Hallo, Am 10.02.2019 um 20:44 schrieb Jens Hektor:
Es geht darum, die Hochschule unter Berücksichtigung der aktuellen Vorgaben (schon mal DSVGO gelesen? Das häufige Auftauchen der Formulierung "Stand der Technik" wahrgenommen?) *geeignet' aufzustellen.
Ich weiß, Paragraphenreiter ist weithin auch nur eine Analogie eines langweiligen Spießers, aber da hier so viel über DSGVO gesprochen wird, werfe ich mein Halbwissen auch mal in die Schale. Vorkommen folgender Worte in der DSGVO (Amtsblatt vom 4.5.2016): "Technik": 13x "Stand": 4x "Stands": 4x Davon passt das Wort "Technik" viermal in den obig zitierten Kontext. Zwei davon beziehen sich darauf, dass der "Stand der Technik" eingesetzt werden soll, um Datenschutz sicherzustellen. Witzigerweise verlangt dagegen Absatz 83 des Vorwortes/Einführung
"(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine *Verschlüsselung*, treffen. [...]"
Selbst, wenn man einen gewissen Interpretationsspielraum der Artikel zulässt, so kann diese Anzahl an Wörtern kaum mit dem Wort "häufig" beschrieben werden. Ferner kehren diese eigentlich die Argumentation um, da nach "Stand der Technik" eben gerade gewährleistet werden soll, dass Daten geschützt werden. Tatsächlich steht die DSGVO als europäische Richtlinie über allen anderen Gesetzen - sie darf auf nationaler Ebene nicht durch anderslautende Gesetze eingeschränkt werden. Eine Ausnahme dazu liefert Artikel 23 DSGVO, der eine Ausnahme von dieser übergreifenden Richtlinie erlaubt "[...] sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt [...]". Dieser "Wesensgehalt der Grundrechte" ist in Deutschland Artikel 10 Grundgesetz, das "Post- und Fernmeldegeheimnis" und damit einer der zentralen Grundwerte auf dessen Basis wir unsere Wertegemeinschaft gründen. Die §§ 202-202b StGB i.V.m. § 88 TKG tun ihr übriges, um dieses Grundrecht zu schützen und verbieten eigentlich das fremde Öffnen einer nichtöffentlichen Kommunikation. Artikel 32 DSGVO sagt zur "Sicherheit der Verarbeitung"
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [...]
Berücksichtigt werden sollte demnach neben dem Stand der Technik auch * die Art * der Umfang * Eintrittswahrscheinlichkeit * schwere des Risikos Dies leitet über auf die Frage nach der Verhältnismäßigkeit zwischen einem Eingriff und einem Zweck einer Maßnahme und ob nicht mildere Mittel zur Verfügung stehen. Eine kurze Statistik über die Anzahl bisher aufgetretener Fälle und ihre sicherheitstechnischen Auswirkungen auf einen Benutzerkreis, ein Institut oder die gesamte Hochschule wäre an dieser Stelle sehr hilfreich und gute wissenschaftliche Praxis, um eine konkrete Fragestellung in einen konkreten Kontext einbetten zu können. So wirkt es momentan, als würden "Horden von [hier Land einsetzen] Hackern" täglich versuchen, unser Hochschulnetz zu infiltrieren. Als Maschinenbauer habe ich gelernt, unter Berücksichtigung aller Einflussfaktoren eine Verhältnismäßigkeit zwischen Kosten / Aufwand und Nutzen zu wahren. Dieses Prinzip kann durchaus auf diese Fragestellung angewandt werden, da einige wenige Fälle mit vielleicht mittelschwerer Gefährlichkeit keinesfalls rechtfertigen, dass dafür pauschal ein wesentliches Merkmal einer gesicherten Datenübertragung aufgebrochen wird. Zumal das Ende der Einsatzmöglichkeiten offenbar noch nicht erreicht ist, wenn ich dem von Jens selbst zitierten Beitrag der TU Clausthal folge. Nach Filterregeln wurde schon gefragt, teilweise wurde es beantwortet. Geplant ist offenbar, dass ausgehender Traffic unterschieden wird zwischen "gut" und "nicht gut". Dabei soll "guter" Traffic nicht inspiziert/resigniert werden. Somit kann diese Unterscheidung nur auf Layer 3 erfolgen und erst dann beschlossen werden, dass auf Layer 5+ näher geschaut werden soll. Ergo verbleibt die Frage, wieso überhaupt nochmal so tief nachgeschaut werden soll. Nur die Zahl an false positives? Die müsste dann auch jetzt schon signifikant sein. Dies leitet über zu der schon (in dieser oder anderen Formen) genannten Frage, ob eine Pauschalisierung oder Gleichbehandlung in einem Netzwerk mit zunehmend heterogenen Nutzungsmöglichkeiten überhaupt noch Sinn macht oder ob eine Unterteilung in "Gefährdungsklassen" nicht eher "Stand der Technik" ist. Nicht jeder Teilnehmer braucht den umfangreichen Schutz eines Institutes und nicht jedes Institut will die Berücksichtigungen einer Fachschaft oder einer Studierendenwohnanlage. Da die Anforderungen hier weit auseinander driften, ist diese Frage gerade in dem Kontext dieser Diskussion meiner Meinung nach angebracht und ein ernsthaftes, darüber nachdenken, wert. Denn der Grundsatz dieser Diskussion ist doch wohl eher der Zwiespalt des IT Centers, einerseits Datenschutz zu betreiben, indem man (perfiderweise) alle Möglichkeiten nutzt zu überwachen, welche Daten unberechtigt und unerlaubt abgeführt werden und andererseits zu berücksichtigen, dass Datenschutz eben auch insbesondere das Recht bedeutet, dass meine Daten vor dem Zugriff anderer geschützt sind und nicht angefasst werden. Gepaart mit der berechtigten Sorge einiger Diskussionsteilnehmer, dass damit Grundlagen für Möglichkeiten geschaffen werden, die später - z.B. nach dem Renteneintritt von Jens - noch weitreichender als jetzt genutzt werden können. Was einmal etabliert ist, wird später kaum noch zurückgenommen. Grüße, Stefan Sutter