einer Rate von 6.75 Tweets pro Minute angeschrieben worden sein; 275 Opfer sollen auf den Angriff hereingefallen sein und auf den angebotenen Link geklickt haben. Ein menschlicher Angreifer soll es lediglich auf 1,075 Nachrichten pro Minute geschafft und nur 49 Opfer gefunden haben. Am 28. Februar warnte Nicolas Reys , Mitarbeiter vom Sicherheitsberater Control Risk vor kI-basierten Cyberattacken „in naher Zukunft“. Personalisiert werde dabei nicht nur die Ansprache des Menschen, sondern auch die Schadsoftware werde individuell auf die Technik dieses Menschen angepasst. Schließlich sei mit fortgeschrittenen Tarntechniken zu rechnen, um nicht entdeckt zu werden.

Die sechs Knoten im Taschentuch Ihres Risikomanagements


Sie müssten sich jetzt sechs Knoten für Ihr Risikomanagement in Ihr hoffentlich vorhandenes Taschentuch gemacht haben: Jeweils einen für die Schwachstellen Organisation, Mensch und Technik und nochmals jeweils einen für das gegebene Bedrohungspotential.

Zur Organisation gehört die Präsentation der Mitarbeiter in „sozialen“ Netzen: Die Mitgliedschaft bei LinkedIn ist nicht an den Transfer von Geld gebunden. Kostenlos ist der Spaß allerdings auch nicht: Sogar Nicht-Mitglieder können sich beispielsweise Listen mit Buchhaltern angucken – das ist prima für „Chefbetrüger“, die sich per Mail als Chef gegenüber dem Buchhalter ausgeben und diesen anweisen wollen, Millionen Euro ans andere Ende der Welt zu übertragen. Angesichts von Milliarden-Schäden allein durch dieses Phänomen halte ich es für eine Bedrohung, wenn da „Millionen“ von kompromittierten Profilen zum Kauf angeboten werden. Klären Sie Ihre Mitarbeiter über die damit verbundenen Risiken auf und treffen zusammen mit Betriebsrat und Personalabteilung eine Betriebsvereinbarung darüber, welche Informationen die Mitarbeiter über ihre Funktion (nicht) veröffentlichen dürfen. Entwickeln Sie wasserdichte Prozeduren – vor allem für Ihre Kreditorenbuchhaltung: Wer darf Zahlungen bewilligen, anweisen und ausführen? Wie viele Personen müssen bei Beträgen ab welcher Höhe (nachweisbar) nicken, bevor das Geld zum Tempel rausgeht? Trainieren Sie Ihre Mitarbeiter darauf, besonders dringend erscheinenden Mails des vermeintlichen Chefs zu misstrauen! Vor allem: Halten Sie sich selbst an diese Prozeduren!

Sorgen Sie dafür, dass Ihre Mitarbeiter auf allen Ebenen – von der Geschäftsleitung über Software-Entwickler, -Berater, -Administratoren und Nutzer über das auf dieser Ebene notwendige Wissen verfügen, um ihrer jeweiligen Verantwortung gerecht zu werden.

Erstellen Sie (womöglich branchenweite) Qualitätsstandards zur Entwicklung und zum Einsatz von selbst- und fremdentwickelter Software. Verpflichten Sie die Beteiligten Mitarbeiter sowie Lieferanten und Dienstleister!

Outlook = Stand der Technik?


Zurück zu Outlook – das Programmpaket wird im Office365-Paket angeboten .

Ich habe in einer Reihe von Datenschutz-relevanten Xing-Gruppen gefragt, ob und wenn ja wie ein Unternehmen seiner Rechenschaftspflicht nach DSGVO mit Office365 nachkommen könne – 798 Mitglieder haben diese Nachricht insgesamt gelesen. Eine Mitarbeiterin des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat mir angekündigt, dass sich deren Pressestelle melden würde. Bis Redaktionsschluss war das nicht der Fall. Ansonsten gab es keine Reaktionen. Von einer Rechtsanwaltskanzlei mit mehreren Tausend Mitarbeitern hatte ich mir tatsächlich mehr erhofft: Die Partnerin hat einen wirklich prima Artikel zur mitbestimmungspflichtigen Verwendung von Outlook in Unternehmen veröffentlicht, der Unternehmensblog enthält zahlreiche Einträge zur DSGVO. Von denen dachte ich, könnte ich was erfahren. Doch Pustekuchen! In der ersten Mail hieß es, ein Office-Paket habe mit Art. 5 Abs. 2 DSGVO „grundsätzlich erstmal nichts zu tun“. Aber: „Einziger Aspekt wäre die Integrität und Vertraulichkeit, also die Sicherheit der Microsoft-Cloud“. Dass der Rechner des Anwenders durch das Laden einer schadhaften Datei aus der Wolke infiziert werden könnte, zog die Anwältin offenbar – zumindest nicht von sich aus – in Betracht. Dass aber selbst Fachanwaltskanzleien mit zwei Dutzend Standorten in Europa so flache Antworten zu einer derart komplexen Verordnung abgibt, ist bedrohlich.

Was aber hat es mit der „Integrität und Vertraulichkeit“ auf sich? Bei der „Integrität“ einer Nachricht geht es um deren „Unversehrtheit“, also darum, ob die Nachricht genauso beim Empfänger ankommt, wie sie der Absender abgeschickt hat. Die „Vertraulichkeit“ bedeutet , dass nur die Empfänger die Nachricht zu lesen bekommen, für die sie bestimmt war. Zusammen mit der „Verfügbarkeit“ zählen die ersten beiden Kriterien zu den fundamentalen Grundlagen der Informationssicherheit.

Integrität, Vertraulichkeit, Authentizität + Verfügbarkeit


Die „Integrität und der Vertraulichkeit“ als „einzigen Aspekt“ in diesem Zusammenhang zu nennen, scheint mir jedenfalls eine unzulässige Untertreibung zu sein. Tatsächlich warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Broschüre mit dem Titel „Sichere Nutzung von E - Mail“ vor Angriffen auf die „Integrität und Authentizität“, die „Vertraulichkeit“ und die „Verfügbarkeit“. Die Authentizität und die damit zusammenhängende Authentifizierung ist wiederum Grundlage für das Berechtigungsmanagement . So ist es konsequent, wenn Artikel 5 (1) f) und Artikel 32 die „Integrität und Vertraulichkeit“ zu den Schutzzielen erklären. In §64 (2) BDSG (neu) werden diese Ziele ebenfalls genannt. Und in Absatz 3 noch ein wenig konkretisiert: Die Verantwortlichen müssen demnach Maßnahmen zur

  1. Zugangskontrolle
  2. Datenträgerkontrolle
  3. Speicherkontrolle
  4. Benutzerkontrolle
  5. Zugriffskontrolle
  6. Übertragungskontrolle
  7. Eingabekontrolle
  8. Transportkontrolle
  9. Wiederherstellbarkeit
  10. Zuverlässigkeit
  11. Datenintegrität
  12. Auftragskontrolle
  13. Verfügbarkeitskontrolle
  14. Trennbarkeit

ergreifen .

Der Gesetzgeber empfiehlt: „Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.“ Sie sollen also mit Hilfe von Verschlüsselungsverfahren Datenträger, Speicher, Benutzer und Zugriffe kontrollieren. Dazu bieten sich sogenannte „Public Key Infrastrukturen (PKI) an: Jeder Nutzer hat dabei zwei Schlüssel – einen privaten Schlüssel zum Öffnen der Post – der muss dringend geheim gehalten werden. Der ‚öffentliche‘ Schlüssel hingegen kann sprichwörtlich auf sogenannten „Schlüsselservern“ veröffentlicht werden. So können mir auch wildfremde Menschen geheime Nachrichten schicken: Die Verschlüsselung garantiert deren Vertraulichkeit, die elektronische Signatur garantiert die Unversehrtheit: Beim Signieren wird für die jeweilige Nachricht eine Prüfsumme errechnet. Wird auch nur ein Bit der signierten Nachricht geändert und damit die Integrität zerstört, würde das eine Fehlermeldung hervorrufen.

Verstöße gegen BDSG (neu)


Wenn Sie nicht mit Hilfe elektronischer Signaturen nachweisen können, dass nur Ihre berechtigten Mitarbeiter Nachrichten im Namen Ihres Unternehmens verschicken können, können Sie auch die „Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte“ nicht verhindern. Das wäre ein Verstoß gegen die in §64 BDSG (neu) (3) 4. geforderte Benutzerkontrolle.

Wenn Sie ein „kostenloses“ Wlan-Netz im Zug, Hotel oder am Flughafen nutzen, können Sie nicht garantieren, dass nur „die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben“. Das wäre somit ein Verstoß gegen die in Nr 5. dieses Absatzes geforderte Zugriffskontrolle.

Wenn Sie Ihre Mails nicht verschlüsseln, können Sie nicht garantieren „dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind“. Das ist ein Verstoß gegen Nr. 7 dieses Absatzes. Und nicht zuletzt: Denken Sie nochmal darüber nach, ob Sie mit Outlook den Stand der Technik nachweisen können – und wenn Sie diese Frage mit Ja beantworten, dann möchte ich Ihnen die „APP.5.2 Microsoft Exchange und Outlook“ des BSI ans Herz legen. Denn § 64 (1) verlangt ausdrücklich beim Treffen der „erforderlichen technischen und organisatorischen Maßnahmen“ „die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.“ In der Folge könnten Sie sonst fix gegen die Gebote zur Kontrolle von Datenträgern, Speichern, Benutzern, Zugriffen, Übertragung, Eingaben, Transport, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Aufträgen, Verfügbarkeit und Trennbarkeit verstoßen.

Sanktionen – Schadenersatz wegen verspäteter Pflichtmitteilungen?


Solche Verstöße werden ab 25. Mai 2018 teuer: Artikel 83 DSGVO verlangt: „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Unter „abschreckend“ versteht der Gesetzgeber „Geldbußen von bis zu 20 000 000 EUR oder 4% seines Jahresumsatzes je nachdem, welcher der Beträge höher ist.“ 4% vom Jahresumsatz… Wie hoch ist denn eigentlich Ihre Umsatzrendite? Sie sollten nicht darauf spekulieren, dass da irgendeine Versicherung einspringt – da können Sie genauso darauf hoffen, dass eine Versicherung Ihre Strafzettel bezahlt. Der Gesamtverband der Deutschen Versicherungswirtschaft schließt (PDF) Versicherungen gegen Geldbußen aus: „Sittenwidrigkeit“ lautet der Einwand.

Da greift Artikel 17 der „Marktmissbrauchsverordnung“ der Europäischen Union. Das Bundesamt für Finanzdienstleistungsaufsicht (BAFIN) klärt auf: „Nur wenn börsennotierte Unternehmen alle Marktbeteiligten schnell und umfassend über Insiderinformationen aufklären, können Anleger fundierte Entscheidungen treffen und sind gegenüber Insidern nicht benachteiligt. Inlandsemittenten sind daher verpflichtet, unverzüglich zu diesem Zweck – also ad hoc – die Öffentlichkeit über unbekannte Umstände aus ihrem Unternehmen ins Bild zu setzen, wenn diese so beschaffen sind, dass sie auf den Preis des Finanzinstruments einwirken und wenn sie den Emittenten unmittelbar betreffen“.

Zu diesen Insiderinformationen gehören nach Ansicht von Rechtsanwältin Cordula Heldt vom Deutschen Aktieninstitut „konkrete Information über nicht öffentlich bekannte Umstände, die sich auf den oder die Emittenten von Insiderpapieren oder auf diese selbst beziehen und die geeignet sind, im Falle ihres öffentlichen Bekanntwerdens den Börsen- oder Marktpreis der Insiderpapiere erheblich zu beeinflussen“.

Jetzt noch der Zeitpunkt dieser Meldung: Nach Artikel 34 DSGVO müssen Sie die Betroffenen „unverzüglich“ von Verletzungen des Schutzes personenbezogener Daten informieren. Wenn Sie nicht auf die DSGVO vorbereitet sind, müssen Sie als börsennotiertes Unternehmen eine Ad-Hoc Mitteilungen gleichzeitig mit der Mitteilung an die Betroffenen verfassen, wenn Sie nicht auch noch zusätzlichen Ärger mit der Finanzaufsicht bekommen wollen. Und mit Ihren Aktionären – auch verspätete Pflichtmitteilungen könnten einen Anspruch auf Schadenersatz begründen .

S/MIME oder OpenPGP?


Da habe ich eine bessere Freizeitbeschäftigung für Sie – implementieren Sie lieber die empfohlenen Verschlüsselungsverfahren – dazu zählen S/MIME (Secure/Multipurpose Internet Mail Extensions) und OpenPGP – ein Datenformat, für das das proprietäre Programm Pretty Good Privacy und die Freie Software GnuPG , der GNU Privacy Guard, zur Verfügung stehen. Bei S/MIME ist zu berücksichtigen, dass die kostenlosen Zertifikate maximal ein Jahr, die kostenpflichtigen maximal drei Jahre gültig sein sollen.

Lösungen zu S/MIME gibt’s für MS-Outlook und für Mozilla‘s Thunderbird genauso wie es mit GnuPG und Gpg4win Implementierungen von OpenPGP in die Freie und die proprietäre Softwarewelt gibt. Werner Koch, der Hauptentwickler von GnuPG und Gpg4win betont: „Gpg4win kommt schon immer mit vollständigem S/MIME Support der auch den in Outlook integrierten ersetzt.“ So könnten die Anwender in einigen Mailprogrammen wie dem Thunderbird auswählen, ob sie GPG oder GPGSM verwenden (https://www.gnupg.org/documentation/manuals/gnupg/GPGSM-Configuration.html) wollten. Teilweise würden sogar die Schlüssel gemeinsam angezeigt und 2 Mails (eine S/MIME eine OpenPGP) gesendet. Koch rechnet damit, dass die bundeseigene Firma BWI, ein – so die Eigenwerbung – „zentraler IT-Dienstleister der Bundeswehr“ , „in ein paar Monaten“ die Geheimhaltungsstufe VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH (VS/Nfd) erteilt. Lösungen zu OpenPGP gibt’s proprietär von Symantec oder als Freie Software (und sogar kostenlos!) von GnuPG . Wobei Symantec bis Redaktionsschluss nicht in der Lage war, einen Preis dafür zu nennen.

Man muss allerdings fürchten, sich mit seinen Sicherheitslösungen zunächst neue Risiken ins Haus zu holen: Vor zwei Jahren wurde von einem erfolgreichen Angriff auf S/MIME und im vergangenen Oktober von einer Verwundbarkeit des Standards berichtet. Zu Symantec‘s PGP_Desktop schlagen insgesamt 11 Fehler in der NVD zu Buche. 13 solcher Fehler wurden von GnuPG protokolliert. Alle Fehler zu OpenPGP sind jedoch mehrere Jahre alt – die Wahrscheinlichkeit, dass die Löcher gestopft sind, halte ich für groß.

Verfügen die Geheimdienste über mehr Wissen zu Verwundbarkeiten als die NVD?


Zumindest unklar ist aber, ob denn überhaupt alle Bedrohungen in der NVD enthalten sind – 2015 berichtete Wired, Geheimdienste aus Großbritannien und den USA hätten seit 2008 systematisch versucht, Schwachstellen in der Software von 23 elektronischen Kammerjägern – darunter Avira, Bitdefender und F-Secure – zu entdecken und zu untergraben.

IT-Sicherheitsunternehmen weltweit im Visier von Geheimdiensten; Bild: TheIntercept

Die Briten sollen sich dem Bericht nach mit Kaspersky zum damaligen Zeitpunkt schwergetan haben. Dort jedoch soll der Israelische Geheimdienst erfolgreich eingestiegen sein.

Süffisant bemerkt der Autor von wired, dass die US-Entwickler Symantec und McAfee sowie Sophos aus Großbritannien nicht auf dieser Liste stehen.

Doch auch US-Unternehmen müssen damit rechnen, dass ihre Kunden von US-Geheimdiensten mit Hilfe ihrer Software unterwandert werden: 2016 hat das Kalifornische Unternehmen Juniper einen Zufallsgenerator der NSA aus seiner Software entfernt , weil der Hersteller diesen im Verdacht hatte, dem Geheimdienst als Hintertür zu dienen. 2014 bestätige der damalige Chef des US-Sicherheitsunternehmens RSA bei einer Veranstaltung, dass das Unternehmen einen „Algorithmus“ an die US-Regierung geliefert hätte. Ob der Konzern dafür tatsächlich – wie behauptet – 10 Millionen US-Dollar eingestrichen hat, bestätigte der Chef nicht. Heise behauptete darüber hinaus, dass RSA „von der Hintertür in seinem Produkt BSafe wusste und dieses trotzdem weiterhin an seine Kunden verkauft hatte“. Bei der gleichen Gelegenheit widersprach ein Microsoft-Vertreter Gerüchten zu Hintertüren in seinen Anwendungen: „Es gibt keine Hintertüren in unseren Produkten. Das wäre wirtschaftlicher Selbstmord.“ Auch die künftige Bundesregierung hat sich nach einer Meldung des Spiegels nicht zum Schließen von Sicherheitslücken verpflichtet: Die SPD hätte das in den Koalitionsverhandlungen vorgeschlagen, sich damit aber nicht gegenüber der Union durchsetzen können.

Sogar Geheimdienste mögen PGP


Der Vollständigkeit halber ist zu erwähnen, dass die Geheimdienste PGP „lieben“ sollen, weil die Anwender von Verschlüsselungssoftware Spuren hinterließen, durch die sie sich den Geheimdiensten regelrecht auf dem Präsentierteller anböten. Dadurch ließe sich herausfinden, wer mit wem im Kontakt steht.

Mein Favorit ist GnuPG – nicht nur, weil (sogar ein schlichter Anwender wie) ich seit vielen Jahren prima damit klarkomme, sondern auch, weil ich trotz intensiver Suche keinen Hinweis darauf gefunden habe, dass jemand eine Schwachstelle entdeckt hätte oder GnuPG gar kompromittiert worden wäre. Stattdessen finde ich Empfehlungen des BSI zu GnuPG und seiner Windows-Variante GPG4Win . Und der frühere US-Geheimdienstler und Dissident Edward Snowden hat sogar ein Video produziert in dem er die Einrichtung von GPG4Win erklärt.

In seiner Vorlesung „Technischer Datenschutz im Internet“ fragte Hannes Federrath, heute Lehrstuhlinhaber der Universität Hamburg und Präsident der Gesellschaft für Informatik vor 14 Jahren rhetorisch nach dem „Stand der Technik?“, um sie selbst unter der Überschrift „Verschlüsselungssoftware“ mit Hinweis auf PGP und GnuPG zu beantworten.

Werner Koch, der Hauptentwickler des GNU Privacy Guard, hatte früher Schwierigkeiten, ausreichend Spenden für seine Arbeit an der Software einzuwerben, die Jedermann kostenlos im Internet beziehen kann. Heute findet er auf dem hart umkämpften Arbeitsmarkt kaum Entwickler – dabei hat er große Pläne: So möchte er das Auffinden von öffentlichen Schlüsseln im Netz erleichtern und die Integration in die Freie Bürosoftware LibreOffice verbessern.