Embed Size (px)
Citation preview
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 1
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 1
Prof. Dr. Rainer W. GerlingDatenschutz- und IT-Sicherheitsbeauftragter
Max-Planck-Gesellschaft
Rechtliche Aspekte der Cloudnutzung
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 2
Was es so alles gibt
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 2
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 3
�Mitarbeiter neigen heute dazu, an der EDV vorbei,IT-Dienstleistungen out zu sourcen.
� Vorteile� keine langwierigen Genehmigungsverfahren� der Dienst ist aus der privaten Nutzung bekannt� Hochschulübergreifende Dienste sind leicht zu realisieren
�Nachteile– kein Vertrag zur Auftragsdatenverarbeitung– unkontrollierte und unbekannte Datenflüsse– Verletzung der arbeitsvertraglichen Schweigepflicht– Verletzung des Datengeheimnisses– Verletzung von Persönlichkeitsrechten– interne Sicherheitsvorgaben, Dienstvereinbarungen und
Nutzerordnungen werden umgangen– technische Sicherheitsmaßnahmen werden unterlaufen
Personal Outsourcing
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 4
FreeMailer
� E-Mail bei FreeMailer mit forward in der Hochschule� Die Mitarbeiter setzen in der Hochschule nur noch ein forward nach
GoogleMail/GMX/Web.de� Vacation-Nachricht von web.de bei E-Mail an Dienstadresse in der Hochschule
� Ist das akzeptabel?
�Hochschul-Daten bei Dritten (z.B. bei Google auch gleich im
Ausland)
� Keine Forwards ohne Genehmigung zulassen?� Realistisch?
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 3
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 5
�Hochschulen sind geschlossene Benutzergruppen
� Falls die Mitglieder einer Hochschule eine lebenslange E-Mail-
Adresse erhalten, fällt irgendwann das Privileg
(Telekommunikationsdienste für die Öffentlichkeit)� §8 TKÜV: Der Verpflichtete hat seine Überwachungseinrichtungen so zu
gestalten, dass die Überwachungskopie an einem Übergabepunkt
bereitgestellt wird, der den Vorschriften dieser Verordnung und den
Vorgaben der Technischen Richtlinie nach § 11 entspricht.
� §12 TKÜV: Der Verpflichtete hat sicherzustellen, dass er jederzeit
telefonisch über das Vorliegen einer Anordnung und die Dringlichkeit
ihrer Umsetzung benachrichtigt werden kann. Der Verpflichtete hat
sicherzustellen, dass er eine Anordnung innerhalb seiner üblichen
Geschäftszeiten jederzeit entgegennehmen kann. Außerhalb seiner
üblichen Geschäftszeiten muss er eine unverzügliche Entgegennahme der
Anordnung sicherstellen, spätestens jedoch nach sechs Stunden nach der
Benachrichtigung.
Geschlossene Benutzergruppe
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 6
Terminkalender
�Gruppen-Terminalkalender irgendwo� Alle Daten inklusive Besprechungsinhalte beim Dienstleister
� „Doodle: einfach abmachen“� Termine abstimmen
� Umfragen erstellen
� Aussage der User: Unverzichtbar
� Versuchen Sie mal über mehrere Hochschulen und zusätzlich mit
(örtlichen) Unternehmen einen Termin abzustimmen.
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 4
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 7
Doodle
� http://www.doodle.com/xb4k4xi2r936yfpq
� Transportmedium E-Mail
� Fortgeschrittene Möglichkeiten� Ja-Nein-Wennsseinmuss
� Versteckte Umfrage
� nur eine Option wählbar
� Anmeldeformular
� Schutz ist der „Random-String“ in der URL
� Schweizer Unternehmen
(außerhalb des EWR)
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 8
z.B. DFN Terminplaner
� https://terminplaner.dfn.de/foodle.php?id=ttpivxhmg0uymigc
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 5
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 9
Die rechtliche Beurteilung
UnternehmenUnternehmen
DienstleisterDienstleister
DatenverarbeitungIm Auftrag
DatenverarbeitungIm Auftrag
Übermittlung
privatprivat
UnternehmenUnternehmen
DienstleisterDienstleister
Unternehmen nimmt Dienstleister
in Anspruch
Mitarbeiter nimmt eigenmächtig
Dienstleister in Anspruch
Übermittlung
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 10
� Kostenlose Video- und Sprachtelefonie� Die gesamte Kommunikation ist verschlüsselt
� Die technischen Details sind aber nicht offen gelegt
� Das am besten gegen Analyse geschützte Programm der Welt
� Auch im „Ruhezustand“ fließen Daten
� Bohrt sich ein Loch in fast jede Firewall� Next Generation Firewalls können helfen
� Startet ohne Installation vom USB-Stick
� Dateiaustausch
� Vermeintliche „Lösung“ für:� Verbot Privatgespräche
� Keine Amtsberechtigung
� Keine Auslandsberechtigung
� In Hochschulen und Forschungseinrichtungen (verboten) unerwünscht
� Daheim durchaus ok!
� Mittlerweile im Besitz von Microsoft� Ist in Office 2013 integriert
skype
Qu
elle
: po
rtable
app
s.com
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 6
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 11
�Daten können im Sinne von „Netzwerklaufwerk“ beim Dienstleister
gespeichert werden� Gegen geringe Gebühr beliebig groß
� Kostenlose Angebote� Telekom Cloud (25 GB)
� Windows Live Skydrive (7 GB)
� Starto HiDrive free (5 GB)
� DropBox (2 GB) (Mit Space Race für Studenten mehr, RWTH: 10717 Teilnehmer)
� GMX (1 GB)
Datenspeicherung bei Dienstleistern
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 12
Cloud Verschlüsselung
� Verschlüsselte Speicherung ist leider kaum ein Thema
� Teamdrive als Software� Datenschutzzertifikat des ULD
� 2 GB kostenlos
� Eigener Server möglich
�DropBox verschlüsselt� BoxCryptor/EncFS
� Windows/Mac/Linux/iOS/Android
� Bis zu 2 GB Kostenlos
� Kommerzielle Lösungen� Z.B. Sophos Encryption für Cloud Storage
�Hochschulmodelle:� GWDG Cloud Share (Powerfolder)
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 7
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 13
Online-Officeprogramme
�Word, Excel und Co. als Applet im Browser
�Datenspeicherung ist zwar lokal auf der Festplatte möglich
aber
� Überall Zugang nur bei der Speicherung beim Dienstleister� Google Docs
� Microsoft Office 365
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 14
Microsoft Office 365
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 8
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 15
Lizenzrecht (UYOS*)
�Office 365 University:
Die Software darf auf jedem lizenzierten Computer oder lizenzierten
Gerät jeweils nur von einer Person genutzt werden. Der Dienst/die
Software darf nicht für kommerzielle, gemeinnützige oder
Einnahmen erwirtschaftende Aktivitäten verwendet werden.
� z.B.:
� Im privaten Bereich – unterstützt durch die Computer-Presse –
heißt es immer nur kostenlose Software oder Freeware
*Use Your Own Software
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 16
� Abgleich des Outlook Adressbuches mit Sozialen Netzen und Mail-
Anbietern� Sind da alle mit einverstanden
� Adressbücher bei vielen FreeMail Anbietern im Leistungsumfang
� Personenbezogene Daten Dritter� Häufig mit Geburtsdatum, Privaten Telfonnummern …
� Einige Anbieter nutzten anschließend alle Adressen aus dem
Abgleich(versuch)
�Mobile Dienste laden Telefonbuch zum Dienstanbieter hoch
Adressbuch
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 9
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 17
� Überträgt bei jedem Start der App alle Telefonnummern� aus dem lokalen Telefonbuch
�Wozu? � Welcher Kontakt nutzt bereits WhatsApp
0160-88012345
0161-123456780183-23456789…
0161-12345678
0160-880123450172-23456789…
0160-880123450161-123456780170-456789230171-67891234…
iPhone, BlackBerry, Nokia, Android, Windows Phone
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 18
� Sie haben eine Datei mit E-Mail-Adressen� Eine Log-Datei
� Ein Firmen-Telefonbuch
� Ein Forum
� ….
�Die E-Mail-Adressen manuell zu extrahieren, ist mühsam
� Skymem macht das automatisch, aber� Alle Dateien sind öffentlich!!!!!
� Ein Paradies für Spammer
�Hochschuldaten haben dort nichts verloren
Skymem.com
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 10
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 19
Rechnen
�Die Beantragung von Rechenzeit ist aufwendig
�Man braucht sofort schnelle Ergebnisse
� CPU-Zeit kaufen, mit der Kreditkarte bezahlen und zur Erstattung
einreichen
� Ausprobieren mit kostenloser Rechenzeit
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 20
� Citavi: Literaturverwaltung aus der Schweiz (Hochschullizenzen)� Speichert lokal; nur Windows
�Mendelev: Literaturverwaltung und Soziales Netz
� Endnote:� Speichert lokal und in der Cloud
� kommerziell
� Evernote: Notizen (Ideen) � Telekom eine Jahr kostenlos
� Speichert im Netz
�MS OneNote: Notizen� Speichert lokal und im Netz
Literatur und Notizen
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 11
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 21
�Microsoft garantiert keinen Verbleib von Daten in einer EU/EWR-
Cloud, das hatte schon Gordon Frazer im Juni klargestellt.
�Die Cloud-Anbieter Salesforce, IBM, Amazon und Google
reagierten nicht auf die Anfrage.
Heimatschutz vs. Die Wolke
Quelle: iX 1/2012
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 22
Gemeinsame Stellungnahme
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 12
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 23
Regelung
� Unberechtigten Nutzung externer IT-Dienstleistungen
� Eine eigenmächtige, ungeprüfte und damit unberechtigte Nutzung
externer Dienstleistungen durch Beschäftigte und sonstige in der
Forschungseinrichtung tätige Personen ist sowohl aus
datenschutzrechtlichen als auch aus IT-sicherheitstechnischen Gründen
abzulehnen und gefährdet die Forschungseinrichtung!
� Vollständiger Vorschlag für eine Regelung über den DFN-Verein
verfügbar
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 24
Das ultimative Outsourcen
11. Tagung der DFN-Nutzergruppe Hochschulverwaltung
"Mobiler Campus"
Mannheim, 7. Mai 2013
© 2013 Rainer W. Gerling. Alle Rechte vorbehalten. 13
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 25
Gegenmaßnahmen
� Bewusstsein bei den Beschäftigten schaffen� Mitarbeiter stellen Supportanfragen beim Helpdesk, da Mail-Forward nach
Google nicht funktioniert
�Was kann eine Universität dagegen halten?� Firewalls? Verbote?
� z.B. Forwards nur mit Genehmigung zulassen; technisch unterbinden
� Uni-RZ muss eine vergleichbare Dienstleistungsqualität zur Verfügung
stellen
Das geht nur gemeinsam.
M A X - P L A N C K - G E S E L L S C H A F T | Mobiler Campus, Mannheim, 2013 | SEITE 26
Vielen Dank für Ihre
Aufmerksamkeit !
www.mpg.de/1050554/datenschutz
