Leitbild unserer Professur
Datenschutz und IT-Sicherheit nicht nur lehren, sondern auch leben!
Eines unserer wichtigsten Ziele ist es, den Datenschutz und die IT-Sicherheit nicht nur zu erforschen und zu lehren, sondern auch im Alltag zu leben. Nur so lassen sich diese Themenkomplexe den Studierenden überzeugend und authentisch vermitteln. Darüber hinaus möchten wir auch der breiten Öffentlichkeit demonstrieren, dass datenschutzfördernde Technologien in den Alltag integrierbar sind, im privaten wie im geschäftlichen Bereich.
Um Datenschutzkonformität, z.B. DSGVO-Compliance, zu erreichen, genügt neben der eigenen aktiven Einwilligung die Zusicherung des Datenverarbeitenden, personenbezogene Daten nur für den vereinbarten Zweck zu verwenden. Überspitzt formuliert reicht also eine Unterschrift an geeigneter Stelle. Es gibt hier jedoch keine Garantie, dass (a) die gemachte Zusicherung eingehalten wird und (b) eine Nichteinhaltung jemals bekannt wird. Datenschutz sollte jedoch nicht vom konformen Verhalten von Dienstanbietern abhängig sein. Es müssen technische und organisatorische Maßnahmen eingesetzt werden, durch die eine Einhaltung des Datenschutzes möglichst unabhängig vom Verhalten des Datenverarbeitenden gewährleistet wird.
Eine konkrete technische Maßnahme ist die Nutzung von Ende-zu-Ende-Verschlüsselung bei jeglicher digitalen Kommunikation. So verwenden wir S/MIME oder PGP für die Verschlüsselung von E-Mails. Ziel ist hier, unter anderem, die verschlüsselte und digital signierte Mitteilung von Prüfungsergebnissen oder anderer personenbezogenen Daten, sobald die flächendeckende Versorgung mit S/MIME an der Universität gegeben ist.
Neben S/MIME und PGP kommen für die vertrauliche Kommunikation an unserer Professur weitere Dienste mit Ende-zu-Ende-Verschlüsselung zum Einsatz. Für den Austausch von Kurznachrichten sind das Wire und Matrix. Wire ist ein Dienst einer Schweizer Firma, welcher seit jeher eine Ende-zu-Ende-Verschlüsselung nutzt. Es ist quelloffen und hat bereits erfolgreich einen Sicherheitsaudit bestanden. Matrix nutzt bzgl. der Server einen föderierten Ansatz und ist ebenfalls quelloffen. Während bei Wire die Infrastruktur des Anbieters genutzt wird, betreibt die Professur einen eigenen Matrix Server auf dem Campus (on-premise). Für virtuelle Treffen in Form von Videokonferenzen haben wir ein eigenes Jitsi-Cluster aufgesetzt, welches ebenfalls Ende-zu-Ende-Verschlüsselung unterstützt und von der gesamten Universität genutzt werden kann. Für die Datenspeicherung gilt, dass wir Cloud-Dienste ohne entsprechenden technischen Datenschutz nicht nutzen. Dies betrifft z.B. Dropbox, Google Drive und Microsoft OneDrive.
Wo immer möglich, betreiben wir Dienste auf eigenen Servern und setzen dabei bevorzugt quelloffene Software ein. Für das Hosting von Daten verwenden wir z.B. Nextcloud, git und SVN. Ausnahmen bilden zur Zeit noch einige Dienste von Anbietern mit ausreichendem technischen Schutz wie TeamDrive oder Resilio Sync. Aktuell besteht unsere gesamte IT-Infrastruktur softwareseitig fast ausschließlich aus quelloffener freier Software. So kann zusätzlich zum Datenschutz auch noch (Steuer-)Geld gespart werden. Mit on-premise, quelloffener Software und soliden kryptographischen Algorithmen können wir wirksam Kontrolle über unsere Daten behalten, ohne auf die Konformität von Dienstanbieter angewiesen zu sein, und damit unsere digitale Souveränität voranbringen.