Freitag, 24. November 2017

Bundesrat fordert Herstellerpflicht für Sicherheitsupdates

Der Bundesrat hat am Freitag Position bezogen zur geplanten neuen Cybersicherheits-Strategie der EU-Kommission. In der Stellungnahme zu der einschlägigen Mitteilung der Brüsseler Regierungseinrichtung spricht sich die Länderkammer unter anderem für eine schärfere Inanspruchnahme von Herstellern von Hard- und Software aus:
Die Gewährleistungsrechte von Verbrauchern bedürfen im Zusammenhang mit Sicherheitslücken von IT-Produkten und -Dienstleistungen einer klaren Justierung. Der Bundesrat bittet die Kommission, hier Vorschläge für eine zeitgemäße Konkretisierung von Mängelbeseitigungsrechten zu entwickeln. Es sollte eine Pflicht zur Bereitstellung von Sicherheitsupdates in Erwägung gezogen werden, die transparente Vorgaben dazu enthält, wie schnell, regelmäßig und für welchen Zeitraum Hersteller den Verbrauchern entsprechende Angebote unterbreiten müssen.
Zu IT-Sicherheit & freier Software:
Aus Sicht des Bundesrates wird die Mitteilung den Potenzialen quelltextoffener Software ("Open Source") für die Steigerung der IT-Sicherheit nicht gerecht. Der Bundesrat bittet die Kommission um eine konzeptionelle Klärung, inwieweit die öffentliche Hand zur Steigerung der IT-Sicherheit beitragen kann, indem sie selbst "Open Source"-Technologie einsetzt und deren Weiterentwicklung fördert. In diesem Zusammenhang sollten zudem die wirtschaftlichen Chancen -- auch für kleine und mittelständische IT-Unternehmen in Europa -- betrachtet werden.
Und noch was zu den laufenden "Crypto Wars", so ein wenig geht das in Richtung "Zitis"-Kurs:
Der Bundesrat nimmt zustimmend zur Kenntnis, dass die Kommission die Bedeutung der Verschlüsselung für die Wahrung von Grundrechten wie der Meinungsfreiheit und des Schutzes personenbezogener Daten sowie für die Sicherheit des elektronischen Geschäftsverkehrs hervorhebt.. Zugleich darf nicht außer Acht gelassen werden, dass Verschlüsselung durch Terroristen und andere Kriminelle zur Vorbereitung und Durchführung schwerer Straftaten missbraucht wird. Der Bundesrat unterstützt daher die Überlegungen der Kommission, die Rolle der Verschlüsselung beim Schutz der inneren Sicherheit und bei strafrechtlichen Ermittlungen näher zu untersuchen.

Freitag, 6. Oktober 2017

E-Government: Normenkontrollrat drängt auf vernetzte Register mit Personenkennziffer

Der Normenkontrollrat hat ein Gutachten veröffentlicht, wonach Datenbanken der öffentlichen Verwaltung wie das Melderegister miteinander verknüpft werden sollen als Basis für eine stärkere Digitalisierung von Dienstleistungen.

Rund 84 Millionen Stunden weniger pro Jahr müssten die Bürger hierzulande mit Behördenkram verbringen, wenn nicht sie selbst, sondern die Daten liefen. Dies geht aus einem Gutachten im Auftrag des Nationalen Normenkontrollrats (NNK) hervor, das dessen Vorsitzender Johannes Ludewig am Freitag Bundeskanzleramtschef Peter Altmaier (CDU) übergeben hat. Voraussetzung für das große Zeitgeschenk wäre es, die Verwaltungsleistungen komplett zu digitalisieren und dafür in einem ersten Schritt die staatlichen Register zu modernisieren und zu vernetzen. Insgesamt könnte damit die Interaktionszeit der Bürger mit der Verwaltung fast halbiert werden.

Das parallele Einsparpotenzial für Unternehmen schätzen die Gutachter vom Beratungshaus McKinsey auf jährlich über eine Milliarde Euro, was einem Minus von 54 Prozent entspräche. Das größte Potenzial sehen sie aber bei der Verwaltung selbst, wo sie auf eine Zeitersparnis von bis zu 59 Prozent oder 64 Millionen Stunden pro Jahr kommen. Bei Volkszählungen sei zudem ein vollständig registerbasierter Zensus bis zu 98 Prozent günstiger als die traditionelle, derzeit "registergestützte" Variante. Finanziell entspräche dies allein einem Plus von gut 650 Millionen Euro in der Staatskasse. Dem stünden beim dem Vorhaben insgesamt Anlaufkosten für ein "Basisdatenprogramm", die weitere technische Standardisierung, ein "Stammzahlensystem" und ein Pilotprojekt "Elterngeld" von rund 700 Millionen Euro gegenüber.

"Die heutige Registerlandschaft in Deutschland ist nicht dafür geeignet, den Informationsreichtum der öffentlichen Verwaltung optimal zu nutzen", heißt es in der gut 60-seitigen Analyse, für die McKinsey mit dem Statistischen Bundesamt und dem Deutschen Forschungsinstitut für öffentliche Verwaltung in Speyer zusammengearbeitet hat. Daher sei eine "grundlegende Modernisierung" der allein auf Bundesebene über 200 einschlägigen Datenbanken nötig.

Ein Kernpunkt dabei müsse ein "standardisierter digitaler Zugriff auf Informationen für alle autorisierten Nutzer über einheitliche und sichere elektronische Schnittstellen" sein, heißt es in der Analyse. Möglich sollte es auch werden, Daten etwa aus Melde-, Fahrzeug-, Handels- oder Gewerberegistern eindeutig zuzuordnen und zu verknüpfen. Der Bürger könnte Bescheide dann sofort bekommen, eigene Daten müsste er im Einklang mit dem "Once only"-Prinzip nur einmal der Verwaltung liefern.

Bei einem solchen Digitalisierungsvorhaben gibt es aber eine Crux. Neben Angaben zu Unternehmen, Gebäuden und Wohnungen oder Flurstücken sollen nämlich auch solche zu Personen aus Datenbeständen der Behörden zusammengeführt werden. Voraussetzung dafür wäre es, eine mehr oder weniger eindeutige Personenkennziffer einzuführen. Für Datenschützer ist ein solches Identifizierungsmerkmal ein rotes Tuch, das Bundesverfassungsgericht hat dafür im Volkszählungsurteil enge Grenzen gezogen. Demnach dürften damit auf keinen Fall "sämtliche Daten aus bereits vorhandenen Dateien der Verwaltung" zusammengeführt werden. Ein "Super-Register" sei nicht mit dem Grundgesetz vereinbar, detaillierte Persönlichkeitsprofile sollten vermieden werden.

Als Kompromiss bringen die Gutachter das österreichische Modell ins Spiel. Dort arbeitet die Verwaltung mit einer Art virtuellem Personenkennzeichen, bei dem keine Behörde vollständig auf alle gespeicherten Merkmale zugreifen kann. Die Datenschutzbehörde generiert in der Alpenrepublik eine geheime Stammzahl als eindeutige Identifikationsnummer. Daraus und aus einem auf einzelne Sektoren zugeschnittenen Kürzel werden in einem Hashverfahren kryptografisch "bereichsspezifische Personenkennzeichen" generiert. Aus diesen auf die Stammzahl zurückzuschließen, soll nicht möglich sein.

Ämter können über diesen Weg personenbezogene Daten aus anderen Bereichen abfragen und mit eigenen Informationen verknüpfen. Dafür erhalten sie von der Registerbehörde in Form der Datenschutzaufsicht einen Schlüssel für einen temporären Zugriff auf konkrete Personenmerkmale aus einem bereichsfremden Register. Dieser Ansatz soll sicherstellen, dass Informationsabrufe zweckgebunden und im Umfang begrenzt sind.

Matthias Daub, der bei McKinsey für den öffentlichen Sektor verantwortlich ist, verdeutlicht diese Lösung an einem konkreten Verfahren. Die Elterngeldbehörde könnte sich so über die zentrale Stelle autorisieren lassen, etwa beim Finanzressort Informationen abzufragen. Im dortigen "Tresor" lägen dann nur Datenbestände, die der Bürger selbst vorher freigegeben habe. Die Elterngeldstelle sei nicht imstande, den Code zu entziffern und gebe ihn verschlüsselt etwa an die Krankenkasse weiter. Diese könne dann die von ihr benötigten Bescheide zurücksenden.

"Es gibt keine zentralen Register, keinen Generalzugang", wirbt Daub für diesen Weg, den auch die Schweiz ähnlich vorexerziere. "Die Daten bleiben in lokalen Verzeichnissen", könnten aber ausgetauscht und verknüpft werden. Auch David Wagner, Referent an dem beteiligten Speyerer Forschungsinstitut, spricht von einem "ausgewieften Modell". Zusätzlich könnte dieses mit einem "Datenschutz-Cockpit" kombiniert werden, das transparent mache, "welche Behörde welche Daten über die Betroffenen erhebt". Ein weiterer Vorteil sei, dass Hacker zunächst nur eine Nummer erhielten und erst den Verschlüsselungsmechanismus knacken sowie es schaffen müssten, formgerecht Anfragen an andere Behörden zu stellen.

In einem parallel vorgelegten rechtlichen Kurzgutachten warnen Wagner, der Vizedirektor des Instituts, Mario Martini, sowie ein weiterer Kollege aber, dass die geheime Stammzahl "alle unter den bereichsspezifischen Personenkennziffern verbundenen Daten verknüpft" und technisch versierten Unbefugten durchaus eine Fläche für komplexe Angriffe mit Folgen bis hin zu Identitätsdiebstahl, finanziellen Verlusten oder Rufschädigungen eröffne. Auch bei dem letztlich wohl tragfähigen "österreichischen Vorbild" verblieben "erhebliche Gefahrenpotenziale".

Eine allgemeine Personenkennziffer schafft den Wissenschaftlern zufolge einen "Zentralschlüssel", um Datenbestände zusammenzuführen und ins Recht auf informationelle Selbstbestimmung der Betroffenen einzugreifen. Auch eine pseudonymisierte bereichsgebundene Kennung vereinfache Missbrauch. Für sich genommen ermögliche sie es dem Staat aber zumindest nicht, "ein Gesamtpersönlichkeitsbild zu entwerfen, das gleichsam das Innerste des Bürgers ausleuchtet". Als "erster Schritt" in diese Richtung sowie als "Vorbereitungsstadium" einer "freiheitsberaubenden digitalen Vermessung" könnte das Merkmal aber trotzdem betrachtet werden, zumal die Schutzmaßnahmen reversibel seien.

Ludewig hofft als Zuständiger für den Bürokratieabbau trotz dieser Bedenken, dass sich mit dem Gutachten der gordische Knoten beim E-Government hierzulande endlich durchschneiden lässt. Einen ersten Kontakt mit der Bundesdatenschutzbehörde habe es in Fragen der Registerintegration schon früh gegeben, Details seien mit den dortigen Experten aber noch nicht besprochen worden. Auch der IT-Planungsrat sei informiert, da Bund, Länder und Kommunen bei dem Vorhaben an einem Strang ziehen müssten. Für die Politik stehe dabei auch "ein Stück Glaubwürdigkeit auf dem Spiel". Schließlich habe die Bundesregierung schon lange versprochen, dass die "Top-100-Dienstleistungen" digitalisiert werden sollten. Im Online-Zugangsgesetz sei inzwischen eine Fünfjahresfrist für alle Verwaltungsservices festgeschrieben.