News, Recht & Justiz, Software, zAufi
Schreibe einen Kommentar

CrypTUD: Uni Dresden führt verschlüsselte E-Mails für alle ein

Hardeware-verschlüsselter Speicher-Stick, wie er an der TU zum Transport sensibler Daten verwendet wird. Foto (freigestellt): Heiko Weckbrodt

Hardeware-verschlüsselter Speicher-Stick, wie er an der TU zum Transport sensibler Daten verwendet wird. Foto (freigestellt): Heiko Weckbrodt

Uni-Angebote für mehr Datensicherheit werden bisher zu wenig genutzt – der TU-Datenschutzbeauftragter Matthias Herber im Interview

Im Zuge des Projekts „CrypTUD“ bekommen ab Anfang 2018 generell alle Studenten und Mitarbeiter der TU Dresden universitäre E-Mail-Adressen zugeteilt, die signierte und verschlüsselte Nachrichten zulassen. Diese E-Mails werden garantiert auf eigenen Uni-Servern verwaltet statt im Ausland. Das hat der TU-Datenschutzbeauftragte Matthias Herber im Interview angekündigt. „CrypTUD“ soll die Datensicherheit im universitären Alltag erhöhen und die Akzeptanz für Verschlüsselungslösungen erhöhen. Nicht zuletzt ziehen Datenschützer Matthias Herber und der IT-Sicherheitsbeauftragte Jens Syckor von der TU-Stabsstelle für Informationssicherheit damit auch Konsequenzen aus der NSA-Schnüffelaffäre und den jüngsten Entscheidungen des Europäischen Gerichtshofes, laut denen Internetdienste, die über US-Server abgewickelt werden, nicht als „sicherer Hafen“ für Daten aus Europa zu betrachten sind.

Guten Tag Herr Herber.

Matthias Herber: Ja, guten Tag. (Guckt kritisch auf die überreichte Vistenkarte) Bevor wir aber loslegen: Sie sollten sich mal eine andere E-Mail-Adresse zulegen. Ich habe mir stark überlegt, ob ich überhaupt auf Ihre E-Mail, die von einem Googlemail-Konto kam, antworte. Spätestens seit Snowden* wissen wir doch alle, was mit E-Mails passiert, die über US-amerikanische Anbieter versandt werden.

Ich weiß, der Europäische Gerichtshof hat es uns ja nun allen erklärt: Die USA sind kein sicherer Hafen für Daten aus Europa, weil niemand hier weiß, welcher Geheimdienst auf den Servern von Google, Facebook oder Apple seine Nase reinsteckt… Dürfen die Studenten und Professoren an der TU Dresden jetzt nichts mehr auf Facebook posten?

Matthias Herber: Unsere Empfehlung ist, für den dienstlichen Gebrauch davon abzusehen, Dropbox, Facebook, Googlemail, Skype und so weiter einzusetzen. Die Uni-Leitung hat sich dafür entschieden, zum Beispiel Facebook dennoch zu nutzen. Das wollen wir nicht weiter kritisieren, aber glücklich sind wir damit nicht.

Wieso?

Matthias Herber: Google und Facebook sind die Totalkatastrophen für den Datenschutz, größere Datensammler gibt es nicht. Und viele Nutzer liefern denen ihre Daten auch noch freiwillig aus. Das mag man einem 17-Jährigen vielleicht noch nachsehen. Aber Studenten, Professoren und Uni-Mitarbeiter sollten sich schon mal Gedanken darüber machen, welches Geschäftsmodell dahinter steht. Dienste wie Googlemail oder Dropbox erscheinen erst mal kostenlos. Aber das Modell dahinter ist doch: Unser Dienst gegen deine Daten.

Was fließt denn da so über den großen Teich gen USA ab?

Matthias Herber: Wir untersuchen das gerade exemplarisch für Windows 10, das Microsoft ja auch „kostenlos“ verteilt hat. Dabei wollen wir herausbekommen, welche Informationen bei diesem Betriebssystem so hin- und hergeschickt werden. Auf jeden Fall Telemetrie-Daten, soviel wissen wir schon. So entstehen Nutzerprofile…

Hmm, sollen wir jetzt auf alles verzichten, was uns so ans Herz gewachsen ist? Kostenlose E-Mail-Adressen, Gratis-Cloud-Speicher bei Dropbox, Facebook-Diskussionen…?

Matthias Herber: Ich verstehe Ihre Perspektive sehr wohl. Der Normalnutzer will, dass sein Computer funktioniert, hat aber nicht unbedingt Lust, dafür erst ewig in der Schattenwelt der IT-Sicherheit umherzuirren. Aber gerade deshalb haben wir hier an der TU einige kostenlose Angebote aufgebaut, die wirklich einfach zu bedienen sind und die Datensicherheit und den Datenschutz schon deutlich erhöhen.

Zum Beispiel?

Matthias Herber: Unser universitäres Zentrum für Informationsdienste und Hochleistungsrechnen, das ZIH, bietet beispielsweise mit „Cloudstore“ einen kostenlosen Online-Speicher an, bei dem die Nutzerdaten garantiert nicht den TU-Campus verlassen und eben keinesfalls auf Cloud-Servern irgendwo in den USA abgelegt werden. Und wer trotzdem unbedingt Dropbox, Microsofts OneDrive oder andere ausländische Cloud-Dienste nutzen will: Dafür empfehlen wir das Programm „BoxCryptor“. Das installiert man auf dem Notebook und kann dann damit sicher verschlüsselte Laufwerke in der Dropbox anlegen, in die kein Unbefugter hineinsehen kann. Diese Software ist ganz einfach zu bedienen, für den Privatgebrauch kostenlos und für die Uni-Mitarbeiter haben wir eine Gruppenlizenz erworben.

Ebenfalls gratis können Studenten und Uni-Mitarbeiter richtig gute Virenscanner und Firewalls von der Uni bekommen, mit denen sie ihre privaten Notebooks auch verschlüsseln können. Denn machen wir uns nichts vor: Auch auf dem Campus kann es mal passieren, dass Notebooks geklaut werden. Für sichere physische Datentransporte können Uni-Mitarbeiter bei den Sekretärinnen verschlüsselte Speichersticks bestellen. Die kosten zwar etwas mehr als normale USB-Sticks, sind aber dafür hardeware-verschlüsselt. Auch bietet die Uni Programme für sicheres Surfen, E-Mail-Adressen mit Signatur und Verschlüsselung und vieles mehr für mehr für die Datensicherheit an. Das meiste davon ist kostenlos für Studierende und Mitarbeiter und muss nur genutzt werden.

Und, wird das genutzt?

Matthias Herber: Wir schätzen, dass etwa 80 Prozent der Verwaltungs-Mitarbeiter diese Werkzeuge einsetzen, zirka 20 Prozent der Wissenschaftler und nahezu 0 Prozent der Studierenden.

Woran hakt es denn?

Matthias Herber: Nehmen wir zum Beispiel die kostenlosen E-Mail-Adressen der TU mit Signatur und Verschlüsselungs-Option. Das kann auch heute schon jeder am Service-Desk kostenlos bestellen. Aber noch viel zu wenige tun das. Das Angebot muss offensichtlich einfacher zugänglich sein. Deshalb bereiten wir derzeit das Pilotprojekt „CrypTUD“ vor. Im Kern sieht es vor, dass künftig jeder Studierende, jeder Wissenschaftler und jeder andere Mitarbeiter solch eine E-Mail-Adresse mit Signatur und Verschlüsselungs-Option automatisch bekommt. Da wir hier über 36.000 Studierende und rund 7000 Beschäftigte reden, wird das nicht über Nacht realisiert sein. Ich denke, dass dieser Service Anfang 2018 starten kann.

Wenn wir mal all diese technischen Gimmicks für einen Moment beiseite schieben: Gern zitiert wird ja eine uralte Administratoren-Weisheit, dass die größte Schwachstelle von Datensicherheit und Datenschutz der Mensch selber sei…

Matthias Herber: Das ist zweifellos richtig. Entscheidend ist immer die Person, die vor dem Rechner sitzt. Die auch bedenken sollte, dass er oder sie mit jeder Unbedachtheit nicht nur eigene Daten preisgibt, sondern diese Entscheidung für seine Kommunikationspartner gleich mit trifft. Als Datenschützer sind wir aber keine Polizei, die den Leuten ständig über die Schulter schaut und sie kontrolliert – wir können nur an den Nutzer appellieren, an elementare Sicherheitsregeln zu denken.

Woran denken sie da?

Matthias Herber: Es müssen ja noch nicht einmal unbedingt Daten in digitaler Form sein. Das fängt schon mit Papierakten an. Dass man zum Beispiel keine Unterlagen mit sensiblen personenbezogenen Daten auf dem Schreibtisch liegen lässt, das Büro abends abschließt und so weiter. Natürlich sind wir alle keine Maschinen. Aber das ist wie im Straßenverkehr: Da mag der eine oder andere auch mal etwas zu schnell fahren. Doch wenn sich jeder wenigstens Mühe gibt, die Straßenverkehrsordnung einzuhalten, dann passieren nicht so viele Unfälle.

* Der Whistleblower Edward Snowden enthüllt im Sommer 2013 die Schnüffelpraktiken des US-Geheimdienstes NSA

 Das Interview führte Heiko Weckbrodt für das Dresdner Universitätsjournal. Dort ist die ausführliche Fassung ab heute nachzulesen.

Hinweis: Um mit „gutem Beispiel“ beim Datenschutz voranzugehen, wollte Matthias Herber für das Interview nicht fotografiert werden.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.