Unter Hinweis auf die neuesten Vorfälle des Ausspähens privater Daten fordert die Piratenpartei von der Bundesregierung ein umfassendes Cyber-Sicherheitspaket. In einem Schreiben an die Bundesminister für Justiz, Inneres, Wirtschaft und Digitales nennen wir Handlungsbedarf in 17 Bereichen:
Cyber-Sicherheitspaket zum Schutz vor Ausspähen privater Daten
1.Recht auf Digitale Mündigkeit
Zur digitalen Mündigkeit und Selbstbestimmung gehört die Kompetenz, sich vor Ausspähung und Datenmissbrauch schützen zu können (digitale Selbstverteidigung). Die Vermittlung dieser Kompetenz in Bildungseinrichtungen und auf andere Weise (z.B. Cryptoparties) ist zu fördern und zu unterstützen.
2.Recht auf Anonymität
Informationstechnologie muss anonym nutzbar sein und bleiben. Whistleblower, Stalking-Opfer und andere sind auf Anonymität angewiesen. Im Gegensatz zu Klarnamenspflichten oder der zwingenden Erhebung von Identifizierungsmerkmalen (z.B. Rufnummer) schützt nur Anonymität wirksam vor Diebstahl, Verlust und Missbrauch persönlicher Daten. Auf europäischer Ebene ist ein Recht auf anonyme Nutzung von Telemedien und ein Verbot der Vorratsspeicherung des Nutzungsverhaltens einzuführen.
3.Recht auf Beseitigung von Schwachstellen
Der Einbau von Schwachstellen (Hintertüren) ist zu verbieten.
Kommerzielle Hersteller von Informationstechnologie sowie kommerzielle und staatliche Anbieter von Telekommunikations- und Telemediendiensten werden verpflichtet, Schwachstellen nach Bekanntwerden zu beseitigen – für angemessene Zeit auch nach Einstellung des Vertriebs eines Produkts. Bei Verletzung dieser Pflicht werden sie für Schäden haftbar gemacht.
Entscheidet ein kommerzieller Hersteller, ein weit verbreitetes Produkt nicht weiterzuentwickeln, so hat er den Quelltext des Codes und möglichst auch die Entwicklungswerkzeuge zu veröffentlichen, damit die Öffentlichkeit Schwachstellen selbst beseitigen kann.
4.Meldepflicht für Schwachstellen
Öffentliche Behörden werden verpflichtet, Schwachstellen offenzulegen, die ihnen bekannt werden.
5.Recht auf sichere Voreinstellung
Gebrauchsfertige Geräte zur Internetnutzung sowie kommerzielle Internetdienste müssen von ihrem Hersteller bzw. Anbieter so voreingestellt und bereit gestellt werden, dass die Vertraulichkeit, Verfügbarkeit und Unversehrtheit der Nutzerdaten dauerhaft nach den anerkannten Regeln der Technik gewährleistet ist (z.B. automatische Sicherheitspatches, Firewall, Schadprogrammerkennung). Der Nutzer muss dabei stets die volle Kontrolle über Vorkehrungen zu seinem Schutz behalten und diese auch abschalten können.
6.Privacy by design für IT-Hersteller
Kommerzielle informationstechnische Produkte zur Verarbeitung personenbezogener Daten müssen hierzulande so voreingestellt vertrieben werden, dass der Verwender das Datenschutzrecht einhält. Die DSGVO verpflichtet bisher nur die Datenverarbeiter zu einer datenschutzfreundlichen Technikgestaltung, nicht aber die Hersteller.
7.Schutz vor Koppelung und Einwilligungsklauseln
Die Inanspruchnahme von Diensten darf nicht an die Einwilligung zur Preisgabe, Nutzung oder Weitergabe von Daten zu anderen Zwecken (z.B. Werbung) gekoppelt werden.
Verbraucher sind vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln zu schützen, indem klargestellt wird, dass derartige Klauseln einer gerichtlichen Kontrolle unterliegen.
8.Recht auf Sicherheitstools
Das Verbot von Werkzeugen für Sicherheitstests („Hackertools“) ist aufzuheben. Diese Tests sind zur Aufdeckung und Beseitigung von Schwachstellen unverzichtbar.
9.Recht auf verschlüsselte Kommunikation
Kommerzielle Hersteller von Telekommunikations-Endgeräten und von Software zur Telekommunikation (z.B. Messenger) werden verpflichtet, eine sichere Ende-zu-Ende-Verschlüsselung vorzunehmen, wenn sie auch vom Gesprächspartner unterstützt wird. Dies verhindert unbefugtes Abfangen beim Anbieter.
Betreiber von Übertragungsleitungen, insbesondere von internationalen Übertragungswegen, werden verpflichtet, eine sichere Transportverschlüsselung vorzunehmen. Dies verhindert unbefugtes Abfangen auf dem Übertragungsweg, insbesondere durch ausländische Geheimdienste. Die entsprechenden Vorschläge des Europäischen Parlaments zur ePrivacy-Reform (Art. 17) sind zu unterstützen.
Behörden und kommerzielle Anbieter von Telemedien werden verpflichtet, auch außerhalb von Systemen wie DE-Mail E-Mail-Kommunikation unter Verwendung anerkannter Verschlüsselungsstandards wie PGP zu ermöglichen.
10.Recht auf verschlüsselte Datenspeicherung
Kommerzielle Hersteller von Informationstechnologie sowie kommerzielle und staatliche Anbieter von Telekommunikations- und Telemediendiensten werden verpflichtet, Zugangsdaten und Nutzerdaten (einschließlich Metadaten) nach dem Stand der Technik zu schützen, insbesondere verschlüsselt zu speichern.
11.Recht auf Transparenz
Käufer von Informationstechnologie sowie Nutzer kommerzieller und staatlicher Telekommunikations- und Telemediendienste erhalten einen Anspruch auf Auskunft über die technisch-organisatorischen Maßnahmen zum Schutz ihrer Daten. So können die Nutzer aktiv Sicherheitsvorkehrungen einfordern oder zu einem sichereren Angebot wechseln.
12.Recht auf Wegwerfnummern
Telefonnummern zur zeitlich begrenzten Weiterleitung an private Rufnummern sind identifizierungsfrei zuzulassen. Mithilfe von Wegwerfnummern können Privatnummern geschützt werden.
13.Recht auf „Beipackzettel“
Gebrauchsfertigen Geräten zur Internetnutzung sollten einfache Hinweise zur Vorbeugung häufiger Internetdelikte und zur richtigen Reaktion darauf beigefügt werden.
14.Sicherheit von Passwörtern
Kommerzielle Hersteller von Informationstechnologie sowie kommerzielle und staatliche Anbieter von Telekommunikations- und Telemediendiensten werden verpflichtet, Mindestanforderungen an die Sicherheit von Passwörtern durchzusetzen, ohne die anonyme Nutzbarkeit zu beeinträchtigen.
Ist zu befürchten, dass Unbefugte Zugriff auf Zugangsdaten hatten, ist für die Vergabe neuer Zugangsdaten Sorge zu tragen.
15.Recht auf Anbieterwechsel
Verbreitete kommerzielle soziale Netzwerke und Messengerdienste sind zur Zusammenschaltung zu verpflichten, so dass auch nach einem Anbieterwechsel die Kommunikation mit den Kontakten eines Nutzers möglich bleibt (Interoperabilitätspflicht). Nur so kann die Abhängigkeit von monopolartigen Anbietern wie Facebook überwunden werden.
16.Durchsetzung der Datensparsamkeit
Wettbewerber, Verbraucherzentralen und Datenschutzverbände erhalten das Recht, Datenschutzverstöße kommerzieller Anbieter von Internetdiensten abzumahnen.
17.Recht auf Entschädigung
Bei Verlust persönlicher Daten durch kommerzielle Anbieter von Internetdiensten erhalten Betroffene einen Anspruch auf pauschale Mindestentschädigung (z.B. 200 Euro pro Person). Dies setzt einen finanziellen Anreiz zur Gewährleistung der Datensicherheit und macht eine kollektive Rechtsdurchsetzung durch Musterfeststellungsklagen möglich.
0 Kommentare zu “Cyber-Sicherheitspaket zum Schutz vor Ausspähen privater Daten”