Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Wie sicher sind unsere Daten bei Behörden?
Regierungen und staatliche Behörden überall würden uns gerne davon überzeugen, dass unsere privaten Daten in ihren Händen sicher sind. Sie sagen, diese Informationen seien entscheidend. Sie behaupten, ohne diese Daten wäre es nicht möglich, die alltäglichen Dienste, auf die wir angewiesen sind – von den Ressourcen in den Kommunen bis hin zu staatlichen Sozialleistungen, Strafverfolgung, Gesundheitsdiagnostik und so weiter – so effizient wie möglich zu gestalten.
In einer idealen Welt sind Regierungen aufrichtig und rechenschaftspflichtig und zudem existieren solide Rechtsrahmen, die einen Missbrauch unserer Daten im Hintergrund verhindern. Jedoch ist das nicht immer der Fall. Einige staatliche Behörden missachten Bürgerrechte leider in eklatanter Weise. Aufgrund mangelnder Sorgfalt oder im Namen des nationalen Interesses treiben eventuell sogar offenere westliche Demokratien manchmal Schindluder mit dem Datenschutz.
Aus diesem Grund sollte die gesamte Datenkommunikation zwischen Regierungsbehörden ordnungsgemäß verschlüsselt werden, um jegliche Gefährdung personenbezogener Daten (PII) zu verhindern. Eine bewährte und zuverlässige Methode, um dies zu erreichen, stellt die Implementierung von Virtual Private Networks (VPNs) dar.
Verdächtige Staaten
In einigen Teilen der Welt existieren autoritäre Regime, deren politische Systeme hinsichtlich der Menschenrechte bedenklich sind. Häufig fehlt es ihnen an Respekt vor der Privatsphäre des Einzelnen. Es gibt gute Gründe zu glauben, dass diese Regierungen die von ihnen gesammelten persönlichen Daten für politische Zwecke verwenden. Die üblichen Verdächtigen sind Russland, China und der Iran.
Datenschützer haben außerdem Besorgnis über Länder geäußert, in denen die Gesetzgebung zum Datenschutz schwach oder gar nicht vorhanden ist, wie beispielsweise in Saudi-Arabien, den Vereinigten Arabischen Emiraten (VAE) und Singapur. Sie wollen, dass die Behörden dort nur anonymisierte Datenkommunikation aus digitalen Projekten erfassen und aggregieren.
Darüber hinaus erhöht eine anhaltende Präsenz von schwacher Verschlüsselung, veralteter Software, menschlichem Versagen und fortschrittlichen Hacking-Techniken die Wahrscheinlichkeit enorm, dass der Staat Massendaten sammelt, um sie bei Bedarf gegen Einzelpersonen zu verwenden.
Über dem Gesetz
Westlichen Demokratien geht es kaum besser. Das Grundrecht auf Privatsphäre des Einzelnen steht in ständigem Konflikt mit dem Druck auf die Regierung, alles Notwendige zu tun, um die gewöhnlichen Bürger vor einer Vielzahl von Internetbedrohungen zu schützen.
Sowohl die USA als auch Großbritannien haben konzertierte Bemühungen zur Verbesserung der Cyberüberwachung unternommen, und zwar über die PRISM-Verlängerung bzw. den Investigatory Powers Bill. Durch solche Maßnahmen werden Regierungen beinahe über das Gesetz gestellt.
Datenschützer befürchten, die Behörden könnten die von gesetzestreuen Bürgern gesammelten Daten in irgendeiner Form missbrauchen. Die EU will ebenfalls größere Befugnisse zum Abfangen von Daten, um die Bekämpfung der Cyberkriminalität zu unterstützen. Im Mai 2018 treten die neuen Datenschutzvorschriften, die DSGVO, in Kraft, deren Ziel es ist, die Daten der EU-Bürger zu schützen.
Die DSGVO gilt allerdings nur für Unternehmen und enthält keine Aussage in Bezug auf die Datenerhebung durch Regierungen. Bereits jetzt erlaubt das Privacy Shield-Abkommen zwischen der EU und den USA den amerikanischen Strafverfolgungs- und Sicherheitsbehörden den Zugriff auf personenbezogene Daten, unabhängig davon, wo diese gespeichert sind. Im Rahmen des Abkommens können auch ausländische Staaten in den USA gespeicherte Daten ohne gerichtliche Überprüfung anfordern.
Unterdessen hat die Trump-Administration eine Berechtigung zur Nachverfolgung, Umleitung und Zerstörung von Drohnen erbeten, um zu verhindern, dass diese jemals für Angriffe eingesetzt werden. Im Falle einer Genehmigung würden den US-Behörden durch die Gesetzgebung weitreichende Befugnisse eingeräumt, um die gesamte Datenkommunikation von Drohnen abzuhören.
Fehler passieren
Bei all diesen Initiativen haben Normalbürger kaum eine andere Wahl, als den Behörden zu vertrauen, dass sie ihre Befugnisse verantwortungsvoll wahrnehmen. Das Schlimme ist: Fehler können passieren und Fehler passieren auch.
Kürzlich wurde in Australien bekannt, dass personenbezogene Daten im Zusammenhang mit einem von der Bundesregierung betriebenen Programm für medizinische Leistungen nicht ordnungsgemäß verschlüsselt wurden. Unverschlüsselte Patientendaten könnten kombiniert werden, um Einzelne zu identifizieren. Dies veranschaulicht, wie Regierungsvertreter die grundlegendsten Fehler im Umgang mit PII machen können.
Einen weiteren Fall gab es in Großbritannien. Hier gingen dem Crown Prosecution Service (CPS), einer britischen Strafverfolgungsbehörde, fünfzehn unverschlüsselte DVDs verloren, die Interviews junger Opfer von sexuellem Missbrauch beinhalteten. Beide Fälle verdeutlichen wie riskant es ist, wenn öffentliche Bedienstete mit der Aufbewahrung sensibler, personenbezogener Daten betraut werden. Darüber hinaus unterstreichen sie den Wert einer durchgehenden Datenverschlüsselung.
Datenverschlüsselung sichert grundsätzliche Privatsphäre
Die Datenverschlüsselung ist ein grundlegender erster Schritt, um die Geheimhaltung sensibler personenbezogener Daten zu gewährleisten, wann immer diese in digitaler Form übermittelt werden.
Eine in der Geschäftswelt seit langem bewährte und zuverlässige Methode ist der Einsatz von VPN-Software zur Datenverschlüsselung und zum Schutz vor dem Zugriff Unbefugter während der Datenübertragung über das öffentliche Internet.
VPNs wie der NCP Secure Enterprise iOS Client können den Schutz personenbezogener Daten gewährleisten, die zwischen öffentlichen Bediensteten in verschiedenen Behörden und an verschiedenen Orten ausgetauscht werden.
Das VPN verschlüsselt automatisch den Fernzugriff auf Workstations, Cloud-Anwendungen, Mobilgeräte und Speicherdatenbanken.
Zusammenfassend lässt sich sagen, dass die Regierungen im Allgemeinen eine schlechte Erfolgsbilanz haben, was die Geheimhaltung der sensiblen persönlichen Daten angeht, mit denen sie zu tun haben. Auch wenn dies in den autoritärsten Regimen der Welt nachvollziehbar sein mag, ist der Gedanke doch schockierend, etwas Vergleichbares könnte in den „offeneren“ westlichen Demokratien passieren.
Ein verstärkter Einsatz staatlicher Überwachungsbefugnisse und die Fehlbarkeit der einfachen Mitarbeiter im öffentlichen Dienst bedeuten, dass wir eine Geheimhaltung der Daten gewöhnlicher Bürger seitens der Behörden nicht garantieren können. Deshalb sollten öffentliche Dienste und staatliche Stellen immer, wenn sie per Remote Access auf Regierungsnetzwerke, Datenbanken oder gemeinsame Anwendungen in der Cloud zugreifen, VPNs zum Schutz der sensiblen Bürgerdaten einsetzen.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.