uni.intern
Vertraulichkeit und Sicherheit von Forschungsdaten
Verschlüsselungsprogramm nutzen
Aus aktuellem Anlass weisen Rektor Professor Dr.-Ing. Gerhard Sagerer und der IT-Sicherheitsbeauftragte Michael Sundermeyer darauf hin, dass eine Verarbeitung von Forschungsdaten außerhalb der Universität mit erheblichen Risiken für die Vertraulichkeit und Sicherheit der Daten verbunden sein kann. Wie die Presse in den letzten Monaten ausführlich berichtet hat, betreiben ausländische Nachrichtendienste eine Reihe von Programmen (PRISM, Tempora), um Kommunikationsdienste weltweit abzuhören. Deutschland gehört zu den Ländern, in denen besonders intensiv Daten abgehört werden.
Forschungsdaten als Ziel von Wirtschaftsspionage
Begründet wurden die Abhöraktionen durch die Nachrichtendienste insbesondere mit der Notwendigkeit der Bekämpfung des internationalen Terrorismus. Dass aber auch wirtschaftliche Interessen mit den Spionageprogrammen verfolgt werden, ist nicht von der Hand zu weisen. Es muss davon ausgegangen werden, dass auch das Abschöpfen von Forschungsdaten und Forschungsergebnissen dazu zählt. Das ist insbesondere dann kritisch, wenn die Daten noch nicht publiziert worden sind oder durch Drittmittelforschung einer Geheimhaltung unterliegen. Forschungs- und Wirtschaftsspionage sind kein neues Phänomen. Doch durch den rasanten Technologiewandel wird eine immer breitere Überwachung zu einem erheblichen Risiko für die Vertraulichkeit und Sicherheit der Forschungsdaten.
Daten werden insbesondere auf zwei Wegen gesammelt:
- Über Server der Dienste Google, Microsoft, Yahoo, Facebook, Skype, Apple, AOL und Paltalk. Ein Zugriff ist dabei auf E-Mails, Video- und VoIP-Chats, Fotos, und allgemein gespeicherte Daten möglich.
- Über ein direktes Mitschneiden des internationalen Datenverkehrs, unter anderem auf Glasfaserstrecken, über die auch ein Großteil des deutschen Datenverkehrs läuft.
Risiken bei der Nutzung von Kommunikationsdiensten
Grundsätzlich kann sämtlicher Datenverkehr, der unverschlüsselt über ein Netzwerk läuft, von Dritten mitgelesen werden. Daten, die ausschließlich über die internen IT-Systeme der Universität laufen, sind besser gegen ein Abhören durch Dritte geschützt. Dieser Schutz gilt beispielsweise für den Mailverkehr zwischen E-Mail-Adressen der Universität Bielefeld sowie Daten, die auf den zentralen Netzlaufwerken gespeichert werden.
Sobald Anbieter außerhalb der Universität genutzt werden, muss davon ausgegangen werden, dass die Daten von unbefugten Dritten mitgelesen werden können. Von einer Vertraulichkeit der Daten kann nicht mehr ausgegangen werden. Dies trifft auch auf folgende Beispiele zu:
Beispiele für eine externe Verarbeitung von Forschungsdaten
- Eine externe Speichernutzung bei Diensten wie Skydrive, iCloud, Dropbox oder ähnlichen
- Eine Nutzung von externen Kommunikationsdiensten (Video- oder VoIP-Chat) zum wissenschaftlichen Austausch wie beispielsweise Skype oder FaceTime
- Eine (permanente) Weiterleitung von universitären E-Mails auf Adressen bei Fremdanbietern (zum Beispiel Gmail, Hotmail, iCloud, Yahoo)
- Die Nutzung von Online-Textverarbeitungen zur Erstellung und Bearbeitung von Forschungsdaten beispielsweise in Google Drive, Microsoft Office 365 oder Apple iCloud
Maßnahmen zur Erhöhung der Sicherheit von vertraulichen Forschungsdaten
- Für eine Verarbeitung von vertraulichen Forschungsdaten sind vorrangig die IT-Dienste der Universität Bielefeld zu nutzen. Vertraulich sind Forschungsdaten beispielsweise dann, wenn diese noch nicht publiziert worden sind, personenbezogene Daten enthalten oder einer vertraglichen Geheimhaltung unterliegen.
- Bei der Nutzung externer Dienste sind bevorzugt Anbieter aus dem deutschen Datenschutzraum auszuwählen. Die beispielhaft genannten Anbieter wie Skydrive, iCloud und Dropbox zählen nicht dazu.
- Vertrauliche Forschungsdaten sind vor einer Übertragung zu externen Anbietern zu verschlüsseln.
Software- und Anbieterempfehlungen zur Wahrung der Vertraulichkeit
Zur Verschlüsselung bieten sich je nach Anforderung unterschiedliche Lösungen an:
- Erstellung passwortgeschützter Zip-Dateien beispielsweise mit 7-Zip oder Winzip
- Erstellung verschlüsselter Verzeichnisse, beispielsweise mit Truecrypt oder Boxcryptor
- Nutzung von externen Online-Speicher-Anbietern wie Teamdrive, welche die Daten vor einer Übertragung in die Cloud verschlüsseln und ein deutsches Datenschutzgütesiegel tragen
- Nutzung von Chat- und Videotelefonie-Software wie Jitsi oder Gajim , welche die Kommunikation anhand anerkannt sicherer Standards durchgängig verschlüsseln.
Bei der technischen Unterstützung helfen die IT-Mitarbeiterinnen und Mitarbeiter der Fakultäten und Einrichtungen.
Das Hochschulrechenzentrum der Universität Bielefeld plant für das nächste Jahr eine sichere, interne Lösung. Mit diesem System ist – ähnlich wie bei "Dropbox" – ein Datenzugriff von verschiedenen Rechnern möglich.
Weitere Informationen finden sich auf den Internetseiten für IT-Sicherheit:
www.uni-bielefeld.de/it-sicherheit/