SIGINT10 - final10

SIGINT 2010
Konferenz für Netzbewohner, Hacker und Aktivisten

Referenten
Werner Hülsman
Programm
Tag Day 1 - 2010-05-22
Raum Konferenzraum (MP6)
Beginn 13:00
Dauer 00:45
Info
ID 3824
Veranstaltungstyp Vortrag
Track Aktivisten
Sprache der Veranstaltung deutsch
Feedback

Das Beispiel ELENA - Sichere Verschlüsselung ist möglich - aber ist sie auch politisch gewollt?

Wie mit der Verwendung von Einmalschlüsseln ein Datenzugriff ohne Beteiligung der Betroffen technisch verhindert werden kann

Beispiel ELENA: Die Daten von etwa Vierzigmillionen ArbeitnehmerInnen sollen alle in einem großen Pool der Zentralen Speicherstelle (ZSS) gesammelt und für bis zu fünf Jahre aufbewahrt werden. Solche Datensammlungen, für die es dann auch noch einen Zentralschlüssel gibt, wecken Begehrlichkeiten bei Staat, Wirtschaft und Kriminellen. Eins ist sicher: Sicher sind diese Daten nicht. Zwar wird suggeriert, dass ein Zugriff auf die ELENA-Daten ohne das Zutun des Betroffenen nicht möglich sei, dieser Schutz wird aber nur rechtlich und organisatorisch hergestellt. Technisch ist ein Zugriff auch ohne Einwilligung des Betroffenen möglich. Es stellt sich – nicht nur bei ELENA – die Frage, ob es wirklich politisch gewollt ist, dass ein Schutz derartiger Daten vor Zugriffen ohne Mitwirkung des Betroffenen auch technisch umgesetzt wird. Schließlich gibt es praktikable technische Verfahren, die unter Zuhilfenahme von Einmalschlüsseln sicher stellen können, dass die in den zentralen Servern gespeicherten Daten nur bei Mitwirkung des Betroffenen lesbar sind.

ELENA ist in zweierlei Hinsicht ein gutes Beispiel: Zum Einen ist es ein Beispiel dafür, wie die Politik versucht, mit technischen Mitteln ein rechtliches/organisatorisches sowie ein gesellschaftliches Problem zu lösen. Zum Anderen ist es ein gutes Beispiel, wie eine technische Sicherheit suggeriert wird, die tatsächlich so nicht vorhanden ist, sondern nur durch (veränderbare) rechtliche und organisatorische Vorgaben erreicht wird.

Zum ersten Aspekt:

ELENA soll den ArbeitgeberInnen Bürokratiekosten in Höhe von jährlich 85 Millionen Euro einsparen. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) Peter Schaar hat "große Zweifel, dass sich diese Ziele mit dem Verfahren wirklich realisieren lassen werden, denn es soll der Absicherung einer gewachsenen Struktur dienen, die für sich genommen nicht in Anspruch nehmen kann, rational zu sein. Wenn durch ELENA mehr als 100 unterschiedliche papierene Entgeltnachweise ersetzt werden sollen, die wiederum auf mehr als einem Dutzend unterschiedlichen Einkommensbegriffen basieren, hätte doch zunächst gründlich untersucht werden müssen, ob alle diese aufwändigen, teilweise nur im Detail voneinander abweichenden Papierformulare wirklich erforderlich sind." (Quelle: http://www.bfdi.bund.de/bfdi_forum/showthread.php?p=5674#post5674). Hätte der Gesetzgeber sich die Mühe gemacht, die vorhanden Antragsverfahren zu durchforsten und die für die verschiedenen Sozialleistungen erforderlichen Angaben auf die wirklich notwendigen Angaben reduziert, böte sich eine verblüffend einfache, dafür aber untechnische Lösung an. Weitergehend könnten nicht nur die ArbeitgeberInnen sondern auch die Sozialverwaltung sowie die BürgerInnen von Bürokratiekosten entlastet werden, indem sich der Gesetzgeber zu einem bedingungslosen Grundeinkommen für jedeN (bspw. Bürgergeld) durchringen könnte. Dann würden nur noch für sehr wenige Sozialleistungen (wie z.B. Elterngeld und Arbeitslosengeld I) eine Einkommensbescheinigung benötigt.

Zum zweiten Aspekt (der den Schwerpunkt des Vortrags bilden wird):

Zwar ist es derzeit rechtlich und organisatorisch vorgesehen, dass ein Zugriff auf die ELENA-Daten nur möglich ist, wenn AntragstellerIn, akkreditierte Abfragestelle, Zentrale Speicherstelle (ZSS) und "Registratur Fachverfahren" (RFV) zusammenarbeiten. Zwar ist es derzeit so, dass die ZSS alleine die Daten zu keiner Person zuordnen kann. Hierzu bedarf es tatsächlich der Zusammenarbeit mit der RFV deren Aufgabe es nach § 100 SGBIV ist "die Zertifikatsidentitätsnummer oder vorläufige Identitätsnummer des Teilnehmers beziehungsweise des gesetzlichen Vertreters mit der Versicherungs- oder Verfahrensnummer des Teilnehmers zu verbinden und zu speichern, die vorläufige Identitätsnummer und alle einem Teilnehmer zugeordneten Zertifikatsidentitätsnummern zu verbinden und zu speichern". D.h. allerdings auch, dass wenn es gesetzlich erlaubt wird (und leider wecken solche Datensammlungen ja immer Begehrlichkeiten), eine (Sicherheits)-Behörde nur die Versicherungs- oder Verfahrensnummer des Teilnehmers benötigt, um dann bei der RFV die dazugehörige vorläufige Identitätsnummer und alle einem Teilnehmer zugeordneten Zertifikatsnummern abzufragen (falls sie die Zertifikatsnummer nicht bereits auf anderem Weg erhalten hat). Mit diesen Daten kann die Behörde dann wiederum bei der ZSS die Daten zu der betreffenden Person abfragen, da der Gesetzgeber dann sicher auch dafür Sorge tragen würde, dass der Zugriff auf den passenden Schlüssel zulässig ist.

Wenn es wirklich gewollt ist, dass auf die Daten nur mit Zustimmung des Betroffenen abgefragt werden können, wäre ein Verfahren mit jeweils einem Einmalschlüssel für einen elektronischen Einkommensnachweis, bei dem dieser Einmalschlüssel mit dem öffentlichen Schlüssel des Betroffenen verschlüsselt wird, die sicherere Variante. Auch das Zwei-Institutionen-Prinzip könnte erhalten bleiben: Die mit dem jeweiligen Einmalschlüssel verschlüsselten Gehaltsnachweise könnten bei der einen Institution, die verschlüsselten Einmalschlüssel bei der anderen Institution gespeichert werden.

Im Vortrag wird neben dieser Anwendungsmöglichkeit für Einmalschlüssel auch die Nutzung von Einmalschlüsseln zur sicheren Datenübertragung bei der Abrechnung zwischen Leistungserbringern im Gesundheitsbereich und den staatlichen Beihilfestellen und privaten Krankenversicherten dargestellt. Darüberhinaus werden die Anforderungen an die Einmalschlüssel und wie diese technisch umgesetzt werden können dargestellt. Eine Erörterung der Chancen und Risiken der Einmalschlüssel rundet den Vortrag ab.