Sicherheit gewährleisten
Home » Standort- und Nachverfolgungsdaten » Keinen schaden zufügen » Sicherheit gewährleisten

Eines der Hauptprobleme, die eine massive Datenverarbeitung mit sich bringen kann, ist die Preisgabe personenbezogener Daten an unbefugte Dritte. Eine Datenschutzverletzung könnte Tausenden oder Millionen von Nutzern dramatischen Schaden zufügen, deren Privatsphäre gefährdet sein könnte. In Katar beispielsweise wurden im Mai 2020 durch eine Sicherheitslücke in der nationalen App zur Kontaktnachverfolgung sensible personenbezogene Daten von mehr als einer Million Personen offengelegt.[1]

Diese Risiken müssen durch die Umsetzung technischer und/oder organisatorischer Sicherheitskontrollen gemildert werden. Zu den technischen Maßnahmen gehört unter anderem der Einsatzkryptografischer Techniken nach dem Stand der Technik, um die auf Servern und in Anwendungen gespeicherten Informationen sowie den Austausch zwischen Anwendungen und dem Fernserver zu sichern. Zwischen der App und dem Server muss zudem eine gegenseitige Authentifizierung erfolgen. Wenn die Anwendung Nutzer meldet, muss dies einer ordnungsgemäßen Autorisierung unterliegen, z. B. durch einen Einmalcode, der an eine pseudonymisierte Identität des Nutzers gekoppelt ist. Kann eine Bestätigung nicht auf sichere Weise erlangt werden, sollte keine Datenverarbeitung stattfinden, die von der Gültigkeit des Nutzerstatus ausgeht.[2]

Organisatorische Maßnahmen sollten eine angemessene Umsetzung etablierter Sicherheitsprinzipien gewährleisten, beispielsweise „Need-to-know“ (d. h. Zugang zu Informationen oder Wissen, wenn dies für die Ausführung einer zugewiesenen Aufgabe erforderlich ist), die Schaffung von Rollen mit unterschiedlichen Zugriffsrechten auf Daten oder eine „mehrschichtige Sicherheit“ (d. h. eine defensive Sicherheitsstrategie mit mehreren Schichten, die einen Sicherheitsangriff verlangsamen sollen). Es ist wichtig zu wissen, dass das gesamte Sicherheitsniveau einer Lösung nur so stark ist wie das schwächste Glied. Daher sollte „jede Komponente einer Lösung, ob zentrale Systeme oder Ferngeräte, angemessen gesichert sein”.[3] In der Tat kann dieses schwächste Glied oft durch menschliches Versagen verursacht werden. Denken Sie zum Beispiel an schwache Passwörter, die Gegenstand von Phishing-Angriffen sind, oder an den Verlust eines Geräts, auf dem Daten gespeichert sind. Aus diesem Grund müssen die Sicherheitsmaßnahmen Schulungs- und Sensibilisierungsprogramme für das beteiligte Personal umfassen.

Vor dem Einsatz des Tools in der realen Welt ist es ratsam, Sicherheitstests durchzuführen (stichprobenartige Datentests, auch „Fuzzing“ genannt, Schwachstellenscans usw.). Diese Tests dienen der Überprüfung, ob das Produkt auch dann noch angemessen funktioniert, wenn dessen normale Nutzung eingestellt wird, und ob es keine Schwachstellen aufweist, die es Dritten ermöglichen könnten, die Sicherheit des Produkts zu gefährden. Beide Arten von Tests sind wichtig für das ordnungsgemäße Funktionieren des Tools. So sollte beispielsweise ein System zur kontinuierlichen Integration so eingerichtet werden, dass nach jeder Änderung des Quellcodes automatisch Tests durchgeführt werden.

Kasten 5: Verifizierung und Kontrolle der Kennungen und Teilnehmer im Tool

Wenn eine Anwendung eine eindeutige Kennung erstellt oder verwendet, müssen Schritte zur Gewährleistung unternommen werden, dass die Kennung mit dem rechtmäßigen Nutzer der Anwendung verknüpft ist und diese Informationen auf dem neuesten Stand gehalten werden. Jede Partei, die Kennungen verwendet, ist dafür verantwortlich, folgende Schritte zu unternehmen:

– Ergreifen von Maßnahmen, die gewährleisten, dass jede eindeutige Kennung nur einem einzigen Nutzer zugeordnet werden kann. Wenn dies zu komplex ist, sind Maßnahmen zur Verhinderung oder Milderung unerwünschter Folgen zu ergreifen und die betroffenen Personen darüber zu informieren.

– Sicherstellen, dass die eindeutigen Kennungen auf dem neuesten Stand gehalten und nur so lange gespeichert werden, wie es zur Erfüllung des Zwecks der Anwendung und der den Nutzern mitgeteilten Gründe erforderlich ist.

– Verhindern, dass eine eindeutige Kennung mit einem anderen Nutzer in Verbindung gebracht wird, es sei denn, eine begründete Erforderlichkeit im Rahmen des PROJEKTS erfordert dies.

Die Verwendung einer persistenten Kennung (wie einer IMEI-Nummer oder einer Werbe-ID) birgt im Allgemeinen mehr Risiken als die Verwendung einer zufälligen oder rotierenden Kennung.

Darüber hinaus sollte die Verwaltung von Endbenutzer-/Teilnehmerprofilen vor der Entwicklung durchdacht werden. Die Authentifizierung der Nutzer sollte nach Möglichkeit mit risikogerechten Authentifizierungsmethoden erfolgen. Wenn die Bekräftigung einer realen Identität eine wichtige Komponente eines Dienstes ist, sollte eine stärkere Authentifizierung wie z. B. eine Zwei-Faktor-Authentifizierung unter Verwendung eines Mobiltelefons und einer UICC angewendet werden.
Checkliste:[4]

☐ Der Verantwortliche hat potenzielle Angriffsformen bewertet, für die das Tool anfällig sein könnte, sowie Abhilfemaßnahmen eingeleitet und dokumentiert.

☐ Der Verantwortliche hat verschiedene Arten und Formen von Schwachstellen wie Datenverschmutzung, physische Infrastruktur und Cyberangriffe berücksichtigt.

☐ Der Verantwortliche hat Maßnahmen oder Systeme eingeführt, um die Integrität und Widerstandsfähigkeit des Systems gegen mögliche Angriffe zu gewährleisten.

☐ Der Verantwortliche hat überprüft, wie sich das System in unerwarteten Situationen und Umgebungen verhält.

☐ Der Verantwortliche hat geprüft, inwieweit das System doppelt verwendbar sein könnte. In diesem Fall ergreift der Verantwortliche geeignete Präventivmaßnahmen dagegen.

☐ Der Verantwortliche hat sichergestellt, dass das System im Falle feindlicher Angriffe oder anderer unerwarteter Situationen über einen ausreichenden Fallback-Plan verfügt (z. B. technische Umschaltverfahren oder die Aufforderung an einen menschlichen Bediener, bevor fortgefahren wird).

Die an den zentralen Server gesendeten Daten werden über einen sicheren Kanal übertragen. Die Nutzung von Benachrichtigungsdiensten, die von Anbietern von Betriebssystemplattformen bereitgestellt werden, wird sorgfältig geprüft und führt nicht zur Offenlegung von Daten gegenüber Dritten.

☐ Das Personal und andere Personen, die an dem Projekt beteiligt sind, wurden über die Sicherheitsmaßnahmen informiert und aufgeklärt.

 

Quellenangaben

1https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/

2EDSA, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020

3JRC Technical Reports, Guidelines for public administrations on location privacy, unter: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110

4Die vorliegende Checkliste wurde auf der Grundlage dieser Dokumente erstellt: EDSA, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020; Hochrangige Expertengruppe für künstliche Intelligenz (2019), Ethik-Leitlinien für eine vertrauenswürdige KI Europäische Kommission, Brüssel. Verfügbar unter: https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai

 

Skip to content