Datensicherheit und Datenschutz

Aufgrund der aktuellen Enthüllungen (Snowden) scheint es angemessen, das Thema Datenschutz/Datensicherheit anzugehen. Ziel ist, für verschiedene Gruppen Hilfestellung bei typischen Problemen zu geben.

• Fachschaften
  • Was ist bei eigenen Services zu beachten
• Studis mit Ahnung
  • HowTo
• Studis ohne Plan
  • Warum sollte ich meine Daten (oder die Daten anderer) schützen?

Erhoffte Ergebnisse der Teilnehmer

• Wie anonym im Internet bewegen?
  • TOR
    • Onion-Routing zur Verschleierung des Ursprungs
    • Problem: Zweifelhaft ob Nicht-Verfolgbarkeit noch gewährleistet ist, Tatsache der Verbindung ist feststellbar, Traffic am Exit-Node ist überwachbar
    • Nutzung: natürlich auch gerne/viel für illegale Inhalte
• Wie umgehen mit Servern, die nicht verschlüsslt weitervermitteln?
• Was beachten beim Betrieb eigener Dienste?

• Protokoll 91. BuFaTa in Mannheim 2022
• Protokoll 74. BuFaTa in Dortmund 2014
• Protokollvorlage

Prioritätenliste:

1. Rechtslage von crypto in ländern, Verpflichtungen der Fachschaften bzgl Datenschutz:\\Handbuch/ Checkliste erstellen.
2. Sammlung existierender Anleitungen für Fachschaftsbezogene Anwendungen

Themen die in den Howtos angeschnitten werden sollten.

• auswahlkriterien für Software und dienstleister
• Verschlüsselte eMails
  • GPG
  • S/MIME
• Zertifikate
  • cacert
  • Zerftifikatsverwaltung ( programme die eigene mitbringen)
• Festplatten verschlüsselung (einzelne Daten, Komplett)
  • Windows, Mac, Linux: http://www.truecrypt.org/downloads
• Instant Messenger ( siehe sammlung von anleitungen)
  • Textsecure / whisper https://whispersystems.org/
• Best Practices
  • crypto 101 für eigene datenkritische Anwendungen
  • Prism Break
  • Guardian Project Handbuch
  • Zertifikats HOWTO
• Smartphone Absicherung

• Best Practises für Dienstanbieter
  • Usability = Security ^-1
• Rechtliche Anforderungen beim Betrieb von Diensten/Netzen
• Daten Vernichten
• Festplatten/USB Sticks physikalisch zerstoeren https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html;jsessionid=1771774419BCFBAB660F01D6E4CB2595.2_cid369 (Vorsicht, Link fuehrt zum BSI)
  • Wenn das Speichermedium weitergegeben wird sollten die Daten geloescht und ueberschrieben werden
• Daten trennen, zB Name und Matrikelnummer und Passwort getrennt voneinander speichern.
• Daten, die im Besitz der Fachschaften sein können:
  • Hohe Prioritaet, niedrige Benutzungsfrequenz:
    • Kontodaten, Vetraege von Angestellten
  • Hohe Prioritaet, hohe Nutzungsfrequenz:
    • Name, Adressen, EMailadressen
  • Niedrige Prioritaet:
    • Altklausuren, Uebungsblaetter

Fazit : So wenig wie moeglich Daten erheben und speichern!!

• IT-Infrastruktur in Semesterbericht aufnehmen?

In D ist der Datenschutz teilweise durch Gesetze geregelt. Dazu gibt es eine/n bundesweite/n Datenschutzbeauftragte/n. Das Datenschutzgesetz kann unter http://www.bfdi.bund.de/ eingesehen werden. Zudem gibt es länderweite Datenschutzbeauftragte und -dienste, zum Beispiel das ZENDAS für Baden-Württemberg. Jede Hochschule hat eine/n Datenschutzbeauftragten, an den/die man sich im Zweifelsfall oder bei datenschutzrechtlichen Problemen wenden kann.

ToDo

• Zugangsbeschränkung: die Daten sollen nur von Personen eingesehen werden können, für die es unbedingt notwendig ist. Somit ist der Zugriff auf die Daten auf einen Personenkreis beschränkt.
• Datentrennung: Name und Matrikelnummer müssen getrennt gespeichert werden. Zur Erhebung muss jede Person einen eigenen Bogen erhalten. Das bedeutet: keine Listen mit Namen und Matrikelnummer!
• Je schützenswerter die Daten sind, umso höher sollte der Aufwand zum Schutz dieser sein.
  • ToDo: Beispiele einfügen
• Die Daten dürfen ohne explizite Einwilligung nicht an Dritte weitergegeben werden. Zuwiderhandlung ist strafbar.
• Daten sollten so früh wie möglich vernichtet werden, d.h. nachdem der Zweck, zu welchem sie erhoben wurden, erfüllt ist.
• Pseudonymisierung: ToDo

ToDo

• Studierende sollen nicht dazu gezwungen werden, sich in einem sozialen Netzwerk anzumelden, um Informationen über Fachschaftsarbeit, Termine, Altklausuren o.ä. zu erhalten.
• Dazu sollte die eigene Fachschafts-/Iniseite verwendet und auch promoted werden.

• Einspruchsrecht:
• Einsichtsrecht: was wird warum wofür gespeichert?
• Widerrufsrecht:

Der AK ist nicht fertig / sollte auf weiteren Tagungen besprochen werden