Datensicherheit und informationelle Selbstbestimmung

Power to the Users

Die vierte Förderrunde des Prototype Fund wurde 2018 zu den Themen Selbstbestimmung, Sicherheit und Vertrauen ausgeschrieben. Vorbereitend haben wir uns mit den technischen Voraussetzungen für digitale Souveränität und Selbstbestimmung beschäftigt.

Dabei haben wir festgestellt, dass es allgemein einen Mangel an sicherer Software gibt. Selbst in Anwendungskontexten, für die Software existiert, die mehr Sicherheit bietet, wird sie zu wenig genutzt. Gründe sind deren fehlende Nutzerfreundlichkeit und dass Lock-in-Effekte oft zur Dominanz weniger sicherer Alternativen führen.

Zwei Anforderungen an Software sind besonders wichtig, damit Nutzende ihre Daten selbstbestimmt schützen können:

• Transparenz: Sowohl die Funktionsweise der Software als auch die Zielsetzung ihrer Entwickler*innen sollten Nutzenden bekannt sein, damit sie über deren Vertrauenswürdigkeit urteilen können. Open-Source-Software hat den Vorteil, dass sie mit guter Dokumentation überprüfbar ist.
• Anpassbarkeit: Damit Nutzende ihre Daten entsprechend der eigenen Bedürfnisse selbstbestimmt schützen können, müssen Sicherheitsvoreinstellungen anpassbar und kontrollierbar sein.

Den vollständigen Bericht findet ihr hier.

Europäische (Digitale) Souveränität, Technologien und Kollektives Handeln

Wie Gesetze Informationssicherheit und informationelle Selbstbestimmung unterstützen können, haben wir 2020 analysiert.

Dabei haben wir drei Ebenen von digitaler Souveränität identifiziert, nämlich das selbstbestimmte Handeln und Entscheiden von:

1. Individuen,
2. Unternehmen und anderen Institutionen sowie
3. Staaten oder supranationalen Institutionen wie der Europäischen Union

Wichtige Gesetze, die Datensicherheit und digitale Souveränität gewährleisten sollen, sind:

• die Datenschutzgrundverordnung (DSGVO)
• die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie, seit 2022 NIS2-Richtlinie)
• der Cybersecurity Act (und zukünftig der Cyber Resilience Act)

Den vollständigen Bericht findet ihr hier.

(Abwärts-)Trend Datensicherheit

Welche konkreten technischen Mittel die in vielen Kontexten nach wie vor unzureichende Datensicherheit erhöhen können, war 2022 Thema unserer Forschung. Dazu gehören:

• Verschlüsselung
• automatische Zugriffskontrolle
• Versionsdokumentation
• redundante Auslegung von Systemen
• kontinuierliche Überprüfung, Wartung und Aktualisierung von Software
• Nutzbarkeit durch geringen Energieverbrauch, intuitive Anwendung und reibungslose Integrierbarkeit in gängige Arbeitsabläufe

Den vollständigen Bericht findet ihr hier.

Verlässlich und leicht anwendbare Verschlüsselung

• Briar Mailbox
• Close lid to encrypt - Linux-Festplattenverschlüsselung im Ruhezustand
• Cypherlock – Coercion Resistant Storage
• Dark Crystal Social Key Recovery System
• OpenMLS
• Rosenpass: post-quantum VPN mit minimalen Privilegien
• Schleuder

Software, um Angriffe z. B. entlang von Softwarelieferketten und in Computernetzwerken zu erkennen und abzuwehren

• NYGMA
• Portable Firewall für QubesOS
• Reproducible Builds in der Wirklichkeit
• SiC – Abgesicherte Verwaltungsvorgänge durch signierte Container
• StalkerBuster
• Undo von Ransomware mittels Machine Learning

Anonymisierung, Pseudonymisierung und Authentifizierung als Methoden für mehr Datensicherheit

• dhcpanon
• Identity-Stick
• Pseudify - Pseudonymisierung für Entwickler und Pseudify 2.0

Verteidigung der informationellen Selbstbestimmung mit Hilfe des Datenschutzrechts

• BBND - Der Big Brother Newsletter Detektor
• Eine App für Datenanfragen.de
• Guidelight
• OpenPIMS: No More Cookie-Banner