Kommentar

Daten sind die neue Währung des Internets

| Autor / Redakteur: Max Grathwohl* / Ira Zahorsky

Die sichere Verschlüsselung und Aufbewahrung sensibler Daten ist besonders im Healthcare-Bereich wichtig.
Die sichere Verschlüsselung und Aufbewahrung sensibler Daten ist besonders im Healthcare-Bereich wichtig. (Bild: momius/stock.adobe.com)

Immer mehr Anbieter digitaler Anwendungen, allen voran Messenger Dienste, legen ein erhöhtes Augenmerk auf die Verschlüsselung ihrer Nachrichten, der Anonymisierung der erhobenen Nutzerdaten und Sicherheit der Konten. Während Branche-Riesen wie Whatsapp erst nach und nach eine Ende-zu-Ende Verschlüsselung und Zwei-Faktor-Authentifizierung implementiert haben, warben kleinere Start-ups wie Telegram oder Signal schon früher mit Sicherheits-Features um die Gunst der Nutzer.

Seit Snowden den NSA-Skandal enthüllte und die Welt schockierte, setzen sich mehr und mehr Menschen mit dem Schutz ihrer Privatsphäre und ihrer Daten auseinander. Dabei zeigen immer wieder aufkommende Skandale, dass es in diesem Bereich noch viel zu tun gibt. Viele Menschen geben zu viel von sich auf sozialen Netzwerken preis, ohne sich bewusst zu sein, wie ihre Daten zur neuen Währung des Internets werden.

Zweifelhafte Anonymisierung

Der Vorzug, solche Dienste kostenlos nutzen zu können, scheint vielen wichtiger zu sein als ihre Privatsphäre. Die erhobenen Daten werden zwar anonymisiert, das heißt es soll nicht mehr oder nur mit unverhältnismäßig großem Aufwand möglich sein, sie auf einzelne Personen zurückzuführen. Dass dies jedoch oft schlampig ausgeführt wird, hat beispielsweise eine Recherche des NDR bereits 2016 gezeigt, indem ein anonymisiertes Datenpaket erworben und ausgewertet wurde. Die Ergebnisse, unter anderem Sado-Maso-Vorlieben eines Richters, oder Informationen zu laufenden Polizei-Ermittlungen, sollten schockieren und zeigen: Anonymität und Sicherheit sind im Netz noch nicht so weit, wie manche es gerne glauben würden.

EU-Datenschutzverordnung

Während den meisten egal ist, dass ihre auf Facebook oder Google erhobenen Daten zu Werbezwecken weiterverkauft werden, wird die Sache im Bezug auf besonders schützenswerte Daten wichtiger. Denn wer will schon Werbung für Arzneimittel gegen Geschlechtskrankheiten auf seiner Facebook-Seite sehen.

Besonders im Gesundheitssystem ist das Spiel mit der Sicherheit der Daten ein Spiel mit dem Feuer. Hier muss es –zwangsweise kostenpflichtige – Angebote geben, die den Weiterverkauf, auch von anonymisierten, Daten ausschließen. Man zahlt für das Recht, seine Daten möglichst nah bei sich behalten zu dürfen.

Ein wichtiger Schritt wird die 2018 greifende neue EU-Datenschutzverordnung sein, die den Austausch und Handel von Daten reguliert. Vorreiter dazu sind ebenfalls zu finden, so wurde im Juli 2015 das IT-Sicherheitsgesetz verabschiedet, Januar 2016 das eHealth-Gesetz.

Sichere digitale Kommunikation in Behörden

Außerdem machen sich einige kleinere Unternehmen daran, die digitale Kommunikation in öffentliche Behörden voran zu treiben. Gerade in Deutschland etabliert sich dafür ein Markt, denn Whatsapp & Co. halten sich oft nicht an EU-Recht und die strengeren deutschen Datenschutzrichtlinien. Diese neuen Messenger-Dienste, wie beispielsweise Stashcat oder Trustner, richten sich meist ausdrücklich an Firmen und Behörden und sind kostenpflichtig. Bezahlt wird für die Speicherung der Nutzerdaten und die Sicherheit, dass diese nicht weiter verkauft werden. Doch auch die Struktur dieser Dienste ist anders aufgebaut als bei ihren Konkurrenten.

Dies beginnt bei der, inzwischen zum Standard für beinahe alle Kommunikationsmedien gewordenen, Ende-zu-Ende- und der Transport-Verschlüsselung. Bei dieser werden die zu sendenden Dateien während des Transports – daher der Name – verschlüsselt, um schließlich auf den entsprechenden Servern unverschlüsselt gespeichert zu werden. Die Ende-zu-Ende-Verschlüsselung generiert ein Schlüsselpaar, einen "Public Key" und einen "Private Key".

Der "Private Key" verlässt nie das Endgerät, auf dem er generiert wurde und dient dazu, erhaltene Nachrichten zu entschlüsseln. Diese Nachrichten wurden davor mit dem zugehörigen "Public Key" verschlüsselt, der jedem öffentlich zugänglich ist, der eine Nachricht an eben erwähntes Endgerät senden möchte. Das hat den Vorteil, dass der Server, über den Nachrichten ausgetauscht werden, diese selbst nicht lesen kann. Er fungiert schlicht als Übermittler.

Risiko "man-in-the-middle attack"

Diese zwei Verfahren erhöhen die Sicherheit ungemein, doch sind auch sie anfällig für Attacken, speziell für die "man-in-the-middle attack". Hierbei täuscht ein Angreifer die Identität des eigentlichen Nachrichten-Empfängers vor. Gelingt diese Täuschung, wird die Nachricht mit dem "Public Key" des Angreifers verschlüsselt, dieser kann sie mit seinem "Private Key" entschlüsseln und auf den Inhalt zugreifen. Danach verschlüsselt der Angreifer sie wiederum mit dem "Public Key" des eigentlichen Empfängers und schickt sie weiter. Bis Sender und Empfänger merken, dass sie belauscht wurden, sind die wichtigsten Geheimnisse bereits geklaut. Für Firmen eine Albtraumvorstellung, aber auch für Patienten. Aufkommende Kommunikations-Dienstleister versuchen dies durch einen ausgeklügelten Authentifizierungsvorgang zu verhindern.

Zwei-Faktor-Authentifizierung

Dies nennt man Zwei-Faktor-Authentifizierung, kurz 2FA. Während es auch Multi-Faktor-Authentifizierung gibt, ist die 2FA die gebräuchlichste. Dabei werden zwei, voneinander unabhängige Faktoren verlangt, um die Identität des Nutzers festzustellen. Faktoren werden aufgeteilt in Wissen (zum Beispiel Passwort), Besitz (zum Beispiel Hardware) und biometrische Merkmale (zum Beispiel Fingerabdruck).

Will man beispielsweise ein Programm, das 2FA unterstützt, auf einem neuen Endgerät installieren, wäre der erste Faktor die Anmeldung in dem Programm, durch Benutzername und Passwort. Beim ersten Anmeldeversuch wird eine PIN generiert und per E-Mail an die mit dem Profil verknüpfte E-Mail-Adresse gesendet. Erst mit dieser PIN, dem zweiten Faktor, ist es möglich, sich vollends im Programm anzumelden.

Da viele Anwendungen, gerade E-Mail-Programme und Messenger, der Einfachheit halber auf Mobilgeräten immer geöffnet sind, ohne dass sie ein Passwort abfragen, öffnen sich auch bei dieser 2FA einige Missbrauchsmöglichkeiten. Für besonders schützenswerte Inhalte, wie Patientendaten, muss daher ein weiterer Schritt gegangen werden.

Healthcare-Praxisbeispiel

Als Beispiel betrachten wir uns die Sprechzimmer-App des in Tübingen entwickelten Trustner Messengers. Sie ermöglicht einen sicheren Austausch von Daten zwischen Arzt, Patient und Angehörigen. Auf Anfrage eines Arztes wird bei Trustner intern einmalig ein Aktivierungs-Code generiert, der per Post an das zuständige Krankenhaus oder die Praxis geschickt wird. Somit werden missbrauchsanfällige Endgeräte umgangen.

Mit der Eingabe des persönlichen Codes wird die App freigeschaltet. Der Patient wiederum muss mindestens einmal persönlich den Arzt aufgesucht und dabei eine Einwilligungserklärung unterschrieben haben, bevor der Arzt ihn in das virtuelle Sprechzimmer einladen kann. Dieses erste Treffen bildet einen weiteren Faktor, der sehr schwer zu manipulieren ist. Nach der Einladung des Patienten gehen sämtliche Administratorrechte über das Sprechzimmer, sprich den Chatraum, vom Arzt an den Patienten über. So wird eine Hoheit des Patienten über seine eigenen Daten und die Kommunikation der beteiligten Kontakte gewährleistet. Tritt er aus, werden alle Inhalte unwiederbringlich gelöscht.

Es gibt einen weiteren Schwachpunkt in vielen Messenger-Systemen, der wohl unserer Bequemlichkeit geschuldet ist. Die Frage nach dem Speicherort. Werden Daten auf den Endgeräten gespeichert, werden sie immer anfällig für Nutzer-verschuldete Manipulation oder Diebstahl sein. Werden sie hingegen auf Servern gespeichert, sind sie wesentlich besser geschützt, doch müssen alle Inhalte bei jedem Öffnen neu herunter geladen werden. Hierfür wäre es wichtig, die Menschen dafür zu sensibilisieren und ein Bewusstsein zu schaffen, dass erhöhte Sicherheit mit eingeschränktem Komfort daher kommt. Denn anders geht es, zumindest heutzutage, noch nicht.

* Der Autor Max Grathwohl ist Werkstudent bei der Trustner Gmbh in Tübingen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44765196 / Daten)