Datensicherheit und informationelle Selbstbestimmung

26.06.2024

Software, die es ermöglicht sensible Informationen zu schützen, unterstützt der Prototype Fund unter dem Förderschwerpunkt Datensicherheit. Wichtig ist Datensicherheit ganz besonders für Personengruppen wie Aktivist*innen und Journalist*innen, die selbst exponiert sind oder ihre Quellen schützen müssen. Aber auch allen anderen helfen technologische Sicherheitsmechanismen dabei, ihr Grundrecht auf informationelle Selbstbestimmung zu wahren und über die sie selbst betreffenden Daten zu bestimmen.

Erkenntnisse aus der Trendforschung

Power to the Users

Die vierte Förderrunde des Prototype Fund wurde 2018 zu den Themen Selbstbestimmung, Sicherheit und Vertrauen ausgeschrieben. Vorbereitend haben wir uns mit den technischen Voraussetzungen für digitale Souveränität und Selbstbestimmung beschäftigt.

Dabei haben wir festgestellt, dass es allgemein einen Mangel an sicherer Software gibt. Selbst in Anwendungskontexten, für die Software existiert, die mehr Sicherheit bietet, wird sie zu wenig genutzt. Gründe sind deren fehlende Nutzerfreundlichkeit und dass Lock-in-Effekte oft zur Dominanz weniger sicherer Alternativen führen.

Zwei Anforderungen an Software sind besonders wichtig, damit Nutzende ihre Daten selbstbestimmt schützen können:

• Transparenz: Sowohl die Funktionsweise der Software als auch die Zielsetzung ihrer Entwickler*innen sollten Nutzenden bekannt sein, damit sie über deren Vertrauenswürdigkeit urteilen können. Open-Source-Software hat den Vorteil, dass sie mit guter Dokumentation überprüfbar ist.
• Anpassbarkeit: Damit Nutzende ihre Daten entsprechend der eigenen Bedürfnisse selbstbestimmt schützen können, müssen Sicherheitsvoreinstellungen anpassbar und kontrollierbar sein.

Den vollständigen Bericht findet ihr hier.

Trustable Technology

Das Verhältnis zwischen Datensicherheit und Vertrauen bzw. Vertrauenswürdigkeit haben wir uns im Vorfeld der siebten Bewerbungsrunde 2019 genauer angesehen, deren Themenschwerpunkt war „Engineering Trust – Vertrauen bauen“.

Unterschieden werden sollte zwischen zwei Arten von Vertrauen:

• Mechanical Trust: die Vertrauenswürdigkeit von Software, die durch deren prinzipielle Überprüfbarkeit oder gezielte Analyse von Softwarelieferketten und Computernetzwerken erreicht werden kann.
• Relational Trust: interpersonelle Vertrauensbildung, die in der digitalen Kommunikation erschwert ist, aber durch den Aufbau von Software sowie soziale Regeln, Normen und Gesetze wie z. B. Auskunftsrechte unterstützt werden kann.

Den vollständigen Bericht findet ihr hier.

Europäische (Digitale) Souveränität, Technologien und Kollektives Handeln

Wie Gesetze Informationssicherheit und informationelle Selbstbestimmung unterstützen können, haben wir 2020 analysiert.

Dabei haben wir drei Ebenen von digitaler Souveränität identifiziert, nämlich das selbstbestimmte Handeln und Entscheiden von:

1. Individuen,
2. Unternehmen und anderen Institutionen sowie
3. Staaten oder supranationalen Institutionen wie der Europäischen Union

Wichtige Gesetze, die Datensicherheit und digitale Souveränität gewährleisten sollen, sind:

• die Datenschutzgrundverordnung (DSGVO)
• die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie, seit 2022 NIS2-Richtlinie)
• der Cybersecurity Act (und zukünftig der Cyber Resilience Act)

Den vollständigen Bericht findet ihr hier.

(Abwärts-)Trend Datensicherheit

Welche konkreten technischen Mittel die in vielen Kontexten nach wie vor unzureichende Datensicherheit erhöhen können, war 2022 Thema unserer Forschung. Dazu gehören:

• Verschlüsselung
• automatische Zugriffskontrolle
• Versionsdokumentation
• redundante Auslegung von Systemen
• kontinuierliche Überprüfung, Wartung und Aktualisierung von Software
• Nutzbarkeit durch geringen Energieverbrauch, intuitive Anwendung und reibungslose Integrierbarkeit in gängige Arbeitsabläufe

Den vollständigen Bericht findet ihr hier.

Projekte beim Prototype Fund zum Thema Datensicherheit

Verschlüsselung verlässlich und leicht anwendbar zu gestalten, haben sich diese Projekte zum Ziel gemacht:

• Briar Mailbox
• Close lid to encrypt – Linux-Festplattenverschlüsselung im Ruhezustand
• Cypherlock – Coercion Resistant Storage
• Dark Crystal Social Key Recovery System
• OpenMLS
• Post-quantum VPN mit minimalen Privilegien
• Schleuder

Folgende Projekte haben Software entwickelt, die dabei helfen soll, Angriffe z. B. entlang von Softwarelieferketten und in Computernetzwerken zu erkennen und abzuwehren:

• NYGMA
• Portable Firewall für Qubes OS
• Reporducible Builds in der Wirklichkeit
• SiC – Abgesicherte Verwaltungsvorgänge durch signierte Container
• StalkerBuster
• Undo von Ransomware mittels Machine Learning

Anonymisierung, Pseudonymisierung und Authentifizierung als Methoden für mehr Datensicherheit standen bei diesen Projekten im Vordergrund:

• dhcpannon
• Identity-Stick
• Pseudify – Pseudonymisierung für Entwickler

Dabei helfen, die informationelle Selbstbestimmung mit Hilfe des Datenschutzrechts zu verteidigen, sollen diese Projekte:

• BBND – Der Big Brother Newsletter Detektor
• Eine App für Datenanfragen.de
• Guidelight
• OpenPIMS: No more Cookie-Banner

Weiterführende Infos

Mehr zum Thema Datensicherheit findet ihr außerdem auf unserem Blog:

• Security vs. Usability: Ein Widerspruch?, Marta Marczykowska-Górecka  (09.11.2023)
• Kenne deine Daten – und wer sie wo und zu welchem Zweck speichert (14.07.2020)

Weitere Ressourcen zum Thema Datensicherheit gibt es hier:

• Digital Security Lab von Reporter ohne Grenzen: Das digitalforensische Labor bietet Sicherheitstrainings, individuelle Beratung und Prüfungen für Journalist*innen an, die Ziel von Spähangriffen geworden sind oder das vermuten.
• Security Lab von Amnesty International: Das multidisziplinäre Team des Lab führt technische Investigativrecherchen zu Cyberangriffen gegen Aktivist*innen und Journalist*innen durch, unterstützt diese bei der Verteidigung gegen digitale Bedrohungen oder Überwachung und setzt sich politisch gegen den Missbrauch von Überwachungstechnologien ein.
• Zerforschung: Das Kollektiv untersucht öffentlich genutzte Software durch Reverse Engineering auf Sicherheitslücken, um auf Missstände aufmerksam zu machen.