Gastbeiträge Medien

Die Verwendung von Fingerabdrucksensoren als auch Gesichtserkennung in Smartphones zur Authentifizierung hat sich seit einigen Jahren etabliert. Fingerabdruck und Gesichtserkennung werden als biometrische Daten oder Merkmale eines Menschen bezeichnet. Doch wie funktioniert die Verarbeitung eines Fingerabdrucks beziehungsweise einer Gesichtserkennung aus technischer Sicht? Wo und wie werden die Daten des Abdrucks gespeichert? Welche Sicherheitsmassnahmen werden von den Herstellern vor allem gegen Missbrauch getroffen?

Grundsätzlich gibt es verschiedene Methoden, einen Fingerabdruck zu erfassen. Weit verbreitete Technologien sind kapazitive Sensoren, die mittels elektrischer Ladung ein digitales Muster des Fingerabdrucks (Hautreliefs) aufnehmen, als auch optische Sensoren, die mittels lichtempfindlicher Bauelemente den Abdruck verarbeiten. Die kapazitiven Sensoren konnten sich nicht zuletzt aufgrund verbesserter Sicherheitsmerkmale durchsetzen. Insbesondere optische Sensoren sind in der Regel einfacher zu täuschen, zum Beispiel mittels hochauflösender Fotos. 

Bei neueren Smartphones kommen vermehrt Sensoren, die mit Ultraschall arbeiten, zum Einsatz. Mit dieser Methode haben die Hersteller mehr gestalterische Freiheiten hinsichtlich der Platzierung des Sensors. So können Sensoren beispielsweise unterhalb des Displays angebracht werden, so dass der Fingerabdruck direkt auf dem Display gescannt werden kann. Als weitere Vorteile gegenüber dem kapazitiven und optischen Verfahren gibt es hier die Möglichkeit der Erstellung eines dreidimensionalen Fingerabdrucks sowie die Erfassung einer grösseren Fläche des Fingers. Diese beiden Möglichkeiten können weiter zur Erhöhung der Sicherheit beitragen.

Ebenso wie bei einem Fingerabdruck gibt es verschiedene technische Ausprägungen von Gesichtserkennungsmethoden. Zu Beginn der Entwicklung basierte die Erfassung beziehungsweise Erkennung mehrheitlich auf einfachen zweidimensionalen Abbildungen des Gesichts mittels Referenzpunkten. Heutige Verfahren setzen in der Regel auf die Erstellung von 3D-Tiefenkarten des Gesichts, die in der Regel mit Infrarotpunkten erzeugt werden. In naher Zukunft werden zusätzlich Hauterkennungstechnologien mit den bestehenden Methoden kombiniert und somit die Sicherheit weiter erhöht.

Von den Geräteherstellern werden verschiedene technische Massnahmen ergriffen, damit unberechtigten Dritten der Zugriff auf das Authentifizierungsmerkmal (Fingerabdruck oder Gesichtsmerkmale) nicht gelingen kann. Eine zentrale Sicherheitsmassnahme ist die Speicherung von biometrischen Merkmalen direkt auf dem Gerät innerhalb eines verschlüsselten Speicherbereichs des Chips (CPU), der sogenannten «Trusted Execution Environment (TEE)». Dabei wird auch nicht ein Bild des Fingerabdrucks bzw. Gesichts gespeichert, sondern lediglich eine mathematische Darstellung. Bei einem Authentifizierungsvorgang werden nun die Fingerabdruckdaten mit der Eingabe des Authentifizierungsmerkmals verglichen. Dabei gibt die TEE die gespeicherten Daten nicht bekannt, sondern teilt der Applikation mit einem ″ja″ oder ″nein″ lediglich mit, ob der verwendete Fingerabdruck mit den gespeicherten Fingerabdruckdaten übereinstimmt.

Des Weiteren können die Daten aus dem geschützten Speicherbereich des Gerätes nicht kopiert und ausserhalb der TEE gespeichert werden. Selbst wenn eine dritte Person unberechtigten Zugriff auf die Daten erhalten sollte, könnte diese Person keine Rückschlüsse auf den tatsächlichen Fingerabdruck ziehen bzw. diesen berechnen. Zusätzlich zu biometrischen Merkmalen müssen Passwörter bzw. eine PIN während des Aktivierungsprozesses des Fingerabdrucks definiert werden. Die Eingabe der PIN wird bei verschiedenen Situationen verlangt. So z.B. nach einem Neustart des Gerätes oder bei der Registrierung oder Löschung von Fingerabrücken oder auch Gesichtserkennungsdaten.

Trotz verschiedenster Sicherheitsmassnahmen empfiehlt es sich, insbesondere bei der Speicherung von sensiblen Daten auf dem Gerät, zusätzlich zu biometrischen Merkmalen ein sicheres Kennwort zu verwenden. Im Zweifelsfall sollte auf die Authentifizierung mittels biometrischer Merkmale gänzlich verzichtet werden. Stattdessen kann ein sicheres Kennwort gewählt werden.  

(Text erstmals publiziert am 11. März 2021 im Liechtensteinischen Volksblatt)

Vielen Personen ist der Begriff Darknet wahrscheinlich aus den Medien, vor allem im Zusammenhang mit kriminellen Machenschaften, bekannt. Wir wollen an dieser Stelle sachlich und wertneutral die technischen Hintergründe und Funktionsweisen des Darknets näher beleuchten.  

Für das bessere Verständnis ist es hilfreich zu wissen, dass das gesamte Internet in drei wesentliche Komponenten aufgeteilt werden kann. Der Grossteil des Internets bildet das sogenannte Deep Web, welches den mit Abstand grössten Teil des gesamten World Wide Web ausmacht. Dieser Bereich ist nicht indexiert und somit nicht von den gängigen Suchmaschinen auffindbar. Als Beispiele können Intranets oder zugangsgeschützte Datenbanken von Unternehmen, Behörden oder Universitäten angeführt werden. Das Darknet ist wiederum ein kleines Teilstück des Deep Webs, welches über spezielle Software zugänglich ist. Es ist anzumerken, dass es nicht das «eine» Darknet gibt, sondern verschiedene Ausprägungen davon. Der Zugang zum heute bekanntesten Darknet erfolgt mittels des Anonymisierungsnetzwerks Tor (The Onion Router).

Doch wie funktioniert das Tor-Netzwerk? Wie der Begriff «Zwiebel» im Namen The Onion Router vermuten lässt, verbirgt sich ein mehrschichtiger und verschlüsselter Prozess hinter dem Aufruf einer Webseite. Mehrschichtig deshalb, da im Gegensatz zum gewöhnlichen Surfen, sich der Computer (Client) nicht direkt mit dem Server, auf dem die Webseite liegt, verbindet. Ein Zugriff ist nur mit einer zusätzlichen Software möglich. In den meisten Fällen erfolgt die Verbindung über einen speziellen Browser. In der ersten Phase lädt sich der Client eine Liste aller verfügbaren Knoten (Nodes) herunter. Danach wird eine zufällige Route über verschiedene Nodes ausgewählt und die erste verschlüsselte Verbindung zum ersten Node (Entry Node) hergestellt. Anschliessend wird die Anfrage über die definierte Route zum nächsten Node wiederum verschlüsselt weitergereicht. Jeder Node kennt somit seinen Vorgänger und seinen Nachfolger, jedoch nicht den Inhalt der Anfrage. Dieses Vorgehen wiederholt sich, so dass eine Verbindungskette aus mindestens drei Nodes besteht. Der letzte Node wird als Austrittsknoten (Exit Node) bezeichnet und stellt die eigentliche Verbindung zur Zieladresse, die auf .onion endet, her. Aufgrund der Tatsache, dass der Zielserver die IP-Adresse des Clients oder der anderen Nodes nicht erfährt, ist eine Rückverfolgung zur Quelle der Anfrage in der Regel nicht möglich. Durch das Prinzip dieses Onion-Routings über mehrere zufällig ausgewählte Nodes werden der genommene Weg als auch die Verbindungsdaten anonymisiert. Ergänzend zum erwähnten Prozedere muss erwähnt werden, dass sich der Verbindungsaufbau in regelmässigen Abständen wiederholt und die Verbindungsstrecke ca. alle 10 Minuten gewechselt wird.     

Wie eingangs erwähnt, werden .onion-Adressen von den gängigen Suchmaschinen nicht indexiert und daher als versteckte Dienste (Hidden Services) bezeichnet. Dennoch existieren auch innerhalb des Darknets Linksammlungen und Suchmaschinen, die jedoch nicht den Umfang an Suchergebnissen liefern, wie Suchmaschinen im öffentlichen Internet. Der Grund dafür liegt auf der Hand: Sehr viele Hidden Services, jedoch nicht alle, stellen illegale Inhalte zur Verfügung. Im positiven Sinne nutzen beispielsweise Journalisten, Whistleblower, Menschenrechtsvertreter oder auch Medienhäuser das Darknet, um Informationen weiterzugeben oder um der Zensur von Staaten zu entgehen. 

Trotz der vermeintlich sicheren Vorgehensweise sei angemerkt, dass die Nutzung des Tor-Netzwerks per se keine absolute Anonymität gewährleisten kann. Beispielsweise kann bereits ein manipulierter Client die Sicherheitsmassnahme umgehen bzw. die Identität offenlegen. Ebenso ist zu bedenken, dass bei der Eingabe bei Formularen oder beim Anmelden von Diensten mit Klarnamen die Anonymität selbstverständlich nicht mehr gegeben ist. Dennoch, da der Tor Browser das Surfen auch im öffentlich zugänglichen Internet ermöglicht, wird durch das Onion-Routing Prinzip sowie weiterer vordefinierter Sicherheitsfunktionen in den Browsereinstellungen, die Privatsphäre als auch der Schutz gegen Tracking beim Surfen erhöht. Personen, die Wert auf Datenschutz und Anonymität beim Surfen legen, sollten sich den Tor Browser bzw. das dahinterliegende Konzept näher anschauen.    

(Text erstmals publiziert im Liechtensteiner Volksblatt am 25. März 2021)

„Die Cloud ist nur der Computer von jemand anderem“, so jedenfalls lautet eine bekannte Redewendung. Doch kann modernes Cloud Computing auf eine so einfache Aussage reduziert werden? Um dies beantworten zu können, müssen wir zunächst ein gemeinsames Verständnis für den Begriff schaffen und danach ein wenig hinter die (technische) Kulisse blicken.

Viele Leute verbinden mit dem Begriff Cloud Computing höchstwahrscheinlich die bekannten Speicherlösungen, die von den grossen US-amerikanischen Technologieunternehmen angeboten werden. Dieser Umstand ist aufgrund der weiten Verbreitung von Smartphones nicht weiter verwunderlich, da die Geräte selbst über verhältnismässig wenig Speicherplatz verfügen und mit der verpflichtenden Nutzung eines entsprechenden Benutzerkontos, die Cloud-Speicher Funktionalitäten des jeweiligen Anbieters in der Regel enthalten sind. Dass Cloud Computing wesentlich mehr Aspekte als die blosse Zurverfügungstellung externer Speicherlösungen umfasst, wird anhand der Definition des National Institute of Standards and Technology (NIST) deutlich:

„Cloud Computing ist ein Modell zur Ermöglichung eines allgegenwärtigen, bequemen, bedarfsgerechten Netzwerkzugriffs auf einen gemeinsam genutzten Pool konfigurierbarer Rechenressourcen (z. B. Netzwerke, Server, Speicher, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand oder Interaktion mit dem Dienstanbieter schnell bereitgestellt und freigegeben werden können. Dieses Cloud-Modell umfasst fünf wesentliche Merkmale, drei Servicemodelle und vier Bereitstellungsmodelle.“

Stark vereinfacht formuliert ist Cloud Computing die Zurverfügungstellung von IT-Infrastruktur über ein Computernetzwerk, womit in der Regel das Internet gemeint ist.

In der Kürze dieses Beitrages ist es nicht möglich, auf alle Merkmale, Service- und Bereitstellungsmodelle näher einzugehen. An dieser Stelle sei jedoch erwähnt, dass die verschiedenen Merkmale und Modelle zu unterschiedlichen Ausprägungen von Cloud Lösungen führen.

Wer im privaten als auch im beruflichen Umfeld IT-Geräte und entsprechende Anwendungen nutzt, wird eventuell bemerkt haben, dass immer mehr Softwareanbieter ihre Produkte als sogenannte Cloud- bzw. Internetanwendungen zur Verfügung stellen. In vielen Fällen ist somit eine lokale Installation der Anwendung nicht mehr notwendig, da sie direkt vom Anbieter über das Internet zur Verfügung gestellt wird. Die Nutzung der Anwendung erfolgt in der Regel über einen Webbrowser oder über Mobile Apps (Applikationen), wenn wir an Smartphones denken. Als konkretes Beispiel können hier beliebte (Video-)Streaming-Dienste oder auch Office Anwendungen angeführt werden. Durch dieses Konzept kann somit die Nutzung solcher Anwendungen vom Gerät entkoppelt werden. Dieser Teilbereich des Cloud Computing wird daher als Software as a Service (SaaS) bezeichnet. Erwähnt werden sollen hier noch zwei weitere wichtige Ausprägungen der Servicemodelle, Platform as a Service (PaaS) und Infrastructure as a Service (IaaS), ohne diese jedoch näher zu erläutern. 

IT-Dienstleister sind durch Cloud Computing unter anderem in der Lage, ihre Services günstiger und effizienter zur Verfügung stellen zu können, da sie dem Kundenbedarf entsprechend, die notwendigen technischen Ressourcen dynamisch und teilweise automatisiert anpassen.

Neben den Vorteilen für die Dienstleister und Endkunden gibt es aber auch Risiken im Umgang mit Cloud Computing. Insbesondere die Wahrung der Vertraulichkeit von Daten stellt eine grosse Herausforderung dar. Je nach konkreter Ausprägung und Nutzung von Cloud Lösungen können mit geeigneten technischen und organisatorischen Massnahmen Risiken minimiert werden.

Wenn wir uns zum Schluss nochmals der Eingangsfrage zuwenden, so können wir aufgrund der gewonnenen Erkenntnisse die Frage mit nein beantworten. Die Cloud ist mehr als nur der Computer von jemand anderem.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 08. April 2021)

Die internationale Fernmeldeunion definiert das Internet der Dinge als «eine globale Infrastruktur für die Informationsgesellschaft, die fortschrittliche Dienste durch die Verbindung von (physischen und virtuellen) Dingen auf der Grundlage bestehender und sich entwickelnder interoperabler Informations- und Kommunikationstechnologien ermöglicht.»  

Etwas einfacher formuliert, beschreibt das Internet der Dinge oder «Internet of Things» (IoT) im weitesten Sinn alles, das mit dem Internet verbunden ist. Im engeren Sinn wird darunter die Vernetzung von Gebrauchs­gegenständen, die unabhängig von direkten menschlichen Eingriffen miteinander über das Internet kommunizieren, verstanden.  

Beispiele hierzu sind im Alltag schnell gefunden: Der Staubsaugroboter, der auch ausserhalb des Haushalts mittels Smartphones bedient werden kann und gleichzeitig den Grundriss der Wohnung in einer Cloud speichert, die Heizung, welche von unterwegs eingestellt bzw. eingeschaltet werden kann oder auch Netzwerk-Kameras, die beispielsweise mittels Bewegungssensoren Videos oder Bilder an externe Geräte übermitteln. Selbst Fernseher und Babyphones lassen sich heute mit dem Internet verbinden. Auch im Gesundheitsbereich werden IoT-Geräte vermehrt von Privatpersonen eingesetzt. Smart Watches, Fitness-Tracker oder ähnliche Geräte, die gesundheitsrelevante Daten aufzeichnen und anschliessend (online) speichern haben, in den letzten Jahren einen massiven Aufschwung erlebt.

Unternehmen hingegen sehen Einsparmöglichkeiten sowie Effizienzsteigerungen entlang der gesamten Wertschöpfungskette. In der Industrie kann beispielsweise durch die Vernetzung der Maschinen bzw. der direkten Kommunikationen mehrerer Maschinen miteinander (M2M Kommunikation) die Produktions­planung, Wartungszyklen etc. optimiert werden, da die Überwachung sowie Auswertung der Anlagen in Echtzeit möglich sind – Stichwort Industrie 4.0.

Die stetig wachsende Vernetzung dringt in immer mehr Bereiche des Lebens vor. Der Mobilfunktechnologiehersteller Ericsson schätzt, dass bis Ende 2023 rund 19.8 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Traditionelle Geräte (PC und Smartphones) sind dabei nicht miteingerechnet. Die dazu notwendige Infrastruktur wird bereits heute schrittweise, mittels der 5. Generation des Mobilfunkstandards (5G) eingeführt. Im Zusammenhang mit IoT fallen auch oft Begriffe wie Smart Cities, Smart Homes oder Smart Cars. Dabei wird in der Regel eine intelligente Vernetzung von Objekten verstanden, die im optimalen Fall autonom miteinander kommunizieren bzw. entsprechende Handlungen auslösen können. Als klassisches Beispiel können an dieser Stelle zukünftig autonom fahrende Fahrzeuge erwähnt werden, die mit anderen Objekten kommunizieren und somit das autonome Fahren ermöglichen werden.

Neben den erwähnten Erleichterungen im Alltag sowie den Vorteilen für Unternehmen gibt es aber auch Herausforderungen im Zusammenhang mit der global wachsenden Vernetzung. Insbesondere die oft mangelnde Umsetzung von IT-Sicherheit bei IoT-Geräten stellt die Gesellschaft vor ernsthafte Herausforderungen, wie diverse Medienberichte immer wieder vor Augen führen. Man stelle sich Energieproduzenten, Spitäler oder autonom fahrende Fahrzeuge vor, die aufgrund von unzureichend gesicherten Netzwerken bzw. IoT-Geräten manipuliert werden und gesellschaftskritische Dienstleistungen nicht mehr erbringen können. Selbst unscheinbare und ungesicherte IoT-Geräte wie Netzwerk-Kamers oder Spielekonsolen wurden bereits von Angreifern verwendet, um gezielt anderen Personen oder Unternehmen zu schaden. Im privaten Umfeld sollte der Umgang mit IoT-Geräten sowie deren Einstellung kritisch hinterfragt und mit Sorgfalt begegnet werden. Das Nationale Zentrum für Cybersicherheit in der Schweiz hat dazu präventive Massnahmen veröffentlicht, deren Durchsicht vor der Inbetriebnahme von IoT-Geräten empfehlenswert ist. Weitere Informationen dazu sind hier abrufbar.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 22. April 2021)

Ebenso wie es für den Begriff Intelligenz keine allgemein gültige Definition gibt, existiert auch keine einheitliche Definition für die Bezeichnung Künstliche Intelligenz (KI). Microsoft beispielsweise versteht unter KI solche Technologien, die menschliche Fähigkeiten im Sehen, Hören, Analysieren, Entscheiden und Handeln ergänzen und stärken. Etwas allgemeiner formuliert ist die KI ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst.

Doch weshalb hat das Forschungsgebiet der KI in den letzten Jahren einen solchen Aufschwung erlebt und ist medial allgegenwärtig wahrnehmbar? Welche Herausforderungen sollen bzw. können mit KI gelöst werden? Welche Chancen und Risiken bestehen?

Das komplexe Thema KI kann in diesem Artikel nur grob umrissen werden. Der Begriff der KI wurde bereits in den 1950er Jahren vom amerikanischen Informatiker John McCarthy geprägt. Ebenso lange wird bereits an der KI geforscht. Aufgrund verschiedener Erkenntnisse gab es immer wieder Hochs und Tiefs hinsichtlich der Erwartungshaltung an die KI. Durch die stetig wachsenden Rechenkapazitäten als auch der verfügbaren Datenmengen (Big Data) sowie den leistungsfähigeren Algorithmen (systematische, endliche Handlungsanweisungen zur Lösung eines Problems) konnten in den letzten Jahren beachtliche Erfolge im Zusammenhang mit KI erzielt werden. Konkrete Anwendungen werden bereits im Alltag, oft ohne es zu wissen, genutzt. Als Beispiele seien an dieser Stelle digitale Fotokameras (Bildoptimierung bei Smartphones), Übersetzungsprogramme, Bilderkennungsprogramme oder auch digitale Sprachassistenten genannt. Der Einsatz von KI durchdringt bereits heute wesentliche Bereiche unseres Lebens wie Gesundheit, Energie, Klimaforschung, Verkehr, etc.

Doch auf welchen Grundlagen basiert moderne KI? Wie eingangs erwähnt basiert moderne KI vorwiegend auf mehreren Methoden bzw. Technologien. In diesem Zusammenhang fallen oft Begriffe wie maschinelles Lernen, deep learning (mehrschichtiges Lernen) oder künstliche neuronale Netze. Ohne näher auf diese Begriffe eingehen zu wollen, soll an dieser Stelle eine einfache Beschreibung der Funktionsweise erfolgen. Je nach Ausprägung des KI-Systems basiert der Lernprozess auf einer sehr grossen Datenmenge, mit welcher das KI-System trainiert wird. Im Gegensatz zu regelbasierten Systemen, das sind Systeme, die mittels exakter Beschreibung (z. B. mittels Programmiercode) einer definierten Anweisung folgen, sind KI-Systeme in der Lage, ihre Erkenntnisse zusätzlich auf unbekannte Datensätze anzuwenden. Somit können KI-Systeme – mit gewissen Einschränkungen – Muster erkennen oder Handlungen daraus ableiten. Durch die enorme Rechenkapazität können beispielsweise Millionen von Gesichtern in sehr kurzer Zeit verglichen, erkannt und entsprechend zugeordnet werden. Dabei sind unter anderem die Trainingsdaten ausschlaggebend für den Erfolg des gewünschten Endergebnisses. Oft wird zwischen schwacher und starker KI unterschieden. Alle bisherigen im Einsatz befindlichen Lösungen sind Ausprägungen schwacher KI. Das heisst, schwache KI ist jeweils nur in einem sehr spezifischen Gebiet einsetzbar und kann somit keine bereichsübergreifenden Fragestellungen beantworten. Im Gegensatz dazu wäre eine starke KI in der Lage selbständig Probleme zu erkennen, neue Lösungsansätze bereichsübergreifend zu entwickeln und entsprechende Handlungen auszulösen bzw. Entscheidungen – auch bei Unsicherheiten – zu treffen. Bis heute gelang es jedoch nicht, eine solche starke KI zu erschaffen.             

Einige Experten schätzen das zukünftige Potential von KI, in Kombination mit weiteren technologischen Entwicklungen, als beinahe grenzenlos ein, um gesellschaftliche Herausforderungen zu lösen. Andere Experten von führenden Universitäten und Unternehmen warnen allerdings vor den Gefahren, die von KI ausgehen und fordern sogar einen gesetzlich angeordneten Aufschub für die Weiterentwicklung von KI. Als Beispiele für mögliche Gefahren können die Entwicklung und der Einsatz autonomer Waffensysteme oder die mittels sogenannter Deep-Fake-Technologie gezielte Verbreitung von Falschinformationen gesehen werden. Die Europäische Kommission hat in diesem Zusammenhang kürzlich den weltweit ersten Rechtsrahmen für KI vorgelegt. «Dabei sollen KI-Systeme, die die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen bedrohen, verboten werden. Für KI-Systeme mit hohem Risiko sollen strenge Vorgaben gelten, die erfüllt sein müssen, bevor sie auf den Markt gebracht werden» - sagte Exekutiv-Vizepräsidentin Margrethe Vestager.     

​​​​​(Text erstmals publiziert im Liechtensteiner Volksblatt am 6. Mai 2021)

Spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), die nach einer zweijährigen Übergangsfrist am 25. Mai 2018 in der EU und am 20. Juli 2018 im EWR und somit in Liechtenstein unmittelbare Geltung erlangte, werden Internetseiten-Besucher vermehrt mit Einwilligungserklärungen beziehungsweise Informationen über Cookies, sogenannte Cookie-Banner, beglückt.

Doch was ist ein Cookie überhaupt? Was wird wo, von wem und warum gespeichert? An dieser Stelle sollen mehr die technischen Hintergründe und weniger die rechtlichen Voraussetzungen näher beleuchtet werden.

Konkret beschränken wir uns in diesem Artikel auf HTML- bzw. Browser-Cookies. Technisch betrachtet kann ein Webserver eigene Informationen in einer kleinen Textdatei auf dem Computer des Besuchers einer bestimmten Internetseite abspeichern. Die Speicherung erfolgt durch den verwendeten Internet-Browser. Eine solche Textdatei wird allgemein als Cookie bezeichnet. Ein Cookie besteht aus einem Namen und einem Wert sowie mindestens einem Attribut. Ein Attribut kann beispielsweise die Speicherdauer des Cookies sein. Für das Setzen eines Cookies können verschiedene Techniken eingesetzt werden. Ein Webserver kann ein Cookie via HTTP (in der Kopfzeile) oder auch lokal durch ein Skript (Computerprogramm) erzeugen, das sich in der Regel in der vom Server übermittelten Internetseite befindet.

Cookies wurden eingeführt, da HTTP grundsätzlich ein zustandsloses Protokoll ist und für den Webserver der besuchten Internetseite die verschiedenen Seitenaufrufe deshalb stets voneinander unabhängig sind. Sie können daher auch bei ein und demselben Besucher nicht miteinander in Verbindung gebracht werden. Dieser Umstand hätte aber zur Konsequenz, dass beispielsweise bei einem Online-Shop beim Wechsel vom Warenkorb zum Bezahlvorgang, die im Warenkorb befindlichen Produkte nicht mehr vorhanden wären. Mit Hilfe eines Cookies ist der Webserver jedoch in der Lage, den Warenkorb einem bestimmten Besucher zuzuordnen als auch den Besucher beim Bezahlvorgang wieder zu identifizieren. Solange das Cookie nicht gelöscht wird oder abläuft, können sogar der Internet-Browser geschlossen und die Bestellung zu einem anderen Zeitpunkt fortgesetzt werden.

Das erwähnte Beispiel zeigt, dass es durchaus berechtigte (technische) Gründe für den Einsatz von Cookies gibt. In diesem Zusammenhang wird deshalb von technisch notwenigen Cookies bei Datenschutzerklärungen bzw. Cookie-Bannern gesprochen. Diese Art von Cookies kann in der Regel vom Besucher nicht deaktiviert werden.   

Doch weshalb wird nun beim Besuch von Internetseiten in gewissen Fällen eine Einwilligung (Cookies) des Besuchers eingeholt? Wir haben im Beispiel mit dem Online-Shop gesehen, dass der Betreiber einer Internetseite durch das Setzen von Cookies, unter anderem die Identität des Besuchers sowie weitere Informationen über das Kaufverhalten feststellen kann. Somit ist der Betreiber in der Lage, Benutzerprofile über das Surfverhalten innerhalb seiner eigenen Internetseite zu erstellen. Damit das Surfverhalten zudem bereichsübergreifend, das heisst über andere Internetseiten hinweg, verfolgt werden kann, ist der Einsatz von sogenannten Third-Party-Cookies notwendig. Das sind Cookies, die von Dritten im Computer des Besuchers gesetzt werden. Durch die Kombination mit sogenannten Tracking-Komponenten und -Methoden können Dritte somit umfangreiche Benutzerprofile über Surfgewohnheiten einzelner Personen anlegen.

Die technische Entwicklung macht jedoch auch bei Cookies bzw. den Tracking-Methoden nicht halt. Selbst wenn Cookies mittels Internet-Browser regelmässig gelöscht werden bzw. das Setzen in den Einstellungen unterbunden wird, so schützt dies nicht zwangsläufig vor Tracking. Dennoch lohnt es sich, einen Blick in die entsprechenden Einstellungsmöglichkeiten des Browsers zu werfen, um das Tracking bestmöglich einzugrenzen. Die Verwendung zusätzlicher Massnahmen bzw. alternativer Internet-Browser, wie beispielsweise des Tor-Browsers, kann helfen, den Schutz der Privatsphäre beim täglichen Surfen zu erhöhen.

​​​​​(Text erstmals publiziert im Liechtensteiner Volksblatt am 20. Mai 2021)

Mit den heutigen Kommunikationskanälen, wie beispielsweise Messenger, Social Media Plattformen oder E-Mail Diensten, stellen sich immer mehr Personen die Frage, wie die Vertraulichkeit ihrer Kommunikation gewährleistet werden kann. Spätestens seit den Enthüllungen von Edward Snowden vor etwa acht Jahren ist es ein offenes Geheimnis, dass vor allem staatliche Akteure elektronische Inhalte, die über das Internet versendet werden, systematisch sichten, auswerten und bei Bedarf speichern. Zudem zeigen die fast täglichen Meldungen von Datenlecks bei verschiedensten Unternehmen sowie gezielte Angriffe gegen diese als auch gegen Privatpersonen die Notwendigkeit, digitale Kommunikation entsprechend vor neugierigen Blicken zu schützen. Eine Möglichkeit hierbei bietet der Einsatz von modernen Verschlüsselungsverfahren.

Doch wie funktioniert moderne Verschlüsselung? Welche Verschlüsselungsverfahren gibt es? Welche Aspekte gilt es bei der Nutzung zu beachten bzw. welche Schutzziele werden verfolgt? Ohne zu sehr auf technische Details einzugehen, sollen in diesem Artikel die Grundlagen und Verfahren anhand von Beispielen erläutert werden.

Grundsätzlich wird unter Verschlüsselung die Umwandlung eines Klartextes in einen Geheimtext verstanden. Wie der Begriff Schlüssel im Wort Verschlüsselung verrät, kann dieser Vorgang mit Hilfe des passenden Schlüssels wieder rückgängig gemacht werden. In diesem Fall wird von Entschlüsselung gesprochen. Die ersten dokumentierten Verschlüsselungsverfahren reichen bis ins Altertum zurück. Die sogenannte Caesar-Verschlüsselung beispielsweise war ein einfaches symmetrisches Verfahren, um die militärische Korrespondenz geheim zu halten. Dabei wird jeder Buchstabe im Klartext durch eine Rechtsverschiebung im Alphabet geändert, so dass dadurch ein Geheimtext entsteht. Diese Verschiebung basiert auf einem definierten Wert, z. B. drei. Dieser Wert entspricht somit dem Schlüssel, der bekannt sein muss, um den Text verschlüsseln bzw. entschlüsseln zu können. So wird beispielsweise aus den Buchstaben A der Buchstabe D und aus G wird J. Der Geheimtext AD entspricht in diesem Beispiel dem Klartext DJ. Mit dem vorhin definierten Wert drei (Schlüssel) kann der Prozess nun mittels Linksverschiebung umgekehrt werden. In diesem einfachen Beispiel werden Leer- und Sonderzeichen nicht berücksichtigt.

Es ist offensichtlich, dass dieses einfache Verschlüsselungsverfahren aus heutiger Sicht als nicht sicher angesehen wird. Unter anderem ist die Anzahl an möglichen Schlüsseln (Schlüsselraum) viel zu klein, so dass bereits durch einfaches Ausprobieren von 25 unterschiedlichen Möglichkeiten auf den Klartext Rückschlüsse gezogen werden können. Wie eingangs erwähnt, handelt es sich dabei um ein symmetrisches Verfahren, d.h. es wird zum Ver- und Entschlüsseln derselbe Schlüssel verwendet. Daneben existieren asymmetrische Verfahren. Asymmetrisch deshalb, da unterschiedliche Schlüssel für das Ver- und Entschlüsseln zum Einsatz kommen, sprich ein Schlüsselpaar aus öffentlichem und privatem Schlüssel. Aus diesem Grund wird auch vom Public-Key-Verschlüsselungsverfahren gesprochen.

Beim asymmetrischen Verfahren wird der öffentliche Schlüssel zum Verschlüsseln einer Nachricht verwendet. Nur noch der Besitzer des privaten Schlüssels kann daraufhin die Nachricht entschlüsseln. Dieses Prinzip zeigt zugleich den grossen Vorteil gegenüber dem symmetrischen Verfahren. Die Schlüsselverteilung muss nicht über einen sicheren Kommunikationskanal erfolgen, da der öffentliche Schlüssel, im Gegensatz zum privaten Schlüssel, nicht geheim gehalten werden muss. Beim symmetrischen Verfahren hingegen können unbefugte Dritte, die Kenntnis über den Schlüssel erhalten, jeden Geheimtext entschlüsseln, die mit diesem Schlüssel verschlüsselt worden sind. Ein Vorteil der symmetrischen Verschlüsselung ist die Geschwindigkeit bei der Ver- bzw. Entschlüsselung. Deshalb kommen symmetrische Verfahren oft bei der Verschlüsslung von Festplatten oder Speicherkarten zum Einsatz. Zudem ist in diesem Fall die Notwendigkeit in der Regel nicht gegeben, das Passwort mit mehreren Personen teilen zu müssen. Das Problem mit der sicheren Schlüsselverteilung entfällt somit.

In der Praxis werden oft hybride Verfahren, d.h. eine Kombination der beiden Verfahren eingesetzt, um die Vorteile beider Verfahren nutzen zu können. Konkrete Anwendungsbeispiele sind unter anderem E-Mail Verschlüsselungen (PGP), Besuch von Internetseiten via https (SSL/TLS) oder auch diverse Messenger Dienste, die vermehrt eine durchgängige (Ende-zu-Ende) Verschlüsselung anbieten. Durchgängig bedeutet in diesem Fall, dass nur die Kommunikationspartner der jeweiligen Endpunkte die Nachricht lesen können. Für die Übertragung eingebundene Dritte, beispielsweise Telekommunikationsbetreiber, sind hingegen nicht in der Lage die Nachricht zu lesen.

Doch wo liegen die Grenzen bzw. Gefahren beim Einsatz von Verschlüsselung? Neben der Herausforderung des Schlüsselmanagements sind in der Praxis oft veraltete Verschlüsselungs-Algorithmen oder zu kurze Schlüssellängen im Einsatz. Zum Zeitpunkt, als das Verfahren gewählt und die Schlüssel erstellt wurden, können sie durchaus sicher gewesen sein, doch mit der heutigen Rechenleistung können sie unter Umständen einfach gebrochen werden und bieten somit keinen ausreichenden Schutz mehr. Des Weiteren finden sich oft Unzulänglichkeiten bei der konkreten technischen Umsetzung von Verschlüsselungsverfahren. Ebenso muss klar sein, dass beim Empfang einer verschlüsselten Nachricht die Echtheit des Absenders (Authentizität) nicht automatisch gegeben ist. Um die Echtheit eines Kommunikationspartner zu überprüfen, kommen zusätzliche Massnahmen, wie beispielsweise digitale Signaturverfahren, zum Einsatz.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 4. Juni 2021)

Bereits in den 1990er Jahren entwickelte der amerikanische Mathematiker und Informatiker Peter Shor einen Algorithmus (Shor-Algorithmus), der als eine erste mögliche Anwendung für die zu der Zeit noch hypothetischen Quantencomputer galt. Die praktische Anwendbarkeit hätte unter anderem für die Kryptographie (Wissenschaft der Verschlüsselung) weitreichende Folgen, da insbesondere asymmetrische Verschlüsselungsverfahren (Public-Key-Verschlüsselungsverfahren) schnell gebrochen werden könnten. Andere Bereiche, wie beispielsweise Klimaforschung, Medizin, Künstliche Intelligenz, etc. würden massiv von den Möglichkeiten eines Quantencomputers profitieren. Noch stecken Quantencomputer aber in den Kinderschuhen. Konkret sind sie noch zu fehleranfällig und zu wenig leistungsfähig, um real existierende Probleme lösen zu können.

Doch wie funktioniert ein Quantencomputer? Welche Vorteile bietet er gegenüber einem herkömmlichen Computer? Wo liegen die derzeitigen Herausforderungen hinsichtlich der praktischen Umsetzung?

Kernstück eines Quantencomputers ist die Recheneinheit (Prozessor), dessen Funktionen auf quantenmechanischen Grundlagen beruhen. Die Quantenphysik beschäftigt sich grundsätzlich mit der Welt des Allerkleinsten, wie z. B. Photonen (Lichtteilchen) oder Elektronen. Der Begriff Quant beschreibt in der Physik den kleinstmöglichen Wert einer physikalischen Grösse. Wichtig: Ein Quant kann nur als Ganzes erzeugt oder vernichtet werden und ist nicht teilbar. Ohne näher die physikalischen Grundlagen erläutern zu wollen, sei erwähnt, dass die physikalischen Gesetzmässigkeiten, wie wir sie in unserem Alltag kennen, in der Quantenwelt keine Gültigkeit mehr haben. In diesem Bereich treten für uns nicht erklärbare Effekte zutage, die selbst Physiker noch nicht umfänglich verstanden haben. Dennoch nutzen wir quantenmechanischen Erkenntnisse bereits heute, um beispielsweise Apparaturen wie Laser oder MRT-Geräte (Magnetresonanztomographie) herzustellen.

Ein herkömmlicher Computer basiert auf einem Binärcode und arbeitet mit sogenannten Bits (binary digits). Mit einem Bit können zwei Zustände abgebildet werden (0 oder 1, elektrische Spannung oder keine Spannung). Im Gegensatz dazu arbeitet ein Quantencomputer mit Quanten-Bits (Qubits), die gleichzeitig mehrere Zustände annehmen können. Vereinfacht ausgedrückt, macht diese Eigenschaft Quantencomputer prinzipiell effizienter, da für die gleiche Berechnung wesentlich weniger Qubits als Bits benötigt werden. Neben dem Vorsprung durch die blosse Anzahl an Qubits, können Rechenoperationen mit Hilfe der Quantenverschränkung, die Albert Einstein als «spukhafte Fernwirkung» bezeichnete, mit sehr hoher Geschwindigkeit durchgeführt werden.

Für die Erzeugung von Qubits stehen verschiedene Methoden zur Verfügung. Mit Hilfe elektromagnetischer Felder werden positiv geladene Atome (Ionen) mittels Mikrowellenstrahlung in verschiedene Zustände gebracht und können so mit Informationen versehen werden. Das Auslesen der Information (Ergebnis der Berechnung) erfolgt ebenso mittels Mikrowellenstrahlung. In dieser sogenannten Ionenfalle ist jedes einzelne Ion ein Qubit. Forscher experimentieren auch mit Photonen, die als physikalische Grundlage von Qubits dienen könnten. Eine weitere Methode, um Qubits zu erzeugen, wird derzeit unter anderem von Google genutzt: dabei fliessen schwache Ströme auf kleinstem Raum im Kreis. Ein solcher Kreisstrom stellt dabei ein Qubit dar. Ähnlich wie bei der Ionenfalle werden auch bei dieser Methode Informationen mittels Mikrowellenstrahlung ausgelesen.   

Wo liegen nun die Herausforderungen bei der praktischen Umsetzung von Quantencomputer? Grundsätzlich sind Qubits extrem störungsanfällig und müssen gegen äussere Einflüsse (Erschütterungen, magnetische und elektrische Felder, etc.) abgeschirmt werden, da ansonsten ihr Quantenzustand zerstört wird. Des Weiteren bleiben Qubits nur während eines Bruchteils einer Sekunde stabil – unabhängig davon wie gut die Abschirmung gelingt. Deshalb müssen die Berechnungen während der stabilen Phase abgeschlossen sein.     

Eine zusätzliche Herausforderung stellt die Energie der Teilchen dar, die sich in Form von Bewegung ausdrückt. Damit Qubits manipuliert werden können, müssen die Prozessoren möglichst nahe zum absoluten Nullpunkt (0 Kelvin bzw. -273,15 Grad Celsius) heruntergekühlt werden, so dass sich die Qubits während der Messung möglichst nicht bewegen.

Trotz dieser Herausforderungen konnten während den letzten 20 Jahren grosse Fortschritte in der Entwicklung von Quantencomputern erzielt werden. Während im Jahr 2001 IBM mittels eines 7-Qubit-Quantencomputers die Zahl 15 in ihre Faktoren 3 und 5 zerlegen konnte, verkündete Google im Jahr 2019 die Erreichung eines weiteren Meilensteins. Dabei gelang es angeblich mit einem 53-Qubit-Quantencomputers (Sycamore Quantum Processor) ein Problem zu lösen, welches mit einem herkömmlichen Computer – gemäss Google – nicht in einer sinnvollen Zeit lösbar gewesen wäre. Google demonstrierte damit die sogenannte Quantenüberlegenheit. Kritische Stimmen stellten jedoch die Ergebnisse, insbesondere die Methode hinsichtlich der Vergleichbarkeit mit konventionellen Computern, in Frage. Trotz aller Kritik sehen Forscher in dem Experiment von Google einen massiven Fortschritt hinsichtlich der Entwicklung von Quantencomputern. Google kündigte während der diesjährigen Entwicklerkonferenz Google I/O an, bis 2029 den ersten kommerziell nutzbaren Quantencomputer entwickeln zu wollen.

Doch nicht nur Forscher sehen grosse Potentiale in zukünftigen Quantencomputern, auch Staaten und Unternehmen investieren Milliarden US Dollar in die Forschung und Entwicklung. Neben den Tech-Giganten wie Google, IBM oder Microsoft arbeiten auch immer mehr Start-Ups an der Umsetzung von Quantencomputern. «Die EU betrachtet Quantentechnologien als ein Gebiet von grosser strategischer Bedeutung für Politik, Wirtschaft und Bevölkerung. Dazu rief die EU die Leitinitiative zur Quantentechnik ins Leben, eine zehnjährige Forschungs- und Innovationsinitiative, die seit 2018 besteht und innerhalb ihrer Laufzeit bis zu 1 Milliarde EUR an Finanzmitteln vergeben wird.»¹

1 siehe: https://cordis.europa.eu/article/id/418314-wuantum-leap-forward-european-fundamental-research/de

​​​​​(Text erstmals publiziert im Liechtensteiner Volksblatt am 17. Juni 2021)

Viele Personen können sich ein Leben ohne Smartphone kaum mehr vorstellen. Seit der Präsentation des ersten iPhones im Jahr 2007 haben sich die Funktionalitäten von Smartphones, die einem den beruflichen wie auch privaten Alltag erleichtern, stetig weiterentwickelt.

Doch bei all der Bequemlichkeit wird oft übersehen, dass wir durch die Nutzung dieser Geräte viele Details über unser Verhalten und unsere Person Dritten preisgeben. Oft können wir nicht einschätzen, wer Zugriff auf diese Daten erhält und was mit ihnen geschieht bzw. für welche Zwecke sie verwendet werden.

Welche Möglichkeiten haben wir, um die Erhebung und Verarbeitung unserer Daten einzuschränken und somit ein Stück weit unsere Privatsphäre zu schützen? Denn eines muss klar sein: vollständig lassen sich Datensammlungen nicht verhindern. Zudem sind die Bedürfnisse sehr individuell, so dass es kein Richtig oder Falsch gibt.

Grundsätzlich können auf verschiedenen Ebenen, wie beispielsweise dem Betriebssystem (iOS bzw. Android), in Apps oder auch beim jeweiligen Google- bzw. Apple-Konto, Einstellungen vorgenommen werden. Innerhalb des Google-Kontos können zum Beispiel unter Datenschutz & Personalisierung verschiedenste Aktivitätseinstellungen, wie Web- und App-Aktivitäten, Standortverlauf etc., verwaltet werden. Ebenso können bei Apple bzw. mittels Apple-ID diverse Einstellungen vorgenommen werden, um die Privatsphäre besser zu schützen.

Innerhalb des Betriebssystems stehen sowohl bei iOS als auch bei Android verschiedene Möglichkeiten zur Verfügung, die Erhebung bzw. Weitergabe von Daten einzuschränken. In iOS sind relevante Optionen unter «Einstellungen» im Bereich «Datenschutz» aufrufbar. Unter anderem empfiehlt es sich, die Optionen der Dienste iCloud, Ortungsdienste, Tracking (seit iOS Version 14.5 verfügbar), Analyse & Verbesserungen kritisch zu hinterfragen und anschliessend auf die eigenen Bedürfnisse abzustimmen respektive einzelne Dienste zu deaktivieren. Bei Geräten, die auf Android basieren, stellt sich die Situation ein wenig komplexer dar, da die Gerätehersteller die Menügestaltung sehr stark individualisieren und sich die Einstellungen somit in verschiedenen Ebenen wiederfinden. Des Weiteren sind die Optionen abhängig von der jeweilig verwendeten Android Version. Ab Android 10 ist es beispielsweise möglich, einer App den Zugriff auf den Standort nur dann zu ermöglichen, wenn diese gerade im Vordergrund läuft. Generell sollten die Berechtigungen von Apps in regelmässigen Abständen überprüft werden. So sollte etwa der Zugriff einer Taschenlampen App auf die Kontaktdaten kritisch hinterfragt werden. Der Berechtigungsmanager innerhalb der Datenschutzeinstellung ist dafür ein hilfreiches Werkzeug, da die verschieden Berechtigungsarten übersichtlich dargestellt und bei Bedarf angepasst werden können.

Eine mögliche Strategie hinsichtlich der Berechtigungsverwaltung kann es sein, zu Beginn bzw. bei der Erstverwendung der App mit der Vergabe von Berechtigungen eher sparsam zu sein. Erst in einem weiteren Schritt, sofern die fehlenden Berechtigungen zu untragbaren Einschränkungen bei der Verwendung der App führen, sollten die notwendigen Berechtigungen erteilt werden. Damit das Risiko des ungewollten Datenabflusses weiter minimiert werden kann, ist es ausserdem empfehlenswert, nicht (mehr) benötigte Apps zu deinstallieren.  

Ein vollständiger Überblick über alle möglichen Einstellungen – egal ob für Android oder iOS – würde den Rahmen dieses Artikels sprengen. Zudem bewegen wir uns in einem sehr schnelllebigen Umfeld, innerhalb dessen die Namensgebungen und Funktionalitäten durch Updates ständig angepasst werden. Dennoch sollten vom Hersteller zur Verfügung gestellte Software Updates jeweils zeitnah installiert werden, da sie nicht nur neue Funktionen bereitstellen, sondern in der Regel auch sicherheitsrelevante Schwachstellen beheben.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 22. Juli 2021)

Seit 2013 wird jährlich am ersten Donnerstag im Mai im Internet der Welt-Passwort-Tag gefeiert. Dieser Tag dient vor allem dazu, mehr Bewusstsein für den Umgang mit Passwörtern zu schaffen. Denn trotz langjähriger und verschiedenster Bestrebungen ohne Passwörter auszukommen, sind Passwörter aktuell immer noch die häufigste Methode, um sich gegenüber Diensten zu authentisieren (Nachweis einer Identität).

Vielen Personen sind die Unannehmlichkeiten bekannt, die mit der Verwaltung von Passwörtern einhergehen. Im beruflichen Umfeld beispielsweise werden Benutzer in regelmässigen Abständen aufgefordert, das Computer-Passwort zu ändern. Dabei muss das Passwort gewisse Anforderungen (Anzahl Zeichen, Verwendung von Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen etc.) erfüllen. Zudem soll es möglichst abstrakt und gleichzeitig einfach zu merken sein. Doch die wenigsten Menschen sind in der Lage, sich eine beliebige und meist lange Zeichenkette zu merken. Erschwerend kommt hinzu, dass empfohlen wird, für verschiedene Dienste unterschiedliche Passwörter zu verwenden. Somit müsste sich ein durchschnittlicher Internetnutzer in der Regel mehrere Dutzende starke Passwörter merken können.

Welche Lösungsansätze existieren, um einem das Leben hinsichtlich der Passwortverwaltung bzw. der Anmeldevorgänge zu erleichtern? Nun, wer mehrere Passwörter verwalten muss, sollte die Verwendung eines Passwortmanagers in Erwägung ziehen. Dabei gibt es für die unterschiedlichen Bedürfnisse jeweils passende Lösungen – eine Recherche zu diesem Thema wird interessierten Leserinnen und Lesern nahegelegt. Doch selbst bei der Verwendung eines Passwortmanagers wird in der Regel zumindest ein starkes Passwort (Master Key) benötigt. Eine Möglichkeit zur Erstellung eines starken Passworts ist die Zuhilfenahme einer Eselsbrücke. Folgender Beispielsatz soll eine Methode veranschaulichen: «Meine Tochter putzt jeden Tag um 07:00 Uhr die Zähne und geht dann zur Schule». Daraus lässt sich folgendes Passwort ableiten: MTpjTu07:UdZugdzS. 

Neben dem Passwort als klassische Authentisierungsmethode existieren weitere Methoden, die immer mehr an Bedeutung und Beliebtheit gewinnen. Insbesondere zur zusätzlichen Absicherung wichtiger Dienste ist die sogenannte Multi-Faktor-Authentisierung (MFA) eine gängige Möglichkeit. Dabei wird neben dem Passwort ein zusätzlicher Faktor, beispielsweise ein Einmalpasswort, welches mittels SMS oder einer App dem Benutzer mitgeteilt wird, eingegeben. Anstelle des Einmalpasswortes kann auch ein biometrisches Merkmal zum Einsatz kommen. Bei der Kombination von zwei Faktoren wird von einer 2-Faktor-Authentisierung (2FA) gesprochen und stellt eine spezielle Form der MFA dar.      

Bei Diensten, die MFA unterstützen, ist es ratsam, diese auch zu aktivieren. Als Beispiel kann das E-Mail-Konto erwähnt werden, welches zum Rücksetzen von Passwörtern genutzt wird, oder der erwähnte Passwortmanager. Selbstverständlich bietet auch die MFA keine absolute Sicherheit – legt jedoch potentiellen Angreifern die Hürde ein Stück höher.

Die 2012 gegründete, nichtkommerzielle Fast Identity Online (FIDO)-Allianz hat bereits mehrere Standards hinsichtlich Authentisierungslösungen entwickelt. Als technische Basis dient die Public-Key-Kryptografie. Das Thema Kryptographie wurde bereits in einem früheren Beitrag ausführlicher erläutert.

Mittels eines sogenannten Authenticators – dieser kann in der Form eines USB-Sticks vorliegen – ist es je nach Implementierung des Standards möglich, sich gänzlich ohne Passwort gegenüber einem Dienst zu authentisieren (Ein-Faktor-Authentisierung). Alternativ kann zusätzlich ein PIN-Code oder biometrisches Merkmal notwendig sein, um sich erfolgreich zu authentisieren. Neben den externen gibt es auch interne Authenticatoren. Damit ist das Zusammenspiel zwischen der Software und des Sicherheits-Chips des PC, Smartphones etc. gemeint. Der Sicherheits-Chip verhindert das Auslesen eines Geheimnisses (bspw. privater Schlüssel). Beim Anmeldevorgang werden biometrische Merkmale nicht über das Internet übertragen, sondern verbleiben auf dem Sicherheits-Chip. Als Beispiel kann hierfür der Anmeldeprozess beim PC via Windows Hello (ab Windows 10 Version 1903) angeführt werden. Zudem werden pro Dienst verschiedene Schlüsselpaare generiert, sodass ein Nachverfolgen (Tracking) der Nutzer grundsätzlich nicht möglich ist.

Neben den Vorteilen bergen insbesondere externe Authenticatoren das Risiko des Verlustes. Deshalb ist es empfehlenswert, sich im Vorfeld über mögliche Wiederherstellungs- bzw. Aufbewahrungsstrategien zu informieren. Als weiterer Nachteil ist anzumerken, dass noch nicht alle Dienste den Standard (FIDO2) zur Authentisierung unterstützen.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 5. August 2021)

Die Datenschutzstelle (DSS) hat bereits in ihrem Tätigkeitsbericht 2020 auf die datenschutz­rechtliche Problematik hinsichtlich des Einsatzes des Webanalyse-Werkzeugs von Google – Google Analytics – hingewiesen. Insbesondere seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 20. Juli 2020 sah die DSS keine rechtliche Grundlage mehr, den mit Google Analytics verbundenen personenbezogenen Datentransfer in die USA zu rechtfertigen. Selbst wenn die oftmals zitierte Anonymisierung der IP-Adressen seitens des Webseitenbetreibers implementiert ist, werden weitere personenbezogene Daten an Google übermittelt. Zudem werden von Google (noch) keine zusätzlichen effektiven technischen oder organisatorischen Massnahmen getroffen, so dass ein möglicher Zugriff auf die Daten durch US-Behörden nach wie vor gegeben ist.

Die Ansicht der DSS wurde nun durch klare Entscheidungen weiterer Datenschutzbehörden in Europa bestätigt. Diese basieren auf den europaweiten 101 Beschwerden des bekannten Juristen Max Schrems im Zusammenhang mit Google Analytics. Auch gegen drei Liechtensteiner Unternehmen bzw. Institutionen reichte er Beschwerden bei der DSS ein. Aufgrund der guten Kooperation der betroffenen Unternehmen und der schnellen Abschaltung von Google Analytics wurden die Beschwerden zurückgezogen. In anderen europäischen Ländern handelten die verantwortlichen Webseitenbetreiber nicht so schnell. Kurz nachdem in Liechtenstein die Beschwerden zurückgezogen worden sind, wurde auf europäischer Ebene eine Taskforce ins Leben gerufen, um eine koordinierte rechtliche als auch technische Untersuchung hinsichtlich Google Analytics durchführen zu können. Die Erkenntnisse dieser Taskforce dienen nun als Basis für die Urteile der Datenschutzbehörden. Die österreichische Datenschutzbehörde (DSB) hat im Januar 2022 der Beschwerde "einer Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäss Art. 44 DSGVO" im Zusammenhang mit Google Analytics stattgegeben. Konkret schreibt die DSB in ihrer Begründung, dass neben den ineffektiven technischen und organisatorischen Massnahmen auch die mit Google abgeschlossenen Standardvertragsklauseln kein angemessenes Schutzniveau bieten, um die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste zu beseitigen.

Die französische Datenschutzbehörde (CNIL) hat kürzlich, ebenfalls auf Basis der Beschwerden von Max Schrems, eine ähnliche Entscheidung gegen einen Webseitenbetreiber gefällt. Der Betreiber hat nach Erhalt der Entscheidung nun einen Monat Zeit, den Anforderungen gemäss der Datenschutzgrundverordnung (DSGVO) zu entsprechen und demnach die Webseite datenschutzkonform zu gestalten. Weitere Entscheidungen in den 101 Beschwerden sind demnächst von anderen europäischen Datenschutzbehörden zu erwarten. Aufgrund der koordinierten Vorgehensweise ist anzunehmen, dass die Entscheidungen ebenfalls gegen den Einsatz von Google Analytics ausfallen werden. Bis anhin haben die Datenschutzbehörden auf Bussen verzichtet. Dies könnte sich jedoch in Zukunft rasch ändern.  

Die DSS fordert deshalb die Verantwortlichen auf, Webseiten datenschutzkonform auszugestalten und alternative, datenschutzkonforme Lösungen an Stelle von Google Analytics einzusetzen. Auch wenn die DSS aktuell keine amtswegigen Untersuchungen in Bezug auf Google Analytics durchführt, so gab es auch in Liechtenstein bereits eine Reihe von Beschwerden, die einvernehmlich gelöst werden konnten, indem die Webseitenbetreiber Google Analytics unverzüglich deaktivierten.

(Text erstmals publiziert im Liechtensteiner Volksblatt am 3. März 2022)