[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Pflicht zur "serverseitigen" Verschluesselung - neue Fragen
- To: debate@lists.fitug.de
- Subject: Re: Pflicht zur "serverseitigen" Verschluesselung - neue Fragen
- From: Florian Weimer <fw@deneb.enyo.de>
- Date: Thu, 23 Aug 2001 13:29:45 +0200
Johann Bizer schreibt:
> Nach § 4 Abs. 2 Nr. 3 TDDSG hat der Dienstanbieter (eines
> Teledienstes) "durch technische und organisatorische Vorkehrungen
> sicherzustellen, dass der Nutzer Teledienste gegen Kenntnisnahme
> Dritter geschützt in Anspruch nehmen kann". Die Regelung umfasst nach
> meinem Verständnis den Schutz des Abrufs von Informationen von einer
> Webseite insbesondere durch eine Kanalverschlüsselung durch den
> Web-Server.
Der Wortlaut des Gesetzes legt nahe, daß auch das Wissen, daß jemand
einen Dienst bloß genutzt hat, schützenswert ist. Bei gewissen
Telefondiensten versucht man dies ja bereits zu realisieren. Die
Anonymität dort beruht aber größtenteils auf der Homogenität der
Vermittler der telefonischen Kommunikation und deren Kooperation, und
kaum auf technischer Gewährleistung der Nichtverfolgbarkeit durch
Dritte.
Die Frage ist, ob eine Kultur des Wegschauens und des Unterdrückens
von Information (bzw. der Vermeidung deren Sammlung) in der
inhomogenen Internet-Landschaft ähnliches leisten kann. Aufgrund der
zahlreichen Teilnehmer ist dies zu verneinen. Das Gebot der
Datenvermeidung läßt sich auch nur schwer umsetzen, da die Kunden
einen funktionierenden Dienst erwarten, verbunden mit einer raschen
Diagnose im Fehlerfall (wozu häufig die Protokollierung von Daten
notwendig ist), und Strafverfolgungsbehörden im Fall eines Falles auf
diese Daten angewiesen sind.
Eine technische Lösung täte daher not, aber es ist nicht absehbar, daß
die benötigte Infrastruktur in den nächsten Jahren verfügbar sein
wird. (Die Erteilung eines US-Patents, welches diverse
Problemstellungen in diesem Bereich abdeckt, dürfte die Verbreitung
geeigneter Lösungen auch nicht gerade fördern.) Im Gegenteil,
zahlreiche Spitzenpolitiker glauben nicht an das Recht und die
Vorteile der Anonymität, halten die gegenwärtige Netznutzung für
weitesgehend anonym, obwohl dies völlig an den Tatsachen vorbeigeht,
und Fordern gar noch die Abschaffung dieses bißchen Anonymität,
zumindest für den Staat.
Ich stelle es mir äußerst schwierig vor, in diesem Spannungsfeld einen
Ausgleich zu schaffen. Allein die nötige Aufklärungsarbeit dürfte sehr
viel Energie kosten.
> Im Novellierungsentwurf der Bundesregierung (BT-Drs. 14/6098, S. 9 -
> siehe Materialien) bleibt diese Regelung bestehen. Sie rückt nur an
> einen anderen Ort: § 4 Abs. 4 Nr. 3 TDDSG. Allerdings wird der Verstoß
> gegen diese Verpflichtung in Zukunft mit einem Bußgeld bewehrt sein (§
> 9 Abs. 1 Nr. 2, Abs.2 E-TDDSG).
Bußgelder sind schön und gut, aber solange nicht geregelt wird, wer
diese ominösen Dritten sind, wie weit der technische Aufwand gehen muß
(es ist einem Dienstanbieter sicherlich nicht zuzumuten, eine separate
Infrastruktur aufzubauen, nur weil das Telefonnetz oder das Internet
die geforderten Eigenschaften nicht aufweist), und wie mit Diensten zu
verfahren ist, deren Zweck eine öffentliche Inanspruchnahme nahelegt
und bei denen erwartet wird, daß der Nutzer unter seinem wirklichen
Namen auftritt (dies gilt beispielsweise für einige Mailinglsiten und
die Mehrheit der Gruppen des de.*-Usenets). Gerade bei den letzten
Diensten kann eine erzwungene Möglichkeit zur Anonymität erheblichen
Flurschaden anrichten und eine über Jahre gewachsene Kultur des
Umgangs miteinander nachhaltig stören.
> Bemerkenswert ist jedoch, dass in der Praxis eine serverseitige
> Verschlüsselung nur von besonderen Informationsabrufen festzustellen
> ist.
Was ist 'serverseitige Verschlüsselung'? Dieser Begriff bedeutet
lediglich, daß der Server für den Client verschlüsselt -- über die
Verbindung zum Client wird nichts ausgesagt.
> So bieten bspw. Onlinebanken für Abfragen des Kontostandes oder
> Überweisungen eine serverseitige Verschlüsselung an.
Sie bieten eine Verschlüsselung des Datenverkehrs mit dem Kunden an.
> Andererseits finden sich auch zahlreiche Beispiele in E-Commerce und
> E-Administration, bei denen der Nutzer bspw. Web-Formular ausfüllen
> soll, für die der Anbieter keine serverseitige Verschlüsselung zur
> Verfügung stellt.
Hierbei ist festzustellen, daß die Bundesregierung überhaupt nicht
mit gutem Beispiel vorangeht. Nutzer der Web-Angebote werden
beispielsweise aufgefordert, ihre Vermögensverhältnisse (und sogar die
von Dritten) über eine unverschlüsselte Verbindung zu übertragen.
Andererseits gibt es auch Organisationen, die selbst ihr eigenes Netz
als nicht vertrauenswürdig einstufen und die Übertragung von Daten
darüber einer Veröffentlichung gleichsetzen.
> Nur sehr selten ist eine serverseitige Verschlüsselung für den Abruf
> von Informationsseiten anzutreffen.
Dies ist bedauerlich, aber verständlich. Da Deutschland, was
Verschlüsselungsprodukte für den Massenmarkt angeht, sich derzeit
praktisch in vollständiger Abhängigkeit von amerikanischen Firmen
befindet (zumindest, was nahtlos integrierte Kryptographie anbelangt),
war die Mehrzahl der Nutzer von Kryptographie bisher der Willkür der
US-Exportbestimmungen ausgeliefert -- und es ist gar nicht mal so
lange her, daß diese Bestimmungen deutschen Benutzern nur äußerst
schwache kryptographische Verfahren zustanden. Damals lohnte sich der
Aufwand einfach nicht, es sei denn, man wollte ein Symbol setzen.
Außerdem bringt HTTPS in vielen Umgebungen spürbare
Performance-Verluste. Falls man beispielweise SPIEGEL Online über
HTTPS läse, könnte der Browser die Bilder nicht vom lokalen
Proxy-Server holen. Auch erhöht HTTPS bei manchen Angeboten die Last
auf dem Server ganz erheblich.
Andererseits werden, sobald sich die Server-Betreiber massenhaft zum
Einsatz von HTTPS entscheiden, die eklatanten Schwächen des
derzeitigen Schlüsseltausch-Verfahrens offenbar werden. Der Ansatz,
dem Nutzer komplett die Verantwortung für Vertrauensmanagement und
Schlüsseltausch zu entziehen, ist mittelfristig zum Scheitern
verurteilt. Gegenwärtig gibt es keine Anhaltspunkte dafür, daß für den
Nutzer transparente Kryptographie gleichzeitig sichere Kryptographie
sein wird. Für ernsthafte Anwendungen wird es auch langfristig
notwendig sein, zum Beispiel das Verfahren zum Schlüsseltausch im
Grundsatz verstanden zu haben, um in der Lage zu sein, die in Zukunft
verstärkt auftretenden Angriffe zu erkennen.
> Ich frage mich und Sie:
>
> * Ist mein Eindruck richtig ?
>
> * Ist der Informationsabruf aus einer Datenbank (Börsenentwicklung,
> Fahrplanabfrage etc.) gegenüber Dritten datenschutzrechtlich nicht
> schützenswert?
Nicht der Informationsabruf selbst, sondern die selbst die Tatsache,
daß bestimmte Datenbanken genutzt werden.
> * Kann der Nutzer eines schlichten Informationsabrufes von Dritten
> überhaupt identifiziert werden?
Das kommt auf die verwendete Technologie an und das, was man
mit den 'Dritten' meint. Traditionellerweise scheint man mir
beispielsweise die Zugriffsmöglichkeiten der Telefongesellschaft und
ihrer Mitarbeiter zu vernachlässigen. Wenn man mit ähnlichen Maßstäben
die Risiken der Internetnutzung mißt, wird man geneigt sein, viele
Internet-Anwendungen als sicher einzustufen, die es gar nicht sind.
> * Ist das Angebot einer serverseitigen Verschlüsselung zu aufwendig
> und damit unverhältnismäßig ?
Die Beschaffung eines Zertifikates für den Server und dessen
Installation scheint mir heutzutage kein wesentliches Problem mehr
darstellen. Bei den meisten Websites ist es auch egal, ob der Server
für HTTPS etwas mehr Aufwand treiben muß, oder ob der Client den
örtlichen Proxy verwenden kann.