Widerstehen Technische und organisatorische Maßnahmen (TOM) einem Trump-Musk-DOGE-Angriff?

In Deutschland spielen die Technische und organisatorische Maßnahmen (TOM) ja eine wichtige Rolle, wenn es um die Einstufung eines Systems als “sicher” für auf ihm gespeicherte und verarbeitete Daten geht. Kurz gesagt: Weil zum Schlüssel nur berechtigte Personen Zugang haben, die mittels Arbeitsvertrag und unter Strafandrohung einschlägiger Gesetze verpflichtet, niemandem den Schlüssel auszuhändigen, können auch sensibelste Daten, so sie denn mit diesem Schlüssel verschlüsselt sind, gespeichert werden. Beispiel: Das Robert Koch-Institut (RKI) wird über TOMs davon abgehalten, die von ihm verwaltete Zuordnung von Pseudonymen zu Versicherten eigenmächtig aufzuheben und Gesundheitsdaten aus dem Forschgsdatenzentrum Gesundeit (FDZ Gesundheit) im Darknet anzubieten.

Wdersteht ein solches System einem Trump-Musk-DODGE-Angriff? Was passiert, wenn in Deutschland ein Bundeskanzler eigenmächtig seinen besten Milliadärskumpel und dessen Handlanger in Marsch setzt, die unter Waffengewalt die Verantwortlichen bei RKI und FDZ Gesundheit dazu zwingen, die Gesundheitsdaten aller Versicherten zu entschlüsseln, die Pseudonyme realen Personen zuzuordnent und diese Daten auf einen Server auf Zypern zu kopieren?

Ich würde davon ausgehen, dass sich Daten gegen einen so umfangreichen Datenabgriff wie Ihn DOGE ihn durchführen konnte nicht gesichert werden können.

So wie ich es verstanden hatte, hatten sich die DOGE-Mitarbeiter sowohl vielfältige Administrationsrechte / organisatorisch nicht zulässige Rollen-Kombinationen an den Systemen gehabt, wie auch die Möglichkeit zum Einbringen und Ausführen von selbst geschriebenen Code.

Damit sollten sämtliche Organisatorische Maßnahmen aufgehoben, und die technischen Maßnahmen sich so manipulieren lassen, dass man die Daten unverschlüsselt ausleiten kann.

Das wäre auch meine Befürchtung.

Auch wenn DOGE hierzulande nicht vor der Tür steht, ist allein die Möglichkeit dieses Szenarios für mich Grund genug, von jedem Opt-Out Gebrauch zu machen, dass mir ermöglicht wird. Keine ePA, keine Daten für das FDZ Gesundheit (auch wenn gegen die Übertragung der GKV-Abrechungsdaten dorthin leider kein Widerspruch möglich ist), keine “Datenspende” gemäß dem Gesundheitsdatennutzungsgesetz (GDNG) und kein EHDS.

Für mich ist dieses Thema eine dauernde Ursache von Stress. Wenn sich die Verantwortlichen als Antwort auf Sicherheitsbedenken letztlich auf das Argument zurückziehen, dass Missbrauch von Gesundheitsdaten verboten ist, dann fühle ich mich nicht ernstgenommen. Da kann noch so oft von Transparenz, Wahlmöglichkeit und dem Einbinden der Patienten und Bürger gesprochen werden. Wenn nicht durch ausschließlich technische Maßnahmen ausgeschlossen ist, dass meine Daten in falsche Händer fallen, dann gebe ich meine Daten nicht heraus.

könntest Du erstmal definieren, was Du darunter verstehst?

Kannst Du alles vergessen, wenn einer mit einer Kanone vor Dir steht und fragt, Schlüssel oder Leben. Und vieles andere was hierzulande praktiziert wird verbessert m.E. die Lage nicht.

Das wird es nie geben. Und es ist auch völliger Nonsense. Diese Daten gibt es und sie werden gespeichert einzig und allein zu dem Zweck, dass sie von Menschen oder Maschinen verarbeitet werden können. Die Gefahr, dass der Mensch, der die Daten verarbeiten darf, oder die Maschine, die die Daten auslesen darf, missbraucht wird, besteht immer. Die „schöne“ Vorstellung, dass die Daten nur verarbeitet werden können, wenn Du sie mit Deinem privaten Schlüssel für andere zugänglich machst, entspringt der gleichen Attitüde wie das Verhalten von Trump und Musk: „Ich mache, was ich will, und ich denke nur an meine eigenen Interessen.“

Kein völliger Nonsense. Zugriff unbefugter lässt sich am besten mit technischen Maßnahmen ausschließen. Anders ist es mit dem Zugriff berechtigter, der aber auch missbräuchlich sein kann. Da müssen die technischen durch organisatorische Maßnahmen ergänzt werden.

Die Grenze zwischen t und o kann man durchaus diskutieren. Das Problem ist allerdings, dass fast niemand seine TOMs öffentlich macht und damit der Rechenschaftspflicht nach Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f i.V.m. Art. 32 DSGVO genügt. Zu verbergen haben v.a. diejenigen etwas, deren TOMs ungeeignet sind. Sehen kann man das aber in Auftragsverarbeitungsverträgen.

Dein „nie“ : hast Du etwas zu verbergen? Oder machst es Dir leicht mit dem Vermeiden von t?

(Achtung enthält Überzeichnung und Verkürzung )

Viele TOMs sind doch unter Druck das Papier nicht wert auf dem sie ausgedruckt sein könnten. Das ist Compliance-Theater als Beruhigungsmittel, Beschäftigungstherapie und Bereicherungsmöglichkeit.

Das Beispiel im eröffnenden Post: auch ohne TOMs war das illegal die Daten ins Darknet zu blasen. Dank der TOMs ist jetzt nur aufgeschrieben, dass sich jemand gaaaaaanz sicher drum kümmert. Und das wurde zertifiziert, geprüft, in Excel-Listen bestätigt und jemand hat noch einmal einen Stempel drauf gemacht.
TOMs können auch geändert werden.
Oder es gibt einfach eine Rechtsverordnung.
Oder eine (passend zum RKI) „Epidemische Lage von nationaler Tragweite“ mit Ausnahmen der Gewaltenteilung sowie Grundrechtseingriffen wird festgestellt. Der Artikel in der Wikipedia schildert das sehr nüchtern sachlich und juristisch.

Daher TOMs sind nett. Können abgeheftet oder an die Wand neben x andere Zertifikate gehängt werden.

Diese Aussage ist nachweisbar Unsinn. Das Gegenteil ist wahr. TOM‘en müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; Art. 32 Abs. 1 Halbsatz 1 DS-GVO. Genau diesen verhältnismäßigen Schutz gewährleisten die allermeisten TOM‘en. Wäre es nicht so, würden massenweise Datenpannen die Zeitungen und Gerichtsakten füllen – was nicht der Fall ist. Wenn Trump & Musk hier aufschlagen, bräuchten wir womöglich andere TOM‘en. Das mag sein. Aber noch sind die beiden nur ante portas.

Das es einen Unterschied zwischen Dokumentation und Umsetzung geben kann ist klar. Aber Technische und Organisatorische Maßnahmen (TOMs) sind etwas, was jeder, auch Einzelpersonen, zur Absicherung seiner Systeme, Anwendungen und Daten einsetzt. z. B.

Passwörter verwenden (technisch)
Passwörter nicht teilen (organisatorisch).

Technische und organisatorische Maßnahmen sind also normalerweise durchaus hilfreich.

Nur wenn man die Absicherungsmaßnahmen eines Systems politisch außer Kraft setzt, wie es bei DOGE passiert ist, dann helfen alle Gesetze, Technische und Organisatorische Maßnahmen nicht mehr weiter.

@vatolin Du bist ja im Forum häufig dabei zu erklären, warum individuelle Bedürfnisse an Datenschutz nicht zählen. So sprichst Du in Deinem Post von

Was soll das bedeuten? Vergleichst Du Ängste und daraus resultierenden Vorgehensweisen von Bürgern mit der Vorgehensweisen von autokratisch agierenden Politikern und Tech-Milliardären die Angst und Schrecken in Teilen der Bevölkerung verbreiten und unbeeindruckt Lügen in die Welt setzen, Informationen zu nicht genehmen Wissen vernichten um ihre persönliche Weltsicht durchzusetzen?

Wenn ich es richtig recherchiert habe dann bist / warst Du ja selbst als FDP-Politiker aktiv.

Wie würdest Du denn den Befürchtungen von Bürger argumentativ begegnen, dass auch unser Staat und seine Datenbestände in kürzester Zeit unter ganz anderen Gesichtspunkten genutzt oder vernichtet und gegen Teile unserer Gesellschaft genutzt werden?

Drum ist es am besten, wenn so viele Daten wie möglich erst gar nicht entstehen. Alle Daten, die gar nicht entstehen, können auch nicht mißbraucht werden. Drum halte ich das ganze elektronische Verwaltungszeug aka Digital Government oder wie immer das jetzt auf neudeutsch heißt, für sehr gefährlich und nutze es nicht. Ebenso, für jeden Schmarrn oder gar Amtssachen Apps einzusetzen.

Außerdem: Das ganze Zeug setzt üblicherweise Google/Alphabet Android oder Apple voraus. Das bedeutet, wenn ich so ein Gerät kaufe und in Betrieb nehme, muß ich zuerst mal die EULA und DSGVO-Erklärung akzeptieren und einen rechtsgültigen Vertrag mit einer US-Privatfirma abschließen, die US-Recht unterliegt, und dazu noch einen Account machen. Andernfalls kann ich mir das neue Handy als Schmuckstück ins Regal stellen.

Privatrechtliche (Nutzungs)Verträge sind zumindest theoretisch freiwillige Übereinkünfte, an die sich nachher beide Seiten zu halten haben. Nun können aber die Tech Giganten jederzeit einseitig die EULAs ändern wie sie wollen. Wenn ich nicht einverstanden bin, darf ich das OS des Handys theoretisch nicht mehr verwenden, andernfalls wird es als Einverständnis interpretiert.

OK, ich hab jetzt aufgrund meines freien Wilens keinen Vertrag mit Goo* & Co., und verwende diverse Handies mit GrapheneOS, LineageOS und SailfishOS. Auf ersterem Phone würden die Apps wahrscheinlich funktionieren, solange Goog* so nett ist und die Benutzung der Play Services gestattet/duldet. Bei LOS bin ich mir nicht so sicher, ob und wie lange das geht, und bei SFOS… naja, das ist schon fast Geschichte für mich. (war ne interessante Zeit!)

Also, bin ich jetzt eine Staatsbürgerin 2. Klasse? oder wie soll das auf die Dauer gehen? Falls irgendwas schief geht, dann wird man wohl zuerst und hartnäckig versuchen, die Schuld auf dem Bürger abzuwälzen, er hätte was falsch gemacht oder sein Handy schlecht gewartet, Zugangsdaten nicht sorgfältig genug behandelt, oder irgend sowas. Da hab ich kein gutes Gefühl dabei.

Oder in DE die Sache mit den Bahntickets. Was ich so lese, ist es ohne App nicht mehr so leicht, überhaupt noch Bahn zu fahren. Alles sehr bedenklich.

Die Frage, ob ein System einem solchen Szenario „widersteht“, ist eigentlich falsch gestellt. TOMs sollen kein allumfassendes Schutzschild gegen beliebige staatliche oder quasi-staatliche Gewaltakte sein, sondern ein angemessenes Schutzniveau gegen realistische und rechtlich relevante Risiken gewährleisten. Die DSGVO setzt einen funktionierenden Rechtsstaat voraus. Innerhalb dieses Rahmens wird bewertet, ob unbefugte Zugriffe nach dem Stand der Technik, dem Risiko und der organisatorischen Einbettung verhindert oder zumindest erheblich erschwert werden.

Wenn bewaffnete Akteure unter Bruch sämtlicher Gesetze Verantwortliche zwingen, Schlüssel herauszugeben oder Daten zu entschlüsseln, dann ist das kein Versagen der TOMs, sondern das Ende des rechtlichen Rahmens, in dem diese Maßnahmen überhaupt definiert wurden. In einem solchen Szenario helfen weder Verschlüsselung noch das Vier-Augen-Prinzip noch Strafandrohungen, genauso wenig wie sie Banküberfälle oder staatliche Putsche verhindern. Dann bewegt man sich nicht mehr im Bereich des Datenschutzes oder der IT-Sicherheit, sondern bei Gewaltkriminalität, Hochverrat oder der faktischen Aufhebung der Rechtsordnung.

Entsprechend lautet die Antwort: Ja, TOMs können es einem einzelnen Administrator, einer Behörde oder auch einem regulären staatlichen Akteur schwer machen, Daten eigenmächtig zu missbrauchen. Sie sind jedoch nicht dazu gedacht, ein System gegen einen gewaltsamen Machtmissbrauch auf höchster politischer Ebene abzusichern. Dafür gibt es andere Schutzmechanismen wie Gewaltenteilung, unabhängige Justiz, parlamentarische Kontrolle und letztlich gesellschaftlichen Widerstand. Wenn all diese Mechanismen versagen, ist die Frage nach der „Sicherheit“ von IT-Systemen sekundär.

Du argumentierst analog dem früheren Innenminister Friedrich Zimmermann, der auf Telefonkabel „abhören verboten“ draufschreiben wollte. Selbstverständlich erwarte ich von TOMs, dass sie auch „robust“ gegen ungesetzliche Akteure sind und der Verantwortliche nicht hinterher sagt, die haben das nicht gedurft.

Du widersprichst dir damit selbst:

Der Vergleich mit „Abhören verboten“ greift zu kurz, da TOMs nicht nur deklaratorische Verbote, sondern konkrete Hürden sind. Doch auch diese Hürden haben einen definierten Geltungsbereich. Das lässt sich mit einem Tresor in einer Bank vergleichen. Er ist massiv, zeitverzögert, alarmgesichert und so gebaut, dass weder ein einzelner Mitarbeiter noch ein normaler Einbrecher ihn unbemerkt öffnen kann. Er ist damit robust gegen unbefugte Personen sowie gegen kriminelle Akteure im realistischen Bedrohungsmodell. Trotzdem erwartet niemand ernsthaft, dass derselbe Tresor auch „robust” gegen ein Szenario ist, in dem bewaffnete Soldaten die Bank übernehmen, den Vorstand bedrohen und die Öffnung des Tresors erzwingen. Wenn dies geschieht, sagt auch niemand, der Tresor sei unsicher gewesen oder die Bank habe ihre Sicherungspflichten verletzt.

Genauso funktionieren TOMs. Sie müssen Missbrauch verhindern, erschweren und nachvollziehbar machen, insbesondere durch Insider, Einzelpersonen oder reguläre Organisationsprozesse. Sie müssen auch Rechtsbrüche berücksichtigen, aber nur insoweit, wie sie im Rahmen eines funktionierenden Rechts- und Gewaltmonopols realistisch adressierbar sind. Was sie nicht leisten können, ist Schutz gegen die gewaltsame Außerkraftsetzung der gesamten rechtlichen und organisatorischen Ordnung. In dem Moment ist nicht die Sicherheit der Maßnahme gescheitert, sondern die Annahme, unter der sie bewertet wurde.

Jain. Ich erwarte auf jeden Fall, dass TOMs auch ungesetzliche Akteure bremsen oder ganz aufhalten. Ich sehe durchaus auch Möglichkeiten, Akteure mit Kanonen auf- und abzuhalten, aber da wird meine Erwartungshaltung regelmäßig nicht erfüllt.

Wie kommst du denn darauf? Ich kaufe meine Fahrkarte bei Bedarf am Fahrkartenautomaten direkt am Bahnhof. Und wenn ich das möchte, sogar in bar. Aber selbst wenn ich mir eine Fahrt über bahn.de kaufe, brauche ich keine App. Ich kann den Fahrschein altmodisch ausdrucken oder lege die PNG-Datei mit dem Barcode aufs Handy. Dann reicht ein einfacher Bildbetrachter, um den Barcode zu öffnen.

Vermutlich bezieht sich @Seven.of.nine beispiels eise auf die letztjährige Diskussion, bei der Bahn die die Bahncard nur noch digital bereitstellen wollte.

https://taz.de/Aenderungen-bei-der-Deutschen-Bahn/!5975891/

Ich meine da ist die Bahn nach Kritik zurückgerudert, aber es hätte bedeutet, dass günstigeres Bahnfahren durch die Bahncard an ein Smartphone gekoppelt gewesen wäre.

Danke. Alles klar. Das hatte ich nicht auf dem Schirm. Ich persönlich habe keine Bahncard. Bei Fernfahrten, die ich längerfristig plane, schaue ich nach Sparpreisen, um günstig 1. Klasse fahren zu können. Und für das regionale Bahnfahren nutze ich das Deutschland Ticket. Und zwar als Chipkarte.

Durch die Diskussion zu Digilalzwang hier in diesem Forum und die Kritik an der DB-App bzw. den Quasi-Zwang dazu, wenn man weiterhin spezielle Bahn-Angebote nutzen will. Selbst lebe ich nicht in Deutschland, die aktuelle Situation vor Ort an der Bahnstation bei klirrender Kälte und Schneegestöber kenne ich tatsächlich nicht.