Sewecom
Sewecom steht für secure web communication und bezeichnet ein Open-Source-Projekt für sichere und datenschutzverträgliche Kommunikation im Internet. Dieses Projekt ist auf unterschiedlichen Wissensebenen angesiedelt:
- Informationen für Internetnutzer zum eigenen Schutz
- Datenschutz- und Sicherheitskonzept für Anbieter vertraulicher Kommunikationsprozesse im Internet
- Bildungskonzept für Behörden, Unternehmen, Organisationen und Freiberufler
- Open-Source-Software als informationstechnische Grundlage sicherer und datenschutzverträglicher Kommunikation im Internet
| Inhaltsverzeichnis |
Bildungsportal zu Internetsicherheit
Das Nichtwissen über Gefahren und Abhilfemöglichkeiten im Internet stellt eine zentrale Bedrohung für die Freiheitsrechte der Internetnutzer dar. Im Rahmen der Sewecom-Bildungs-Initiative werden die Internetnutzer darüber aufgeklärt, was sie zu ihrem eigenen Schutz im Internet tun können. Bei den umfassenden PC-Sicherheits-Tipps erfährt auch der technisch nicht versierte Internetnutzer, wie er seine Daten vor Angriffen schützen kann und was er selbst für den Schutz der eigenen persönlichen Daten tun kann. Dabei wird auf die zentralen Internetressourcen zu Datenschutz und Datensicherheit verlinkt. Viele Datenschutz- und Sicherheitsprobleme treten beim Internetnutzer am heimischen PC auf. Damit auch diese Lücke geschlossen werden kann, wird bei diesem Projekt neben technischen und organisatorischen Fragen großen Wert auf umfassende Aufklärung und Weiterbildung gelegt.
Open-Knowledge – Konzepte für Entscheider
Darüber hinaus handelt es sich beim Sewecom-Projekt um ein Open-Knowledge-Portal für sichere Internetkommunikation. Das zentrale Konzept sowie weitergehende Informationen werden der Öffentlichkeit kostenlos zur Verfügung gestellt. So erhalten nicht nur Internetnutzer, sondern auch Entscheider in Unternehmen, Organisationen und Behörden konzeptionelle Unterstützung bei den grundlegenden Fragen zu sicherer und datenschutzverträglicher Kommunikation im Internet. Das Sewecom-Verfahren beschreibt, wie Anbieter (Firmen, Freiberufler, soziale und kirchliche Einrichtungen, Behörden) eine sichere Kommunikationsplattform im Internet zur Verfügung stellen können, so dass die Nutzer auch ohne Hintergrundkenntnisse zu 100% verschlüsselt kommunizieren.
Modellprojekt: Online-Beratung der Telefonseelsorge Deutschland
Die Telefonseelsorge Deutschland hat als erste Beratungsorganisation ein Sicherheitskonzept nach dem Sewecom-Verfahren realisiert, um auch bei ihrer Beratung im Internet Vertraulichkeit und Anonymität gewährleisten zu können. Dabei wird auf das Versenden von herkömmlichen E-Mails völlig verzichtet, da dies ein zu großes Sicherheitsrisiko bedeutet. Auch die Chat-Inhalte werden alle webbasiert automatisch verschlüsselt. Durch die Bereitstellung einer solchen Kommunikationsplattform wird 100% der Kommunikation im Internet verschlüsselt und somit vor dem Abhören durch versierte Internetnutzer geschützt. Das Konzept hat sich bereits in der Praxis bewährt: Seit dem 9. September 2002 finden alle Beratungskontakte der Telefonseelsorge Deutschland verschlüsselt statt. Zuvor (1995 bis 2002) hatten weniger als 1% der Ratsuchenden die optionale PGP-Verschlüsselung genutzt. Anonymität, Datensicherheit und Datenschutz sind für die Telefonseelsorge eine Grundvoraussetzung, um ihr Beratungsangebot entsprechend ihrer Standards auch im Internet anbieten zu können.
Neuer Mailansatz: von smtp zu https
Um den bekannten Schwächen der E-Mail und des weit verbreiteten SMTP-Protokolls entgegenzuwirken, empfehlen Sicherheitsexperten und Datenschützer wie beispielsweise das Bundesamt für Sicherheit in der Informationstechnik oder der Landesbeauftragte für Datenschutz Sachsen-Anhalt bei vertraulicher Kommunikation diesen webbasierten Mailansatz: Die Kommunikation geschieht obligatorisch über das HTTPS-Protokoll. Für die Nutzer im Internet wird es wesentlich einfacher, da sie keine Software wie PGP oder GnuPP installieren und beherrschen müssen. Die gesamte Kommunikation wird automatisch per SSL verschlüsselt. Bei diesem Verfahren kann zusätzlich von Ratsuchenden der Anonymisierungsdienst JAP verwendet werden. Vorteile für Datenschutz, Datensicherheit und Organisation: Keinerlei Spam; Verbindlichkeit, Integrität und Vertraulichkeit des gesamten Datentransfers; Anonymität der Nutzer; Authentizität des Anbieters; zentraler Firewallschutz des Datenbestands. Bei Bedarf können zusätzliche Authentifizierungsmöglichkeiten der Nutzer integriert werden.
Dieses Konzept ist keine Alternative zum üblichen Mail-Protokoll (SMTP). Es ist lediglich eine Webmail-Oberfläche, die ausschließlich verschlüsselte Verbindungen (Secure Sockets Layer) akzeptiert. An andere Server werden keine Mails zugestellt. Somit ist Kommunikation nur zwischen den Nutzern dieses Servers möglich.
Open-Source-Software für sichere Internetkommunikation
2005 soll nun auch ein Projekt gestartet werden, bei dem die Server-Software zu Open-Source weiterentwickelt wird. Durch eine kostenlose Übernahme der Software ist die Lösung künftig sogar für kleine Unternehmen, Behörden, Organisationen und Freiberufler bezahlbar. Der Quellcode soll dabei überarbeitet werden, so dass er für unterschiedlichste Anbieter genutzt werden kann, auf unterschiedliche Bedürfnisse anpassbar ist und für Programmierer eine umfassende Dokumentation enthält.
Rechtliche Rahmenbedingungen
Durch eine staatliche Institution soll beim Sewecom-Projekt gewährleistet werden, dass auch die rechtlichen Rahmenbedingungen wie Nutzungsordnung, Datenschutzerklärung, Verträge mit Providern usw. den hohen Anforderungen an sichere und datenschutzverträgliche Internetkommunikation gerecht werden. Außerdem soll gewährleistet werden, dass die Software, die Verfahrensbeschreibung und die Einbindung der Lösung in die Organisation konform mit geltendem Recht geschieht. Verschiedene Fragestellungen für unterschiedliche Anbietergruppen sind dabei zu berücksichtigen: Anbieter anonymer Online-Beratung, Anwälte, Ärzte, Behörden, Handwerker, Psychologen, Psychotherapeuten, Seelsorger, Steuerberater, Notare, Unternehmen usw. Dabei werden verschiedene Rechtsbereiche behandelt: Datenschutzrecht, Privatrecht (Schadenersatzpflicht nach § 823 BGB), Strafrecht (Verletzung von Privatgeheimnissen nach § 203 StGB), Online-Recht (u.a. Teledienstegesetz, Medienstaatsvertrag), Telekommunikationsgesetz (analoge Handhabung von § 99 (2) TKG bei anonymer Online-Beratung). Weitere Rechtsbereiche können im Laufe des Projektes bei entstehenden Fragen noch hinzukommen.
Ethische Fragestellungen
Der Schutz von Anonymität und Vertraulichkeit ist letztlich nur durch ethische Fragestellungen zu begründen. In der Praxis können Datenschutz- und Sicherheitskonzepte dabei gleichzeitig auch die Vertrauenswürdigkeit eines Anbieters im Internet herausstellen. Im monetären Bereich sind umfassende Sicherheitskonzepte seit vielen Jahren bereits die Normalität: Eine Bank, die Kreditkartennummern im Internet ohne Verschlüsselung abfragt, ist kaum denkbar. Es würde als unverantwortlich gelten, wenn ein seriöses Unternehmen seine Kunden dazu verleiten würde solche sensiblen Daten ungeschützt zu übermitteln. Der Schutz von Privatpersonen, die persönlichste Informationen von sich preisgeben, wurde in der Vergangenheit vielfach noch nicht als entsprechend schützenswert erachtet. Datenschützer sehen im Gegensatz dazu eine sichere und datenschutzgerechte Kommunikation im Internet im Einklang mit den im Grundgesetz verankerten Persönlichkeitsrechten als notwendige Voraussetzung für vertrauliche Kommunikationsangebote im Internet an. Wie beispielsweise die Schweigepflicht (vgl. § 203 StGB) zum Schutze der Klienten gilt- unabhängig ob diese davon Kenntnis haben - so sollen Anbieter durch ein praktikables Sicherheitskonzept auch für einen vertraulichen Rahmen, der angemessen ist, vorab sorgen. Schweigepflicht macht schließlich keinen Sinn, wenn unkalkulierbar viele unbekannte Menschen Zugriff auf Kommunikationsinhalte haben, wie dies im Internet ohne Sicherheitskonzept der Fall ist. So will beispielsweise die TelefonSeelsorge auch den Menschen vertrauliche Kommunikation bieten, die eine Verschlüsselungstechnik per E-Mail nicht beherrschen oder in ihrer Notsituation nicht in der Lage sind, eine Verschlüsselungstechnik zu installieren. Die Verantwortung diesbezüglich allein den sogenannten "mündigen Nutzern" des Angebots zu überlassen wäre eher zynisch, ist doch bekannt wie wenig die Menschen tatsächlich über diese komplexe Hintergrundtechnik wissen können. Vielmehr sollen die Nutzer bei seriösen Anbietern darauf vertrauen können, dass alles Mögliche für ihren Schutz unternommen wird. Schließlich ist es für eine Organisation leichter machbar, vertrauliche und sichere Kommunikationswege zur Verfügung zu stellen als es Menschen möglich ist, die vielleicht sogar in einer akuten Notlage sind, sich mit Verschlüsselungstechnik auseinander zu setzen. In einer Empfehlung des Landesbeauftragten für Datenschutz Sachsen-Anhalt wird dieser Kommunikationsansatz dementsprechend zusammengefaßt: "Grundaussage ist, dass Beratungseinrichtungen, gleich ob öffentliche oder private, die über das Internet mit Klienten, Bürgern und Kunden kommunizieren wollen, die Frage der Sicherheit nicht dem jeweiligen Nutzer überlassen, sondern von vornherein sichere Kommunikationswege zur Verfügung stellen sollten." Es geht hier also um die Zurechenbarkeit von Verantwortung, die im Internet nicht zu lasten der Nutzer gehen sollte.
Empfehlung / Verlinkung des Sewecom-Projekts
- Virtuelles Datenschutzbüro
- Portal Datenschutz in der Kirche
- Open-Source-Portal BerliOS - Infos zu Sewecom
- Der Datenschutzbeauftragte des Landes Sachsen-Anhalt
- Telefonseelsorge Deutschland
- Sicherheitskonzept der Telefonseelsorge basierend auf dem Sewecom-Verfahren
Weitere Hintergrund-Infos
- Sichere Internetkommunikation / Spamvermeidung
- Sewecom-Verfahren Funktionalität der Server-Software Sewecom-Mail
- Bildungsinitiative Sewecom zu Internetsicherheit
- PC-Sicherheits-Tipps für alle Internetnutzer
Siehe auch
Anonymität, Open Source, E-Mail, Datenschutz, Datensicherheit, Selbstdatenschutz
Kategorie:Internet Kategorie:Freie Software